点击上方蓝色字体关注。
您还可以搜索公众号“D1net”选择关注D1net旗下的各领域(云计算,数据中心,大数据,CIO,企业协作,网络数通,信息安全,企业移动应用,系统集成,服务器,存储,呼叫中心,视频会议,视频监控等)的子公众号。
=======
从IT审计员到安全工程师到首席信息官等工作岗位都要求拥有或受益于GRC认证。这里我们介绍一下排名前六位的治理、风险和合规认证,这些认证值得您花时间、金钱和精力来拥有。
在15年前几家公司[比如安然(Enron)公司和世通公司(WorldCom)]爆出了众所周知的丑闻之后,,在2002年通过了“萨班斯 – 奥克斯利法案”,该法案要求各个组织必须遵守数据安全、财务责任和消费者隐私法规,并且必须有专人来确保内部流程正确地执行。这就使治理、风险和合规(GRC)专业人士受到各公司欢迎。
一般来说,GRC工作的目标是确保正确的政策和控制措施执行到位以降低风险,建立一种制衡制度,以便在新风险出现时提醒相关人员,并更有效和积极地管理业务流程。拥有GRC认证的专业人员必须同时兼顾利益相关者的期望和业务目标,并确保实现组织目标,同时满足合规性要求。这是一个令人难以置信的职责,但在当今的商业环境中绝对有必要。
许多职位都要求拥有或受益于GRC认证,包括首席信息官、IT安全分析师、安全工程师或架构师、信息保障项目经理和资深IT审计师等。
请继续阅读,了解在GRC各种认证中排名前六位的认证。
风险和信息系统监控认证(CRISC)
最受认证考生和企业欢迎的GRC认证之一是由信息系统审计与控制协会(ISACA)颁发的CRISC认证,该认证表明持有认证的IT专业人员能够负责管理IT和企业风险工作,并确保达成风险管理目标。CRISC人员经常要参与并监督信息系统(IS)控制措施的设计、实施和维护工作,这些工作旨在确保系统安全和管理风险。自2010年以来,ISACA已颁发了超过20,000份CRISC证书,这一数量在GRC认证领域中是相对较高的。
要想获取CRISC认证,您必须通过一个考试,该考试内容涵盖四个领域:IT风险识别(第一领域)、IT风险评估(第二领域)、风险应对和缓解(第三领域)以及风险和控制监控与报告(第四领域 )。该考试包含150个问题,考试时长为4个小时,费用为575美元(ISACA会员价格)或760美元(非会员价格)。
此外,您必须证明具有至少累计三年的IT风险和信息系统的工作经验,并且该工作与四个领域中的至少两个领域相关,遵守ISACA职业道德准则,并遵守CRISC持续教育政策。
企业IT治理认证(CGEIT)
由ISACA颁发的CGEIT认证表明了IT专业人员对企业IT治理原则和实践具备深入了解,以及具有通过治理和风险优化措施来提高组织价值的能力,并使IT与业务战略和目标保持一致。自从该认证开始以来,已有7,000多人通过ISACA机构获得了CGEIT认证证书。
要想获得CGEIT证书,您需要通过一个考试(包含150个问题,考试时长为4个小时),涵盖五个领域:企业IT治理框架(第一领域)、战略管理(第二领域)、利益实现(第三领域)、风险优化(第四领域)和资源优化(第五领域)。考试费用为525美元(ISACA会员价格),或者为760美元(非ISACA会员价格)。
参加CGEIT考试需具备至少累计五年的IT企业治理的工作经验,包括至少一年的制定、实施和管理治理框架工作经验。参加认证的考生还必须遵守ISACA职业道德准则,并遵守CGEIT持续教育政策。
项目管理协会 – 风险管理专业人员(PMI-RMP)
任何想考取项目管理认证的考生都会熟悉项目管理协会(PMI),有些人是通过科研渠道了解的,有些人是通过考取梦寐以求的项目管理专业(PMP)证书来了解的。然而,PMI还提供风险管理专业人士(PMI-RMP)认证,以及其他几种认证,主要侧重于业务管理、业务分析、敏捷和调度等方面。
PMI-RMP认证表明该IT专业人员参与过大型项目或具有在复杂环境下工作的经验,能够评估和识别基于项目的风险。他们也有能力设计和实施缓解系统漏洞、自然灾害等风险的计划。
PMI-RMP考试涵盖五个知识领域:风险战略与规划(第一领域)、利益相关者参与(第二领域)、风险流程促进(第三领域)、风险监控和报告(第四领域)和执行专业风险分析(第五领域)。考试包含170个多项选择题,考试时长3.5小时,费用为520美元(PMI会员价格)或670美元(非PMI会员价格)。
您还必须符合相关工作经验和学历要求。第一个要求是拥有二级学历(高中毕业文凭、大专文凭或各国同等学历),至少具有4500小时的项目风险管理经验和40小时的项目风险管理培训。第二个要求是拥有四年制学历(本科学位或各国同等学历),具有至少3,000小时的项目风险管理经验和30小时的项目风险管理培训。
ITIL专家认证
信息技术基础设施库(ITIL)的认证与ITIL框架有关,该框架描述了设计、实施和管理各种IT服务项目的最优方法。按照ITIL的说法,认证被称为“资格证书”,它建立了一种典型的认证途径,从基础级的“ITIL基础认证”开始,最终成为最高级的“ITIL大师级认证”。在大师级之下的一级是广受欢迎的“ITIL专家级认证”。
