Kurs
Digicomp Code CRISC
Certified in Risk and Information Systems Control® (CRISC®) («CRISC»)
Kurs-Facts
- Entwickeln und Steuern eines Governance-Rahmenwerks zur IT-Risikosteuerung
- Etablieren von Rollen, Verantwortlichkeiten und Risikoprofilen in der Organisation und der IT
- Ableiten einer IT-Risikostrategie, Compliance- und ethischen Steuerung gemäss den Unternehmenszielen und regulatorischen Anforderungen
- Identifizieren von Risiken durch Analyse von Bedrohungen, Schwachstellen und Risikoszenarien
- Bewerten von Risiken mithilfe von Methodiken wie Business Impact Analyse, Risikoregister, Risikotoleranzabschätzung
- Priorisieren von inhärenten und residualen Risiken für gezielte Steuerung
- Gestalten und Steuern von Risikobehandlungsplänen in Abstimmung mit Stakeholdern und Control-Ownern
- Implementieren, Prüfen und Bewerten von Kontrollen nach Standards
- Entwickeln effizienter Monitoring‑Mechanismen, KPIs/KRIs/KCIs und Reporting-Instrumente (Heatmaps, Dashboards)
- Integrieren von Risikomanagement und Sicherheitsprinzipien in IT-Infrastruktur und Architektur
- Steuern von IT‑Betriebsprozessen (Change‑, Incident‑, Asset‑ und Projektmanagement), Disaster Recovery und SDLC
- Aufbauen einer Sicherheitskultur, Awareness-Programme und Einhalten von Datenschutzstandards
Bereich 1: Governance
- Risikobewertungskonzepte, Standards und Rahmenwerke
- Unternehmensstrategie, Ziele und Vorgaben
- Organisationsstruktur, Rollen und Verantwortlichkeiten
- Unternehmenskultur und Vermögenswerte
- Richtlinien, Standards und Geschäftsprozesse
- Unternehmensrisikomanagement, Risikomanagement-Rahmenwerke und drei Verteidigungslinien
- Risikoprofil, Risikobereitschaft und Risikotoleranz
- Umgang mit der Berufsethik des Risikomanagements und den Anforderungen in Gesetzen, Vorschriften und Kontrollen
- Risikoereignisse, Bedrohungsmodellierung und Bedrohungslage
- Analyse von Schwachstellen und Kontrollmängeln
- Entwicklung von Risikoszenarien
- Risikoregister
- Methoden der Risikoanalyse
- Analyse der Auswirkungen auf das Geschäft
- Inhärente, verbleibende und aktuelle Risiken
Bereich 3: Risk Response and Reporting
- Risikobehandlung/Risikoreaktionsoptionen
- Verantwortung für Risiken und Kontrollen
- Management von Risiken aus Prozessen, Dritten und neuen Quellen
- Kontrolltypen, Standards und Rahmenwerke
- Kontrollgestaltung, -auswahl und -analyse
- Kontrollimplementierung, -prüfung und -wirksamkeit
- Risikobehandlungspläne
- Datenerfassung, -aggregation, -analyse und -validierung
- Techniken zur Risiko- und Kontrollüberwachung und -berichterstattung
- Leistungs-, Risiko- und Kontrollkennzahlen
- Unternehmensarchitektur
- IT-Betriebsmanagement
- Projektmanagement
- Notfallwiederherstellungsmanagement
- Datenlebenszyklusmanagement
- Systementwicklungslebenszyklus
- Neue Technologien
- Konzepte, Rahmenbedingungen, Standards und Sensibilisierungsschulungen zur Informationssicherheit
- Geschäftskontinuitätsmanagement
- Grundsätze zum Datenschutz und zur Datensicherheit
Die Prüfungsvorbereitung beansprucht, je nach Lerntyp, einen zusätzlichen Zeitaufwand ausserhalb des Unterrichts von mindestens 10-20 Stunden.
Der Kurs richtet sich an Fachleute im IT-Risikomanagement mit mindestens drei Jahren Berufserfahrung in der Identifikation, Bewertung, Steuerung und Überwachung von IT-Risiken sowie dem Aufbau wirksamer Kontrollsysteme.
Ideal für IT-Risikomanager, Informationssicherheitsbeauftragte, GRC-Verantwortliche, Auditoren, IT-Manager und Projektleitende, die IT-Risiken systematisch mit den Unternehmenszielen in Einklang bringen wollen. Die CRISC®-Zertifizierung stärkt Ihre Position im Unternehmen und schafft Vertrauen bei Führungskräften, Stakeholdern und Aufsichtsbehörden.
Für den Kursbesuch gibt es keine formale Zulassung.
Die Voraussetzungen für die offizielle ISACA®-Zertifizierung sind:
1 Bestehen der CRISC®-Prüfung
- Die Prüfung kann ohne Berufserfahrung abgelegt werden.
- Nach Bestehen ist die Zertifizierung innerhalb von 5 Jahren zu beantragen.
2 Nachweis von mindestens drei Jahren Berufserfahrung im IT-Risikomanagement und in der Umsetzung von Informationssystemkontrollen
- Die Erfahrung muss innerhalb der letzten zehn Jahre vor Antragstellung oder innerhalb von fünf Jahren nach Bestehen der Prüfung gesammelt worden sein.
3 Abdeckung von mindestens zwei der vier CRISC®-Domänen
- Die Berufserfahrung muss praktische Kenntnisse in mindestens zwei der folgenden vier Bereiche beinhalten:
- Governance
- IT Risk Assessment
- Risk Response and Reporting
- Information Technology and Security
4 Verifizierbarkeit der Berufserfahrung
- Die Berufspraxis muss durch eine übergeordnete Stelle (z.B. Vorgesetzte oder Personalabteilung) bestätigt werden.
5 Einreichen des Antrags zur Zertifizierung bei ISACA®
- Online-Antrag über das ISACA®-Konto
- Zahlung einer Antragsgebühr von derzeit USD 50
6 Zustimmung zum ISACA® Code of Professional Ethics
- Verpflichtung zur Einhaltung ethischer Standards in der Berufsausübung
7 Einhalten der Continuing Professional Education (CPE)-Anforderungen
- Nach der Zertifizierung: jährliche Weiterbildung und Nachweis zur Aufrechterhaltung des Titels (mindestens 20 CPEs pro Jahr, 120 innerhalb von 3 Jahren)
Prüfungsformat:
- 150 Multiple-Choice-Fragen
- Dauer: 4 Stunden (240 Minuten)
- Durchführung: Online mit Remote-Proctoring oder in einem autorisierten Testzentrum
- Sprache: In mehreren Sprachen verfügbar (Die Sprache legen Sie bei der Prüfungsanmeldung fest)
- Hilfsmittel: keine
© ISACA. Alle Rechte vorbehalten.
CRISC® ist eine eingetragene Marke von ISACA®.