.png)
26% 领域1 - 企业IT治理
领域1检验您对企业及其IT环境、组织战略、目标和目的的了解,并审查IT风险对组织业务目标与运营的实际或潜在影响,包括企业风险管理及风险管理框架。
A-组织治理
- 组织战略、目标与目的
- 组织架构、角色与职责
- 组织文化
- 政策与标准
- 业务流程
- 组织资产
B-风险治理
- 企业风险管理与风险管理体系
- 三道防线
- 风险状况
- 风险偏好和风险容忍度
- 法律、监管及合同要求
- 风险管理的职业道德
20% 领域2 - IT风险评估
这一领域将证明您对组织人员、流程和技术所面临的威胁和漏洞,以及各类威胁、漏洞和风险场景的可能性及影响程度的理解。
A-IT风险识别
- 风险事件(例如:促成条件、损失结果)
- 威胁建模与威胁环境分析
- 漏洞及控制缺陷分析(如根本原因分析)
- 风险情景开发
B-IT风险分析和评估
- 风险评估概念、标准与框架
- 风险登记
- 风险分析方法论
- 业务影响分析
- 固有风险与剩余风险
32% 领域3 - 风险应对和报告
该领域涉及在关键利益相关者之间制定和管理风险处理计划,评估现有控制措施并改进其对IT风险缓解的有效性,以及向相关人员传达有关风险与控制信息的评估结果。
A-风险相应
- 风险处理/风险应对策略
- 风险与控制权责归属
- 第三方风险管理
- 问题、发现及例外情况管理
- 新兴风险的管理
B-风险控制与报告
- 风险处理计划
- 数据收集、整合、分析与验证
- 风险及控制监控技术
- 风险和控制报告技术(如热力图、记分卡、仪表板)
- 关键绩效指标(KPIs)
- 关键风险指标(KRIs)
- 关键控制指标(KCIs)
C-控制设计与实施
- 控制类型、标准与框架
- 控制设计、选择与分析
- 控制实施
- 控制测试及效果评估
30% 领域4 - 信息技术和安全
在这一领域,我们将审查业务实践与风险管理及信息安全框架和标准的契合度,同时关注风险意识文化的建立以及安全意识培训的实施。
A-信息技术原则
- 企业架构
- IT运营管理(例如:变更管理、IT资产、问题管理、事件管理)
- 项目管理
- 灾难恢复管理(DRM)
- 数据生命周期管理
- 系统开发生命周期(SDLC)
- 新兴技术
B-信息安全原则
- 信息安全概念、框架与标准
- 信息安全意识培训
- 业务连续性管理
- 数据隐私及数据保护原则
支持下列任务
支持下列任务:
- 确定影响组织信息安全策略的内部和外部因素。
- 收集并审查有关组织业务和IT环境的现有信息。
- 识别IT风险对组织业务目标与运营的实际或潜在影响。
- 识别威胁组织人员、流程和技术的风险和漏洞。
- 评估威胁、漏洞和风险以确定IT风险场景。
- 通过分配和验证适当的风险及控制权责归属来建立责任机制。
- 建立并维护IT风险登记册,并将其纳入企业整体风险轮廓中。
- 协助关键利益相关者识别风险偏好和风险容忍度。
- 通过参与安全意识培训的开发与实施,推动风险意识文化的发展。
- 通过分析IT风险场景及其可能性和影响程度进行风险评估。
- 确定现有控制措施的当前状态,并评估其在减轻IT风险方面的有效性。
- 审查风险分析和控制分析的结果,评估IT风险环境当前状态与期望状态之间的差距。
- 协助关键利益相关者选择推荐的风险应对策略。
- 与风险所有者合作制定风险处理计划。
- 与控制所有者协作,就控制的选择、设计、实施和维护展开合作。
- 验证风险响应是否已按照风险处理计划执行。
- 定义并建立关键风险指标(KRIs)。
- 监控并分析关键风险指标(KRIs)。
- 与控制所有者合作识别关键绩效指标(KPIs)和关键控制指标(KCIs)。
- 监控并分析关键绩效指标(KPIs)和关键控制指标(KCIs)。
- 审查控制评估结果,以确定控制环境的有效性和成熟度。
- 向适用的利益相关者报告相关风险和控制信息,以便基于风险做出决策。
- 评估业务实践与风险管理及信息安全框架和标准的一致性。
