Die Einschätzung der Cyber Academy
CRISC ist die ISACA-Zertifizierung im Risikobereich für IT-Risk-Praktiker. Identifikation, Bewertung, Reaktion und Überwachung im Kontext von Informationssystemen. Sie verbindet Business- und IT-Risikomanagement. Die natürliche Ergänzung zu CISA für Auditoren, die in den Risikobereich wechseln, sowie zu ISO 27005 / 31000 für ISO-zertifizierte Praktiker, die das ISACA-Vokabular ergänzen möchten.
Was CRISC zertifiziert
CRISC ist der Nachweis von ISACA für Praktiker, die IT- und Informationssystemrisiken verantworten, anstatt sie im Nachhinein zu auditieren. Er bestätigt, dass der Inhaber den vollständigen Risikolebenszyklus für Technologie-Assets steuern kann: Exposition identifizieren, Eintrittswahrscheinlichkeit und Auswirkung bewerten, eine Reaktion entwerfen und empfehlen sowie die Restrisikoposition über die Zeit überwachen. Das unterscheidende Merkmal von CRISC ist die Übersetzungsebene.
Vom Inhaber wird erwartet, dass er eine Datenbankschwachstelle oder eine Cloud-Fehlkonfiguration in den Begriffen ausdrückt, die das Risikoregister des Unternehmens und der Vorstand tatsächlich verwenden, sodass IT-Risiko zu einer Eingangsgröße des Unternehmensrisikos wird und nicht zu einem parallelen Gespräch in einer eigenen Sprache.
Wo viele technische Zertifizierungen bei den Kontrollen aufhören, stellt CRISC Kontrollen als Folge einer Risikoentscheidung dar. Vom Inhaber wird erwartet, dass er beim Risikoszenario, bei der von der Organisation festgelegten Risikobereitschaft und Risikotoleranz sowie bei den Behandlungskosten ansetzt und dann begründet, warum eine bestimmte Kontrolle existiert und was sie unbehandelt lässt. Dieser Faden aus Risiko, Reaktion und Kontrolle ist das Rückgrat des Nachweises und der Grund, warum er neben der Governance-Arbeit steht und nicht bei rein operativer Sicherheit.
Wo CRISC unter den benachbarten Nachweisen steht
CRISC wird am häufigsten als der natürliche nächste Schritt für einen CISA-Inhaber verstanden. CISA belegt, dass Sie Informationssysteme auditieren und beurteilen können, ob Kontrollen wirksam gestaltet sind und funktionieren; CRISC belegt, dass Sie das Risiko verantworten können, auf das diese Kontrollen antworten, und entscheiden, was zu tun ist. Auditoren, die vom Erstellen von Feststellungen zum Festlegen der Risikostrategie übergehen, nutzen CRISC, um diesen Wechsel für Arbeitgeber sichtbar zu machen. Beide teilen das Vokabular und den Governance-Rahmen von ISACA, weshalb sie regelmäßig kombiniert werden.
Für ISO-geschulte Praktiker ergänzt CRISC den ISACA-Dialekt um eine Methodik, die sie bereits anwenden. Wer ISO 27005 oder ISO 31000 beherrscht, führt bereits Identifikation, Analyse, Bewertung, Behandlung und Akzeptanz durch. CRISC ersetzt diesen Prozess nicht; er gibt derselben Person die ISACA-Begriffe, die Rahmung des Unternehmens-IT-Risikos und einen Nachweis, der von Arbeitgebern anerkannt wird, die sich auf ISACA statt auf ISO standardisieren. Die Methodiken sind kompatibel, und beide zu besitzen signalisiert, dass Sie sich zwischen den beiden Referenzwelten bewegen können.
