What is the ISACA CRISC exam format and passing criteria?

The CRISC exam contains 150 multiple-choice questions with a 4-hour time limit. Scored out of 800 with 450 needed to pass. Exam fee: ISACA members $575 USD, non-members $760 USD. The exam is delivered through PSI test centers or online remote proctoring. CRISC is one of ISACA's four core certifications, focusing on IT risk management and information systems control, and is one of the most authoritative certifications in this field.

What knowledge domains does the CRISC exam cover?

Four exam domains: (1) IT Risk Identification (~27%): identifying IT risk scenarios, assessing threats and vulnerabilities, risk register management; (2) IT Risk Assessment (~28%): risk analysis methods, impact analysis, risk assessment frameworks; (3) Risk Response and Reporting (~23%): risk response strategies, risk mitigation, management reporting; (4) Information Technology and Security (~22%): IS control design, implementation, and monitoring.

What qualifications are needed to take the CRISC exam?

There are no prerequisites to sit for the exam — anyone can register. However, to earn the CRISC certification (not just pass the exam), you need: (1) pass the CRISC exam; (2) at least 3 years of work experience in IT risk management and IS control (with at least 1 year in Domain 1 or Domain 2); (3) adherence to ISACA's Code of Professional Ethics; (4) agreement to Continuing Professional Education (CPE) requirements.

How does CRISC differ from CISA and CISM?

CISA focuses on information systems auditing, CISM focuses on information security management, and CRISC focuses on IT risk management and control. The three complement each other: CISA suits auditors, CISM suits security managers, and CRISC suits risk management specialists. If your work centers on identifying and managing IT risks and designing controls, CRISC is the best choice. Many professionals hold two or more ISACA certifications.

What is the study strategy for the 1412+ practice questions?

We recommend a phased approach: Phase 1 (2-3 weeks) — study by domain, completing domain-specific questions and summarizing weak areas; Phase 2 (2-3 weeks) — focus on incorrect answers and weak domains; Phase 3 (1-2 weeks) — take mock exams simulating the real 4-hour exam environment. With 1412 questions, you don't need to complete all of them — focus on understanding the risk management principles behind each answer. The AI tutoring feature helps precisely identify weak areas.

What is the career value of CRISC certification?

CRISC is one of the highest-paying certifications in IT risk management. Certified professionals earn an average annual salary exceeding $151,000 USD (per ISACA salary surveys). Suitable roles include IT Risk Manager, Compliance Manager, Information Security Analyst, and IT Audit Manager. CRISC is particularly valued in regulated industries such as finance, healthcare, and government. Certification requires 20 hours of CPE annually and 120 hours over 3 years.

其他专业级🔒 安全

ISACA Certified in Risk and Information Systems Control (CRISC)

ISACA CRISC 认证验证您在 IT 风险识别、评估、响应与信息系统控制领域的专业能力，是 IT 风险管理领域含金量最高的认证之一。

Start Practice Browse Learning Path

Exam Fee

Questions

90m

Exam Duration

70/100

Passing Score

Bottom line · It depends

ISACA 所有证里薪资最高的一张 — IT 风险管理 / GRC 路线的金字招牌，但纯技术安全工程师考它不如 CISSP + OSCP 组合。

MEMBERSHIP

JR Academy Membership

Unlock all certifications, courses & tools at a fraction of the cost

All certification exam prep included
Course discounts up to 50%
AI tools & Chrome extensions
Priority 1-on-1 coaching

View Membership Plans

What this certification covers

This page is structured for quick scanning first: exam format, fit, prep time, and the actual study scope.

Certified in Risk and Information Systems Control（CRISC）是 ISACA 2010 年推出的 IT 风险管理认证，定位很窄也很清晰 — 它只给专门做 IT 风险识别、评估、响应和监控的人。全球持证人数约 3.5 万，比 CISA（15 万）和 CISM（7 万）都少，但根据 ISACA 自己的 Pay Index，CRISC 是四张 ISACA 证里薪资中位数最高的，约 USD 151,000+，在金融、保险、医疗、政府等受监管行业里是 Risk Manager、GRC Lead 岗位的硬门槛。

