书名：CRISC考试复习手册（第6版）pdf/doc/txt格式电子书下载

推荐语：

作者：（美）国际信息系统审计协会（ISACA）著

出版社：电子工业出版社

出版时间：2019-11-01

书籍编号：30538570

ISBN：9781604207040

正文语种：中文

字数：234988

版次：6

所属分类：教材教辅-计算机类

版权信息

书名：CRISC考试复习手册（第6版）

作者：（美）国际信息系统审计协会（ISACA）

出版社：电子工业出版社

出版日期：2019-11-01

ISBN：9781604207040

版权所有 · 侵权必究

Authorized Ebook from the Chinese Language edition, entitled《CRISCTM考试复习手册（第6版）》, published by ISACA Global, Inc., Copyright © 2015 by ISACA.

All Rights Reserved.

CHINESE language edition published by Publishing House of Electronics Industry Co., Ltd, arranged by Beijing ISACA Information Technology Co., Ltd., Copyright © 2019 by Publishing House of Electronics Industry Co., Ltd.

ISACA^®

国际信息系统审计协会（ISACA，网址：isaca.org）为全球专业人士提供创新性、世界级的知识、标准、社群、认证和职业发展，协助其引领及适应不断向前发展的数字世界并树立信心。ISACA成立于1969年，是一家非营利的全球性协会，成员遍布180个国家，总数达到140 000人。ISACA还提供一套完整的网络安全资源Cybersecurity NexusTM (CSX)以及用于治理企业技术的业务框架COBIT^®。

此外，ISACA通过全球著名的注册信息系统审计师(Certified Information Systems Auditor^®, CISA^®)、注册信息安全经理(Certified Information Security Manager^®, CISM^®)、企业IT治理认证(Certified in the Governance of Enterprise IT^®, CGEIT^®)和风险及信息系统控制认证(Certified in Risk and Information Systems Control^TM, CRISC^TM)来提升和验证关键业务技能及知识。

免责声明

ISACA设计并编制了《CRISC考试复习手册（第6版）》，主要用作准备CRISC认证考试的考生复习资料。本手册与CRISC 考试以及CRISC 认证工作组是相互独立的，因此认证工作组不对其内容负责。过往的考题副本从未公开发放，试题亦未提供给ISACA制作本出版物使用。ISACA不声明或保证考生使用本书及其他协会出版物就可以通过CRISC考试。

保留权利

©2015 ISACA。保留所有权利。未经ISACA事先书面授权，本出版物中的任何部分均不得在检索系统中使用、复制、再版、修改、分发、显示和储存，或通过任何途径以任何形式（电子、机械、影印、录制或其他）传播。

ISACA

3701 Algonquin Road,Suite 1010

Rolling Meadows, IL 60008 USA

电话：+1.847.253.1445

传真：+1.847.253.1443

电子邮箱：info@isaca.org

网站：www.isaca.org

参加使用ISACA知识总汇：www.isaca.org/knowledge-center

在Twitter上关注ISACA：https://twitter.com/ISACANews

在LinkedIn加入ISACA：ISACA（官方），http://linkd.in/ISACAOfficial

在Facebook上喜欢ISACA：www.facebook.com/ISACAHQ

ISBN 978-1-60420-704-0

《CRISC考试复习手册（第6版）》

印刷地点：美国

CRISC是ISACA的商标/服务标记。此标记在全球各个国家/地区均已申请注册或已完成注册。

本手册第42页的图1.18由PCI Security Standards Council,LLC (“PCI SSC”)提供，受版权法保护。保留所有权利。PCI SSC 和其许可人均未对本手册、其提供商或者手册中包含的方法、程序、声明、看法、观点或建议做出认可。PCI SSC提供的文档材料或其部分内容的所有参考资料，不能误以为已获得PCI SSC实际材料的鉴定。如对这些材料有任何疑问，请通过网站https://www.pcisecuritystandards.org联系PCI SSC。

