Certified in Risk and Information Systems Controls (CRISC) Training

• Relevante normen, kaders en werkwijzen identificeren
• Risico-identificatietechnieken toepassen
• Onderscheid maken tussen bedreigingen en kwetsbaarheden
• Relevante belanghebbenden (stakeholders) identificeren
• Hulpmiddelen en technieken voor het ontwikkelen van risicoscenario’s kunnen bespreken
• De betekenis uitleggen van de belangrijkste concepten voor risicobeheer, waaronder risicobereidheid en risicotolerantie
• De belangrijkste elementen van een risicoregister beschrijven
• Bijdragen aan de creatie van een risicobewustzijnsprogramma
• Risicobeoordelingstechnieken identificeren en toepassen
• Risicoscenario’s analyseren
• De huidige status van maatregelen identificeren
• Hiaten beoordelen tussen de huidige en gewenste toestand van de IT-risico omgeving
• De resultaten van IT-risicobeoordelingen naar relevante belanghebbenden communiceren
• Een lijst opstellen van de verschillende risico-respons opties
• Verschillende parameters voor risico-respons selectie definiëren
• Uitleggen hoe restrisico verband houdt met inherent risico, risicobereidheid en risicotolerantie
• De noodzaak van het uitvoeren van een kosten-batenanalyse voor het bepalen van een risicoreactie bespreken
• Een risico-actieplan ontwikkelen
• De principes van risico-eigendom (risk ownership) uitleggen
• Gebruikmaken van een goed begrip van het System Development Life Cycle (SDLC) proces om IS-controles efficiënt en effectief te implementeren
• De noodzaak begrijpen van het onderhoud van maatregelen
• Onderscheid maken tussen Key Risk Indicators (KRI’s) en Key Performance Indicators (KPI’s)
• Tools en technieken beschrijven voor data extractie, aggregatie en analyse
• Verschillende monitoringtools en -technieken vergelijken
• Verschillende tools en technieken voor testing en beoordeling beschrijven

Security Managers, -Directors, -Consultants, Risk Officers, Risk Managers, (Chief) Compliance Officers, Audit Managers, -Directors, -Consultants, CISO, CIO, IT Managers, IT Consultants

De CRISC training en het examen bestaan uit onderstaande vier ‘job practice area’s’. ISACA toetst de invulling ervan continu aan de actualiteit zodat de training aan blijft sluiten op het hedendaagse profiel van de Risk Professional:

Domain 1 – Governance

Organizational Governance A

• Organizational Strategy, Goals and Objectives
• Organizational Structure, Roles and Responsibilities
• Organizational Culture
• Policies and Standards
• Business Processes
• Organizational Assets

Risk Governance B

• Enterprise Risk Management and Risk Management Framework
• Three Lines of Defense
• Risk Profile
• Risk Appetite and Risk Tolerance
• Legal, Regulatory and Contractual Requirements
• Professional Ethics of Risk Management

Domain 2 – IT Risk Assessment 

IT Risk Identification A

• Risk Events (e.g., contributing conditions, loss result)
• Threat Modelling and Threat Landscape
• Vulnerability and Control Deficiency Analysis (e.g., root cause analysis)
• Risk Scenario Development

IT Risk Analysis and Evaluation B

• Risk Assessment Concepts, Standards, and Frameworks
• Risk Register
• Risk Analysis Methodologies
• Business Impact Analysis
• Inherent and Residual Risk

Domain 3 – Risk Response and Reporting

Risk Response A

• Risk Treatment / Risk Response Options
• Risk and Control Ownership
• Third-Party Risk Management
• Issue, Finding and Exception Management
• Management of Emerging Risk

Control Design and Implementation B

• Control Types, Standards and Frameworks
• Control Design, Selection and Analysis
• Control Implementation
• Control Testing and Effectiveness Evaluation

Risk Monitoring and Reporting C

• Risk Treatment Plans
• Data Collection, Aggregation, Analysis and Validation
• Risk and Control Monitoring Techniques
• Risk and Control Reporting Techniques (heatmap, scorecards, dashboards)
• Key Performance Indicators
• Key Risk Indicators (KRIs)
• Key Control Indicators (KCIs)

Domain 4 – Information Technology and Security

Information Technology Principles A

• Enterprise Architecture
• IT Operations Management (e.g. change management, IT assets, problems, incidents)
• Project Management
• Disaster Recovery Management (DRM)
• Data Lifecycle Management
• System Development Life Cycle (SDLC)
• Emerging Technologies

Information Security Principles B

• Information Security Concepts, Frameworks and Standards
• Information Security Awareness Training
• Business Continuity Management
• Data Privacy and Data Protection Principles

Deze training bereidt u voor op het CRISC examen van ISACA. Dit examen kan op werkdagen dagelijks (onder voorbehoud beschikbaarheid) worden afgenomen op diverse locaties in Nederland.