CRISC 跟 CISM / CISA 的最大区别不是"技术深度"，而是"职能方向"：

CISA 查账 — 你是审计师，检查别人的 IT 控制做得对不对
CISM 管安全 — 你是安全经理，制定 policy 带团队护公司
CRISC 管风险 — 你是风险经理，识别哪些 IT 风险可能让公司赔钱，决定买保险、加控制还是接受

这是一条非常清晰的 "GRC（Governance, Risk, Compliance）" 路线。持 CRISC 的人日常工作通常在 risk register 上盘旋 — 和业务部门开会识别新风险、给每个风险算 likelihood × impact、决定用什么控制、写 KRI 给董事会看、跟踪 residual risk 是否在 risk appetite 内。

四大考试领域（2021 新版考纲权重）

| Domain | 权重 | 核心内容 | |--------|------|---------| | 1. Governance | 26% | 企业治理、风险偏好、风险文化、监管合规（SOX/GDPR/HIPAA/APRA） | | 2. IT Risk Assessment | 20% | 威胁/漏洞识别、定性 vs 定量分析、风险场景建模 | | 3. Risk Response and Reporting | 32% | 风险处置四策略、控制设计、KRI、向管理层汇报 | | 4. Information Technology and Security | 22% | IS 控制、IT 基础架构、变更管理、业务连续性 |

注意 Domain 3 占 32% — 考试大半压在"你如何响应风险 + 如何向高管汇报"。很多人复习时花太多时间在 Domain 1 的框架术语上，到考场发现根本没考那么多理论题，全是场景判断题。

考试格式与费用

150 题 / 4 小时 / 线性考试（不是 CAT）
200-800 scaled score，450 分通过（原始正确率约 70%+ 才稳）
ISACA 会员 $575 USD / 非会员 $760 USD（年费 $135，第一次考试通常先入会更划算）
PSI 考试中心或在线远程监考

认证要求（考过 ≠ 持证）

这是 CRISC 最容易被忽视的坑 — 考过只是拿到"通过考试"的资格，要真正持证还需要：

3 年带薪全职 IT 风险管理 / IS 控制经验
其中至少 1 年必须在 Domain 1（Governance）或 Domain 2（Assessment） 的 task 里
经验不能用学历 / 其他证书抵扣（这点比 CISM 更严）
由直线经理或 CRISC 持证人签字证明
考试成绩 5 年内有效，可以先考后补经验

维护成本（终身）

每年至少 20 CPE、3 年 120 CPE
每年 $45（会员）/ $85（非会员）AMF（Annual Maintenance Fee）
必须遵守 ISACA Code of Professional Ethics

CRISC vs CISA vs CISM vs CISSP 四证对比

| 维度 | CRISC | CISM | CISA | CISSP | |------|-------|------|------|-------| | 颁发 | ISACA | ISACA | ISACA | ISC2 | | 定位 | IT 风险管理 | 安全管理 | IT 审计 | 安全全栈 | | 经验 | 3 年风险 | 5 年（3 年管理） | 5 年审计 | 5 年（2 CBK） | | 费用 | $575/$760 | $575/$760 | $575/$760 | $749 | | 题量 | 150 / 4h | 150 / 4h | 150 / 4h | 100-150 CAT | | 技术深度 | 低 | 低 | 中 | 中 | | 薪资中位 | $151k | $162k | $149k | $158k | | 持证人 | 约 3.5 万 | 约 7 万 | 约 15 万 | 约 16 万 |

一句话选证：想走 Risk & GRC → CRISC；想走 CISO / 安全管理 → CISM；想走 IT Audit → CISA；想做 Security Architect / 全栈 → CISSP。CRISC 和 CISA 在 GRC 领域经常"双证搭配"出现，是 Big 4 Risk Advisory 的 senior manager 标配。

You will work with

IT 风险识别与威胁/漏洞分析定性与定量风险评估方法风险应对策略（接受/转移/降低/规避）关键风险指标（KRI）设计与监控信息系统控制设计与实施企业 IT 风险治理框架风险登记簿管理与管理层报告

After preparation

深入掌握 CRISC 四大领域：治理、IT 风险评估、风险响应与报告、信息技术与安全
具备设计和实施企业 IT 风险管理框架的实战能力
掌握通过 CRISC 考试（150 题 / 450 分通过）所需的全部核心知识
为 IT 风险经理、合规经理等高薪职位奠定认证资质基础