CRISC考试复习手册（第6版）

ISACA很高兴为您提供第6 版的《CRISC考试复习手册》。本手册的目的是为CRISC 考生提供信息和参考资料，以帮助考生准备和应付风险及信息系统控制认证(Certified in Risk and Information Systems Control^TM, CRISC)考试。

为了赶上风险识别、评估、应对、监控和报告以及信息系统(IS)控制的快速变化，《CRISC^TM考试复习手册》会定期更新。与之前的手册一样，第6 版也是众多资深权威人士共同努力的结果，他们慷慨地贡献了自己的时间和专业知识。我们对他们的付出表示由衷的感谢和崇高的敬意，并希望他们的努力能为CRISC考试复习手册的读者提供宝贵的学习价值。

我们欢迎您为本手册提供意见及建议。考试结束后，请您再花点时间完成在线调查问卷(www.isaca.org/studyaidsevalutation)。您的意见将对我们准备第7版《CRISC考试复习手册》提供宝贵的帮助。

手册中的例题是用来描述通常会在CRISC考试中碰到的题型并进一步阐明手册中的内容。CRISC考试是一种基于实务的考试。仅仅阅读本手册中参考材料对考生备考是不够的。自我评估题仅作指导作用。评分结果并不表示您将来能否通过考试。

认证已对许多职业产生了积极的影响，包括专业经验得到全球认可和强化知识及技能。风险及信息系统控制认证(Certified in Risk and Information Systems Control^TM, CRISC^TM)面向在风险识别、风险评估、风险应对、风险和信息系统控制监控与报告方面具有实际经验的IT人员和专业业务人员。ISACA祝愿您顺利通过CRISC考试。

致谢

这本《CRISC考试复习手册（第6版）》是众多志愿者共同努力的成果。ISACA遍布世界各地的成员参与了编写工作，慷慨地贡献他们的智慧和专业知识。这样的国际团队展示出的境界和无私精神正是这本ISACA手册所有贡献者的真实写照。衷心感谢他们的参与和见解。

特别感谢参与编写《CRISC考试复习手册》的James Samans，他是美国XENSHA LLC的CISA、CISM、CRISC、CISSP、CIPT和PMP。

校审专家

Alvaro Rodrigo Cayul，CISM、CRISC（智利）

Robert T. Hanson，CISA、CISM、CRISC，澳大利亚

Ken Hendrie，CISA、CISM、CGEIT、CRISC、GCIH、ITIL，PRINCE2，HackLabs，澳大利亚

Shawna M. Flanders，CISA、CISM、CRISC，Business-Technology Guidance Associates, LLC，美国

Sandra Fonseca，CISA、CISM、CRISC，波多黎各城市大学(UMET)

Ramaswami Karunanithi，CISA、CGEIT、CRISC、CA、CAMS、CBCI、CFE、CFSA、CGAP、CGMA、CIA、CMA、CPA、CRMA、CSCA、FCS、PMP，Prince2从业人员，澳大利亚新南威尔士政府

Shruti Shrikant Kulkarni，CISA、CRISC、CISSP、CPISI、CCSK、ITIL V3专家，Monitise Group Ltd，英国

Ravikumar Ramachandran，CISA、CISM、CGEIT、CRISC、CAP、CEH、CFE、CHFI、CIA、CIMA-Adv.Dip.MA、CISSP-ISSAP、CRMA、ECSA、FCMA、PMP、SSCP，Hewlett-Packard India Sales Pvt.Ltd，印度

Rahul Sharma，CISA、CISM、CRISC、CISSP，Bank of Montreal，加拿大

Darron Sun，CISA、CRISC、CISSP、CMA、CRMA，Manulife，中国香港

Jan van Prooijen，CISA、CRISC、CISSP，HP Enterprise Security Services，荷兰

Jonathan Waldo，CISA、CRISC，Prime Therapeutics LLC，美国

ISACA已经开始筹划第7版的《CRISC考试复习手册》。志愿者的参与将推动该手册取得成功。如果您有兴趣成为这一全球项目专家小组中的一员，请与我们联系。请发送电子邮件至studymaterials@isaca.org。

