原創(chuàng)2024-12-17小艾老師

CRISC風(fēng)險(xiǎn)和信息系統(tǒng)控制認(rèn)證知識(shí)體系考證須知證書含金量培訓(xùn)大綱 3分鐘小視頻我要提問

CRISC是一款全球頂級(jí)IT從業(yè)資格認(rèn)證。CRISC主要針對(duì)具有IT風(fēng)險(xiǎn)管理以及IS控制設(shè)計(jì)、實(shí)施、監(jiān)督和維護(hù)經(jīng)驗(yàn)的人員而設(shè)計(jì)，向IT專業(yè)人士提供專業(yè)知識(shí)，使他們能夠識(shí)別、評(píng)估和管理IT風(fēng)險(xiǎn)，同時(shí)計(jì)劃和實(shí)施控制措施和框架。它還可以幫助個(gè)人建立一種通用的語言，在IT部門內(nèi)部和整個(gè)組織內(nèi)就安全和系統(tǒng)控制進(jìn)行溝通。CRISC包含四大實(shí)踐域：IT風(fēng)險(xiǎn)識(shí)別、IT風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)應(yīng)對(duì)和緩解以及風(fēng)險(xiǎn)控制、監(jiān)測(cè)和報(bào)告。

中文名CRISC風(fēng)險(xiǎn)和信息系統(tǒng)控制認(rèn)證
英文名Certified in Risk and Information Systems Control
英文簡(jiǎn)稱CRISC
頒證機(jī)構(gòu)ISACA
證書類別IT GRC，IT治理
同類認(rèn)證CGEIT、CISA

IT風(fēng)險(xiǎn)管理，簡(jiǎn)單來說，就是一套識(shí)別、評(píng)估和控制IT風(fēng)險(xiǎn)的系統(tǒng)方法。它的目標(biāo)是確保我們的信息系統(tǒng)能夠高效、可靠、安全地運(yùn)行，同時(shí)避免因技術(shù)問題帶來的各種風(fēng)險(xiǎn)。

今天，小艾老師就用一個(gè)小案例來給大家講講IT風(fēng)險(xiǎn)管理的那些事，看看我們?cè)撊绾我徊讲浇鉀QIT風(fēng)險(xiǎn)問題的。

案例背景

在公司內(nèi)部，有一個(gè)用于共享和存儲(chǔ)文件的系統(tǒng)，大家都在使用它交換項(xiàng)目資料、存檔重要文件。原本這個(gè)系統(tǒng)設(shè)計(jì)得還算靠譜，大家都按規(guī)則上傳、下載文件。然而，有一天，一位員工在上傳一個(gè)重要的財(cái)務(wù)報(bào)告時(shí)，錯(cuò)誤地把文件放入了公共文件夾，這導(dǎo)致所有員工，包括外部人員，均能訪問到這個(gè)敏感文件。

更糟的是，公司并沒有對(duì)文件權(quán)限做定期審查。結(jié)果，這個(gè)文件就像個(gè)“定時(shí)炸彈”，不僅員工的操作失誤，系統(tǒng)本身也存在權(quán)限配置漏洞，導(dǎo)致大量的敏感數(shù)據(jù)暴露?，F(xiàn)在，問題不僅僅是文件泄露，更涉及到客戶信任、公司聲譽(yù)和法律責(zé)任。

01?風(fēng)險(xiǎn)識(shí)別——問題到底出在哪里？

首先，風(fēng)險(xiǎn)識(shí)別是整個(gè)IT風(fēng)險(xiǎn)管理過程的_步。想清楚：問題到底出在哪里？如果我們不搞清楚問題的源頭，很難采取有效的應(yīng)對(duì)措施。

在這個(gè)案例里，我們的問題是文件共享系統(tǒng)的權(quán)限設(shè)置不當(dāng)，以及員工操作失誤。敏感文件泄露，看起來就是文件上傳錯(cuò)誤，但仔細(xì)檢查后發(fā)現(xiàn)，其實(shí)是由于系統(tǒng)本身的權(quán)限配置漏洞，使得文件不僅員工能訪問，外部人員也可以隨意下載查看。