Exam details

Exam Code

CRISC

Provider

其他认证机构

Duration

90 minutes

Question Count

65 questions

Passing Score

70/100

Validity

3 years

Exam Fee

$0 USD

Question Types

single-choice, multiple-choice

Languages

English

Official Page

Open AWS page

Who should take it

Good fit

IT 风险经理、合规经理与企业风险管理专员
IT 审计师希望扩展风险管理与信息系统控制能力的专业人员
金融、医疗、政府等受监管行业中负责 IT 风险的专业人员

Before you start

考试本身无前置条件限制，任何人均可报考
获得认证需 3 年以上 IT 风险管理与 IS 控制工作经验
建议具备基本的信息安全或 IT 审计知识背景

Is it worth it? Career value

Salary ranges, target job titles, and the real career impact of holding CRISC.

澳洲

$150K-220KAUD

美国

$135K-205KUSD

中国

¥400K-900KCNY

新加坡

$115K-185KSGD

IT Risk ManagerCyber Risk LeadGRC ManagerGovernance Risk and Compliance AnalystOperational Risk ManagerThird Party Risk ManagerInformation Security Risk AnalystIT Audit Risk SpecialistEnterprise Risk ManagerRisk and Controls LeadIT 风险经理网络风险负责人GRC 合规经理

CRISC 是 ISACA 薪资最高的一张证

根据 ISACA 2024 Pay Index 和 PayScale 2026 数据，CRISC 持证人全球薪资中位数约 USD 151,000，在受监管行业（金融、保险、医疗、政府）里普遍比非持证同行高 15-25%。PayScale 的 CRISC 薪资分布区间是 $70k-$194k，旧金山湾区的 Senior IT Risk Manager 可到 $204k+。这个数字在四张 ISACA 证里稳居第一。

真实薪资数据（2026）

| 地区 | CRISC 持证人中位年薪 | 金融/政府溢价 | |------|---------------------|---------------| | 美国 | USD 145,000-185,000 | 大行 / Fed +15-25% | | 澳洲 | AUD 165,000-195,000 | 四大行 / APRA 监管 +20% | | 英国 | GBP 80,000-115,000 | 伦敦金融城 +25-30% | | 新加坡 | SGD 135,000-165,000 | MAS / 私行 +20% |

CRISC 最值钱的三类岗位

金融 / 保险行业的 IT Risk Manager — 澳洲 APRA CPS 234 / CPS 230、美国 Fed IT Risk Program、欧盟 DORA 都强制要求受监管机构有独立的 "Second Line of Defense" 风险管理职能。JD 里 CRISC 经常是"required or strongly preferred"，CISSP 在这条线反而不如 CRISC 直接对口。招聘方很清楚 CRISC 考的就是他们每天做的事 — 写 risk register、算 likelihood、设计 KRI、向 CRO 汇报。
Big 4 / 咨询公司的 Risk Advisory Senior Manager — Deloitte、PwC、EY、KPMG 的 Risk Advisory 部门里，senior manager 以上岗位几乎都要求 CRISC 或 CRISC + CISA 双证。咨询项目的 rate card 会因为团队持证人数上调。持双证的 consultant 接 SOX、ISO 27001、Essential Eight 项目时能直接做 lead。
大型科技 / 云服务商的 Third Party Risk / Vendor Risk Manager — 供应链风险近 3 年暴涨，AWS、Microsoft、Google、Salesforce 等都在扩招 TPRM 团队。这些岗位要的不是渗透测试能力而是"能看懂 SOC 2 Type II 报告 + 识别供应商 IT 控制缺陷 + 推动整改 + 向客户汇报"的风险管理能力。CRISC 刚好是这个技能的标准化证明。