关于本手册

概述

《CRISC考试复习手册（第6版》是帮助考生准备CRISC考试的参考指南。本手册只是备考资源之一，不应将其当作唯一资源或视为通过该考试所需的所有信息和经验的全集。没有一种出版物具有这样的涵盖范围和详细程度。

当考生在阅读手册的过程中遇到新主题或发觉自身的知识和经验有限对新主题有困难时，应寻求其他参考。该考试的问题旨在测试考生的技术和实践知识，以及他们在特定情况下应用知识（基于经验）的能力。

本手册的结构

《CRISC考试复习手册（第6版）》分为四章，按以下比例述及考试中考查的每个CRISC领域：

注意：每章给出CRISC考生应当了解如何做的任务定义，同时包括完成相应任务所需的一系列知识点说明。这些内容构成了IT风险专业人员目前的实务。详细的CRISC工作实务请参见网站

www.isaca.org/criscjobpractice。考试以这些任务和知识点说明为基础。

编写及整理本手册的目的是为了帮助考生学习这些领域的知识。考生应根据本身的知识和经验，评估个人在上述各个领域的能力。

本手册的编排

本手册第一节介绍IT风险管理。

《CRISC考试复习手册（第6版）》共四章，每章分为两部分，以便集中学习。

第一部分是概述，内容如下：

·每个领域的定义

·每个领域的学习目标

·每个领域的任务和知识点列表

·模拟自我评估问题及答案与解析

·进一步学习参考资料

第二部分包含参考资料和执行任务所需的知识点说明。其包涵的有关资料有助CRISC认证考试的考生在知识面或理解上准备CRISC认证考试。

内容编排中以编号标识某主题所处的章节以及该章节中所述次主题（例如“1.3.1风险文化”是第1章中“1.3风险文化和沟通”的副主题）。副主题中的相关内容使用粗体字，以便引起注意。

对材料的理解是衡量考生知识、强项和弱项的晴雨表，并且向考生指出哪个领域需要寻找除本手册之外的参考资料。可是书本知识并不能替代经验。CRISC考试将着重测验考生对这些知识的实际应用能力。每章第一部分的自我评估问题帮助考生了解可能在CRISC考试碰到的CRISC问题，不应单纯将其作为一个知识来源来使用。自我评估问题不应被视为衡量考生能否在CRISC考试中正确回答相应领域问题的标准。这些练习题的目的是帮助考生熟悉问题结构，并不表示在CRISC考试中一定会碰到或一定不会碰到类似问题。参考资料包括可用于进一步了解和更好地掌握有关本手册所述主题详细信息的其他出版物。

手册末尾附有词汇表，其中包含适用于各章节材料的术语。另外还包含适用于未具体讨论的相关领域的术语。词汇表是手册中内容的扩展，以另外一种方式指示考生可能需要寻求附加参考的领域。

虽然我们尽全力做到述及考生应当了解的绝大部分信息，但本手册并不一定涵盖所有的考题，因此考生需要凭借专业经验提供最佳的答案。

本手册中“协会”是指ISACA，其正式名称为信息系统审计与控制协会，“研究院”或“ITGI^®”是指IT治理研究院(IT Governance Institute^®)。另请注意，本手册采用标准美式英文编写（中文翻译以简体发行）。

注意：《CRISC考试复习手册（第6版）》是随时更新的文档。随着信息系统控制中IT相关业务风险管理领域的不断演变，本手册将不断更新以反映这些变化。要得悉本文档在考试日期之前的进一步更新，请浏览www.isaca.org/studyaidupdates。