這一步，我們就需要通過檢查系統(tǒng)日志、審查文件權(quán)限設(shè)置、了解漏洞的性質(zhì)，找出到底是技術(shù)問題，還是人為失誤。只有確認(rèn)了具體的風(fēng)險(xiǎn)來源，后續(xù)的分析、控制才有方向。

知識(shí)小卡片：
風(fēng)險(xiǎn)識(shí)別是風(fēng)險(xiǎn)管理的_步，它的核心是識(shí)別出可能受到威脅的信息資源或資產(chǎn)，理解威脅的性質(zhì)和來源。根據(jù)CRISC框架，這一過程屬于“IT風(fēng)險(xiǎn)評(píng)估”部分的_步，涉及到對(duì)信息資源（如數(shù)據(jù)、系統(tǒng)、應(yīng)用程序等）以及可能的威脅源進(jìn)行識(shí)別。
識(shí)別目標(biāo)，找出那些潛在的風(fēng)險(xiǎn)點(diǎn)、漏洞或脆弱性，進(jìn)而有效評(píng)估其可能的影響。
在實(shí)際操作中，風(fēng)險(xiǎn)識(shí)別通常通過以下幾種方式進(jìn)行：
資產(chǎn)分類與評(píng)估：對(duì)所有信息資源進(jìn)行分類（如硬件、軟件、數(shù)據(jù)等），識(shí)別其價(jià)值及重要性。
威脅建模與脆弱性掃描：根據(jù)企業(yè)的業(yè)務(wù)流程和技術(shù)架構(gòu)，識(shí)別可能存在的外部和內(nèi)部威脅，如黑客攻擊、自然災(zāi)害、員工失誤等。
安全審計(jì)與檢查：通過定期的安全審計(jì)，檢查系統(tǒng)的安全漏洞，例如，進(jìn)行漏洞掃描、代碼審查等。

02?風(fēng)險(xiǎn)分析與評(píng)估——這個(gè)風(fēng)險(xiǎn)有多嚴(yán)重？

風(fēng)險(xiǎn)識(shí)別搞清楚了，接下來是要評(píng)估這個(gè)風(fēng)險(xiǎn)的嚴(yán)重性：這個(gè)問題發(fā)生的可能性有多大？如果發(fā)生了，損失有多嚴(yán)重？

對(duì)于文件泄露問題，我們可以從以下幾個(gè)角度進(jìn)行評(píng)估：

影響范圍：泄露的文件是否包含敏感數(shù)據(jù)（如財(cái)務(wù)報(bào)表、客戶信息等）？如果是，影響就很大；如果是一些普通的工作文件，影響相對(duì)較小。
外部風(fēng)險(xiǎn)：如果黑客利用這個(gè)漏洞訪問了敏感文件，數(shù)據(jù)泄露會(huì)帶來多大的法律、財(cái)務(wù)或聲譽(yù)損失？比如，可能會(huì)面臨法律訴訟，或是客戶流失。
發(fā)生概率：這個(gè)問題發(fā)生的概率有多高？是因?yàn)橄到y(tǒng)設(shè)計(jì)問題，還是因?yàn)槟硞€(gè)員工的疏忽？如果系統(tǒng)本身存在嚴(yán)重漏洞，那問題發(fā)生的概率就高，風(fēng)險(xiǎn)也更大。

通過這些評(píng)估，我們可以知道這個(gè)文件泄露問題的嚴(yán)重性，決定需要多緊急處理，以及會(huì)面臨哪些具體的風(fēng)險(xiǎn)（比如公司聲譽(yù)、財(cái)務(wù)損失等）。

