风险是指对实现的目标发生偏离的一中不确定性。ISACA在COBIT5中指出，所有的IT风险皆是业务风险。随着全球安全漏洞的急剧增加，对了解IT风险及其与组织关系的专业人员的需求越来越大。

ISACA推出的风险和信息系统控制认证(CRISC)帮助专业人士发展相关技能，可以掌握不断演进的风险管理实务应对外部瞬息万变的商业环境，CRISC全面支撑COSO, Basel II/III, GAMP等企业风控。

CRISC主要针对具有IT风险管理以及IS控制设计、实施、监督和维护经验的人员而设计，向IT专业人士提供专业知识，使他们能够识别、评估和管理IT风险，同时计划和实施控制措施和框架。它还可以帮助个人建立一种通用的语言，在IT部门内部和整个组织内就安全和系统控制进行沟通。CRISC包含四大实践域：IT风险识别、IT风险评估、风险应对和缓解以及风险控制、监测和报告。

CRISC是一款全球顶级IT从业资格认证。CRISC可以针对金融/银行业的IT Chief Risk Officer(CRO), 或是其它行业(比如：石油、医药、上市公司、跨国集团)的类似决策角色。CRISC跟CISA/CISM一样，由美国国防部和相关标准组织认定的职业认证，可以持证上岗。安全经理和总监是通过CRISC认证的专业人士最常见的工作岗位，但也有很大一部分人从事信息安全工作，担任安全工程师或分析师，或担任安全架构师等。

CRISC与CISA最大的区别是，前者是风险和内控的决策者、设计者与评估者，而后者是IT审计和内控检查的执行者；CRISC与CISM最大的区别是，前者关注于风险和战略级安全，而后者是信息安全管理和执行者。