Kurs
digicode: CRISC
Certified in Risk and Information Systems Control® (CRISC®)
Kurs-Facts
Als PDF herunterladen- Entwickeln und Steuern eines Governance-Rahmenwerks zur IT-Risikosteuerung
- Etablieren von Rollen, Verantwortlichkeiten und Risikoprofilen in der Organisation und der IT
- Ableiten einer IT-Risikostrategie, Compliance- und ethischen Steuerung gemäss den Unternehmenszielen und regulatorischen Anforderungen
- Identifizieren von Risiken durch Analyse von Bedrohungen, Schwachstellen und Risikoszenarien
- Bewerten von Risiken mithilfe von Methodiken wie Business Impact Analyse, Risikoregister, Risikotoleranzabschätzung
- Priorisieren von inhärenten und residualen Risiken für gezielte Steuerung
- Gestalten und Steuern von Risikobehandlungsplänen in Abstimmung mit Stakeholdern und Control-Ownern
- Implementieren, Prüfen und Bewerten von Kontrollen nach Standards
- Entwickeln effizienter Monitoring‑Mechanismen, KPIs/KRIs/KCIs und Reporting-Instrumente (Heatmaps, Dashboards)
- Integrieren von Risikomanagement und Sicherheitsprinzipien in IT-Infrastruktur und Architektur
- Steuern von IT‑Betriebsprozessen (Change‑, Incident‑, Asset‑ und Projektmanagement), Disaster Recovery und SDLC
- Aufbauen einer Sicherheitskultur, Awareness-Programme und Einhalten von Datenschutzstandards
Domain 1: Governance
- Risikobewertungskonzepte, Standards und Rahmenwerke
- Unternehmensstrategie, Ziele und Vorgaben
- Organisationsstruktur, Rollen und Verantwortlichkeiten
- Unternehmenskultur und Vermögenswerte
- Richtlinien, Standards und Geschäftsprozesse
- Unternehmensrisikomanagement, Risikomanagement-Rahmenwerke und drei Verteidigungslinien
- Risikoprofil, Risikobereitschaft und Risikotoleranz
- Umgang mit der Berufsethik des Risikomanagements und den Anforderungen in Gesetzen, Vorschriften und Kontrollen
- Risikoereignisse, Bedrohungsmodellierung und Bedrohungslage
- Analyse von Schwachstellen und Kontrollmängeln
- Entwicklung von Risikoszenarien
- Risikoregister
- Methoden der Risikoanalyse
- Analyse der Auswirkungen auf das Geschäft
- Inhärente, verbleibende und aktuelle Risiken
Domain 3: Risk Response and Reporting
- Risikobehandlung/Risikoreaktionsoptionen
- Verantwortung für Risiken und Kontrollen
- Management von Risiken aus Prozessen, Dritten und neuen Quellen
- Kontrolltypen, Standards und Rahmenwerke
- Kontrollgestaltung, -auswahl und -analyse
- Kontrollimplementierung, -prüfung und -wirksamkeit
- Risikobehandlungspläne
- Datenerfassung, -aggregation, -analyse und -validierung
- Techniken zur Risiko- und Kontrollüberwachung und -berichterstattung
- Leistungs-, Risiko- und Kontrollkennzahlen
- Unternehmensarchitektur
- IT-Betriebsmanagement
- Projektmanagement
- Notfallwiederherstellungsmanagement
- Datenlebenszyklusmanagement
- Systementwicklungslebenszyklus
- Neue Technologien
- Konzepte, Rahmenbedingungen, Standards und Sensibilisierungsschulungen zur Informationssicherheit
- Geschäftskontinuitätsmanagement
- Grundsätze zum Datenschutz und zur Datensicherheit
Die Prüfungsvorbereitung beansprucht, je nach Lerntyp, einen zusätzlichen Zeitaufwand ausserhalb des Unterrichts von mindestens 10-20 Stunden.
Der Kurs richtet sich an Fachleute im IT-Risikomanagement mit mindestens drei Jahren Berufserfahrung in der Identifikation, Bewertung, Steuerung und Überwachung von IT-Risiken sowie dem Aufbau wirksamer Kontrollsysteme.
Ideal für IT-Risikomanager, Informationssicherheitsbeauftragte, GRC-Verantwortliche, Auditoren, IT-Manager und Projektleitende, die IT-Risiken systematisch mit den Unternehmenszielen in Einklang bringen wollen. Die CRISC®-Zertifizierung stärkt deine Position im Unternehmen und schafft Vertrauen bei Führungskräften, Stakeholdern und Aufsichtsbehörden.
Für den Kursbesuch gibt es keine formale Zulassung.
Für die Zertifizierung muss folgendes erfüllt sein:
1 Bestehen der CRISC®-Prüfung
- Die Prüfung kann ohne Berufserfahrung abgelegt werden.
- Nach Bestehen ist die Zertifizierung innerhalb von 5 Jahren zu beantragen.
2 Nachweis von mindestens drei Jahren Berufserfahrung im IT-Risikomanagement und in der Umsetzung von Informationssystemkontrollen
- Die Erfahrung muss innerhalb der letzten zehn Jahre vor Antragstellung oder innerhalb von fünf Jahren nach Bestehen der Prüfung gesammelt worden sein.
3 Abdeckung von mindestens zwei der vier CRISC®-Domänen
- Die Berufserfahrung muss praktische Kenntnisse in mindestens zwei der folgenden vier Bereiche beinhalten:
- Governance
- IT Risk Assessment
- Risk Response and Reporting
- Information Technology and Security
4 Verifizierbarkeit der Berufserfahrung
- Die Berufspraxis muss durch eine übergeordnete Stelle (z.B. Vorgesetzte oder Personalabteilung) bestätigt werden.
5 Einreichen des Antrags zur Zertifizierung bei ISACA®
- Online-Antrag über das ISACA®-Konto
- Zahlung einer Antragsgebühr von derzeit USD 50
6 Zustimmung zum ISACA® Code of Professional Ethics
- Verpflichtung zur Einhaltung ethischer Standards in der Berufsausübung
7 Einhalten der Continuing Professional Education (CPE)-Anforderungen
- Nach der Zertifizierung: jährliche Weiterbildung und Nachweis zur Aufrechterhaltung des Titels (mindestens 20 CPEs pro Jahr, 120 innerhalb von 3 Jahren)
Wenn du eine ISACA-Prüfung buchst, hast du ab dem Zeitpunkt der Einlösung 6 Monate Zeit, deine Prüfung zu planen und abzulegen. Achte also darauf, deinen Prüfungstermin rechtzeitig zu reservieren.
Auch alle weiteren Lernprodukte wie QAE, Online Review Courses, Webinare oder Virtual Workshops stehen dir für 6 Monate ab Einlösung zur Verfügung. Die offiziellen Review Manuals bleiben dir langfristig erhalten.
Prüfungsformat:
- 150 Multiple-Choice-Fragen
- Dauer: 4 Stunden (240 Minuten)
- Durchführung: Online mit Remote-Proctoring oder in einem autorisierten Testzentrum
- Sprache: In mehreren Sprachen verfügbar (Die Sprache legst du bei der Prüfungsanmeldung fest)
- Hilfsmittel: keine
© ISACA. Alle Rechte vorbehalten.
CRISC® ist eine eingetragene Marke von ISACA®.