Как я сдавал (и сдал) CISM. Часть 5. CPE

Как я сдавал (и сдал) CISM. Часть 5. CPE
Понимаете, каждый год мы с друзьями ходим в баню. Хотя какая баня? Хотел же написать еще один пост про сертификацию CISM . Как раз про регулярность. Регулярность подачи сведений по часам CPE (Continuing Professional Education, постоянное профессиональное образования).

Как вы наверно слышали (или знаете), все обладатели сертификатов ISACA (CISA, CISM, CGEIT и CRISC) обязаны отчитываться о часах профессионального образования, т.е. развития своих профессиональных знаний. О правилах подтверждения CPE написано довольно подробно в Continuing Education (CPE) Policy  (для каждой сертификации свои положения с минимальными изменениями). Например, политику по CISM можно посмотреть тут , а неофициальный перевод документа на русский язык (спасибо Константину Бельцову) можно скачать тут .

Попробуем разобраться в важных моментах. Начнем с основного:
  • Отчитываться о CPE необходимо с первого нового года после присвоения статуса. Однако в зачет могут идти часы CPE, полученные за промежуток времени с даты получения статуса до 31 декабря того же года. Мне, например, статус CISM присвоили 29 октября 2014 года, значит, что отчитываться за CPE я начинаю с 2015, но могу подать информацию и за ноябрь-декабрь 2014 года (что я и сделал, см.ниже).
  • За 3 года необходимо отчитаться о минимум 120 часах CPE, причем не менее 20 часов за каждый из трех лет. Т.е. "набить" сразу все в последний момент не удастся. 
  • Один час CPE берется из расчета каждые 50 минут активного участия (исключая, завтраки, обеды, фуршеты) в рамках выполняемой деятельности. На это обратите внимание при указании длительных курсов обучения.
  • Оплачивать необходимый взнос (45$ для членов ISACA без скидки) и отчитываться о CPE необходимо до 15 января каждого года. Не будете отчитываться - сертификат отзовут и потребуют уничтожить его бумажную копию (да-да, это отдельно прописано в правилах :))) ), а за пересмотр и обжалование этого решения возьмут еще 50$ (интересно, а за перевыпуск уничтоженного сертификата и его пересылку еще денег запросят?).
  • Удобнее всего отчитываться через специальную форму на сайте ISACA
How to report your CPE:
  • Click on Manage My CPE
  • Scroll down, then click on Add CPE button
  • Enter CPE activity information and click Save.
  • Инструкция даже есть в картинках ( PDF тут ).
  • Одни и те же часы могут быть использованы для разных сертификатов (ISACA), если профессиональная деятельность применима и связана с каждым из них.
  • На ежегодной основе ISACA проводит случайный отбор владельцев сертификатов для проведения проверки. В данном случае вас попросят предоставить письменные свидетельства деятельности по CPE. Кстати, их необходимо хранить до 12 месяцев с момента окончания трехлетнего отчетного срока.

Что могут засчитать за часы CPE? Тут довольно много вариантов:
  1. ISACA professional education activities and meetings (no limit) - Профессиональное образование и встречи, организованные ISACA 
  2. Non-ISACA professional education activities and meetings (no limit) - Профессиональное образование и встречи, не относящиеся к ISACA
  3. Self-study courses (no limit) - Курсы самоподготовки
  4. Vendor sales/marketing presentations (10-hour annual limitation) - Вендорские сейлзовые/маркетинговые презентации (годовой лимит 10-часов)
  5. Teaching/lecturing/presenting (no limit) - Преподавание/лекции/презентации
  6. Publication of articles, monographs and books (no limit) - Публикация статей, научных трудов и книг
  7. Exam question development and review (no limit) - Разработка экзаменационных вопросов и обзоров
  8. Passing related professional examinations (no limit) - Сдача смежных профессиональных экзаменов/сертификаций
  9. Working on ISACA Boards/Committees (20-hour annual limitation per ISACA certification) - Работа в комитетах или совете ISACA (лимит в 20 часов для каждой сертификации)
  10. Contributions to the information security profession (20-hour annual limitation in total for all related activity for CISM reported hours) - Исследования (разработки) в области информационной безопасности (лимит в 20 часов в общей сложности за всё потраченное время в рамках активности)
  11. Mentoring (10-hour annual limitation) - Менторство (годовой лимит 10-часов)

