ISACAは、情報システムや情報セキュリティ、ITガバナンス、リスク管理、情報システム監査、情報セキュリティ監査などの専門家が集まった国際的な団体。グローバルで情報セキュリティの資格を展開・認定しており、各資格の維持には継続教育(CPEの取得)が必須となっている。ISACAの資格は実践色が強いという声もよく聞かれる。
今回、日本語版のリファレンスガイドが発売された「CRISC(Certified in Risk and Information Systems Control、シーリスク)」は、リスクマネジメントのノウハウに精通しており、かつ企業戦略策定時にパートナーとして問題解決に参画するような責務を担う専門家の能力を認定する資格。2010年に新設された比較的新しい資格だ。
試験は現在英語版のみが提供されているが、ISACA東京支部では、この日本語版レビューマニュアルをCRISC試験のリファレンスガイドとして、または事業体のリスク管理体制の向上や情報の活用に役立ててほしいと述べている。
CRISC資格がフォーカスしているのは、組織におけるリスクマネジメント(リスク認識・評価)や、情報システムコントロールの設計・導入・運用に携わる専門家。具体的には、次の分野に携わる人に取得を推奨している。
- ITプロフェッショナル(情報システム分析・開発・管理)
- リスクマネジメント
- 内部統制
- ビジネス分析
- コンプライアンス
CRISC試験ドメイン
CRISC試験のドメインと出題割合は次のとおり。なお、CRISCジョブ・プラクティスの要旨が日本語化されているので、こちらもあわせて確認してほしい。
| 原文 | 日本語訳 | |
|---|---|---|
|
ドメイン1 27% |
IT Risk Identification Identify the universe of IT risk to contribute to the execution of the IT risk management strategy in support of business objectives and in alignment with the enterprise risk management (ERM) strategy. |
ITリスクの特定
ITリスク分野を特定することで、ビジネス目標を支援しエンタープライズ・リスク・マネジメント(ERM)戦略に沿った、ITリスクマネジメント戦略の実行に貢献する。 |
|
ドメイン2 28% |
IT Risk Assessment Analyze and evaluate IT risk to determine the likelihood and impact on business objectives to enable risk-based decision making. |
ITリスクアセスメント リスクベース意思決定を可能にするため、ITリスクを分析および評価して、発生の可能性と事業目的への影響を特定する。 |
|
ドメイン3 23% |
Risk Response and Mitigation Determine risk response options and evaluate their efficiency and effectiveness to manage risk in alignment with business objectives. |
リスク対応および軽減 リスク対応にかかわる選択肢を決定し、それらの選択肢がビジネス目標に沿った形で効果的、効率的にリスクを管理していることを評価する。 |
|
ドメイン4 22% |
Risk and Control Monitoring and Reporting Continuously monitor and report on IT risk and controls to relevant stakeholders to ensure the continued efficiency and effectiveness of the IT risk management strategy and its alignment to business objectives. |
リスクおよびコントロールのモニタリング並びに報告 ITリスクおよびコントロールを継続的にモニタリングし、関連するステークホルダーに報告して、ITリスクマネジメントおよびそのビジネス目標との連携の継続的な効果と効率を保証する。 |
CRISC認定を受けるには
CRISC認定を受けるには、以下の要件を満たす必要がある。
- 1. CRISC試験に合格すること
- 200点から800点までのスケールドスコア(合格者のレベル均一化のために問題の難易度などを考慮して得点を調整した数値)において、450点以上取得できれば合格となる。試験は年3回(5〜6月、8〜9月、11〜12月)の試験期間に受験日を予約し、CBT(Computer Based Testing)形式で行われる。試験は4時間で150問の多岐選択型問題を解く必要がある。
- 2. 所定の実務経験を有すること
- 情報システムコントロールの設計と実装によるITリスクのマネジメントに携わった経験が3年あること。また、最低でもCRISCドメインの2分野に該当する業務を経験していることが必須となる。
- 3. ISACA職業倫理規則を遵守すること
- 4. 継続専門教育(CPE)方針を遵守すること
- 資格を保持するには、年間で最低20時間、3年間で120時間以上の継続教育(CPEクレジットの取得)が必要になる。
