Як я здавав (і здав) cism

Розумієте, кожен рік ми з друзями ходимо до лазні. Хоча яка лазня? Хотів же написати ще один пост про сертифікацію CISM. Якраз про регулярність. Регулярність подачі відомостей по годинах CPE (Continuing Professional Education, постійне професійне освіти).







Як ви напевно чули (або знаєте), всі власники сертифікатів ISACA (CISA, CISM, CGEIT і CRISC) зобов'язані звітувати про годинник професійної освіти, тобто розвитку своїх професійних знань. Про правила підтвердження CPE написано досить докладно в Continuing Education (CPE) Policy (для кожної сертифікації свої положення з мінімальними змінами). Наприклад, політику по CISM можна подивитися тут. а неофіційний переклад документа на російську мову (спасибі Костянтину Бєльцова) можна завантажити тут.

Спробуємо розібратися у важливих моментах. Почнемо з основного:

Як я здавав (і здав) cism

  • Інструкція навіть є в картинках (PDF тут).
  • Одні і ті ж години можуть бути використані для різних сертифікатів (ISACA), якщо професійна діяльність може бути застосована і пов'язана з кожним з них.
  • На щорічній основі ISACA проводить випадковий відбір власників сертифікатів для проведення перевірки. В даному випадку вас попросять надати письмові свідчення діяльності за CPE. До речі, їх необхідно зберігати до 12 місяців з моменту закінчення трирічного звітного терміну.


Що можуть зарахувати за годинник CPE? Тут досить багато варіантів:

  1. ISACA professional education activities and meetings (no limit) - Професійна освіта і зустрічі, організовані ISACA
  2. Non-ISACA professional education activities and meetings (no limit) - Професійна освіта і зустрічі, що не належать до ISACA
  3. Self-study courses (no limit) - Курси самопідготовки
  4. Vendor sales / marketing presentations (10-hour annual limitation) - вендорськіх сейлзовие / маркетингові презентації (річний ліміт 10-годин)
  5. Teaching / lecturing / presenting (no limit) - Викладання / лекції / презентації
  6. Publication of articles, monographs and books (no limit) - Публікація статей, наукових праць і книг
  7. Exam question development and review (no limit) - Розробка екзаменаційних питань і оглядів
  8. Passing related professional examinations (no limit) - Здача суміжних професійних іспитів / сертифікацій
  9. Working on ISACA Boards / Committees (20-hour annual limitation per ISACA certification) - Робота в комітетах або раді ISACA (ліміт в 20 годин для кожної сертифікації)
  10. Contributions to the information security profession (20-hour annual limitation in total for all related activity for CISM reported hours) - Дослідження (розробки) у сфері інформаційної безпеки (ліміт в 20 годин в цілому за все витрачений час в рамках активності)
  11. Mentoring (10-hour annual limitation) - Менторство (річний ліміт 10-годин)






Найголовніше, що звітувати треба за знаннями, відповідним тематиці сертифікації. Для CISM це - "управління ІБ". Як написано на сайті ISACA: "Тренінги, що проводяться для навчання роботі зі стандартним офісним програмним забезпеченням (напр. Microsoft Word або Excel і т.п.) не можуть бути прийняті для підтвердження CPE годин."

Для себе я планую звітувати, в першу чергу, за наступними пунктами:

Як я здавав (і здав) cism

Зверніть увагу, що писати варто тільки по-англійськи, російські літери перетворилися в знаки ".".

Іноді ще буду звітувати і по іншим своїм презентаціям, багато хто з них я публікую в загальному доступі на Slideshare.

Це 3 основні формати отримання CPE, які планую використовувати в першу чергу. Вони дають багато годин, а підтверджувати їх, в разі необхідності, не дуже складно.

Але, ось ще пару думок по іншим можливостям:

  • ISACA professional education activities and meetings. Я зазвичай відвідую зустрічі московської групи ISACA. Вони відбуваються не часто і багато годин CPE не дадуть, але при цьому видають паперовий сертифікат і, ніби як, автоматично враховуються (не треба про них здавати звіт).
  • Non-ISACA professional education activities and meetings. На мій погляд, не дуже зручно підтверджувати свою участь в них. Звітувати за ним не планую.
  • Self-study courses. Зручно звітувати тільки за офіційні вебінари ISACA, ніби як, коли ви його присутності на них, тривалість заходу автоматично додається до годинника CPE.
  • Vendor sales / marketing presentations. Не дуже зручно підтверджувати свою участь в них. Звітувати за ним не планую.
  • Exam question development and review. Не планую займатися даною діяльністю.
  • Working on ISACA Boards / Committees. Не планую займатися даною діяльністю.
  • Contributions to the information security profession. П ублічние звіти по роботах роблю не завжди, тому буде складно звітувати, "заб'ю".
  • Mentoring. Можна сміливо вказувати в своєму звіті 10 годин (це максимум за рік), називаючи це "консультаціями в індивідуальному порядку з питань кар'єри або підготовки до іспитів" для своїх колег і друзів.

На мій погляд, звітувати по CPE не складно: ISACA надає багато варіантів діяльності, за яку можна отримати необхідні годинник, необхідних годин не багато (рекомендують 40 в рік), форма подачі інформації зручна. При цьому фахівці отримують додаткову мотивацію для розвитку своїх знань і навичок, що, на мій погляд. дуже добре!

До речі, про підготовку і здачу іспиту CISM я написав уже багато нотаток: