原創(chuàng)2024-12-17小艾老師

CRISC風險和信息系統(tǒng)控制認證知識體系考證須知證書含金量培訓大綱 3分鐘小視頻我要提問

CRISC是一款全球頂級IT從業(yè)資格認證。CRISC主要針對具有IT風險管理以及IS控制設計、實施、監(jiān)督和維護經(jīng)驗的人員而設計，向IT專業(yè)人士提供專業(yè)知識，使他們能夠識別、評估和管理IT風險，同時計劃和實施控制措施和框架。它還可以幫助個人建立一種通用的語言，在IT部門內(nèi)部和整個組織內(nèi)就安全和系統(tǒng)控制進行溝通。CRISC包含四大實踐域：IT風險識別、IT風險評估、風險應對和緩解以及風險控制、監(jiān)測和報告。

中文名CRISC風險和信息系統(tǒng)控制認證
英文名Certified in Risk and Information Systems Control
英文簡稱CRISC
頒證機構ISACA
證書類別IT GRC，IT治理
同類認證CGEIT、CISA

IT風險管理，簡單來說，就是一套識別、評估和控制IT風險的系統(tǒng)方法。它的目標是確保我們的信息系統(tǒng)能夠高效、可靠、安全地運行，同時避免因技術問題帶來的各種風險。

今天，小艾老師就用一個小案例來給大家講講IT風險管理的那些事，看看我們該如何一步步解決IT風險問題的。

案例背景

在公司內(nèi)部，有一個用于共享和存儲文件的系統(tǒng)，大家都在使用它交換項目資料、存檔重要文件。原本這個系統(tǒng)設計得還算靠譜，大家都按規(guī)則上傳、下載文件。然而，有一天，一位員工在上傳一個重要的財務報告時，錯誤地把文件放入了公共文件夾，這導致所有員工，包括外部人員，均能訪問到這個敏感文件。

更糟的是，公司并沒有對文件權限做定期審查。結果，這個文件就像個“定時炸彈”，不僅員工的操作失誤，系統(tǒng)本身也存在權限配置漏洞，導致大量的敏感數(shù)據(jù)暴露?，F(xiàn)在，問題不僅僅是文件泄露，更涉及到客戶信任、公司聲譽和法律責任。

01?風險識別——問題到底出在哪里？

首先，風險識別是整個IT風險管理過程的_步。想清楚：問題到底出在哪里？如果我們不搞清楚問題的源頭，很難采取有效的應對措施。

在這個案例里，我們的問題是文件共享系統(tǒng)的權限設置不當，以及員工操作失誤。敏感文件泄露，看起來就是文件上傳錯誤，但仔細檢查后發(fā)現(xiàn)，其實是由于系統(tǒng)本身的權限配置漏洞，使得文件不僅員工能訪問，外部人員也可以隨意下載查看。

這一步，我們就需要通過檢查系統(tǒng)日志、審查文件權限設置、了解漏洞的性質，找出到底是技術問題，還是人為失誤。只有確認了具體的風險來源，后續(xù)的分析、控制才有方向。

知識小卡片：
風險識別是風險管理的_步，它的核心是識別出可能受到威脅的信息資源或資產(chǎn)，理解威脅的性質和來源。根據(jù)CRISC框架，這一過程屬于“IT風險評估”部分的_步，涉及到對信息資源（如數(shù)據(jù)、系統(tǒng)、應用程序等）以及可能的威脅源進行識別。
識別目標，找出那些潛在的風險點、漏洞或脆弱性，進而有效評估其可能的影響。
在實際操作中，風險識別通常通過以下幾種方式進行：
資產(chǎn)分類與評估：對所有信息資源進行分類（如硬件、軟件、數(shù)據(jù)等），識別其價值及重要性。
威脅建模與脆弱性掃描：根據(jù)企業(yè)的業(yè)務流程和技術架構，識別可能存在的外部和內(nèi)部威脅，如黑客攻擊、自然災害、員工失誤等。
安全審計與檢查：通過定期的安全審計，檢查系統(tǒng)的安全漏洞，例如，進行漏洞掃描、代碼審查等。

