資訊風險　管理有道

因此，有專業機構推出「風險及信息系統監控認證」

（Certified in Risk and Information Systems Control，CRISC）預備課程，以助IT人員辨識、控制、管理相關風險，將專業知識推展至管理層面。

內容具針對性

CRISC受全球認可，其認證由國際信息系統審計協會（Information Systems Audit and Control Association，ISACA）頒授。該會的中國香港分會將開辦兩天全日制「風險及信息系統監控認證預備課程」，針對考試內容為學員提供專業知識。

課程重點涵蓋CRISC考試內容，由具經驗兼考獲CRISC認證的導師執教，歡迎從事IT、項目管理等專業人員報讀。課程按考試內容分5大課題，包括「風險鑑定及評估」、「風險管理」、「風險監控」、「信息系統監控設計及執行」和「信息系統監控監察及保養」。上課期間，學員須完成定期習作，課程尾聲設模擬試，助學員熟習考試模式。

有助進身管理層

國際信息系統審計協會中國香港分會副會長（持續教育）禤俊文表示，首3項課程屬於風險管理循環，其餘則是建設具效率及成本效益的訊息系統監控措施。他認為，課程有助IT人員開發軟件，處理資訊存輸、相關網絡交易等，減低風險。IT人員亦可透過課程進一步了解風險管理，為進身管理階層鋪路。

而該會中國香港分會CISM及CRISC統籌理事馬國鈞則坦言：「目前，中港兩地考取CRISC認證的人數只有200多人，顯示市場對於相關專才仍求才若渴。而風險鑑定是風險管理程序中最重要的階段，以交易風險和安全風險為例，前者因應業務需要，企業會提升系統承載量和應用效能，應付客戶資料庫，避免承載量不足而導致資料遺失；後者則涉及公司商業機密，企業必須利用加密技術、數碼證書等工具，提高系統防護，確保傳送及收取數據的安全。」

鼓勵持續進修

CRISC考試每年於6月、12月舉行，考生須在4小時內完成200條選擇題。而為了提升考試技巧，上課前特設「Pre-Test」，讓學員評估個人知識水平，而導師每教完一個課題，會派發練習，提升學員的答題技巧及速度；最後，學員須參加模擬考試，為應考作準備。

禤俊文指出，報考CRISC並無嚴格學歷和工作經驗要求，惟通過考試者，若申請證書，必須具備相關工作經驗，通過審核後方能成功。他提醒：「申請CRISC有時間限制，申請者須在通過考試後5年內登記申請，而在申請前的10年，須具備至少3年相關工作經驗。」

此外，CRISC持證者必須在每年完成最少20個持續專業進修學習時數，並於3年內完成最少120個持續專業進修學習時數，所以持證者要時刻自我增值。

課程資料

課程名稱： 風險及信息系統監控認證預備課程

舉辦機構： 國際信息系統審計協會中國 香港分會

收生要求：IT從業人員

開課日期：11月2、9日

學　　費： $1,800起

查　　詢：8101 2801

撰文：周思靜　部分攝影：陳富權　

部分相片：由受訪機構提供