ISACA東京支部は、情報システム監査、情報セキュリティ、リスク管理、ITガバナンスの国際的専門団体です。

ISACA東京支部
HOME
ISACAの活動
支部活動
委員会活動
調査研究活動
普及活動
ISACAの資格
CISA
CISM
CGEIT
CRISC

入会案内等

東京支部会員限定

CISA

CISM

CGEIT

CRISC

ITGI-J

COBIT 5

  CRISC

■CRISC のジョブ・プラクティス -2015年より適用

CRISCのジョブ・プラクティスを分析した結果、ITリスクとISコントロールを担う専門家が果たすべき重要で進化し続ける説明責任が反映された新しいCRISCのジョブ・プラクティスが策定された。ジョブ・プラクティスは、認定試験と認定を受ける要件の基準となる役割を果たしている。この新しいジョブ・プラクティスは、ITリスクの特定、アセスメント、対応、軽減、モニタリングにおいて実行されるタスクと知識の記述により構成されている。これらの記述とドメインは、世界各国のITリスクコントロールの専門家や著名企業トップに対して行われた幅広い調査、意見聴取、および検証の結果である。

以下のジョブ・プラクティスは、2015年6月のCRISC試験からテストされたドメインにより構成されている。CRISCジョブ・プラクティスの重要な変更点は、ドメイン内のITリスクとコントロールタスクの結合であり、ドメインの数を5から4に減らす結果となった。 2015年6月以降のCRISC認定試験は、これらジョブ・プラクティスをテストする150問からなる。


CRISC 出題分野(ドメイン)


ドメイン1−IT リスクの特定(27%)
ドメイン2−IT リスクアセスメント(28%)
ドメイン3−リスク対応および軽減(23%)
ドメイン4−リスクおよびコントロールのモニタリング並びに報告(22%)


ドメイン1 – ITリスクの特定

ITリスク分野を特定することで、ビジネス目標を支援しエンタープライズ・リスク・マネジメント(ERM) 戦略に沿った、ITリスクマネジメント戦略の実行に貢献する。

1.1 既存文書を含め、組織の内部と外部およびIT環境に関する情報を収集しレビューする。
  そして組織のビジネス目標およびオペレーションに対するITリスクの潜在的な影響を特定する。
1.2 組織の人々、プロセス、テクノロジーへの潜在的な脅威および脆弱性を特定し、ITリスク分析を
  可能にする。
1.3 利用可能な情報に基づき、包括的なITリスクシナリオを開発し、ビジネス目標やオペレーション
  への潜在的な影響を特定する。
1.4 ITリスクシナリオの主要なステークホルダーを特定し、説明責任の確立を支援する。
1.5 ITリスクレジスタを確立し、特定されたITリスクシナリオが、企業全体のリスクプロファイルに
  よって説明され、またそれに組み込まれることを保証するのを助ける。

1.6 ビジネス目標に確実に沿うよう、上級幹部および主要ステークホルダーが定義するリスク
  選好度や許容度を特定する。
1.7 リスク意識向上プログラムの開発に協力し、トレーニングを実施して、ステークホルダーが
  リスクを理解しているとともに、リスク意識の高い文化を推進することを保証する。


ドメイン2 – ITリスクアセスメント

リスクベース意思決定を可能にするため、ITリスクを分析および評価して、発生の可能性と
事業目的への影響を特定する。

2.1 組織の基準(例:組織構造、ポリシー、基準、技術、アーキテクチャ、コントロール)に
  基づいてリスクシナリオを分析して、特定されたリスクの発生可能性と影響を判断する。
2.2 既存コントロールの現状を識別し、ITリスク軽減に対するそれらの有効性を評価する。
2.3 リスクおよびコントロール分析の結果をレビューして、ITリスク環境の現状と望ましい
  状態とのギャップを評価する。
2.4 説明責任の明確な境界線を確立するため、適切なレベルでリスクオーナシップが割り
  当てられていることを確実にする。
2.5 リスクベースの意思決定を可能にするため、リスクアセスメントの結果を経営幹部および
  適切なステークホルダーに周知する。
2.6 リスクアセスメントの結果を基にリスクレジスタを更新する。


ドメイン3−リスク対応および軽減

リスク対応にかかわる選択肢を決定し、それらの選択肢がビジネス目標に沿った形で効果的、
効率的にリスクを管理していることを評価する。

3.1 リスクオーナーと相談して、推奨されるリスク対応を選択し、それをビジネス目標と連携させ、
  情報に基づくリスク決定を可能にする。
3.2 リスク行動計画に関してリスクオーナーに相談、またはリスクオーナーを支援して、計画が
  重要な要素(例:対応、費用、目標期日)を含んでいることを確実にする。
3.3 軽減コントロールの設計および実装、または調整に取り組み、リスクが受け入れ可能レベルに
  管理されていることを確実にする。
3.4 説明責任の線引きを明確にするため、コントロールのオーナーシップが割り当てられている
  ことを確実にする。
3.5 効果的かつ効率的なコントロールの実行を可能にするため、コントロール手順および文書を
  開発する上で、コントロールオーナーを支援する。
3.6 リスクおよび経営陣のリスク対応における変更を反映するよう、リスクレジスタを更新する。
3.7 リスク対応が、リスク行動計画にしたがって実行されたことを検証する。