02?風險分析與評估——這個風險有多嚴重？

風險識別搞清楚了，接下來是要評估這個風險的嚴重性：這個問題發(fā)生的可能性有多大？如果發(fā)生了，損失有多嚴重？

對于文件泄露問題，我們可以從以下幾個角度進行評估：

影響范圍：泄露的文件是否包含敏感數(shù)據(jù)（如財務報表、客戶信息等）？如果是，影響就很大；如果是一些普通的工作文件，影響相對較小。
外部風險：如果黑客利用這個漏洞訪問了敏感文件，數(shù)據(jù)泄露會帶來多大的法律、財務或聲譽損失？比如，可能會面臨法律訴訟，或是客戶流失。
發(fā)生概率：這個問題發(fā)生的概率有多高？是因為系統(tǒng)設計問題，還是因為某個員工的疏忽？如果系統(tǒng)本身存在嚴重漏洞，那問題發(fā)生的概率就高，風險也更大。

通過這些評估，我們可以知道這個文件泄露問題的嚴重性，決定需要多緊急處理，以及會面臨哪些具體的風險（比如公司聲譽、財務損失等）。

知識小卡片：
在CRISC框架中，這一部分屬于“IT風險評估”領域，尤其是通過對業(yè)務影響的分析來評估風險的影響度。
可能性評估：通過對歷史數(shù)據(jù)、行業(yè)標準或專家判斷來評估特定風險發(fā)生的概率。例如，通過歷史安全事件數(shù)據(jù)分析，判斷某一類型攻擊發(fā)生的頻率。
影響評估：評估風險發(fā)生時對企業(yè)的影響，特別是對關鍵業(yè)務功能的影響。影響可以從不同的維度進行分析，比如財務損失、品牌聲譽損害、業(yè)務中斷等。
定性與定量評估方法：使用定性方法（如風險矩陣）對風險進行分類，并使用定量方法（如損失預估模型）進行量化。
在這一階段，CRISC強調(diào)了與風險分析相關的標準和框架的使用，例如采用風險登記簿記錄所有已識別的風險，并對每一個風險進行優(yōu)先級排序。評估結果將為后續(xù)的風險應對措施提供依據(jù)。

03?風險控制——該如何解決？

當我們搞清楚了風險的嚴重性，接下來就要想辦法控制這個風險，減少損失。常見的風險控制方法有三種：規(guī)避、減輕、轉移。

規(guī)避風險：直接換掉這個存在漏洞的文件共享系統(tǒng)，采用更安全的替代方案。雖然這種方法可能需要投入更多資源，但如果系統(tǒng)設計存在重大缺陷，換掉它是_直接的解決辦法。
減輕風險：如果系統(tǒng)本身還可以使用，那么就需要修復權限漏洞，確保只有授權人員才能訪問敏感文件。還可以增加加密措施，防止文件在上傳過程中被非法訪問。
轉移風險：如果公司對這種問題的處理難度較大，可以選擇將部分責任外包給專業(yè)的第三方公司進行處理，或者為公司購買數(shù)據(jù)泄露保險，把可能的損失轉移給保險公司。

針對這個案例，_好的方法是修復權限漏洞，并加密文件。同時，定期進行安全審計，確保類似的漏洞不再發(fā)生。

知識小卡片：
風險控制是基于對風險的分析與評估結果，采取具體措施來降低風險或將其控制在可接受范圍內(nèi)。CRISC框架中的“風險應對與報告”部分詳細說明了如何設計和實施風險控制措施。
具體而言，企業(yè)可以選擇以下幾種應對策略：
規(guī)避風險：如果某個風險的影響過于嚴重，可以考慮通過改變計劃、流程或業(yè)務模式來避免該風險。例如，選擇不進行某些高風險的業(yè)務活動。
減輕風險：通過技術手段或管理措施減少風險發(fā)生的概率或其影響。例如，增強網(wǎng)絡防御、實施數(shù)據(jù)加密、定期進行備份等。
轉移風險：通過保險或外包等方式將風險轉移給第三方。例如，將某些非核心系統(tǒng)外包給專業(yè)公司，以減少自身承擔的技術風險。
接受風險：對于一些低概率或低影響的風險，企業(yè)可以選擇接受風險，制定應急預案來應對突發(fā)情況。
CRISC框架在這一部分強調(diào)了控制設計和有效性評估。企業(yè)需要設計符合組織風險偏好的控制措施，并定期評估這些措施的有效性，確保它們能夠真正起到風險防控作用。