具有“ITIL专家级认证”资格的专业人士对ITIL服务最优方法有着深入的了解,因为他们可以在IT环境各个领域中工作,而不仅限于一个服务领域。换句话说,这位专家能够通过跨越多个服务生命周期阶段来服务于一个组织,可将整体情况视为各个部分的总和。
要想获取“ITIL专家级认证”资格,您必须首先获得“ITIL基础级证书”或同等的Bridge资格,然后在每个ITIL学分系统中获得至少17个学分。最后,参加一个经过认可的培训课程,然后通过“生命周期管理”(MALC)考试。培训费用因提供单位不同而异,但预计费用在1800美元(在线培训)至5,000美元(教室内培训)之间,含培训费和考试费。
风险管理确认专业资格(CRMA)
国际内部审计师协会(IIA)是一家全球性的专业协会,为企业、政府和金融服务行业的审计师提供信息、交流机会和教育服务。IIA协会提供的认证之一是CRMA,该认证表明证书持有人具备风险管理及保证、治理、质量保证和控制自我评估的工作经验。CRMA人员被认为是大型组织高级管理层和审计委员会成员值得信赖的顾问。
要想获得CRMA证书需要通过一个认证考试(Pearson VUE),该考试题目为多项选择题(有100个问题,考试时长为2个小时)。考试费用为380美元(IIA会员价格),或者为495美元(IIA非会员价格)。
此外,您必须拥有三年制或四年制大专学历(或更高)。作为本科学历的替代方案,您需要具备两年的专科教育和五年的内部审计经验(或相关工作经验)或七年的内部审计经验。IIA协会还需要您证明至少具有两年在风险管理或质量保证方面的审计经验或与控制相关的工作经验。最后,您需要提供由IIA证书持有人或主管领导签名的品德证明书,提供身份证明,并同意遵守IIA协会制定的“道德准则”。
GRC专业人员(GRCP)
开放遵循和道德小组(OCEG)是一个以会员为导向的全球性组织,致力于向其成员和更大的团体提供治理、风险管理和合规(GRC)的相关信息、教育和认证服务。在其认证项目中只有少数几个备受认可的认证,GRCP就是一个极为实用的证书,其针对很多行业和实务操作。
该一次性考试涵盖基本术语和概念、GRC原则、核心组件和实务,以及GRC与其他学科的关系。GRCP认证是获得更高级GRC审核认证的必备认证。该考试包含100个问题,考试时长为2个小时。OCEG提供395美元(自动续约)或495美元(不续约)的通用通行证(All Access Pass),该通行证为您提供准备和参加考试所需的一切服务,包括所有现场和存档的网络研讨会、OCEG标准、指南和资源、在线学习计划和考试。
GRC社区的资源
在网络上的兴趣社区中积累了很多资源和聚集了一些长期的GRC专业人士,有些资源可能对考取GRC认证有用。以下是几个需要添加到您GRC工具包中的网站:
? ComplianceWeek:该网站是GRC社区中一个极好的资源。您可以在此找到新闻文章、白皮书、GRC报告、会议资料、工作机会等等。该网站还提供(在大多数时间)免费一个小时的网络广播,每次大型活动后都根据需要提供网络广播,许多人都有资格获得持续专业教育(CPE)学分。
? GRC蓝皮书:该网站宣称其为“在线GRC知识库”,您会发现一些GRC工具、新闻文章、风险实践、行业活动等等获得很好的评价。
? CareersInfoSecurity:正如网站名称的含义,您会找到一个工作版块。但CareersInfoSecurity网站内容远远超出了培训书库、新闻和其他针对信息安全、风险管理以及隐私和防欺诈专业人士的范畴。使用该网站的搜索工具,输入“grc”,您可以精确地找到相关资源。
? 安全管理:该网站由美国产业安全学会(ASIS International)免费提供在线杂志,其涵盖不同类型的安全内容:国家层面、物理层面、网络和战略层面。您会在“战略安全”版块找到企业风险管理文章,以及访问播客和参加网络研讨会。
? LinkedIn:在该网站您可以输入“grc group”进行搜索,并选择一些您最感兴趣的人,然后与他们建立联系。有一个不错的群叫做治理、风险与合规(grc)。这些GRC专家已通过了认证程序,并愿意为您提出的认证相关问题提供建议或见解。LinkedIn网站也有一个工作版块,它已成为最好的版块之一。企业网D1Net译
(来源:企业网D1Net)
企业网D1net已推出企业应用商店(www.enappstore.com),面向企业级软件,SaaS等提供商,提供陈列,点评功能,不参与交易和交付。现可免费入驻,入驻后,可获得在企业网D1net 相应公众号推荐的机会。欢迎入驻。
扫描下方“二维码”即可注册,注册后读者可以点评,厂商可以免费入驻。
如果您在企业IT、网络、通信行业的某一领域工作,并希望分享观点,欢迎给企业网D1Net投稿,投稿邮箱:editor@d1net.com