ドメイン4−リスクおよびコントロールのモニタリング並びに報告

ITリスクおよびコントロールを継続的にモニタリングし、関連するステークホルダーに報告して、
ITリスクマネジメントおよびそのビジネス目標との連携の継続的な効果と効率を保証する

4.1 利用可能なデータに基づいて、主要リスク指標(KRIs)およびしきい値を定義および確立して、
  リスクの変化のモニタリングを可能にする。
4.2 主要リスク指標(KRIs)をモニタリングおよび分析して、ITリスクプロファイルの変化または
  動向を特定する。
4.3 ITリスクプロファイルに関連する変化または動向について報告し、経営陣および関連する
  ステークホルダーの意思決定を支援する。
4.4 測定基準および主要業績評価指標(KPIs)の特定を促進して、コントロールのパフォーマンスの
  測定を可能にする。
4.5 主要業績評価指標(KPIs)をモニタリングおよび分析して、コントロール環境に関連する変化
  または動向を特定し、コントロールの効率性と有効性を判断する。
4.6 コントロールアセスメントの結果をレビューして、コントロール環境の有効性を判断する。
4.7 全体的なリスクプロファイルおよびコントロール環境のパフォーマンス、それらの変化または
   動向について関連するステークホルダーに報告して、意思決定ができるようにする。


CRISC知識の記述

以下の知識:

1. 法律、規制、基準、およびコンプライアンス要件
2. 業界動向と新技術
3. エンタープライズシステムアーキテクチャ(例:プラットフォーム、ネットワーク、
  アプリケーション、データベース、オペレーティングシステム)
4. ビジネス目標と目的
5. 顧客および外部委託のサービスプロバイダとの契約要件
6. 以下に関連する脅威および脆弱性
  6.1. ビジネスプロセスおよびイニシアティブ
  6.2. 外部委託(ベンダー)管理
  6.3. データ管理
  6.4. ハードウェア、ソフトウェア、およびアプリケーション
  6.5. システム開発ライフサイクル(SDLC)
  6.6. プロジェクトおよびプログラム管理
  6.7. 事業継続および障害復旧管理(DRM)
  6.8. IT運用の管理
  6.9. 新技術
7. リスクを特定する方法
8. リスクシナリオ開発ツールと技法
9. リスクの特定と分類基準、およびフレームワーク
10. リスクイベント/インシデントの概念(例:寄与条件、学んだ教訓、損失結果)
11. リスクレジスタの要素
12. リスク選好度および許容度
13. リスク分析の方法論(定量的および定性的)
14. 組織構造
15. 組織の文化、倫理、および行動
16. 組織の資産(例:人、技術、データ、商標、知的財産権)およびエンタープライズ・
  リスク・マネジメント(ERM) を含むビジネスプロセス
17. 組織のポリシーと基準
18. ビジネスプロセスレビューのためのツールと技法
19. 分析技法(例:原因、ギャップ、費用便益、投資利益率 [ROI])
20. 能力評価モデルや改善技法と戦略
21. データの分析、検証、および集約技法(例:動向分析、モデリング)
22. データの収集や抽出ツールと技法
23. リスクとコントロールオーナーシップの原則
24. 固有リスクと残存リスクの特性
25. 例外管理の実践例
26. リスクアセスメントの基準、フレームワーク、および技法
27. リスク対応オプション(すなわち、受容、軽減、回避、移転)およびそれらの選択基準
28. 情報の機密性、完全性、可用性を含む情報セキュリティの概念と原則
29. テスト技法と実践を含むシステムコントロールの設計および実装
30. 新技術がコントロールの設計や実装に与える影響
31. リスクとコントロール活動についての教育とトレーニングのための要件、原則、実践例
32. 主要リスク指標(KRI)
33. リスクモニタリングの基準とフレームワーク
34. リスクモニタリングのツールと技法
35. リスク報告ツールと技法
36. ITリスクマネジメントのベストプラクティス
37. 主要業績評価指標(KPI)
38. コントロールのタイプ、基準、およびフレームワーク
39. コントロールのモニタリングならびに報告のためのツールと技法
40. コントロールのアセスメントタイプ(例:自己アセスメント、監査、脆弱性アセスメント、
  侵入テスト、第三者による保証)
41. 以下に関連するコントロール活動、目標、実践例、および評価指標
  41.1. ビジネスプロセス
  41.2. ビジネスプロセス
  41.3. サービス提供を含む外部委託(ベンダー)管理
  41.4. データ管理
  41.5. システム開発ライフサイクル(SDLC)
  41.6. プロジェクトとプログラム管理
  41.7. 事業継続と障害復旧管理(DRM)
  41.8. IT運用の管理
  41.9. 情報システムアーキテクチャ(例:プラットフォーム、ネットワーク、
      アプリケーション、データベース、オペレーティングシステム)


▲このページの上部へ



国際本部
大阪支部
名古屋支部
福岡支部
日本ITガバナンス協会
ISACA東京支部 理事会名簿
ISACA東京支部 規程集・目次
ISACA職業倫理規定
関連団体
リンク集
サイトマップ
お問合せ
個人情報保護方針
このサイトについて
 


©2013 ISACA Tokyo Chapter