原创2024-12-17小艾老师

CRISC风险和信息系统控制认证知识体系考证须知证书含金量培训大纲 3分钟小视频我要提问

CRISC是一款全球顶级IT从业资格认证。CRISC主要针对具有IT风险管理以及IS控制设计、实施、监督和维护经验的人员而设计，向IT专业人士提供专业知识，使他们能够识别、评估和管理IT风险，同时计划和实施控制措施和框架。它还可以帮助个人建立一种通用的语言，在IT部门内部和整个组织内就安全和系统控制进行沟通。CRISC包含四大实践域：IT风险识别、IT风险评估、风险应对和缓解以及风险控制、监测和报告。

中文名CRISC风险和信息系统控制认证
英文名Certified in Risk and Information Systems Control
英文简称CRISC
颁证机构ISACA
证书类别IT GRC，IT治理
同类认证CGEIT、CISA

IT风险管理，简单来说，就是一套识别、评估和控制IT风险的系统方法。它的目标是确保我们的信息系统能够高效、可靠、安全地运行，同时避免因技术问题带来的各种风险。

今天，小艾老师就用一个小案例来给大家讲讲IT风险管理的那些事，看看我们该如何一步步解决IT风险问题的。

案例背景

在公司内部，有一个用于共享和存储文件的系统，大家都在使用它交换项目资料、存档重要文件。原本这个系统设计得还算靠谱，大家都按规则上传、下载文件。然而，有一天，一位员工在上传一个重要的财务报告时，错误地把文件放入了公共文件夹，这导致所有员工，包括外部人员，均能访问到这个敏感文件。

更糟的是，公司并没有对文件权限做定期审查。结果，这个文件就像个“定时炸弹”，不仅员工的操作失误，系统本身也存在权限配置漏洞，导致大量的敏感数据暴露。现在，问题不仅仅是文件泄露，更涉及到客户信任、公司声誉和法律责任。

01 风险识别——问题到底出在哪里？

首先，风险识别是整个IT风险管理过程的_步。想清楚：问题到底出在哪里？如果我们不搞清楚问题的源头，很难采取有效的应对措施。

在这个案例里，我们的问题是文件共享系统的权限设置不当，以及员工操作失误。敏感文件泄露，看起来就是文件上传错误，但仔细检查后发现，其实是由于系统本身的权限配置漏洞，使得文件不仅员工能访问，外部人员也可以随意下载查看。

这一步，我们就需要通过检查系统日志、审查文件权限设置、了解漏洞的性质，找出到底是技术问题，还是人为失误。只有确认了具体的风险来源，后续的分析、控制才有方向。

知识小卡片：
风险识别是风险管理的_步，它的核心是识别出可能受到威胁的信息资源或资产，理解威胁的性质和来源。根据CRISC框架，这一过程属于“IT风险评估”部分的_步，涉及到对信息资源（如数据、系统、应用程序等）以及可能的威胁源进行识别。
识别目标，找出那些潜在的风险点、漏洞或脆弱性，进而有效评估其可能的影响。
在实际操作中，风险识别通常通过以下几种方式进行：
资产分类与评估：对所有信息资源进行分类（如硬件、软件、数据等），识别其价值及重要性。
威胁建模与脆弱性扫描：根据企业的业务流程和技术架构，识别可能存在的外部和内部威胁，如黑客攻击、自然灾害、员工失误等。
安全审计与检查：通过定期的安全审计，检查系统的安全漏洞，例如，进行漏洞扫描、代码审查等。

02 风险分析与评估——这个风险有多严重？

风险识别搞清楚了，接下来是要评估这个风险的严重性：这个问题发生的可能性有多大？如果发生了，损失有多严重？

对于文件泄露问题，我们可以从以下几个角度进行评估：

影响范围：泄露的文件是否包含敏感数据（如财务报表、客户信息等）？如果是，影响就很大；如果是一些普通的工作文件，影响相对较小。
外部风险：如果黑客利用这个漏洞访问了敏感文件，数据泄露会带来多大的法律、财务或声誉损失？比如，可能会面临法律诉讼，或是客户流失。
发生概率：这个问题发生的概率有多高？是因为系统设计问题，还是因为某个员工的疏忽？如果系统本身存在严重漏洞，那问题发生的概率就高，风险也更大。

通过这些评估，我们可以知道这个文件泄露问题的严重性，决定需要多紧急处理，以及会面临哪些具体的风险（比如公司声誉、财务损失等）。

知识小卡片：
在CRISC框架中，这一部分属于“IT风险评估”领域，尤其是通过对业务影响的分析来评估风险的影响度。
可能性评估：通过对历史数据、行业标准或专家判断来评估特定风险发生的概率。例如，通过历史安全事件数据分析，判断某一类型攻击发生的频率。
影响评估：评估风险发生时对企业的影响，特别是对关键业务功能的影响。影响可以从不同的维度进行分析，比如财务损失、品牌声誉损害、业务中断等。
定性与定量评估方法：使用定性方法（如风险矩阵）对风险进行分类，并使用定量方法（如损失预估模型）进行量化。
在这一阶段，CRISC强调了与风险分析相关的标准和框架的使用，例如采用风险登记簿记录所有已识别的风险，并对每一个风险进行优先级排序。评估结果将为后续的风险应对措施提供依据。

