FRM一级四门科目：风险管理基础，数量分析，金融市场与产品,估值与风险模型。FRM二级五门科目：市场风险测量与管理、信用风险测量与管理、 *** 作风险测量与管理、投资风险管理、金融热点。

以2018年11月FRM考试为例：

FRM一级考试内容：

风险管理基础定性题目比重最大，ERM，公司管理层的职责，失败案例（financial disaster）和Code of Conduct都是比较容易考察的概念性内容。CAPM，APT和多因子模型是这门课为数不多的定量考点。

数量分析会涉及到基础的概率计算，贝叶斯公式，特定分布对应的概率计算，线性回归和假设检验，以及variance建模（EWMA,GARCH等）。

金融市场与产品中远期定价，put-call parity，利率平价公式，期权期货市场概念，CCP相关内容较为常考。

估值与风险模型的即期远期利率计算，债券定价，Greek letters及对冲，VaR的计算，Expected loss和Unexpected loss和压力测试，会混合定性定量进行考察。

FRM二级考试内容：

市场风险：总体来说考题比较常规，QQ plot，波动率微笑，Regression hedge，利率二叉树计算，历史模拟法求VAR的定性，定量都是重点考察。

信用风险：阅读量较大，很多的内容是根据一段对公司业务的描述来判断公司是否面临信用风险，以及如何去处理这些风险。同时常见题型还包括wrong way risk，wright way risk，指数分布求PD，CVA的计算等。

*** 作风险：覆盖面较广，包括有抵押品的处置，outsource risk，RAROC，ARAROC，IT系统，NSFR，EVT流动性风险等考点

投资风险：组合VAR值计算，risk budget，Fama-French model，市场异常的原因，information ratio，Marginal VAR component VAR的计算，业绩归因等。

考证是最好的的方法。或者理工本科去个银行IT部门也还算容易，只是工作本质还是IT，维护计算机系统什么的，并不是金融核心部门。

金融行业比较有含量的证书：FRM、CFA、CPA、CIIA、CFP都很好，证券从业资格、期货从业资格等比较基础。

1、FRM。金融风险管理师，这个证书主要适合于从事金融机构中从事风险管理工作的从业者。随着金融市场的发展，风险管理越来越受到国内金融机构的重视，因此持有FRM的人才未来将面临许多置业发展机会。FRM分两级，考下来得一万元左右的费用。每年五月和十一月各有一次考试。对于数学比较强的人来说，靠这个证书会比较容易些。

2、CFA，特许金融分析师。在全球范围来看，CFA都是金融行业极具价值的资格证书，是你专业性的表现，持证者无论你原来专业是什么，能通过CFA三级考试最终拿到资格证书就是你金融专业知识过硬的证明。大四学生可以参加一级考试，一级难得较低。二级难度已经相对较大，如果能通过，用人单位也会比较认可。现在国内的银行、证券、基金等机构对CFA都很认同，像中国银行现在每年都会组织CFA考试的培训，如果员工最终能通过三级的考试，大部分培训费和考试费都可以报销（CFA三级全考下来的费用大致得2万多）。CFA是英文考试，来源于美国，在全球范围内执行统一的考试标准。这个证书比较适合于从事证券分析、投资顾问、投资经理等职业的人，但实际的适用范围其实很广，这也是CFA相比于后面介绍的正式的一个优势。

3、CPA，注册会计师。这个证书代表国内会计行业的最高资格证书，考这个证书难度很大，甚至超过CFA，当然他的优点是中文考试。持证者应聘四大会计事务所、证券、基金等都会有明显的比较优势。费用低廉。总共六科，可分开考，一门门通过。

4、CIIA。国际注册投资分析师。这个和CFA比较类似，难度比CFA小，考试语言可以选择中文。这个证书是受中国证券业协会认可的，由中国证券业协会组织考试。分两级，如果通过了全部证券从业资格五门科目的考试，那么可以直接考二级。和CFA相比，知名度较低，但在欧洲和一些亚洲国家也是比较认可这个证书的，在金融业含金量仅次于CFA，因此如果外语相对较弱或想早点拿到一个比较有含量 的正式，可以先考虑该证书，再考CFA。

5、CFP，国家金融理财师。这个证书适合于银行的个人理财从业人员，和以上证书相比难度较低。分两级，每一级必须先接受强制培训才可以参加考试。培训费很高，第一级（叫AFP）大概培训费得13万，第二级得15万多，考试费应该各1000元左右。总之，让人感到有点恶心，各种方法赚钱。如果有志于从事理财行业工作，他还是比较有含量的。