知識(shí)小卡片：
在CRISC框架中，這一部分屬于“IT風(fēng)險(xiǎn)評(píng)估”領(lǐng)域，尤其是通過對(duì)業(yè)務(wù)影響的分析來評(píng)估風(fēng)險(xiǎn)的影響度。
可能性評(píng)估：通過對(duì)歷史數(shù)據(jù)、行業(yè)標(biāo)準(zhǔn)或?qū)＜遗袛鄟碓u(píng)估特定風(fēng)險(xiǎn)發(fā)生的概率。例如，通過歷史安全事件數(shù)據(jù)分析，判斷某一類型攻擊發(fā)生的頻率。
影響評(píng)估：評(píng)估風(fēng)險(xiǎn)發(fā)生時(shí)對(duì)企業(yè)的影響，特別是對(duì)關(guān)鍵業(yè)務(wù)功能的影響。影響可以從不同的維度進(jìn)行分析，比如財(cái)務(wù)損失、品牌聲譽(yù)損害、業(yè)務(wù)中斷等。
定性與定量評(píng)估方法：使用定性方法（如風(fēng)險(xiǎn)矩陣）對(duì)風(fēng)險(xiǎn)進(jìn)行分類，并使用定量方法（如損失預(yù)估模型）進(jìn)行量化。
在這一階段，CRISC強(qiáng)調(diào)了與風(fēng)險(xiǎn)分析相關(guān)的標(biāo)準(zhǔn)和框架的使用，例如采用風(fēng)險(xiǎn)登記簿記錄所有已識(shí)別的風(fēng)險(xiǎn)，并對(duì)每一個(gè)風(fēng)險(xiǎn)進(jìn)行優(yōu)先級(jí)排序。評(píng)估結(jié)果將為后續(xù)的風(fēng)險(xiǎn)應(yīng)對(duì)措施提供依據(jù)。

03?風(fēng)險(xiǎn)控制——該如何解決？

當(dāng)我們搞清楚了風(fēng)險(xiǎn)的嚴(yán)重性，接下來就要想辦法控制這個(gè)風(fēng)險(xiǎn)，減少損失。常見的風(fēng)險(xiǎn)控制方法有三種：規(guī)避、減輕、轉(zhuǎn)移。

規(guī)避風(fēng)險(xiǎn)：直接換掉這個(gè)存在漏洞的文件共享系統(tǒng)，采用更安全的替代方案。雖然這種方法可能需要投入更多資源，但如果系統(tǒng)設(shè)計(jì)存在重大缺陷，換掉它是_直接的解決辦法。
減輕風(fēng)險(xiǎn)：如果系統(tǒng)本身還可以使用，那么就需要修復(fù)權(quán)限漏洞，確保只有授權(quán)人員才能訪問敏感文件。還可以增加加密措施，防止文件在上傳過程中被非法訪問。
轉(zhuǎn)移風(fēng)險(xiǎn)：如果公司對(duì)這種問題的處理難度較大，可以選擇將部分責(zé)任外包給專業(yè)的第三方公司進(jìn)行處理，或者為公司購買數(shù)據(jù)泄露保險(xiǎn)，把可能的損失轉(zhuǎn)移給保險(xiǎn)公司。

針對(duì)這個(gè)案例，_好的方法是修復(fù)權(quán)限漏洞，并加密文件。同時(shí)，定期進(jìn)行安全審計(jì)，確保類似的漏洞不再發(fā)生。