最适合考 CRISC 的人：

✅ 已经在做 IT 风险 / GRC 2-3 年的分析师：你的日常工作（维护 risk register、做风险评估、写 KRI 报告、跟踪整改）就是 CRISC 的全部考点。考下来直接从 Analyst 升 Lead / Manager，ROI 最高。
✅ CISA 持证的 IT 审计师想转风险方向：你已经熟悉控制框架和审计流程，补上"风险识别 + 定量分析 + 风险处置决策"这一块，CRISC 和 CISA 知识重叠约 40%，备考负担小但回报显著。
✅ 金融 / 保险 / 医疗受监管行业的 IT Compliance 专员：你每天对着 APRA / NYDFS / HIPAA / SOX 要求查漏补缺，CRISC 帮你把合规工作"升级"为风险管理视角，身价直接上一个档次。
✅ 想进 Big 4 Risk Advisory 的 Senior Consultant：这条路上 CRISC 几乎是硬通货，持双证（CRISC + CISA 或 CRISC + CISM）的人在 senior manager 评审时权重显著更高。
✅ 想做 Third Party / Vendor Risk Manager 的人：供应商风险是 CRISC 的重点考点，拿证后很容易转到 TPRM 岗位。

不适合考 CRISC 的人：

❌ 纯技术的 Security Engineer / SOC Analyst / Pentester：CRISC 完全不考技术细节，考下来对你的 hands-on 能力零加成，也很难直接改变薪资。想要一张全栈安全证 → CISSP；想做渗透 → OSCP。
❌ 经验不足 3 年：考过了也拿不到认证，endorsement 阶段会被卡。先做 2-3 年风险 / 审计 / 合规工作再考。
❌ 想做 Security Architect / 云安全设计：这条路看 CISSP / CCSP / AWS Security Specialty，CRISC 帮不上。
❌ 红队 / 漏洞研究 / 事件响应的技术专家：你的 career ladder 在 OSCP / OSEP / GREM / GCFA 这条线，CRISC 对你是浪费。
❌ 不愿意每年攒 20 CPE + 交 AMF 的人：这是终身成本。

Study preparation

With hands-on AWS

10-14 weeks

From scratch

16-20 weeks

Daily pace

1.5-2.5 hours/day

Learning path preview

3 chapters

CRISC 考试概述与 IT 风险管理框架

40 min

四大领域核心知识精讲

120 min

考前冲刺与模拟考试

100 min

Step-by-step preparation

A concrete week-by-week plan from past test-takers — not generic advice.

第一阶段：通读 CRISC Review Manual（4-5 周）

CRISC 官方教材 **ISACA CRISC Review Manual（CRM），7th Edition**（对应 2021 新考纲）是必读。跟 CISM / CISA 一样，ISACA 的考题思路全在这本书里，跳过 CRM 直接刷题的人几乎都挂。重点读 **Domain 3（Risk Response and Reporting）**，占考试 32% 权重最高，尤其是"风险处置四策略的场景判断"和"KRI 设定 + 阈值触发"这两块。第一遍不要背术语，而是建立"作为 Risk Manager 我该怎么想"的思维框架。配套的 **CRISC Review Questions, Answers & Explanations Manual（QAE）** 必买，1000+ 题附详细解析，是最接近真考的题库。

第二阶段：按领域刷 QAE 题库 + 弱项回炉（3-4 周）

每天 50-80 题，按 4 个 domain 分类刷。哪个 domain 低于 70% 就回去重读 CRM 对应章节。这一阶段的关键不是"刷题数量"而是训练"Risk Manager 思维"。看到每道题先问：(1) 这是 inherent risk 还是 residual risk？(2) 公司的 risk appetite 和 risk tolerance 是多少？(3) 业务优先级是什么？(4) 这个风险的 owner 是谁？CRISC 的正确答案永远是"符合 risk appetite + 有 risk owner + 文档化 residual risk"的那个，而不是"技术上最安全"的那个。把错题整理到错题本，每周回看。

第三阶段：JR Academy CRISC 题库 + 专项补强（2-3 周）

用 JR Academy 的 **ISACA CRISC 认证备考课程**（1412 题）做专项补强，尤其是 Domain 3 的风险响应场景题 — QAE 的英文场景描述对非母语考生有点吃力，JR Academy 的中文解析会帮你把"风险处置四策略的选择逻辑"讲透。同时把这些高频对比用表格背熟：**Risk vs Threat vs Vulnerability、Inherent Risk vs Residual Risk、KRI vs KPI vs KCI、Qualitative vs Quantitative Analysis、ALE = SLE × ARO、Control Type（Preventive/Detective/Corrective）× Control Nature（Administrative/Technical/Physical）**。每场考试这些对比题至少 15 道。

