Как я сдавал (и сдал) CISM. Часть 4. Форма подтверждения опыта

Как я сдавал (и сдал) CISM. Часть 4. Форма подтверждения опыта
Продолжаю рассказывать про особенности подготовки и сдачи экзамена CISM (Certified Information Security Manager), а также подтверждение необходимого опыта. Сегодня я расскажу о том, как этот самый опыт, про который я рассказывал в прошлый раз , необходимо оформлять и подтверждать.

Ранее:
Как я сдавал (и сдал) CISM. Часть 1: Третья попытка...
Как я сдавал (и сдал) CISM. Часть 2: Подготовка и экзамен
Как я сдавал (и сдал) CISM. Часть 3. Необходимый опыт

Опыт и другие данные претендента заполняются в специальной форме -  Application for CISM Certification . ISACA предлагает 3 варианта ее получения:
1.Скачать и распечатать PDF-файл с пустыми полями
2.Заполнить анкету в специальной веб-форме и сгенерировать уже заполненный PDF-файл
3.Запросить доставку листов формы обычной почтой

Сначала я скачал и распечатал пустую форму. Сделал это для того, чтобы понять, что от меня хотят, прочитать вопросы и оценить трудозатратность заполнения. Ну, а потом я начал заполнять веб-форму. Итоговая анкета от этого получится аккуратнее, да и заполнять "от руки" было уж очень лениво...
Обратил внимание, что веб-форма и PDF-анкета немного отличаются друг от друга, но полагаю, что это не критично. Так, в форме на сайте есть поля для записи трех контактов подтверждающих лиц, а в pdf-файле зато есть поле для указания сертификатов ISACA у подтверждающих лиц. 

Сам документ "Application for CISM Certification" состоит из следующих частей:
  • 3 страницы (включая титульную) общей информации и комментариев по заполнению формы (инструкция).
  • Страница/форма "Page A-1", на которой вводится общая информация о кандидате (адрес, телефон, место работы). Так же здесь представлен текст краткого соглашения с ISACA, которое необходимо подписать. Ни чего особо интересно, но вот пару положений, которые я для себя отметил:
    • "I understand that all certificates are owned by ISACA and if my certificate is granted and then revoked, I will destroy the certificate" (сертификат принадлежит ISACA и если они его отзовут, то надо будет уничтожить свою копию)
    • "I understand that the decision as to whether i qualify for certification rest solely and exclusively with isaca and that the decision of isaca is final" (по своему усмотрению ISACA может и отказать в выдаче сертификата)
  • Страница/форма "Page A-2". На ней необходимо указать опыт работы в роли менеджера ИБ (Information Security Management Experience), и общий опыт в ИБ (General Information Security Experience). При этом необходимо конкретно перечислить должности и наименования компаний с указанием дат и длительности работы. Тут, кстати, есть небольшая "странность"/"неудобство": и для "менеджерского" опыта и для "общего" отведено лишь по 3 поля должность/компания. У меня "менеджерского" опыта оказалось на 4 компании (ЛЕТА, Анализ защищенности, IBS Platformix и InfoWatch), как все их "впихивать" в 3 строчки не понятно  Я решил одной строкой опыта пренебречь и перенес должность в "общий" опыт. Ну, чуть потерял в итоговом  "менеджерском" опыте, но все равно хватает с избытком. Еще в форме "Page A-2" есть поля, которые заполняются при наличии оснований для "сокращения" необходимого срока, про которые я упоминал в прошлом посте . Их я оставил нетронутыми. ISACA предупреждает, что иногда выборочно проверяют анкетные данные, поэтому обманывать не рекомендуется.
  • 2 одинаковые двухстраничные формы верификации/подтверждения (Verification of Work Experience). Они заполняются не кандидатом, а тем, кто подтверждает опыт. Видимо предполагается, что один человек не всегда сможет подтвердить весь опыт, и надо запрашивать несколько людей. Я запросил подтверждение от двух лиц.  

Вот именно форма подтверждения и является самой интересной, но странной частью. Я ее заполнил самостоятельно за подтверждающих лиц, но отправил на согласование и утверждение (постановку подписи).

Сначала надо указать контактные данные подтверждающего и проставить много-много галочек на вопросы типа "можете ли подтвердить опыт соискателя". Обратите внимание, что последний вопрос будет "есть ли какие-либо препятствия для выдачи сертификата", тут надо поставить галку в поле "NO". 

Далее идет страница вопросов о выполняемых задачах. Их будет 37 из всех 4х областей CISM. Я честно пытался выбрать те, что я не делал, потом плюнул и просто проставил все галки. Вот пример областей задач, областей опыта:
  • Establish and maintain an information security strategy in alignment with organizational goals and objectives to guide the establishment and ongoing management of the information security program.
  • Develop business cases to support investments in information security.
  • Identify legal, regulatory, organizational and other applicable requirements to manage the risk of noncompliance to acceptable levels.
  • Ensure alignment between the information security program and other business functions (for example, human resources [HR], accounting, procurement and IT) to support integration with business processes.
  • Organize, train and equip teams to effectively respond to information security incidents in a timely manner.
  • ...
В итоге получаем 2 распечатанные страницы со своей анкетой и годами опыта, на них ставим свою подпись и делаем отметку, что принимаем кодекс профессиональной этики ISACA ( Code of Professional Ethics ). И еще у нас на руках оказываются 2 варианта двустраничных подтверждения, подписанные другими людьми. Затем все это сканируем и отправляем в ISACA на электронную почту certification@isaca.org. Можно, конечно, отправить оригиналы и обычной почтой, но вряд ли кто-то идет по этому пути.

Теперь остается подождать 8 недель. После этого, если все нормально, то будет присвоен статус CISM и вышлют сам сертификат. Ждем...
Alt text

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.

Andrey Prozorov

Информационная безопасность в России и мире