本手册的评价

ISACA始终密切关注对信息系统风险专业有深远影响的专业知识、技术和环境等方面的迅速发展。鉴于这些领域的迅速发展，《CRISC考试复习手册》每年都会进行更新。

为帮助ISACA始终走在发展的前沿，恳请您花费一点时间评估《CRISC考试复习手册（第6版）》。您的反馈对于我们全面服务专业人士和未来的CRISC考生极为宝贵。

要进行在线评估，请访问www.isaca.org/studyaidsevaluation。

感谢您的支持与帮助。

关于《CRISC复习考题及解答手册》

考生也许希望能够凭借《CRISC复习考题及解答手册（第4版）》来提高学习成绩和准备考试。

《CRISC复习考题及解答手册（第4版）》从目前CRISC工作实务领域中编选出500道包含答案、解析的选择题。本手册中的问题在《2015年CRISC复习考题及解答手册》以及《2015年CRISC复习补充考题及解答手册》中出现过。

本手册中的问题代表着考试中可能出现的考题类型，并对正确答案和错误答案分别作了解析。问题按CRISC领域分类，作模拟考试使用。这些出版物最好结合《CRISC考试复习手册（第6版）》使用。这些手册可作为考生在整个学习过程中的其中一个学习资源，或可作为最后复习时的其中一环，从而判断自己是否需要额外的学习。请大家注意这些问题和参考答案应视为范例；并非真实试题，且可能与实际考试中出现的问题在内容上有出入。

关于CRISC复习考题及解答数据库

另一个可用的辅导材料是CRISC^TM考题及解答数据库-12个月订阅期。此联机数据库涵盖《CRISC复习考题及解答手册（第4版）》中的500道问题和答案解析。藉此辅导材料，CRISC考生可以随意选答不同长度的模拟试卷，查看在不同领域的作答成绩，从而确定自己在各领域的强项和弱项。模拟试卷亦可选择单一领域从而进行重点学习，另外还有一些其他分类功能，如筛选之前答对的题目等。

注意：使用CRISC复习材料准备考试时应注意，这些材料涉及的IT相关业务风险和信息系统控制问题范围甚广。再次请考生注意，不要认为阅读完这些手册及解答复习题后便已充分做好应试准备。由于实际试题常常与实践经验有关，因此考生应参考自身经验和其他参考资源，并借鉴已获得CRISC资格认证的同事及他人的经验。

IT风险管理简介

IT风险管理简介

风险的定义随着时间而变化，目前有多个定义在使用。它们最终表达的是同一种含义：风险是事件发生概率与其结果的组合。此定义故意描述得很宽泛，因为风险是一种可能产生正面和负面影响的业务因素。在IT环境中，风险通常被视为可能威胁组织资产或造成损害的不利因素。评估风险时要考虑多个因素，包括组织的使命及其资产、威胁和漏洞、可能性和结果（也称为影响）。这些术语将在本考试复习手册的每一章进一步探讨。

治理和风险管理

治理是组织资产保护责任制。在公司结构中，组织的董事（通常组成董事会）负责治理和委托高级管理层团队按照董事会批准的战略要求管理组织的日常运营。合作与合伙型组织中的安排类似，可能名称不同。

治理适用于组织的所有部门。它可能采用不同的形式：财务责任制和监督、运营效力、法律和法规合规、公平劳动实践的采用、IT投资的社会责任和治理、运营及控制。风险管理是治理的重要部分。经理需要有准确的信息才可正确了解风险，并处理指示需要缓解风险的情况。

过去十年来，“治理”一词已成为商业思维中的热门词汇，比如一方面用来证明良好治理的重要性，另一方面证明治理不当带来的全球商业灾难。公司治理是用于评估、指导和控制组织的系统。含蓄点讲，IT的公司治理是用于评估、指导和控制IT当前及未来使用的系统。任何治理系统的目标都是帮助组织为其利益相关方创造价值或促进价值的创造。价值创造反过来又包含效益的实现、风险的优化和资源的优化。风险优化是任何治理系统的重要组成部分，不能单独从效益实现或资源优化的角度孤立看待。