第四阶段：全真模考冲刺（最后 2 周）

用 QAE exam mode 或第三方题库（Hemang Doshi、Pocket Prep）做 **至少 3 套 150 题 / 4 小时全真模考**，稳定 75%+ 再去约考。模考的关键不是分数而是训练 4 小时的专注力 — CRISC 是线性考试，没有 CAT 的怜悯，你必须硬扛 240 分钟。考前 3 天停做新题，只复习错题本 + 三大框架总结图（COBIT 2019、ISO 31000、NIST RMF）+ 风险处置四策略的典型场景。考前一晚正常作息。

Real test-taker experiences

What it actually took for real candidates to pass — prep time, scores, and lessons learned.

我的背景是 4 年 IT audit（有 CISA）+ 1 年 operational risk。公司 APRA CPS 230 新规落地后，CRO 要求 second line of defense 的 risk manager 必须持 CRISC，给了我 3 个月准备。因为已经有 CISA，治理和控制框架的底子都在，备考重点放在 Domain 2 和 Domain 3 的"风险分析方法 + 风险处置决策"。最难的是心态切换 — CISA 是"检查控制是否有效"，CRISC 是"决定要不要加控制 + 加什么控制 + 谁来批准"。一道题经常 4 个选项看起来都对，正确答案永远是"先确认 risk owner、再走 risk treatment 流程、再文档化到 risk register"。考过之后从 IT Audit Senior 转岗 IT Risk Manager，base +$25k，加 bonus 约 30%。

J. Wang通过（约 560 分）

IT Risk Manager @ 悉尼某四大行（CISA 持证转 CRISC） · 10 weeks prep

我原来做 IT compliance，主要对 ISO 27001 和 APRA CPS 234 的符合性检查。公司架构调整把 compliance 和 risk 合并，我被推上 GRC Lead 岗位，CRISC 是 offer 的必要条件。最大的挑战是 **"Risk Appetite vs Risk Tolerance"** 这类细节 — ISACA 对这两个词的定义非常严格：Risk Appetite 是"董事会愿意承担的总量"，Risk Tolerance 是"单个风险的偏差阈值"。考试里经常给你一个场景描述让你判断"CEO 说可以接受 5% 的系统停机率"属于哪个 — 答案是 tolerance 不是 appetite。我花了两周专门背这种概念对比，配合 QAE 的 explanation 才真正搞懂。另一个踩坑点是 **KRI vs KPI vs KCI**，三个词都是"指标"但用途完全不同：KPI 衡量绩效、KRI 预警风险、KCI 衡量控制有效性。考前一定要把这三个词的差别烙在脑子里。

M. Chen通过（约 600 分）

GRC Lead @ 墨尔本某保险公司（6 年合规经验） · 12 weeks prep

我是从 infrastructure engineer 转 vendor risk 方向，已经有 3 年 TPRM 经验但没有 risk 证书。公司从 2025 年开始要求所有 TPRM senior 以上必须持 CRISC 或 CISA + 额外培训。我选了 CRISC 因为它更贴合我每天做的事 — 评估 supplier 的 SOC 2 报告、识别 vendor 带来的 IT 风险、和采购 + 法务一起谈合同里的风险条款。考试里 Domain 2 的"风险场景建模"和 Domain 3 的"第三方风险处置"几乎是我日常工作的重演。但 Domain 1 的 "governance" 理论部分对我是新东西，COBIT 2019 的 40 个治理目标我背了两周才捋清楚。最大的教训是 **Inherent Risk 和 Residual Risk 绝对不能搞混** — Inherent 是"什么控制都没有时的风险"，Residual 是"加了控制之后剩下的风险"。题目里只要出现"after mitigation"、"after controls applied" 就一定指 residual。这个细节错一个整题就错。考过之后在东南亚区负责云服务的 TPRM 项目，薪资 +15%。

R. Gupta通过（约 540 分）

Third Party Risk Manager @ 新加坡某云服务商 · 14 weeks prep

Certification comparison

	CRISC	ISACA CISA	ISACA CISM
Provider	其他	其他	其他
Level	专业级	专业级	专业级
Fee	$0	$575	$575
Duration	90 min	120 min	120 min
Question count	65	150	150
Validity	3 yrs	3 yrs	3 yrs