知識(shí)小卡片：
風(fēng)險(xiǎn)控制是基于對(duì)風(fēng)險(xiǎn)的分析與評(píng)估結(jié)果，采取具體措施來降低風(fēng)險(xiǎn)或?qū)⑵淇刂圃诳山邮芊秶鷥?nèi)。CRISC框架中的“風(fēng)險(xiǎn)應(yīng)對(duì)與報(bào)告”部分詳細(xì)說明了如何設(shè)計(jì)和實(shí)施風(fēng)險(xiǎn)控制措施。
具體而言，企業(yè)可以選擇以下幾種應(yīng)對(duì)策略：
規(guī)避風(fēng)險(xiǎn)：如果某個(gè)風(fēng)險(xiǎn)的影響過于嚴(yán)重，可以考慮通過改變計(jì)劃、流程或業(yè)務(wù)模式來避免該風(fēng)險(xiǎn)。例如，選擇不進(jìn)行某些高風(fēng)險(xiǎn)的業(yè)務(wù)活動(dòng)。
減輕風(fēng)險(xiǎn)：通過技術(shù)手段或管理措施減少風(fēng)險(xiǎn)發(fā)生的概率或其影響。例如，增強(qiáng)網(wǎng)絡(luò)防御、實(shí)施數(shù)據(jù)加密、定期進(jìn)行備份等。
轉(zhuǎn)移風(fēng)險(xiǎn)：通過保險(xiǎn)或外包等方式將風(fēng)險(xiǎn)轉(zhuǎn)移給第三方。例如，將某些非核心系統(tǒng)外包給專業(yè)公司，以減少自身承擔(dān)的技術(shù)風(fēng)險(xiǎn)。
接受風(fēng)險(xiǎn)：對(duì)于一些低概率或低影響的風(fēng)險(xiǎn)，企業(yè)可以選擇接受風(fēng)險(xiǎn)，制定應(yīng)急預(yù)案來應(yīng)對(duì)突發(fā)情況。
CRISC框架在這一部分強(qiáng)調(diào)了控制設(shè)計(jì)和有效性評(píng)估。企業(yè)需要設(shè)計(jì)符合組織風(fēng)險(xiǎn)偏好的控制措施，并定期評(píng)估這些措施的有效性，確保它們能夠真正起到風(fēng)險(xiǎn)防控作用。

04?風(fēng)險(xiǎn)監(jiān)測(cè)——持續(xù)檢查，不留死角

即使我們已經(jīng)修復(fù)了漏洞，采取了控制措施，接下來還需要持續(xù)監(jiān)測(cè)。IT風(fēng)險(xiǎn)管理不是一次性任務(wù)，而是一個(gè)長(zhǎng)期的過程。

比如：

定期檢查文件系統(tǒng)的權(quán)限設(shè)置，確保沒有新漏洞。
設(shè)置實(shí)時(shí)監(jiān)控系統(tǒng)，隨時(shí)關(guān)注是否有異常的訪問行為，比如外部IP的訪問。
定期進(jìn)行安全審計(jì)和漏洞掃描，確保系統(tǒng)始終處于受控狀態(tài)。

風(fēng)險(xiǎn)監(jiān)測(cè)就是讓你能夠時(shí)刻掌握系統(tǒng)狀態(tài)，發(fā)現(xiàn)潛在的隱患，避免“死角”中的問題再次爆發(fā)。

知識(shí)小卡片：
風(fēng)險(xiǎn)監(jiān)測(cè)是風(fēng)險(xiǎn)管理中的動(dòng)態(tài)過程，確?？刂拼胧┰趯?shí)際環(huán)境中得以執(zhí)行，并且及時(shí)發(fā)現(xiàn)新出現(xiàn)的風(fēng)險(xiǎn)或變化。根據(jù)CRISC框架，風(fēng)險(xiǎn)監(jiān)測(cè)屬于“風(fēng)險(xiǎn)應(yīng)對(duì)與報(bào)告”部分，并涉及到“風(fēng)險(xiǎn)控制的有效性評(píng)估”及“持續(xù)監(jiān)控”。
定期檢查與評(píng)估：企業(yè)應(yīng)定期對(duì)已實(shí)施的控制措施進(jìn)行檢查，確保它們?nèi)匀挥行?。例如，定期進(jìn)行滲透測(cè)試、網(wǎng)絡(luò)安全監(jiān)控等。
動(dòng)態(tài)風(fēng)險(xiǎn)識(shí)別：由于技術(shù)環(huán)境、市場(chǎng)環(huán)境和組織架構(gòu)的變化，新的風(fēng)險(xiǎn)可能會(huì)不斷出現(xiàn)。因此，企業(yè)要建立動(dòng)態(tài)監(jiān)測(cè)機(jī)制，隨時(shí)跟蹤和評(píng)估新出現(xiàn)的威脅。
早期預(yù)警系統(tǒng)：通過設(shè)置關(guān)鍵風(fēng)險(xiǎn)指標(biāo)（KRI），企業(yè)可以在風(fēng)險(xiǎn)發(fā)生前就能識(shí)別到潛在的風(fēng)險(xiǎn)信號(hào)，及時(shí)采取預(yù)防措施。
CRISC框架在這一環(huán)節(jié)中強(qiáng)調(diào)了“持續(xù)監(jiān)控”的必要性，企業(yè)不僅要在實(shí)施時(shí)就關(guān)注控制措施，還要在整個(gè)生命周期內(nèi)進(jìn)行持續(xù)的評(píng)估和優(yōu)化。