У каждой из этих возможностей есть свои особенности и ограничения, здесь следует внимательно читать документ. Так, например, приятным известием стало то, что новые (отличающиеся от тех, за которые уже отчитались) презентации и курсы (п.5) засчитывают с пятикратным коэффициентом. Таким образом за презентацию на 30 минут дают 2,5 CPE, а за 2х-дневный курс обучения (по 6,5 часов в день активного обучения), который вы проводите, можно получить целых 65 часов CPE.

Самое главное, что отчитываться надо по знаниям, соответствующим тематике сертификации. Для CISM это - "управление ИБ". Как написано на сайте ISACA: "Тренинги, проводимые для обучения работе со стандартным офисным программным обеспечением (напр. Microsoft Word или Excel и т.п.) не могут быть приняты для подтверждения CPE часов."

Для себя я планирую отчитываться, в первую очередь, по следующим пунктам:

Обратите внимание, что писать стоит только по-английски, русские буквы превратились в знаки "???".

Иногда еще буду отчитываться и по другим своим презентациям, многие из них я публикую в общем доступе на Slideshare .
  • "Publication of articles, monographs and books". В год я обычно пишу порядка 5 больших статьей в журналы, за каждую из них можно получить примерно по 5 часов CPE. Вроде каких-то специфичных требований по "научности" статьей и формата журналов нет. Кстати, по формальным признакам и публикация постов в блог подпадает под возможность отчитываться за них, но проверять не буду.
  • "Passing related professional examinations". В 2015 году может сдам CGEIT и CISSP, это если найду и выделю время на подготовку и сдачу...

Это 3 основных формата получения CPE, которые планирую использовать в первую очередь. Они дают много часов, а подтверждать их, в случае необходимости, не очень сложно.

Но, вот еще пару мыслей по остальным возможностям:
  • ISACA professional education activities and meetings. Я обычно посещаю встречи московской группы ISACA. Они происходят не часто и много часов CPE не дадут, но при этом выдают бумажный сертификат и, вроде как, автоматически учитываются (не надо про них сдавать отчет). 
  • Non-ISACA professional education activities and meetings. На мой взгляд, не очень удобно подтверждать свое участие в них. Отчитываться по ним не планирую.
  • Self-study courses. Удобно отчитываться только за официальные вебинары ISACA, вроде как, при регистрации и присутствии на них, длительность мероприятия автоматически прибавляется к часам CPE.
  • Vendor sales/marketing presentations. Не очень удобно подтверждать свое участие в них. Отчитываться по ним не планирую.
  • Exam question development and review. Не планирую заниматься данной деятельностью.
  • Working on ISACA Boards/Committees. Не планирую заниматься данной деятельностью.
  • Contributions to the information security profession. Публичные отчеты по работам делаю не всегда, поэтому будет сложно отчитываться, "забью".
  • Mentoring. Можно смело указывать в своем отчете 10 часов (это максимум за год), называя это "консультациями в индивидуальном порядке по вопросам карьеры или подготовки к экзаменам" для своих коллег и друзей.

На мой взгляд, отчитываться по CPE не сложно: ISACA предоставляет много вариантов деятельности, за которую можно получить необходимые часы, требуемых часов не много (рекомендуют 40 в год), форма подачи информации удобна. При этом специалисты получают дополнительную мотивацию для развития своих знаний и навыков, что, на мой взгляд. очень хорошо!


Кстати, про подготовку и сдачу экзамена CISM я написал уже много заметок:
Alt text

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!

Andrey Prozorov

Информационная безопасность в России и мире