CRISC ® – Certified in Risk and Information Systems Control ®
Офіційний курс від ISACA ®
березень 2023
Дана сертифікація підтверджує досвід у визначенні та управлінні ІТ-ризиками підприємства, а також у впровадженні та підтримці засобів контролю інформаційних систем. CRISC ® призначений для ІТ та бізнес-фахівців середньої ланки, які виявляють і керують ризиками шляхом розробки, впровадження та підтримки відповідних контролів інформаційних систем (ІС). Сертифікація CRISC ® підтверджує навички та знання щодо захисту сучасного підприємства від ескалації загроз.

©2022 ISACA. All rights reserved.
CRISC is a trademark (or registered trademark of ISACA)

Для кого
Директори / менеджери / консультанти з безпеки
Спеціалісти відділу комплаєнсу / ризиків / контролю
Директори та менеджери з питань відповідності /ризиків / конфіденційності
Директори / менеджери / консультанти з аудиту ІТ

Курс допоможе зрозуміти основні концепції та вивчити такі сфери:
1
Управління через політики
2
Оцінка ІТ ризиків
3
Реагування на ризики та звітування
4
Інформаційні технології та безпека

Програма курсу

Домен 1: Ідентифікація ІТ-ризиків
Визначати всесвіт ІТ-ризиків, для виконання стратегії управління ІТ-ризиками, підтримки бізнес-цілей і узгодження зі стратегією управління ризиками підприємства (ERM).
-
Збір та опрацювання інформації, включаючи формат документації для внутрішнього та зовнішнього бізнес-середовища, ІТ-середовища організації, а також для визначення потенційного або здійсненого впливу ІТ-ризику на бізнес-цілі та діяльність організації
-
Визначення потенційних загроз та вразливостей для людей, процесів і технологій організації, для аналізу ІТ-ризиків.
-
Розробка комплексного набору сценаріїв ІТ-ризиків на основі наявної інформації, для визначення потенційного впливу на бізнес-цілі та діяльність бізнесу.
-
Визначення ключових зацікавлених сторін для сценаріїв ІТ-ризиків, для встановлення підзвітності.
-
Створення реєстру ІТ-ризиків, для побудови сценаріїв з урахуванням та доповненням профілів ризиків всього підприємства.
-
Визначення схильності і толерантності до ризику, встановлений вищим керівництвом і ключовими зацікавленими сторонами, для забезпечення відповідності бізнес-цілям.
-
Співпраця над розробкою програми поінформованості про ризики та проведення тренінгів, для розуміння ризиків зацікавленими сторонами та сприяння культурі усвідомлення ризиків.

Домен 3 - Реагування на ризики та їх зменшення
Визначати варіанти реагування на ризики та оцінка їх ефективності і результативності, для управління ризиками відповідно до бізнес-цілей.
-
Консультування з власниками ризиків, щоб вибрати рекомендовані заходи реагування на ризики, узгодити їх з бізнес-цілями та забезпечити прийняття обґрунтованих рішень щодо ризиків.
-
Консультування з власниками ризиків або допомога їм у розробці планів дій щодо ризиків, щоб переконатися, що плани включають ключові елементи (наприклад, відповідь, вартість, цільовий термін).
-
Консультування щодо розробки та впровадження або коригування засобів контролю, для забезпечення прийнятного рівня управління ризиком.
-
Забезпечення наявності «власника» контролів, для встановлення чітких ліній підзвітності.
-
Допомога власникам засобів контролів в розробці процедур контролю та документації для покращення ефективності та ефективного здійснення контролю.
-
Оновлення реєстру ризиків для відображення змін у ризиках і реагуванні керівництва на ризики.
-
Забезпечення реагування на ризики, відповідно до планів дій щодо ризику.

Домен 2 - Оцінка ІТ-ризиків
Аналіз та оцінка ІТ-ризиків, для визначення ймовірності і впливу на бізнес-цілі, для забезпечення прийняття рішень на основі ризиків.
-
Аналізувати сценарії ризику на основі організаційних критеріїв (наприклад, організаційної структури, політик, стандартів, технологій, архітектури, засобів контролю), для визначення ймовірності впливу ідентифікованого ризику.
-
Визначати поточний стан існуючих засобів контролю та оцінювати їх ефективність для зменшення ІТ-ризиків.
-
Перегляд результатів аналізу ризиків і контролів, для оцінки розбіжностей між поточним і бажаним станом середовища ІТ-ризику.
-
Забезпечення наявності «власника» ризику, для встановлення чітких ліній відповідальності.
-
Повідомлення результатів оцінки ризику вищому керівництву та відповідним зацікавленим сторонам для прийняття рішень на основі оцінки ризику.
-
Актуалізація реєстру ризиків результатами оцінки ризиків.

Домен 4 - Моніторинг і звітність про ризики та контролі
Відстеження та звітування про ІТ-ризики та засоби контролю відповідним зацікавленим сторонам, для забезпечення ефективності і результативності стратегії управління ІТ-ризиками та її узгодження з бізнес-цілями.
-
Визначення і встановлення ключових показників ризику (KRI) і порогових значень на основі наявних даних, щоб уможливити моніторинг змін ризику.2.
-
Моніторинг і аналіз ключових показників ризику (KRI) для виявлення змін або тенденцій у профілі ІТ-ризику.
-
Звітування про зміни або тенденції, пов’язані з профілем ІТ-ризику, для допомоги керівництву та зацікавленим сторонам у прийнятті рішень.
-
Сприяння визначенню метрик і ключових показників ефективності (KPI), для вимірювання ефективності контролю.
-
Моніторинг і аналіз ключових показників ефективності (KPI) для виявлення змін або тенденцій, пов’язаних із середовищем контролю, і визначення ефективності та результативності засобів контролю.
-
Перегляд результатів контрольних оцінок для визначення ефективності контрольного середовища.
-
Звітування відповідним зацікавленим сторонам про ефективність, зміни або тенденції в загальному профілі ризику та середовищі контролю для прийняття рішень.


Деталі навчання
Найближчі дати: березень 2023
Тривалість навчання: 4 дні, онлайн
Мова: викладання - українська
матеріали - англійська
Офіційні навчальні матеріали від ISACA ® - в електронному вигляді
Ваучер для складання іспиту - надається додатково за $650
Стара ціна: $2000 (без ПДВ)
Спеціальна ціна: $1400 (без ПДВ)