CRISC® Official Review Manual, 8th Edition là tài liệu hướng dẫn chính thức do ISACA biên soạn và phát hành. Mục đích chính của cuốn sách là cung cấp thông tin và tài liệu tham khảo để hỗ trợ các ứng viên chuẩn bị và ôn tập cho kỳ thi chứng chỉ Certified in Risk and Information Systems Control® (CRISC).
Cấu trúc và Phạm vi nội dung
Cuốn sách được chia thành 4 chương chính, tương ứng với 4 miền kiến thức (domains) của chứng chỉ CRISC, phản ánh các thực hành công việc hiện tại của chuyên gia rủi ro CNTT. Tỷ trọng nội dung thi được phân bổ như sau:
• Chương 1: Quản trị (Governance):
◦ Tập trung vào quản trị tổ chức và quản trị rủi ro.
◦ Nội dung bao gồm chiến lược, mục tiêu doanh nghiệp, văn hóa tổ chức, đạo đức và cấu trúc phân cấp (bao gồm mô hình RACI và các tuyến phòng thủ).
◦ Đề cập đến khẩu vị rủi ro (risk appetite), khả năng chấp nhận rủi ro (risk tolerance) và hồ sơ rủi ro (risk profile).
• Chương 2: Đánh giá Rủi ro (Risk Assessment):
◦ Hướng dẫn về quy trình xác định rủi ro, bao gồm các mối đe dọa, lỗ hổng và kịch bản rủi ro.
◦ Phân tích và đánh giá rủi ro thông qua các phương pháp định tính và định lượng, cũng như khái niệm về rủi ro tiềm tàng (inherent), rủi ro còn lại (residual) và rủi ro hiện tại (current).
◦ Đề cập đến Phân tích tác động kinh doanh (BIA) và duy trì danh mục rủi ro (Risk Register).
• Chương 3: Phản ứng và Báo cáo Rủi ro (Risk Response and Reporting):
◦ Đây là phần chiếm tỷ trọng lớn nhất, tập trung vào các lựa chọn phản ứng với rủi ro (chấp nhận, giảm thiểu, chuyển giao, hoặc tránh né).
◦ Đi sâu vào thiết kế, lựa chọn, triển khai và kiểm thử các biện pháp kiểm soát (controls).
◦ Hướng dẫn về giám sát và báo cáo thông qua các chỉ số như Chỉ số rủi ro chính (KRIs), Chỉ số hiệu suất chính (KPIs) và Chỉ số kiểm soát chính (KCIs).
• Chương 4: Công nghệ và Bảo mật (Technology and Security):
◦ Cung cấp kiến thức nền tảng về nguyên tắc công nghệ, bao gồm kiến trúc doanh nghiệp, quản lý vận hành, và vòng đời phát triển hệ thống (SDLC).
◦ Đề cập đến các công nghệ mới nổi (như AI, IoT, Blockchain) và khả năng phục hồi công nghệ.
◦ Bao gồm các nguyên tắc bảo mật thông tin như tam giác CIA (Bảo mật, Toàn vẹn, Sẵn sàng), quyền riêng tư dữ liệu và đào tạo nhận thức bảo mật.
Tóm tắt cuốn sách:
CRISC_Manual Guide v8 overview_v2.pdf (15.7 MB)