Понимаете, каждый год мы с друзьями ходим в баню. Хотя какая баня? Хотел же написать еще один пост про сертификацию CISM . Как раз про регулярность. Регулярность подачи сведений по часам CPE (Continuing Professional Education, постоянное профессиональное образования).
Как вы наверно слышали (или знаете), все обладатели сертификатов ISACA (CISA, CISM, CGEIT и CRISC) обязаны отчитываться о часах профессионального образования, т.е. развития своих профессиональных знаний. О правилах подтверждения CPE написано довольно подробно в Continuing Education (CPE) Policy (для каждой сертификации свои положения с минимальными изменениями). Например, политику по CISM можно посмотреть тут , а неофициальный перевод документа на русский язык (спасибо Константину Бельцову) можно скачать тут .
Попробуем разобраться в важных моментах. Начнем с основного:
- Отчитываться о CPE необходимо с первого нового года после присвоения статуса. Однако в зачет могут идти часы CPE, полученные за промежуток времени с даты получения статуса до 31 декабря того же года. Мне, например, статус CISM присвоили 29 октября 2014 года, значит, что отчитываться за CPE я начинаю с 2015, но могу подать информацию и за ноябрь-декабрь 2014 года (что я и сделал, см.ниже).
- За 3 года необходимо отчитаться о минимум 120 часах CPE, причем не менее 20 часов за каждый из трех лет. Т.е. "набить" сразу все в последний момент не удастся.
- Один час CPE берется из расчета каждые 50 минут активного участия (исключая, завтраки, обеды, фуршеты) в рамках выполняемой деятельности. На это обратите внимание при указании длительных курсов обучения.
- Оплачивать необходимый взнос (45$ для членов ISACA без скидки) и отчитываться о CPE необходимо до 15 января каждого года. Не будете отчитываться - сертификат отзовут и потребуют уничтожить его бумажную копию (да-да, это отдельно прописано в правилах :))) ), а за пересмотр и обжалование этого решения возьмут еще 50$ (интересно, а за перевыпуск уничтоженного сертификата и его пересылку еще денег запросят?).
- Удобнее всего отчитываться через специальную форму на сайте ISACA
How to report your CPE:
- Log in at www.isaca.org
- Click on MY ISACA
- Click on MY CERTIFICATIONS
- Click on Manage My CPE
- Scroll down, then click on Add CPE button
- Enter CPE activity information and click Save.
- Инструкция даже есть в картинках ( PDF тут ).
- Одни и те же часы могут быть использованы для разных сертификатов (ISACA), если профессиональная деятельность применима и связана с каждым из них.
- На ежегодной основе ISACA проводит случайный отбор владельцев сертификатов для проведения проверки. В данном случае вас попросят предоставить письменные свидетельства деятельности по CPE. Кстати, их необходимо хранить до 12 месяцев с момента окончания трехлетнего отчетного срока.
Что могут засчитать за часы CPE? Тут довольно много вариантов:
- ISACA professional education activities and meetings (no limit) - Профессиональное образование и встречи, организованные ISACA
- Non-ISACA professional education activities and meetings (no limit) - Профессиональное образование и встречи, не относящиеся к ISACA
- Self-study courses (no limit) - Курсы самоподготовки
- Vendor sales/marketing presentations (10-hour annual limitation) - Вендорские сейлзовые/маркетинговые презентации (годовой лимит 10-часов)
- Teaching/lecturing/presenting (no limit) - Преподавание/лекции/презентации
- Publication of articles, monographs and books (no limit) - Публикация статей, научных трудов и книг
- Exam question development and review (no limit) - Разработка экзаменационных вопросов и обзоров
- Passing related professional examinations (no limit) - Сдача смежных профессиональных экзаменов/сертификаций
- Working on ISACA Boards/Committees (20-hour annual limitation per ISACA certification) - Работа в комитетах или совете ISACA (лимит в 20 часов для каждой сертификации)
- Contributions to the information security profession (20-hour annual limitation in total for all related activity for CISM reported hours) - Исследования (разработки) в области информационной безопасности (лимит в 20 часов в общей сложности за всё потраченное время в рамках активности)
- Mentoring (10-hour annual limitation) - Менторство (годовой лимит 10-часов)
У каждой из этих возможностей есть свои особенности и ограничения, здесь следует внимательно читать документ. Так, например, приятным известием стало то, что новые (отличающиеся от тех, за которые уже отчитались) презентации и курсы (п.5) засчитывают с пятикратным коэффициентом. Таким образом за презентацию на 30 минут дают 2,5 CPE, а за 2х-дневный курс обучения (по 6,5 часов в день активного обучения), который вы проводите, можно получить целых 65 часов CPE.