| Nachweis | Leitfrage | Typischer Inhaber |
|---|---|---|
| CRISC | Welches IT-Risiko besteht und was tun wir dagegen? | IT-Risikomanager, Risikoverantwortlicher |
| CISA | Sind die Kontrollen wirksam gestaltet und funktionieren sie? | IT-Auditor, interne Revision |
| ISO 27005 | Wie führen wir den Prozess für Informationssicherheitsrisiken durch? | ISMS-Praktiker, Risikoanalyst |
Was CRISC-Inhaber tatsächlich tun
In der Praxis arbeitet ein CRISC-Inhaber nah an dem Punkt, an dem Technologierisiko und geschäftliche Entscheidungsfindung zusammentreffen. Zu den wiederkehrenden Aufgaben gehören die folgenden.
- Aufbau und Pflege von IT-Risikoszenarien und eines Risikoregisters, das die umfassendere Unternehmensrisikofunktion nutzen kann.
- Bewertung von Eintrittswahrscheinlichkeit und Auswirkung und anschließender Abgleich des Ergebnisses mit der erklärten Risikobereitschaft und Risikotoleranz der Organisation.
- Empfehlung einer Reaktion (akzeptieren, mindern, übertragen oder vermeiden) und Begründung der Wahl anhand von Kosten und Restrisiko, nicht allein anhand technischer Präferenz.
- Gestaltung oder Spezifikation der Informationssystemkontrollen, die eine gewählte Reaktion umsetzen, und Festlegung der Indikatoren, die zeigen, ob sie tragen.
- Überwachung der wesentlichen Risikoindikatoren und Berichterstattung über die Restrisikoposition an Governance-Gremien in geschäftlichen Begriffen.
Der rote Faden, der sich durch all dies zieht, sind Verantwortung und Kommunikation. Bei CRISC geht es weniger darum, eine neue Schwachstelle zu entdecken, als vielmehr darum, zu entscheiden, was die Organisation tun sollte, sicherzustellen, dass jemand diese Entscheidung verantwortet, und über die Zeit zu belegen, dass das Restrisiko innerhalb der vereinbarten Grenze geblieben ist.
Frequently asked questions
01Wie unterscheidet sich CRISC von CISA?
CISA ist ein IT-Audit-Nachweis: Er belegt, dass Sie beurteilen können, ob Kontrollen wirksam gestaltet sind und funktionieren. CRISC ist ein Risiko-Nachweis: Er belegt, dass Sie IT-Risiko identifizieren, bewerten, darauf reagieren und es überwachen können und entscheiden, was die Organisation tun sollte. Viele Praktiker erwerben zuerst CISA und ergänzen dann CRISC, wenn sie vom Auditieren von Kontrollen zum Verantworten von Risiko übergehen.
02Brauche ich CRISC, wenn ich ISO 27005 oder ISO 31000 bereits kenne?
Nicht zwingend, denn der zugrunde liegende Risikoprozess ist derselbe. CRISC ergänzt das ISACA-Vokabular, eine Rahmung des Unternehmens-IT-Risikos und die Anerkennung bei Arbeitgebern, die sich auf ISACA statt auf ISO standardisieren. Beide zu besitzen erlaubt Ihnen, sich mühelos zwischen den beiden Referenzwelten zu bewegen.
03Wer verleiht CRISC?
CRISC wird von ISACA ausgestellt und gepflegt, demselben Berufsverband, der hinter CISA und CISM steht. Wie andere ISACA-Nachweise ist er mit einer Erfahrungsanforderung und laufenden Verpflichtungen zur Weiterbildung verbunden, um die Zertifizierung aufrechtzuerhalten.
04Ist CRISC eine technische oder eine Management-Zertifizierung?
Sie liegt zwischen beiden. Sie setzt voraus, dass Sie Informationssysteme und ihre Kontrollen verstehen, doch die Arbeit, die sie bestätigt, ist Risikomanagement und Entscheidungsfindung: Szenarien rahmen, Behandlung gegen Risikobereitschaft abwägen und das Restrisiko an das Geschäft berichten.