Einleitung

In diesem dreitägigen CRISC ® -Vorbereitungskurs werden Sie von einem Trainer der FORFA Academy unterrichtet, der über 20 Jahre Erfahrung auf dem Gebiet der gesamten Informationssicherheit verfügt.

Der CRISC®-Vorbereitungskurs wird in englischer Sprache abgehalten. Auf Anfrage halten wir den Kurs gerne auf Deutsch oder Niederländisch. Bitte beachten Sie, dass das Kursmaterial und der CRISC Zertifizierungstest auf Englisch sind.

Nach der Absolvierung des CRISC® -Vorbereitungskurses haben Sie:

  • Umfassendes Wissen und Verständnis über alle CRISC® Bereiche
  • Ganzheitliche Vorbereitung für die CRISC ® Prüfung. (Prüfung nicht inkludiert)

Der CISSP ® Vorbereitungskurs besteht aus einer 3-tägigen Schulung.

Adressaten

Dieser Kurs richtet sich an Berufstätige und Einsteiger, die sich mit Risikomanagement befassen und es in ihrer Organisation implementieren oder umsetzen.

  • IT Professionals
  • Risiko Experten/Manager
  • Control Professionals
  • Business Analysten
  • Projekt Manager
  • Compliance Experten

Grundkenntnisse in der Informationssicherheit werden empfohlen, jedoch nicht vorausgesetzt. In der Schulung ist ausreichend Zeit, um die CRISC®-Themenbereiche in Gänze zu erarbeiten.

Gute Englischkenntnisse sind Voraussetzung.

Block 1—IT Risiko Identifikation

Im ersten Teil geht es darum, das Universum der IT-Risiken kennen zu lernen, um einen Beitrag zur Umsetzung der Strategie für das IT-Risikomanagement zur Unterstützung der Geschäftsziele und in Übereinstimmung mit der Strategie für das Enterprise Risk Management (ERM) zu leisten.

1.1 Sammeln und überprüfen von Informationen, einschließlich der vorhandenen Dokumentation, zu den internen und externen Geschäfts- und IT-Umgebungen des Unternehmens, um mögliche oder realisierte Auswirkungen des IT-Risikos auf die Geschäftsziele und -vorgänge des Unternehmens zu ermitteln.
1.2 Potenzielle Bedrohungen und Schwachstellen identifizieren, um eine IT-Risikoanalyse für die Mitarbeiter, Prozesse und Technologien des Unternehmens zu ermöglichen.
1.3 Erstellung von umfassenden IT-Risikoszenarien auf der Grundlage verfügbarer Informationen, um die möglichen Auswirkungen auf Geschäftsziele und -vorgänge zu bestimmen zu können.
1.4 Identifikation der wichtigsten Stakeholder für IT-Risikoszenarien.
1.5 Erstellen eines IT-Risikoregisters, um sicherzustellen, dass identifizierte IT-Risikoszenarien berücksichtigt und in das unternehmensweite Risikoprofil aufgenommen werden.
1.6 Identify risk appetite and tolerance defined by senior leadership and key stakeholders to ensure alignment with business objectives. Identifizieren Sie die Risikobereitschaft und -toleranz, um weitere Maßnahmen auf die Geschäftsziele auszurichten.
1.7 Entwicklung eines Risikobewusstseinsprogramms und Durchführung von Schulungen, um sicherzustellen, dass Mitarbeiter das Risiko verstehen und eine risikobewusste Kultur fördern.

Block  2—IT Risiko Bewertung

Analyze and evaluate IT risk to determine the likelihood and impact on business objectives to enable risk-based decision making.

2.1 Analyze risk scenarios based on organizational criteria (e.g., organizational structure, policies, standards, technology, architecture, controls) to determine the likelihood and impact of an identified risk.
2.2 Identify the current state of existing controls and evaluate their effectiveness for IT risk mitigation.
2.3 Review the results of risk and control analysis to assess any gaps between current and desired states of the IT risk environment.
2.4 Ensure that risk ownership is assigned at the appropriate level to establish clear lines of accountability.
2.5 Communicate the results of risk assessments to senior management and appropriate stakeholders to enable risk-based decision making.
2.6 Update the risk register with the results of the risk assessment.

Block 3—Risiko Mitigation

Bestimmen der risiko-bezogenen Maßnahmen und bewerten der Effizienz und Effektivität, um das Risiko in Übereinstimmung mit den Geschäftszielen zu steuern.

3.1 Beratung mit Risiko-Managern/Verantwortlichen, um risiko-bezogenen Maßnahmen auszuwählen, an den Geschäftszielen auszurichten, und fundierte Risikoentscheidungen zu treffen.
3.2 Beratung und Unterstützung der Risk-Owner bei der Entwicklung von Risikoaktionsplänen, um sicherzustellen, dass die Pläne wichtige Schlüsselelemente enthalten (z. B. Reaktion, Kosten, Zieldatum).
3.3 Prüfung des Entwurfs und der Implementierung oder Anpassung von Mitigationsmaßnahmen, um sicherzustellen, dass das Risiko dem Risikoappetit angemessen ist.
3.4 Control ownership sicherstellen und klare Verantwortlichkeiten zuordnen.
3.5 Unterstützung der Control Owner bei der Entwicklung von Kontrollverfahren und -dokumentationen, um eine effiziente und effektive Kontrollausführung zu ermöglichen
3.6 Risikoregister aktualisieren, um Änderungen der Risiken und des Risikomanagements angemessen zu berücksichtigen.
3.7 Sicherstellen, dass sich die umgesetzten Maßnahmen nach den entsprechenden risikomitigierenden Maßnahmenplänen richten.

Block 4—Risiko und Kontrollen Überwachung und Berichterstattung

Kontinuierliche Überwachung und Berichterstattung über IT-Risiken und -Kontrollen an relevante Stakeholder. Dies stellt sicher, dass die Strategie für das IT-Risikomanagement weiterhin effizient und effektiv ist und sich an den Geschäftszielen orientiert.

4.1 Definition und Festlegung von Risikokennzahlen (KRIs) und passenden Schwellenwerten auf Grundlage verfügbarer Daten, um das (frühzeitige) Erkennen von Risikoveränderungen zu ermöglichen.
4.2 Risikoindikatoren (KRIs) überwachen und analysieren, um Änderungen oder Trends im IT-Risikoprofil zu erkennen.
4.3 Berichterstattung bezüglich Änderungen oder Trends im Zusammenhang mit dem IT-Risikoprofil. Dies unterstützt das Management und relevante Stakeholder bei der Entscheidungsfindung.
4.4 Erleichterte Identifizierung von Metriken und Key Performance Indicators (KPIs), um die Messung der Steuerungsoptionen zu ermöglichen.
4.5 Überwachen und analysieren der Key Performance Indicators (KPIs), um Änderungen oder Trends im Zusammenhang mit dem Kontrollumfeld zu identifizieren und die Effizienz und Wirksamkeit der Kontrollen zu bestimmen.
4.6 Regelmäßige Überprüfung der Ergebnisse der Kontrollbewertungen, um die Wirksamkeit der Kontrollumgebung zu bestimmen.
4.7 Berichterstattung über die Leistung, Änderungen oder Trends des Gesamtrisikoprofils und des Kontrollumfelds an die relevanten Stakeholder, um risikotoleranz-orientierte Entscheidungsfindung zu ermöglichen.