Самое главное, что отчитываться надо по знаниям, соответствующим тематике сертификации. Для CISM это - "управление ИБ". Как написано на сайте ISACA: "Тренинги, проводимые для обучения работе со стандартным офисным программным обеспечением (напр. Microsoft Word или Excel и т.п.) не могут быть приняты для подтверждения CPE часов."
Для себя я планирую отчитываться, в первую очередь, по следующим пунктам:
- Teaching/lecturing/presenting. Я готовлю и читаю довольно много презентаций на конференциях и вебинарах, а также иногда веду курсы по управлению информационной безопасностью. За это дают максимум CPE. Так, например, за курс " Система менеджмента информационной безопасности на предприятии по ГОСТ Р ИСО/МЭК 27001–2006 ", который я читал в декабре 2014 года в Екатеринбурге, я отметил 65 часов CPE. Мне этого уже хватит на целый 2015 год...
Обратите внимание, что писать стоит только по-английски, русские буквы превратились в знаки "???".
Иногда еще буду отчитываться и по другим своим презентациям, многие из них я публикую в общем доступе на Slideshare .
- "Publication of articles, monographs and books". В год я обычно пишу порядка 5 больших статьей в журналы, за каждую из них можно получить примерно по 5 часов CPE. Вроде каких-то специфичных требований по "научности" статьей и формата журналов нет. Кстати, по формальным признакам и публикация постов в блог подпадает под возможность отчитываться за них, но проверять не буду.
- "Passing related professional examinations". В 2015 году может сдам CGEIT и CISSP, это если найду и выделю время на подготовку и сдачу...
Это 3 основных формата получения CPE, которые планирую использовать в первую очередь. Они дают много часов, а подтверждать их, в случае необходимости, не очень сложно.
Но, вот еще пару мыслей по остальным возможностям:
- ISACA professional education activities and meetings. Я обычно посещаю встречи московской группы ISACA. Они происходят не часто и много часов CPE не дадут, но при этом выдают бумажный сертификат и, вроде как, автоматически учитываются (не надо про них сдавать отчет).
- Non-ISACA professional education activities and meetings. На мой взгляд, не очень удобно подтверждать свое участие в них. Отчитываться по ним не планирую.
- Self-study courses. Удобно отчитываться только за официальные вебинары ISACA, вроде как, при регистрации и присутствии на них, длительность мероприятия автоматически прибавляется к часам CPE.
- Vendor sales/marketing presentations. Не очень удобно подтверждать свое участие в них. Отчитываться по ним не планирую.
- Exam question development and review. Не планирую заниматься данной деятельностью.
- Working on ISACA Boards/Committees. Не планирую заниматься данной деятельностью.
- Contributions to the information security profession. Публичные отчеты по работам делаю не всегда, поэтому будет сложно отчитываться, "забью".
- Mentoring. Можно смело указывать в своем отчете 10 часов (это максимум за год), называя это "консультациями в индивидуальном порядке по вопросам карьеры или подготовки к экзаменам" для своих коллег и друзей.
На мой взгляд, отчитываться по CPE не сложно: ISACA предоставляет много вариантов деятельности, за которую можно получить необходимые часы, требуемых часов не много (рекомендуют 40 в год), форма подачи информации удобна. При этом специалисты получают дополнительную мотивацию для развития своих знаний и навыков, что, на мой взгляд. очень хорошо!
Кстати, про подготовку и сдачу экзамена CISM я написал уже много заметок:
- Как я сдавал (и сдал) CISM. Часть 1: Третья попытка...
- Как я сдавал (и сдал) CISM. Часть 2: Подготовка и экзамен
- Как я сдавал (и сдал) CISM. Часть 3. Необходимый опыт
- Как я сдавал (и сдал) CISM. Часть 4. Форма подтверждения опыта
- Как я сдавал (и сдал) CISM. Часть 4.1 Еще про форму подтверждения опыта
- К ак я сдавал (и сдал) CISM. Часть 5. CPE