Risikomanagement (CRISC)

Die neueste Aktualisierung des ISACA-Berufsbildes.

Artikel erschienen in Swiss IT Magazine 2021/09

     

Eine der grossen Stärken der ISACA-Zertifikate CISA (IT-Revision), CISM (Informationssicherheitsmanagement), CGEIT (IT-Governance), CRISC (IT-Risikomanagement) und neu wohl auch CDPSE (Datenschutzlösungsbau) ist, dass diese Zertifikate alle paar Jahre an effektive und vermeintliche Änderungen der Berufstätigkeiten angepasst werden.

Jede Anpassung freut und ärgert mich gleichzeitig: Toll ist, dass die Zertifikatsanforderungen regelmässig an die aktuelle Realität angepasst werden. Persönlich nerven mich die Änderungen der Berufsbilder manchmal auch ein wenig, weil ich deswegen mit einem teils riesigen Aufwand meine entsprechenden Kurse anpassen muss. So ist mir immer noch gut in Erinnerung, dass ich bei der dritten Anpassung des CISA-Berufsbildes über 1’000 Arbeitsstunden investieren «durfte» – das ist aber ein extremes Beispiel.


Als nettes Weihnachtsgeschenk bekamen wir Ende 2020 von ISACA die Nachricht, dass das CRISC-Berufsbild auf 2021 aktualisiert würde. Nach mehreren Verschiebungen gilt die neue Version ab dem 1. August 2021. Das Hin und Her macht einem die Tätigkeit als ISACA-Kursanbieter nicht wirklich einfacher – zumal die eigentlichen Ausbildungsblöcke unserer Zertifikatskurse seit Jahren jeweils im Sommer laufen und die angekündigte CRISC-Änderung mitten im Kurs erfolgte. Tröstlich ist immerhin, dass wir bis zum Prüfungsvorbereitungskurs im Herbst noch ein paar Wochen für die notwendigen Kursumbauten Zeit haben ;-)
Nun – was ist den anders? Die seit 2015 geltende Version des CRISC-Berufsbildes hat vier eng voneinander abhängige «Domains» wie 1: Risikoidentifikation, 2: IT-Risikobewertung, 3: Risikoantwort und -verminderung sowie 4: Risiko- und Kontroll-Überwachung und Berichterstattung. Wenn man das neu gültige CRISC-Berufsbild ansieht, dann sind etwa die Hälfte der dort aufgeführten Aufgaben komplett anders – vor allem im grösstenteils neuen Kapitel 1 «Governance» sowie im vollständig neuen Kapitel 4 «Information Technology and Security». Auf den ersten Blick sieht das wieder einmal nach seeeeeehr viel Arbeit aus!

Das neue Kapitel 1 (Organizational Governance) umfasst einerseits übergeordnete organisatorische Aspekte wie Richtlinien, Standards, Geschäftsprozesse oder der Umgang mit Assets; zudem übergeordnete Risikomanagement-Grundsätze wie das entsprechende Risikomanagement-Framework, das (eigentlich etwas veraltete) «Three Lines of Defense»-Modell, rechtliche und regulatorische Anforderungen an das Risikomanagement oder zentrale ethische Grundprinzipien.


Domain 2 (IT Risk Assessment) und 3 (Risk Response & Reporting) umfassen die wesentlichen Inhalte der früheren Domains 1 bis 3 (IT Risk Identification, IT Risk Assessment, IT Risk Response and Mitigation), wobei es hier einige interessante Ergänzungen z.B. in Bezug auf den Umgang mit Drittparteien-Risiken, mit Ausnahmen oder den aufkommenden Risiken (Ermerging Risk) gibt.

Praktisch vollständig neu ist das Kapitel 4 (Information Technology and Security), das sich intensiv auseinander setzt mit übergeordneten «Technologie-Prinzipien» wie z.B. Enterprise Architecture, Projektmanagement, Data Lifecycle Management und «Sicherheits-Prinzipien» wie z.B. Informationssicherheits-Frameworks, Security Awareness Training, Business Continuity Management oder Data Privacy and Data Protection Principles.

Das aktuelle CRISC-Berufsbild umfasst neu auch wichtige zentrale Fragestellungen, welche bis anhin ausschliesslich im CISA-Berufsbild enthalten waren (primär die oben erwähnten Technologie-Prinzipien) oder im 2020 erstmals veröffentlichten CDPSE-Berufsbild aufgeführt sind, das sich an den «Data Privacy Solution Engineer» richtet. Mit diesen Aktualisierungen wird die Realität in der Geschäftswelt besser abgebildet; CRISC ist damit deutlich attraktiver geworden.


Nehmen Sie doch an einem CRISC-­Kurs teil – Sie können diesen ab 1. Februar 2022 als eigenständigen Ver­tiefungskurs oder als modularen Up­grade-­Kurs von einem der anderen ISACA-­Zertifikate CISA, CISM, CGEIT oder CDPSE besuchen. Schauen Sie mal rein: Bei www.isaca.ch finden Sie zentrale Informationen über den schweizerischen Berufsverband und die akkreditierten Ausbildungsanbieter und bei www.isaca.org Wichtiges über die internationalen Zertifikate wie CISA, CISM, CGEIT, CRISC und CDPSE sowie internationalen Frameworks und Standards wie z.B. COBIT.

Die 5 wichtigsten ISACA-Zertifikate im Vergleich

Der/die
- CISA prüft (IT-) Systeme und bestätigt deren Korrektheit (ca. 160’000 Zertifizierte)

- CISM entwirft, implementiert und betreibt ein Informationssicherheitsmanagement­system (ca. 50’000 Zertifizierte)

- CGEIT steuert alle Aspekte der IT aus Unternehmenssicht (8’500 Zertifizierte)

- CRISC managt ein vernünftiges Verhältnis zwischen Risiken und Kontrollen (28’000 Zertifizierte)

- CDPSE hilft, bei der Anwendungsentwicklung die Datenschutz-Anforderungen umzusetzen (2020 neu veröffentlicht; noch keine Zahlen)

Der Autor

Peter R. Bitterli, CISA, CISM, CGEIT, CRISC, CDPSE


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Aus welcher Stadt stammten die Bremer Stadtmusikanten?
GOLD SPONSOREN
SPONSOREN & PARTNER