我的职业道路和许多人的道路一样. 它的起点很简单:大学, 初级技术支持角色, 晋升为“网络男”,,然后最终进入管理层. 在这个过程中,我不断地学习和参加认证. 在过去的20多年里发生了很多变化, 但是回想一下, 有一点没有改变,那就是管理风险的必要性.
回顾, 风险管理一直是信息技术工作的关键组成部分,即使它是风险管理的小“r”版本. 例如, 当你在服务台工作,并对票务进行分类时, 立即引起注意的罚单通常与它所呈现的风险水平直接相关.
So, 如果风险管理(即使是小的“r”版本)已经实践了这么多年, 你为什么要改变你现在正在做的事情? 威胁! 一个组织现在面临的威胁比以往任何时候都要多. 再加上暴露, 哪些因素增加了威胁影响组织的可能性, 意思是如果你不带着比赛的表情, 很有可能你很快就会遇到糟糕的一天.
我获得crisc认证的途径
话虽如此,我该怎么办呢? 开始实践大R风险管理. 确定, 我承认, 人们很容易被最新DR解决方案(EDR)的炒作所迷惑, XDR, 耐多药, 等.). 我和其他人一样喜欢很酷的工具, 但, 如果您没有将这些工具与已识别的风险对齐, 你怎么知道它有帮助? 你怎么知道花很多钱在一个工具上是最有效的治疗风险的方法? 也许简单的流程改变也同样有效.
想要实践BIG“R”风险管理是什么让我成为 CRISC-certified. 我一直是一个需要目标的人, 一条明确的道路来帮助我学习, 而考取证书对这一点有帮助.
学习BIG“R”风险管理的另一个动机是能够有效地与管理层沟通风险. 在我看来, IT和网络安全部门常常被视为总是在为一些可能需要也可能不需要的新设备寻找更多的预算. 能够用业务理解的语言进行沟通,并将各个点与组织的目标和目的联系起来,这对于成功获得正确完成工作所需的资源至关重要.
在获得CRISC之前,不需要具备IT/安全背景, 但它确实有帮助. 有很多术语, 包括我以前学过的概念和原则, 没有这个基地会是一个额外的挑战,需要更多的准备时间.
那么,什么是大R风险管理呢? 答案在于CRISC被分为四个领域:
领域1:治理
组织的目标和目的是什么?风险管理将如何与之一致?
将采用何种结构来监督风险管理活动?
谁负责风险管理的不同方面? 更好的是,由谁来决定如何应对风险? 谁负责任?
组织的风险概况是什么,您将如何监视它的变化?
组织的风险能力和容忍水平是什么?
风险管理如何与法律相适应, 组织的规章制度和合同要求?
领域2:IT风险评估
如何识别风险?
什么是风险情景?如何使用风险情景来理解风险和潜在影响?
风险的根本原因是什么?
了解不同的风险评估方法
领域3:风险响应和报告
应对和治疗风险有哪些不同的选择, 为什么你会选择其中一个而不是另一个?
第三方和新兴技术会带来什么风险?
什么是风险处理计划?
如何选择适当的控制,包括设计、实施和测试?
你如何监控风险, 包括您选择的风险处理计划,以确保将风险降低到所需的水平?
有哪些不同类型的指标可以监控你的风险管理活动?
领域4:信息技术和安全
网络安全关键概念概述:
信息技术操作的核心方面是什么?它们带来和/或处理了哪些风险?
有哪些不同的网络安全框架和标准可以帮助您的活动?
风险管理如何适应项目管理和系统开发生命周期?
隐私和业务连续性管理概念
我是如何为危机做准备的?
如前所述, 在信息技术和网络安全方面有扎实的背景会有所帮助, 特别是对于Domain 4. 我的建议是,如果你没有这样的背景,那就去看看ISACA之类的选择 网络安全基础证书.
我使用的准备材料是:
CRISC审查手册th 版这个复习手册很好地涵盖了你需要知道的所有材料. 我觉得考试中没有什么问题是我措手不及的.
CRISC复习问题,答案 & 解释6th 版测试你的知识是关键. 我的方法是通读所有的问题,通读所有的解释. 即使我正确地回答了问题,对其他错误答案的解释也有助于巩固信息. 在解决问题之后, 如果有任何问题我答错了,我一定会回到《澳门赌场官方下载》,并再次彻底地讨论这个主题.
额外的培训我还参加了多伦多大学的继续教育课程, 网络安全风险评估, 治疗及报告.“这门课程涵盖了许多CRISC领域(从NIST的角度来看),但我选择它的主要原因是与同行的合作和实践方面. 我坚信只要有上面提到的两本书,你就可以通过CRISC, 但是参与小组讨论并通过课堂作业将所学知识付诸实践对我的学习是一个受欢迎的补充.
那么,你还在等什么? 迈出这一步,学习大“R”风险管理!