04?風險監(jiān)測——持續(xù)檢查，不留死角

即使我們已經(jīng)修復了漏洞，采取了控制措施，接下來還需要持續(xù)監(jiān)測。IT風險管理不是一次性任務，而是一個長期的過程。

比如：

定期檢查文件系統(tǒng)的權限設置，確保沒有新漏洞。
設置實時監(jiān)控系統(tǒng)，隨時關注是否有異常的訪問行為，比如外部IP的訪問。
定期進行安全審計和漏洞掃描，確保系統(tǒng)始終處于受控狀態(tài)。

風險監(jiān)測就是讓你能夠時刻掌握系統(tǒng)狀態(tài)，發(fā)現(xiàn)潛在的隱患，避免“死角”中的問題再次爆發(fā)。

知識小卡片：
風險監(jiān)測是風險管理中的動態(tài)過程，確?？刂拼胧┰趯嶋H環(huán)境中得以執(zhí)行，并且及時發(fā)現(xiàn)新出現(xiàn)的風險或變化。根據(jù)CRISC框架，風險監(jiān)測屬于“風險應對與報告”部分，并涉及到“風險控制的有效性評估”及“持續(xù)監(jiān)控”。
定期檢查與評估：企業(yè)應定期對已實施的控制措施進行檢查，確保它們?nèi)匀挥行?。例如，定期進行滲透測試、網(wǎng)絡安全監(jiān)控等。
動態(tài)風險識別：由于技術環(huán)境、市場環(huán)境和組織架構的變化，新的風險可能會不斷出現(xiàn)。因此，企業(yè)要建立動態(tài)監(jiān)測機制，隨時跟蹤和評估新出現(xiàn)的威脅。
早期預警系統(tǒng)：通過設置關鍵風險指標（KRI），企業(yè)可以在風險發(fā)生前就能識別到潛在的風險信號，及時采取預防措施。
CRISC框架在這一環(huán)節(jié)中強調(diào)了“持續(xù)監(jiān)控”的必要性，企業(yè)不僅要在實施時就關注控制措施，還要在整個生命周期內(nèi)進行持續(xù)的評估和優(yōu)化。

05?風險報告——信息傳遞與決策支持

_后，任何風險管理活動都需要有一個清晰的總結和報告，尤其是向高層領導傳遞信息，幫助他們做出決策。

在報告中，你需要詳細說明：

事件發(fā)生的背景：是什么原因導致文件泄露？是操作失誤，還是系統(tǒng)漏洞？
影響評估：文件泄露會帶來哪些潛在風險和損失？是否需要外部賠償？
采取的解決措施：你如何修復漏洞，控制風險？有沒有進一步的改進措施？
未來防范：公司如何避免類似問題再次發(fā)生？需要投入哪些資源加強安全？

通過這些報告，管理層能夠理解事件的全貌，并根據(jù)報告制定未來的風險應對策略，比如加強員工培訓、換掉不安全的系統(tǒng)、或增加資金投入改善技術架構。

知識小卡片：
風險報告是風險管理過程中信息傳遞的重要環(huán)節(jié)。企業(yè)需要將風險識別、評估、控制和監(jiān)控的結果及時傳達給決策層，以便做出有效的決策。在CRISC框架中，風險報告涉及到“風險應對與報告”部分，特別是“控制報告與決策支持”。
報告內(nèi)容：風險報告應包含詳細的風險描述、風險評估結果、控制措施的實施情況、風險監(jiān)控和審計結果等。報告要精準地描述風險的現(xiàn)狀以及未來可能的發(fā)展趨勢。
決策支持：高層管理人員根據(jù)這些報告做出決策。企業(yè)可能需要基于報告的內(nèi)容，調(diào)整戰(zhàn)略方向、優(yōu)化資源分配或者加強某些控制措施。
CRISC強調(diào)了報告流程和標準化格式的重要性，確保信息的傳遞不受阻礙，決策層能夠及時了解風險狀況并做出合理決策。