05?風(fēng)險(xiǎn)報(bào)告——信息傳遞與決策支持

_后，任何風(fēng)險(xiǎn)管理活動(dòng)都需要有一個(gè)清晰的總結(jié)和報(bào)告，尤其是向高層領(lǐng)導(dǎo)傳遞信息，幫助他們做出決策。

在報(bào)告中，你需要詳細(xì)說明：

事件發(fā)生的背景：是什么原因?qū)е挛募孤?？是操作失誤，還是系統(tǒng)漏洞？
影響評(píng)估：文件泄露會(huì)帶來哪些潛在風(fēng)險(xiǎn)和損失？是否需要外部賠償？
采取的解決措施：你如何修復(fù)漏洞，控制風(fēng)險(xiǎn)？有沒有進(jìn)一步的改進(jìn)措施？
未來防范：公司如何避免類似問題再次發(fā)生？需要投入哪些資源加強(qiáng)安全？

通過這些報(bào)告，管理層能夠理解事件的全貌，并根據(jù)報(bào)告制定未來的風(fēng)險(xiǎn)應(yīng)對(duì)策略，比如加強(qiáng)員工培訓(xùn)、換掉不安全的系統(tǒng)、或增加資金投入改善技術(shù)架構(gòu)。

知識(shí)小卡片：
風(fēng)險(xiǎn)報(bào)告是風(fēng)險(xiǎn)管理過程中信息傳遞的重要環(huán)節(jié)。企業(yè)需要將風(fēng)險(xiǎn)識(shí)別、評(píng)估、控制和監(jiān)控的結(jié)果及時(shí)傳達(dá)給決策層，以便做出有效的決策。在CRISC框架中，風(fēng)險(xiǎn)報(bào)告涉及到“風(fēng)險(xiǎn)應(yīng)對(duì)與報(bào)告”部分，特別是“控制報(bào)告與決策支持”。
報(bào)告內(nèi)容：風(fēng)險(xiǎn)報(bào)告應(yīng)包含詳細(xì)的風(fēng)險(xiǎn)描述、風(fēng)險(xiǎn)評(píng)估結(jié)果、控制措施的實(shí)施情況、風(fēng)險(xiǎn)監(jiān)控和審計(jì)結(jié)果等。報(bào)告要精準(zhǔn)地描述風(fēng)險(xiǎn)的現(xiàn)狀以及未來可能的發(fā)展趨勢(shì)。
決策支持：高層管理人員根據(jù)這些報(bào)告做出決策。企業(yè)可能需要基于報(bào)告的內(nèi)容，調(diào)整戰(zhàn)略方向、優(yōu)化資源分配或者加強(qiáng)某些控制措施。
CRISC強(qiáng)調(diào)了報(bào)告流程和標(biāo)準(zhǔn)化格式的重要性，確保信息的傳遞不受阻礙，決策層能夠及時(shí)了解風(fēng)險(xiǎn)狀況并做出合理決策。

看，IT風(fēng)險(xiǎn)管理并不像想象中那么復(fù)雜，它其實(shí)就是通過識(shí)別、分析、控制、監(jiān)測(cè)和報(bào)告這五個(gè)步驟，逐步降低風(fēng)險(xiǎn)，確保公司能夠穩(wěn)健運(yùn)營(yíng)。每一步都有具體的應(yīng)對(duì)策略，關(guān)鍵是及時(shí)發(fā)現(xiàn)問題，然后采取合適的措施。

好了，今天的分享就到這里。如果你希望了解并學(xué)習(xí)更多IT風(fēng)險(xiǎn)管理方面的知識(shí)、方法與技能，建議參加CRISC風(fēng)險(xiǎn)和信息系統(tǒng)控制認(rèn)證。

贊