治理回答四个问题：

1.我们是否在做正确的事？

2.我们是否在以正确的方式做这些事？

3.我们是否能很好地完成这些事？

4.我们是否会获得效益？

治理与管理之间有明确的区分。管理注重于计划、构建、运行和监控活动与治理机构制定的方向保持一致，通过实现目标来创造价值。一家管理有方的组织若治理不当，将会创建并执行明确、有效的计划，结果却无法实现创造价值的目标。类似地，风险管理可预见实现目标所面临的挑战，并且会尝试降低负面结果出现的可能性和/或其影响（如果它们发生的话），但风险管理的有效性主要取决于负责风险治理的经理的决策。

图0.1概述了风险治理结构。

图0.1-风险治理

有效的风险治理可帮助确保风险管理实务嵌入企业中，使其实现最佳的风险调整后收益。

图0.2所述为风险治理的四个主要目标。

图0.2-风险治理目标

IT风险管理环境

风险管理定义为就相关风险对企业进行指导和控制的协调活动。简单来讲，风险可视为实现目标而面临的挑战，风险管理可视为预测挑战以及降低其发生概率和/或影响而需要执行的活动。有效的风险管理也可有助于最大限度地利用机会，风险从业人员应始终记住风险的这种优/劣二元性。例如，如果抓住机会比起放弃机会时会错失效益，可能会做出能取得潜在效益的风险决策。

风险的双重性质是业务和IT 在不同环境中使用的结果，但不一定容易区分。国际标准化组织(ISO) 的ISO 31000:2009风险管理原则和指南将风险称为“不确定性对目标的影响。影响与预期的偏差—正面和/或负面。”但ISO/IEC 27005:2011信息技术-安全技术-信息安全风险管理只从负面角度看待风险，表示“信息安全风险是特定威胁利用一项或一组资产的漏洞对组织造成损害的潜在可能性。”能够从两个角度有效看待风险的风险从业人员可能会发现，他们能够更轻松地与业务及IT专业人员讨论风险，而不会造成困惑。

风险管理从了解组织开始，但风险从业人员应记住，组织的运作会受到外部环境或其经营环境的重要影响。评估组织的环境包括评估威胁的意图和能力；资产或资源的相对价值以及必须对它们实施的管控；可能被利用来拦截、中断、修改或伪造信息资产中数据的漏洞的存在性和影响范围。其他必须考虑的因素包括：

·组织对供应链的依赖性，特别是在世界其他地区的供应链，或者对及时交付的依赖。

·财务、债务和合作伙伴或实质性利益相关方的影响

·经济或政治情况发生变化所产生的漏洞

·市场趋势和模式的变化

·新的竞争格局的出现

·新法律的影响

·潜在自然灾难的存在性

·旧系统和过时的科技造成的约束

·紧张的劳资关系和僵化的管理

组织的战略将推动组织的各个业务线，而每条业务线将会推动支持其业务职能的信息系统建设。图0.3说明IT风险如何与组织整体风险相关。

图0.3-风险层次结构中的IT风险

资料来源：ISACA，The Risk IT Framework，美国，2009年

与图0.3所示类别对应的具体风险示例包括：

·战略：客户偏好或利益相关方偏好的变化，高管更换。

·环境：受保护资产被污染或造成混乱。

·市场：汇率、商品和原材料的供应状况。

·信贷：利率、活期贷款、组织承保的资产所受的损害。

·运营：员工错误、欺诈、盗窃。

·合规：不遵守监管要求，不准确的记录。

· IT效益/价值应用：交付的项目无法创建预期价值。

· IT计划和项目的交付：项目未按照计划交付。

· IT运营和服务交付：交付的服务不符合服务等级协议(SLA)。

风险是一个影响因素，必须在组织的所有层级评估—战略层级、业务部门层级和信息系统层级。管理得当的风险框架可解除各层级风险的影响，描述一个层级的风险同时如何影响其他层级。

IT风险管理计划有几个重要部分。不同的风险管理方法使用略微不同的术语来描述IT风险管理的组件。我们没有预期CRISC考生熟悉每种方法的详细内容，但他们应熟悉与IT风险管理相关的一般概念和流程。

IT风险管理是指实施反映组织管理文化、偏好和容忍度的风险战略；考虑技术和预算；以及解决法规和合规要求。有效的IT风险管理战略对于组织能否有效地执行其整体业务战略至关重要。

