Продолжаю рассказывать про особенности подготовки и сдачи экзамена CISM (Certified Information Security Manager), а также подтверждение необходимого опыта. Сегодня я расскажу о том, как этот самый опыт, про который я рассказывал в прошлый раз, необходимо оформлять и подтверждать.
Ранее:
Как я сдавал (и сдал) CISM. Часть 1: Третья попытка...
Как я сдавал (и сдал) CISM. Часть 2: Подготовка и экзамен
Как я сдавал (и сдал) CISM. Часть 3. Необходимый опыт
1.Скачать и распечатать PDF-файл с пустыми полями
2.Заполнить анкету в специальной веб-форме и сгенерировать уже заполненный PDF-файл
3.Запросить доставку листов формы обычной почтой
Сначала я скачал и распечатал пустую форму. Сделал это для того, чтобы понять, что от меня хотят, прочитать вопросы и оценить трудозатратность заполнения. Ну, а потом я начал заполнять веб-форму. Итоговая анкета от этого получится аккуратнее, да и заполнять "от руки" было уж очень лениво...
2.Заполнить анкету в специальной веб-форме и сгенерировать уже заполненный PDF-файл
3.Запросить доставку листов формы обычной почтой
Сначала я скачал и распечатал пустую форму. Сделал это для того, чтобы понять, что от меня хотят, прочитать вопросы и оценить трудозатратность заполнения. Ну, а потом я начал заполнять веб-форму. Итоговая анкета от этого получится аккуратнее, да и заполнять "от руки" было уж очень лениво...
Обратил внимание, что веб-форма и PDF-анкета немного отличаются друг от друга, но полагаю, что это не критично. Так, в форме на сайте есть поля для записи трех контактов подтверждающих лиц, а в pdf-файле зато есть поле для указания сертификатов ISACA у подтверждающих лиц.
Сам документ "Application for CISM Certification" состоит из следующих частей:
- 3 страницы (включая титульную) общей информации и комментариев по заполнению формы (инструкция).
- Страница/форма "Page A-1", на которой вводится общая информация о кандидате (адрес, телефон, место работы). Так же здесь представлен текст краткого соглашения с ISACA, которое необходимо подписать. Ни чего особо интересно, но вот пару положений, которые я для себя отметил:
- "I understand that all certificates are owned by ISACA and if my certificate is granted and then revoked, I will destroy the certificate" (сертификат принадлежит ISACA и если они его отзовут, то надо будет уничтожить свою копию)
- "I understand that the decision as to whether i qualify for certification rest solely and exclusively with isaca and that the decision of isaca is final" (по своему усмотрению ISACA может и отказать в выдаче сертификата)
- Страница/форма "Page A-2". На ней необходимо указать опыт работы в роли менеджера ИБ (Information Security Management Experience), и общий опыт в ИБ (General Information Security Experience). При этом необходимо конкретно перечислить должности и наименования компаний с указанием дат и длительности работы. Тут, кстати, есть небольшая "странность"/"неудобство": и для "менеджерского" опыта и для "общего" отведено лишь по 3 поля должность/компания. У меня "менеджерского" опыта оказалось на 4 компании (ЛЕТА, Анализ защищенности, IBS Platformix и InfoWatch), как все их "впихивать" в 3 строчки не понятно Я решил одной строкой опыта пренебречь и перенес должность в "общий" опыт. Ну, чуть потерял в итоговом "менеджерском" опыте, но все равно хватает с избытком. Еще в форме "Page A-2" есть поля, которые заполняются при наличии оснований для "сокращения" необходимого срока, про которые я упоминал в прошлом посте. Их я оставил нетронутыми. ISACA предупреждает, что иногда выборочно проверяют анкетные данные, поэтому обманывать не рекомендуется.
- 2 одинаковые двухстраничные формы верификации/подтверждения (Verification of Work Experience). Они заполняются не кандидатом, а тем, кто подтверждает опыт. Видимо предполагается, что один человек не всегда сможет подтвердить весь опыт, и надо запрашивать несколько людей. Я запросил подтверждение от двух лиц.
Вот именно форма подтверждения и является самой интересной, но странной частью. Я ее заполнил самостоятельно за подтверждающих лиц, но отправил на согласование и утверждение (постановку подписи).
Сначала надо указать контактные данные подтверждающего и проставить много-много галочек на вопросы типа "можете ли подтвердить опыт соискателя". Обратите внимание, что последний вопрос будет "есть ли какие-либо препятствия для выдачи сертификата", тут надо поставить галку в поле "NO".
Далее идет страница вопросов о выполняемых задачах. Их будет 37 из всех 4х областей CISM. Я честно пытался выбрать те, что я не делал, потом плюнул и просто проставил все галки. Вот пример областей задач, областей опыта:
Далее идет страница вопросов о выполняемых задачах. Их будет 37 из всех 4х областей CISM. Я честно пытался выбрать те, что я не делал, потом плюнул и просто проставил все галки. Вот пример областей задач, областей опыта:
- Establish and maintain an information security strategy in alignment with organizational goals and objectives to guide the establishment and ongoing management of the information security program.
- Develop business cases to support investments in information security.
- Identify legal, regulatory, organizational and other applicable requirements to manage the risk of noncompliance to acceptable levels.
- Ensure alignment between the information security program and other business functions (for example, human resources [HR], accounting, procurement and IT) to support integration with business processes.
- Organize, train and equip teams to effectively respond to information security incidents in a timely manner.
- ...
В итоге получаем 2 распечатанные страницы со своей анкетой и годами опыта, на них ставим свою подпись и делаем отметку, что принимаем кодекс профессиональной этики ISACA ( Code of Professional Ethics). И еще у нас на руках оказываются 2 варианта двустраничных подтверждения, подписанные другими людьми. Затем все это сканируем и отправляем в ISACA на электронную почту certification@isaca.org. Можно, конечно, отправить оригиналы и обычной почтой, но вряд ли кто-то идет по этому пути.
Теперь остается подождать 8 недель. После этого, если все нормально, то будет присвоен статус CISM и вышлют сам сертификат. Ждем...