Study tips and common mistakes

💡

**报名时申请 ESL +30 分钟加时**：母语非英语的考生可以在 ISACA 官网报名时勾选 ESL accommodation，免费多 30 分钟（从 240 变 270 分钟）。CRISC 题干普遍偏长且充满"公司背景 + 多方利益相关人"的场景描述，这半小时对非英语母语考生至关重要。

💡

**关键词敏感**：看到 FIRST → 通常选"identify risk owner"、"assess business impact"、"align with risk appetite"；看到 BEST → 选最符合 business objective 和 risk appetite 的；看到 MOST → 选影响最大的；看到 PRIMARY → 选最核心职责的；看到 EXCEPT / LEAST → 反向选。

💡

**永远选"识别 owner / 评估影响 / 文档化 / 走流程"的选项**：CRISC 的世界里 Risk Manager 不是救火员、不是技术员、不是决策者。看到 "implement fix"、"block the vendor"、"shut down the system" 几乎都是错的。正确答案通常是 "identify the risk owner"、"assess impact on business objectives"、"update the risk register"、"escalate to senior management"、"obtain formal risk acceptance"。

💡

**永远选"走 risk register + 正式签字"**：CRISC 特别强调文档化。一个"口头同意接受风险"的选项永远是错的，正确做法永远是"让 risk owner 正式签字 + 记录到 risk register + 定期 review"。

💡

**三大框架必背**：**COBIT 2019**（40 个治理目标 + 5 原则）、**ISO 31000**（风险管理通用框架）、**NIST RMF**（6 步骤：Categorize → Select → Implement → Assess → Authorize → Monitor）。每场考试至少 5-8 道题直接考这三个框架。

💡

**风险处置四策略死记 + 典型场景**：Mitigate / Transfer / Avoid / Accept。保险 = Transfer，外包 = Mitigate（注意不是 Transfer！），取消项目 = Avoid，签字接受 = Accept。

💡

**ALE 公式死记**：**ALE（Annualized Loss Expectancy） = SLE（Single Loss Expectancy） × ARO（Annual Rate of Occurrence）**。SLE = 资产价值 × 暴露因子。定量分析题几乎都要用这个公式计算。

💡

**控制类型矩阵死记**：**Type（按时间）**：Preventive（预防，如访问控制）/ Detective（检测，如 IDS）/ Corrective（纠正，如备份恢复）/ Compensating（补偿）/ Deterrent（威慑）。**Nature（按性质）**：Administrative（行政，如 policy）/ Technical（技术，如防火墙）/ Physical（物理，如门禁）。题目会给你一个控制措施让你判断类型。

💡

**考前一周停止熬夜**：CRISC 是 4 小时线性考试，体力储备比临时刷题重要。考前一晚只看错题本和三大框架总结图。

💡

**考过 5 年内申请认证**：考试成绩 5 年内有效。经验不满 3 年的考生可以先考过，等经验攒够再提交 Application for Certification，找直线经理或 CRISC 持证人签字。**注意 Domain 1 或 Domain 2 至少 1 年经验这条硬要求**，纯做"风险报告撰写"的岗位不算。

⚠️

**Risk vs Threat vs Vulnerability 三者混用** — 这是 CRISC 考试最基础也最高频的概念错误。**Threat**（威胁）是"可能造成伤害的事件或行为"（如黑客攻击、自然灾害、员工失误）；**Vulnerability**（漏洞）是"系统 / 流程 / 人的弱点"（如未打补丁、弱密码、缺少审批）；**Risk**（风险）= Threat × Vulnerability × Impact，是三者结合后产生的"可能性 × 影响"。一道典型题："未安装 antivirus" 是什么？答案是 **Vulnerability**（漏洞）而不是 Risk。"勒索软件" 是什么？答案是 **Threat**（威胁）而不是 Risk。"因为没装 antivirus 可能被勒索软件加密导致业务停摆" 才是 Risk。

⚠️

**Inherent Risk vs Residual Risk 分不清** — **Inherent Risk** 是"没有任何控制时的原始风险"；**Residual Risk** 是"实施控制后剩下的风险"。CRISC 考试里只要题目出现 "after controls are applied"、"after mitigation"、"remaining risk" 都指 Residual Risk。而且要记住：**Residual Risk 必须降到 Risk Appetite 以内才算可接受**，如果降不到，要么加强控制、要么让 risk owner 正式签字 Accept。很多人把"加了控制之后还剩下的风险"当成 Inherent，整题直接挂掉。