IT风险管理是一个周期性流程。IT风险管理流程的第一步是识别IT风险，其中包括确定风险情景和风险框架，以及识别和记录风险的过程。风险识别工作应产生风险列表和文档，作为流程下一阶段（IT风险评估）的依据信息。评估风险并确定其优先级可为管理层提供风险应对及缓解（周期的第三阶段）所需的数据，以寻求和实施具有成本效益的方式来解除已经识别和评估的风险。最后一个阶段是风险和控制监控与报告，此阶段将监控实施的控制、风险管理工具及当前风险状况，然后将结果报告反馈至高级管理层。此流程随着风险环境的变化而重复，可能是内部或外部因素的结果。

图0.4所示为周期性IT风险管理流程。

图0.4-IT风险管理生命周期

IT风险管理流程基于所有元素的完整周期。不以完整而全面的方式执行其中任何一个阶段都可能导致下一个阶段有缺陷，从而造成整个流程的低效。与所有生命周期一样，此流程也要不断优化、调整并注重持续改进和成熟。风险管理生命周期重复的频率越高，IT风险管理工作就越有效，组织看到其获取的结果就越一致。

IT风险管理的重要性

IT风险管理对组织很重要，因为它可提供有形的效益，包括：

·更好地监督组织资产。

·减少或最小化损失。

·主动识别威胁、漏洞和结果。

·确定风险应对措施的优先级，使之符合组织的目标和优先级。

·合法和合规的一致性基础与方法论。

·提高项目成功的可能性。

·绩效改善，增强利益相关方的信心。

·创建风险意识文化，减少对专业人士的依赖。

·优化事故管理和业务持续管理。

·通过更好的监控和报告改善控制。

·因扩展了对准确、及时信息的访问而改进了决策流程。

·强化实现业务目标和创造价值的能力。

主要风险概念

风险可从定量或定性方面论述，不同来源的风险具体定义不同。但风险的基本性质是它能解决某些事件发生的概率（概率或可能性），以及事件发生时对组织意味着什么（结果）。及早尝试定义观察到某事发生概率的风险是两点的组合：某事是否受到攻击尝试（威胁）以及尝试目标是否容易受到攻击尝试（漏洞）。

当风险研究成熟时，风险从业人员开始区分影响描述以及其受到组织价值创造活动影响的程度（影响）。现在通常要区分不同类型的威胁，根据它们可能影响的具体组织资产进行评估，同时评估这些资产中可能被利用而对资产造成结果的个别弱点（漏洞）。从组织中如何使用这些资产的角度来看，可以从生产力损失及其他特定价值指标来量化影响，使用此方法的原因有两个：

1.经理设定其愿意承受的损失总价值（风险偏好）更容易，而从十几个或更多不同的运营领域来确定结果或不可接受的结果更难。

2.了解与风险相关的潜在损失可为决定如何应对超过可接受水平的风险提供基础，因为，所需成本超过风险影响的风险应对措施没有意义。

风险示例：

考虑干旱林地的房屋；无论用来建造房屋的建筑材料是什么（例如木头或砖石），火灾始终是一个威胁。林地发生火灾的概率与房屋烧毁的概率不同。第二个实例，我们考虑建筑材料。木房更易遭受火灾；砖屋就不会。因此，对于同样的威胁（起火），影响的可能性根据漏洞而有所不同。

然后，房屋毁坏是一种潜在的结果。如果有人住，影响则是里面住的人暂时无家可归，临时住宿和随身衣物是即时成本。在这些情况下，采取足以解除此影响的预防措施很重要，例如为房屋购买火灾险或者安装消防系统，但雇用全职消防员每天巡视房屋则是不合理的，因为消防员的成本会超过影响的成本。不过，如果房屋无人居住，已经废弃，那么结果就没有负面影响，也就无须采取预防措施。

风险的主要概念将在本考试复习手册中的各种情景中论述。没有深刻理解这些术语的人常常互换使用它们，但这样可能

....