ISO27000信息安全管理认证标准族包括：

ISO 27000 原理与术语Principles and vocabulary。

ISO 27001 信息安全管理体系—要求 ISMS Requirements (以BS 7799-2为基础)。

ISO 27002 信息技术—安全技术—信息安全管理实践规范 (ISO/IEC 17799:2005)。

ISO 27003 信息安全管理体系—实施指南ISMS Implementation guidelines。

ISO 27004 信息安全管理体系—指标与测量ISMS Metrics and measurement。

ISO 27005 信息安全管理体系—风险管理ISMS Risk management。

ISO 27006 信息安全管理体系—认证机构的认可要求ISMS Requirements for the accreditation of bodies providing certification。

ISO 27007 信息技术-安全技术-信息安全管理体系审核员指南。

Information technology_Security techniques_ISMS auditor guidelines。

扩展资料

ISO/IEC 27000：提供了ISMS标准族中所涉及的通用术语及基本原则，是ISMS标准族中最基础的标准之一。ISMS标准族中的每个标准都有“术语和定义”部分，但不同标准的术语间往往缺乏协调性，而ISO/IEC27000则主要用于实现这种协调。

ISO/IEC27003：为建立、实施、监视、评审、保持和改进符合ISO/IEC27001的ISMS提供了实施指南和进一步的信息，使用者主要为组织内负责实施ISMS的人员。

ISO/IEC27004：该标准主要为组织测量信息安全控制措施和ISMS过程的有效性提供指南。

ISO/IEC27005：该标准给出了信息安全风险管理的指南，其中所描述的技术遵循ISO/IEC27001中的通用概念、模型和过程。

ISO/IEC27006：该标准的主要内容是对从事ISMS认证的机构提出了要求和规范，或者说它规定了一个机构“具备怎样的条件就可以从事ISMS认证业务”。

参考资料来源：百度百科-iso27000

（1）调查问卷：

要收集相关信息，风险评估人员可以设计一套关于IT系统中计划的或正在使用的管理或 *** 作控制的调查问卷。可将这套调查问卷发给那些设计或支持IT系统的技术或非技术管理人员。调查问卷也可以在现场或面谈时使用。

（2）现场面谈：

和IT系统的支持或管理人员面谈有助于风险评估人员收集IT系统有用的信息（如系统是如何 *** 作和管理的）。现场参观也能让风险评估人员观察并收集到IT系统在物理、环境、和 *** 作方面的信息。对于那些仍然在设计阶段的系统，现场参观将是面对面的数据收集过程并可提供机会来评价IT系统将运行的物理环境。

（3）文档检查：

策略文档（如法律文档、方针等）、系统文档（如系统用户指南、管理员手册、系统设计和需求文档等），安全相关的文档（如以前的审计报告、风险评估报告、系统测试结果、系统安全计划、安全策略等）可以提供关于IT系统已经使用或计划使用的安全控制方面的有用信息。机构使命影响分析或资产关键性评估提供了关于系统和数据关键性和敏感性方面的信息。

（4）使用自动扫描工具（采用漏洞检查工具）：

一些主动的技术方法可以被用来有效的收集系统信息。比如，一个网络映射工具可以识别出运行在一大群主机上的服务，并提供一个快捷的方法来为目标IT系统建立个体轮廓。比较优秀的扫描工具有：

a）SAFESuite套件

SAFESuite套件是Internet Security System（简称ISS）公司开发的网络脆弱点检测软件，它由Internet扫描器、系统扫描器、数据库扫描器、实时监控和SAFESuite套件决策软件所构成，是一个完整的信息系统评估系统。

b）Kane Security Analyst

Kane Security Analyst系统安全分析软件是Intrusion公司的产品，它能够从六个关键的安全领域对系统进行检查，分别是：口令字强度、访问权限控制、用户帐号限制、系统监控、数据完整性和数据保密强度。此软件不仅针对特定的脆弱点进行检查，而且针对系统的必要安全防御措施进行检查。

c）WebTrends Security Analyzer

WebTrends Security Analyzer主要针对Web站点安全的检测和分析软件，它是NetIQ-WebTrends公司的系列产品。其系列产品为企业提供一套完整的、可升级的、模块式的、易于使用的解决方案。产品系列包括：WebTrends Reporting Center、Analysis Suite、WebTrends Log Analyzer、Security Analyzer、WebTrends Firewall Suite、and WebTrends Live等，它可以找出大量隐藏在Linux和Windows服务器、防火墙、路由器等软件中的威胁和脆弱点，并可针对Web和防火墙日志进行分析，由它生成的HTML格式的报告被认为是目前市场上做得最好的。报告里对找到的每个脆弱点进行了说明，并根据脆弱点的优先级进行了分类，除此以外，报告还包括一些消除风险、保护系统的建议。