⚠️

**KRI vs KPI vs KCI 三个指标搞混** — 三个都是"Indicator" 但用途完全不同。**KPI（Key Performance Indicator）** 衡量绩效目标的达成（如 "系统可用率 99.9%"）；**KRI（Key Risk Indicator）** 提前预警风险恶化（如 "未打补丁系统数量超过 50 台"）；**KCI（Key Control Indicator）** 衡量控制是否有效运行（如 "firewall 规则变更未审批次数"）。CRISC 考试最喜欢问"以下哪个是 KRI" — 正确答案一定是"能在风险变成 incident 之前触发预警"的指标。而且 KRI 必须有 **threshold（阈值）+ escalation path（升级路径）**，没有阈值的"指标"不能算 KRI。

⚠️

**风险处置四策略（Risk Treatment）场景选错** — 四个策略是 **Mitigate（缓解）/ Transfer（转移）/ Avoid（规避）/ Accept（接受）**。高频坑：(1) "购买 cyber insurance" → **Transfer**（不是 Mitigate，因为保险不降低风险发生概率，只转移损失）；(2) "取消一个高风险的新产品线" → **Avoid**（不做了）；(3) "部署 WAF 防火墙" → **Mitigate**（降低 likelihood 或 impact）；(4) "CFO 签字同意接受 residual risk" → **Accept**（必须有正式签字 + 文档化到 risk register，口头接受不算）。还有一个常见错：**外包业务给第三方** 属于 Transfer 还是 Mitigate？答案是 **Mitigate** — 因为业务风险本身并没有真正转移，第三方出事你公司还是要负责（合同可以转移部分财务损失，但监管和声誉风险留在你这里）。

⚠️

**定性 vs 定量风险分析（Qualitative vs Quantitative）适用场景判断错** — **Qualitative Analysis**（定性）用 High/Medium/Low 或 1-5 打分，快速、便宜、主观，适合风险初筛和大量风险场景；**Quantitative Analysis**（定量）用具体金额，公式是 **ALE（年化损失期望）= SLE（单次损失）× ARO（年发生次数）**，准确但耗时贵，适合高价值决策（如"要不要花 $500k 部署 DLP"）。考试典型题："一家初创公司刚建立风险管理流程，应该用哪种分析？" → 答案是 Qualitative（因为没有足够的历史数据做 Quantitative，而且成本承受不起）。反向："要向董事会申请 $2M 安全预算" → 答案是 Quantitative（因为需要具体 ROI 数据说服高管）。

⚠️

**忽略 Risk Owner 的概念** — CRISC 反复强调每个风险必须有一个明确的 **Risk Owner**，而且这个 owner **必须是业务方**（business unit head），不能是 IT 部门或 risk manager。原因是只有业务方才有权力决定"接受 / 拒绝 / 支付控制成本"。典型错题：某系统发现 critical 风险，risk manager 应该 FIRST 做什么？选项里有 "implement control"、"notify CIO"、"assess business impact"、"identify risk owner"。正确答案通常是 **identify risk owner** 或 **assess business impact**，因为没有 owner 就无法做任何决策。

⚠️

**只刷题不读 CRM** — CRISC 的题目措辞非常 ISACA-specific，一道题 4 个选项经常"全都对"让你选"最对的"。不读 CRM 根本不知道 ISACA 的"官方最对"标准。推荐顺序永远是：CRM → QAE → 模考，不能跳步。

⚠️

**用旧考纲准备（2015 版以前）** — 2021 新考纲把 4 大 domain 做了大幅调整，特别是 Domain 3 Risk Response 从 23% 提到 32%，Domain 1 Governance 从 27% 降到 26% 但内容扩展。用 6th edition 或更早的 CRM 备考会把精力放错地方。确认你用的 CRM 是 **7th edition 或更新**。

FAQ

Frequently Asked Questions

If you plan to take CRISC, start with real practice.

1412+ questions, chapter-by-chapter learning, mock exams, wrong-question review, and AI tutor support live in the exam page.

Go to exam prep

From $39 · 2 free chapters