03 风险控制——该如何解决？

当我们搞清楚了风险的严重性，接下来就要想办法控制这个风险，减少损失。常见的风险控制方法有三种：规避、减轻、转移。

规避风险：直接换掉这个存在漏洞的文件共享系统，采用更安全的替代方案。虽然这种方法可能需要投入更多资源，但如果系统设计存在重大缺陷，换掉它是_直接的解决办法。
减轻风险：如果系统本身还可以使用，那么就需要修复权限漏洞，确保只有授权人员才能访问敏感文件。还可以增加加密措施，防止文件在上传过程中被非法访问。
转移风险：如果公司对这种问题的处理难度较大，可以选择将部分责任外包给专业的第三方公司进行处理，或者为公司购买数据泄露保险，把可能的损失转移给保险公司。

针对这个案例，_好的方法是修复权限漏洞，并加密文件。同时，定期进行安全审计，确保类似的漏洞不再发生。

知识小卡片：
风险控制是基于对风险的分析与评估结果，采取具体措施来降低风险或将其控制在可接受范围内。CRISC框架中的“风险应对与报告”部分详细说明了如何设计和实施风险控制措施。
具体而言，企业可以选择以下几种应对策略：
规避风险：如果某个风险的影响过于严重，可以考虑通过改变计划、流程或业务模式来避免该风险。例如，选择不进行某些高风险的业务活动。
减轻风险：通过技术手段或管理措施减少风险发生的概率或其影响。例如，增强网络防御、实施数据加密、定期进行备份等。
转移风险：通过保险或外包等方式将风险转移给第三方。例如，将某些非核心系统外包给专业公司，以减少自身承担的技术风险。
接受风险：对于一些低概率或低影响的风险，企业可以选择接受风险，制定应急预案来应对突发情况。
CRISC框架在这一部分强调了控制设计和有效性评估。企业需要设计符合组织风险偏好的控制措施，并定期评估这些措施的有效性，确保它们能够真正起到风险防控作用。

04 风险监测——持续检查，不留死角

即使我们已经修复了漏洞，采取了控制措施，接下来还需要持续监测。IT风险管理不是一次性任务，而是一个长期的过程。

比如：

定期检查文件系统的权限设置，确保没有新漏洞。
设置实时监控系统，随时关注是否有异常的访问行为，比如外部IP的访问。
定期进行安全审计和漏洞扫描，确保系统始终处于受控状态。

风险监测就是让你能够时刻掌握系统状态，发现潜在的隐患，避免“死角”中的问题再次爆发。

知识小卡片：
风险监测是风险管理中的动态过程，确保控制措施在实际环境中得以执行，并且及时发现新出现的风险或变化。根据CRISC框架，风险监测属于“风险应对与报告”部分，并涉及到“风险控制的有效性评估”及“持续监控”。
定期检查与评估：企业应定期对已实施的控制措施进行检查，确保它们仍然有效。例如，定期进行渗透测试、网络安全监控等。
动态风险识别：由于技术环境、市场环境和组织架构的变化，新的风险可能会不断出现。因此，企业要建立动态监测机制，随时跟踪和评估新出现的威胁。
早期预警系统：通过设置关键风险指标（KRI），企业可以在风险发生前就能识别到潜在的风险信号，及时采取预防措施。
CRISC框架在这一环节中强调了“持续监控”的必要性，企业不仅要在实施时就关注控制措施，还要在整个生命周期内进行持续的评估和优化。

05 风险报告——信息传递与决策支持

_后，任何风险管理活动都需要有一个清晰的总结和报告，尤其是向高层领导传递信息，帮助他们做出决策。

在报告中，你需要详细说明：

事件发生的背景：是什么原因导致文件泄露？是操作失误，还是系统漏洞？
影响评估：文件泄露会带来哪些潜在风险和损失？是否需要外部赔偿？
采取的解决措施：你如何修复漏洞，控制风险？有没有进一步的改进措施？
未来防范：公司如何避免类似问题再次发生？需要投入哪些资源加强安全？

通过这些报告，管理层能够理解事件的全貌，并根据报告制定未来的风险应对策略，比如加强员工培训、换掉不安全的系统、或增加资金投入改善技术架构。

知识小卡片：
风险报告是风险管理过程中信息传递的重要环节。企业需要将风险识别、评估、控制和监控的结果及时传达给决策层，以便做出有效的决策。在CRISC框架中，风险报告涉及到“风险应对与报告”部分，特别是“控制报告与决策支持”。
报告内容：风险报告应包含详细的风险描述、风险评估结果、控制措施的实施情况、风险监控和审计结果等。报告要精准地描述风险的现状以及未来可能的发展趋势。
决策支持：高层管理人员根据这些报告做出决策。企业可能需要基于报告的内容，调整战略方向、优化资源分配或者加强某些控制措施。
CRISC强调了报告流程和标准化格式的重要性，确保信息的传递不受阻碍，决策层能够及时了解风险状况并做出合理决策。