CRISC - Certified in Risk and Information System Control 

 

Wie wird man CRISC?

  • Bestandene Prüfung (mindestens 450 von 800 möglichen Punkten)

  • zumindest 3 Jahre bestätigte Berufserfahrung innerhalb von 10 Jahren vor der Zertifizierung im Bereich Risikomanagement und Informationssicherheit , in zumindest 3 Domänen (siehe unten; Anrechnung von Studium etc. ist NICHT möglich!)

  • die Berufserfahrung kann auch innerhalb von 5 Jahren nach Ablegen der Prüfung erworben werden – die Zertifizierung erhält man dementsprechend später

  • Einhaltung des Ethik-Kodexes der ISACA („Code of Professional Ethics“)

  • Einhaltung der Fortbildungsverpflichtung (Continuing Education Policy): zumindest 120 Stunden berufliche Weiterbildung innerhalb jeweils 3 Jahren

 

Prüfungsanmeldung

 Unterlagen zur Prüfungsvorbereitung

 

Prüfungsinhalt

Domäne 1: Risikoidentifikation und Risikobeurteilung (31%)

  • Standards und Frameworks zur Risikoabschätzung

  • Quantitative und Qualitative Methoden

  • Regulatorische Vorgaben und vertragliche Verpflichtungen

  • Risikobeurteilung im Umfeld der Geschäftsziele und der Geschäftsprozesse

  • Risikoappetit des Unternehmens

  • Bedrohungen und Schwachstellen

Domäne 2: Umgang mit Risiken (17%)

  • Optionen für den Umgang mit Risiken

  • Kosten-Nutzen-Analyse und Return on Investment (ROI)

  • Projektmanagement

  • Ausnahmenmanagement

Domäne 3: Risikoüberwachung (17%)

  • Key Risk Indicators (KRI)

  • Risikoabschätzungen und Beurteilung von Risikomanagement-Prozessen

  • Kommunikation und Berichterstattung

Domäne 4: Design und Implementierung von Kontrollen in Informationssystemen (17%)

  • Geschäftsprozesse

  • Entwicklung und Beurteilung von Kontrollen

  • Test von Kontrollen

  • Governance, Risk & Compliance (GRC) Werkzeuge

  • Lifecycle Management von Kontrollen

Domäne 5: Überwachung und Pflege von Kontrollen in Informationssystemen (18%)

  • Review von Richtlinien, Standards und Abläufen

  • Erkennen von Kontrollschwächen

  • Reifegradmodelle

  • Definition von Kontrollzielen

  • Dokumentation von Schwachstellen und Prüfungsergebnissen

 

Prüfungsvorbereitung

Eine solide Prüfungsvorbereitung umfasst u.a.

  • eine persönliche Standortbestimmung

  • Festlegung, wie man sich vorbereitet

  • ausreichend Zeit

  • Ausdauer

  • laufende Überprüfung des Lernerfolgs

Folgende Schritte sind jedenfalls empfehlenswert:

 

Die Prüfung

  • 150 Fragen

  • verfügbare Zeit: 4 Stunden

  • Fragen sollen durch Praxis und Erfahrung gewonnenes Wissen überprüfen

  • Multiple-Choice Fragen mit einer besten Antwortmöglichkeit

  • Prüfungssprache: derzeit nur ENGLISCH!

  • über 260 Prüfungsorte, u. a. Wien

  • wird in jeder Stadt angeboten, wo es ein ISACA Chapter gibt oder eine ausreichende große Nachfrage besteht

  • Wörterbücher sind nicht zugelassen

  • Exam Admission Ticket und amtlichen Lichtbildausweis mitbringen!

 

Zertifizierungsantrag stellen

Antragsbogen wird an alle Kandidaten ausgeschickt, die die Prüfung bestanden haben

Inhalt:

  • Voraussetzungen für die Beibehaltung der Zertifizierung

  • Code of Professional Ethics

  • Anweisungen für das Ausfüllen des Formulars

  • Nachweis über die Berufserfahrung

  • CRISC Antragsformular



CRISCFortbildungsverpflichtung

  • zumindest 20 Stunden an Fortbildung (CPE) pro Jahr

  • Meldung der CPEs erfolgt über Link auf www.isaca.org (my isaca) – Freischaltung ca. ab November des laufenden Jahres

  • Bezahlung der jährlichen Gebühr (CRISC maintenance fee)

  • Einhaltung des ISACA Code of Professional Ethics

  • zumindest 120 Stunden Fortbildung innerhalb eines 3-Jahres-Zeitraums

 

Code of Professional Ethics

ISACA Mitglieder und Zertifikatsinhaber sind verpflichtet:

  • die entsprechenden Standards einzuhalten;

  • auf eine gewissenhafte, loyale und ehrliche Weise zu arbeiten;

  • den Datenschutz und die Vertraulichkeit von Daten zu beachten;

  • ihre Tätigkeit auf eine unabhängige Weise auszuüben;

  • ihre Fachkenntnisse laufend auf dem aktuellen Stand zu halten;

  • ihre Aufgaben professionell und kompetent durchzuführen;

  • die beruflichen Sorgfaltspflichten einzuhalten;

  • die Ergebnisse Ihrer Arbeit den geeigneten Stellen zu berichten;

  • die Weiterbildung anderer zu unterstützen;

  • hohen Verhaltensanforderungen zu genügen.