这张认证到底考什么
先把考试形式、适合人群、备考时长和学习范围讲清楚,再决定要不要投入时间。
认证概述
ISACA Certified in Risk and Information Systems Control(CRISC)是全球 IT 风险管理领域最权威的专业认证。该认证验证持证者在企业 IT 风险识别、评估、应对及信息系统控制设计与监控方面的综合能力。CRISC 持证者平均年薪超过 $151,000 USD,在金融、医疗、政府等受监管行业备受重视。
考试内容领域(2025 年更新版)
- Domain 1 - 治理(Governance):约 26%——企业 IT 风险治理框架、风险偏好与风险容忍度、监管合规要求、风险文化建设
- Domain 2 - IT 风险评估(IT Risk Assessment):约 22%——风险识别、威胁与漏洞分析、风险分析方法(定性/定量)、风险场景建模
- Domain 3 - 风险响应与报告(Risk Response and Reporting):约 32%——风险应对策略(接受/转移/降低/规避)、控制设计与实施、风险指标(KRI)、管理层风险报告
- Domain 4 - 信息技术与安全(Information Technology and Security):约 20%——IS 控制目标、IT 基础架构安全、变更管理、IT 审计协作
适合人群
- IT 风险经理、合规经理与信息安全分析师
- IT 审计师希望扩展至风险管理领域的专业人员
- 金融、医疗、政府等受监管行业的 IT 专业人员
你会反复碰到的核心服务
IT 风险识别与威胁/漏洞分析定性与定量风险评估方法风险应对策略(接受/转移/降低/规避)关键风险指标(KRI)设计与监控信息系统控制设计与实施企业 IT 风险治理框架风险登记簿管理与管理层报告
学完以后你能带走什么
- 深入掌握 CRISC 四大领域:治理、IT 风险评估、风险响应与报告、信息技术与安全
- 具备设计和实施企业 IT 风险管理框架的实战能力
- 掌握通过 CRISC 考试(150 题 / 450 分通过)所需的全部核心知识
- 为 IT 风险经理、合规经理等高薪职位奠定认证资质基础
考试详情
考试代码
CRISC
发证机构
其他认证机构
时长
90 分钟
题目数
65 题
及格分
70/100
有效期
3 年
适合谁考
适合人群
- IT 风险经理、合规经理与企业风险管理专员
- IT 审计师希望扩展风险管理与信息系统控制能力的专业人员
- 金融、医疗、政府等受监管行业中负责 IT 风险的专业人员
开始前最好先有
- 考试本身无前置条件限制,任何人均可报考
- 获得认证需 3 年以上 IT 风险管理与 IS 控制工作经验
- 建议具备基本的信息安全或 IT 审计知识背景
备考节奏
有 AWS 实操经验
8-10 周
零基础切入
12-16 周
建议日投入
1-2 小时/天
学习路径预览
3 章1
CRISC 考试概述与 IT 风险管理框架
40 min2
四大领域核心知识精讲
120 min3
考前冲刺与模拟考试
100 min同赛道认证对比
| CRISC | CCDAK | CCFA | |
|---|---|---|---|
| 机构 | 其他 | 其他 | 其他 |
| 级别 | 专业级 | 助理级 | 专业级 |
| 考试费 | $0 | $150 | $300 |
| 时长 | 90 min | 90 min | 90 min |
| 题量 | 65 | 60 | 60 |
| 有效期 | 3 年 | 2 年 | 3 年 |
备考技巧与常见失误
💡
65 题 90 分钟,平均每题 1 分钟,合理分配时间
💡
及格分 70/100,不确定的题先标记跳过,回头再做
💡
排除法非常有用 — 先排掉明显错误的选项,剩下的再分析
⚠️
没有读完所有选项就选答案 — 题目经常有"最佳"答案和"正确但不最佳"的干扰项
⚠️
备考只刷题不理解原理 — 考试场景题需要理解底层概念
⚠️
忽略时间管理 — 在难题上卡太久,导致后面简单题没时间做