ISACA東京支部は、情報システム監査、情報セキュリティ、リスク管理、ITガバナンスの国際的専門団体です。

ISACA東京支部
HOME
ISACAの活動
支部活動
委員会活動
調査研究活動
普及活動
ISACAの資格
CISA
CISM
CGEIT
CRISC

入会案内等

東京支部会員限定

CISA

CISM

CGEIT

CRISC

ITGI-J

COBIT 5

  CRISC

■CRISC のジョブ・プラクティス


CRISC 出題領域(ドメイン)2021年8月以降


領域1−ガバナンス(26%)
領域2−IT リスクアセスメント(20%)
領域3−リスク対応および報告(32%)
領域4−情報技術およびセキュリティ(22%)


領域1 – ガバナンス

A. 組織のガバナンス
  1. 組織の戦略、ゴール、目標
  2. 組織構造、役割、責任
  3. 組織文化
  4. ポリシーと標準
  5. ビジネスプロセス
  6. 組織の資産
B.リスクガバナンス
  1. エンタープライズ・リスク・マネジメント(ERM)およびリスク管理フレームワーク
  2. 3つのディフェンスライン
  3. リスクプロフィル
  4. リスクアペタイトとリスクトレランス
  5. 法律、規制および契約上の要件
  6. リスク管理の職業倫理


領域2 – ITリスクアセスメント

A. リスクの特定
  1. リスク事象
  2. 脅威モデリングと脅威環境
  3. 脆弱性およびコントロールの不備分析
  4. リスクシナリオの作成
B.ITリスク分析および評価
  1. リスクアセスメントの概念、基準、フレームワーク
  2. リスク登録簿
  3. リスク分析方法
  4. ビジネスインパクト分析
  5. 固有および残存リスク


領域3−リスク対応および報告

A. リスク対応
  1. リスク処理/リスク対応の選択肢
  2. リスクおよびコントロールオーナーシップ
  3. 第三者によるリスク管理
  4. 問題、発見、例外の管理
  5. 新しく出現したリスクの管理
B.コントロールの設計と導入
  1. コントロールの種類、標準、フレームワーク
  2. コントロールの設計、選択、分析
  3. コントロールの導入
  4. コントロールテストおよび有効性評価
C.リスクモニタリングおよび報告
  1. リスク対応計画
  2. データ収集、集計、分析、検証
  3. リスクおよびコントロールのモニタリング技法
  4. リスクおよびコントロールの報告技法
  5. 重要パフォーマンス評価指標
  6. 重要リスク評価指標
  7. 重要コントロール評価指標


領域4−情報技術およびセキュリティ

A. 情報技術原則
  1. エンタープライズアーキテクチャ
  2. IT運用管理
  3. プロジェクト管理
  4. 災害復旧管理
  5. データライフサイクル管理
  6. システム開発ライフサイクル
  7. 新しく出現した技術
B.情報セキュリティ原則
  1. 情報セキュリティの概念、フレームワーク、基準
  2. 情報セキュリティ意識向上トレーニング
  3. 事業継続管理
  4. データプライバシーおよびデータ保護原則


サポートタスク

  1. 組織のビジネスおよびIT環境に関する既存の情報を収集し、レビューする。
  2. 組織のビジネス目標および業務に対するITリスクの潜在的影響または発現した影響を特定する。
  3. 組織の人員、プロセス、技術に対する脅威および脆弱性を特定する。
  4. ITリスクシナリオを特定するために脅威、脆弱性、リスクを評価する。
  5. 適切なレベルのリスクとコントロールオーナーシップを割当、検証することで説明責任を確立する。
  6. ITリスク登録簿を確立し提示し、事業体全体のリスクプロファイルに組み込む。
  7. 主要な利害関係者によるリスクアペタイトとリスクトレランスの特定を促進する。
  8. セキュリティ意識向上トレーニングの開発と実施に貢献することで、リスクを意識した文化を育む。
  9. ITリスクシナリオを分析し、その発現可能性と影響を判定することで、リスクアセスメントを実施する。
  10. 既存コントロールの現状を特定し、ITリスク軽減に対するその有効性を評価する。
  11. リスク分析およびコントロール分析の結果をレビューし、ITリスク環境の現状と望ましい状態とのギャップをアセスメントする。
  12. 主要な利害関係者による推奨リスク対応の選択を促進する。
  13. リスク対応計画の策定に関してリスクオーナーと協力する。
  14. コントロールの選択、設計、導入、維持に関してコントロールオーナーと協働する。
  15. リスク対応計画に従ってリスク対応が実施されたことを検証する。
  16. 重要リスク評価指標(KRI)を定義し、確立する。
  17. 重要リスク評価指標(KRI)をモニタリングし、分析する。
  18. 重要パフォーマンス評価指標(KPI)および重要コントロール評価指標(KCI)の特定に関してコントロールオーナーと協働する。
  19. 重要パフォーマンス評価指標(KPI)および重要コントロール評価指標(KCI)をモニタリングし、分析する。
  20. コントロールアセスメント結果をレビューし、コントロール環境の有効性と成熟度を判定する。
  21. リスクおよびコントロールデータの集計、分析、検証を実施する。
  22. 該当する利害関係者に対して関連するリスクおよびコントロール情報を報告し、リスクに基づいた意思決定を即す。
  23. 新しく出現した技術および環境に対する変更において、脅威、脆弱性、機会がないか評価する。
  24. ビジネス実践手法と、リスク管理およびセキュリティ情報のフレームワークや標準との整合性を評価する。

▲このページの上部へ



国際本部
大阪支部
名古屋支部
福岡支部
日本ITガバナンス協会
ISACA東京支部 理事会名簿
ISACA東京支部 規程集・目次
ISACA職業倫理規定
関連団体
リンク集
サイトマップ
お問合せ
個人情報保護方針
このサイトについて
 


©2013 ISACA Tokyo Chapter