Вечером четверга 17.07.2014 я наконец-то получил долгожданное электронное письмо о том, что я успешно сдал CISM (Certified Information Security Manager). Сам экзамен проходил 14.06.2014. Получение такого рода сертификата является важным событием в жизни ИБ-специалиста.
В этом посте я расскажу о том, как я трижды сдавал данный экзамен, а в следующем напишу о своих наблюдениях и дам рекомендации по подготовке и сдаче.
Вообще, CISM я решил сдавать еще в конце 2011 года / начале 2012. Этому желанию сильно поспособствовал мой друг и бывший руководитель Александр Бондаренко , у которого вся стена была украшена похожими сертификатами (CISA, CISSP и пр.). У меня же на тот момент из интересных сертификатов были 3 базовых по ISO 27001 (введение, внедрение, внутренний аудит), ITIL Foundation (v2), PME и курсы повышения квалификации по защите ПДн, ну, и прочие по мелочи. Мне захотелось получить что-то чуть более крутое и ценное. Я долго выбирал между CISA и CISM, но остановился на последнем по ряду причин:
- CISM про то, как планировать защиту и строить комплексные системы ИБ. На тот момент я активно работал на проектах по построению СУИБ по 27001, и мне это было бы актуальнее, чем CISA, который про то, скорее, как проверять уже существующие системы.
- CISM чуть более редкая (и молодая) сертификация, чем CISA. Это привлекает.
- Сейчас (скорее и тогда тоже) CISM чаще входит в рейтинги "топовых" сертификаций для ИБ-специалистов, чем CISA. Вот, например, из недавних отчетов .
А вот как нахваливает CISM сама ISACA:
CISM Certification:
- Demonstrates your understanding of the relationship between an information security program and broader business goals and objectives
- Distinguishes you as having not only information security expertise, but also knowledge and experience in the development and management of an information security program
- Puts you in an elite peer network
- Is considered essential to ongoing education, career progression and value delivery to enterprises.
Итак, я выбрал сертификацию, оплатил членство ISACA и экзамен, в июне 2012 попробовал сдать и... с треском провалил его. :((( Набрал 362 балла из необходимых 450. Основная причина моей неудачи, как я полагаю, была в том, что я практически не готовился, надеясь на "авось". Чуда не произошло... Другим моим упущением было то, что я сосредоточился на изучении мануала (теории), а надо было готовиться по примерам вопросов.
Второй раз я попробовал пересдать экзамен осенью 2012. Я даже немного готовился, но за неделю до экзамена сильно заболел, провалялся дома и экзамен сдавал с температурой. Набрал 444 балла из необходимых 450. Очень опечалился таким небольшим недобором...
Третий и финальный раз я пересдавал экзамен в июне 2014 года (через 1.5 года после второй попытки). Я очень переживал, за третью "несдачу" мне было бы очень стыдно и очень жалко времени и денег (экзамен не дешевый). Я заранее купил мануал и обновленный комплект вопросов за 2014 год, также у меня оставались материалы за 2011 год (они продолжают быть актуальными и сейчас). И начал неторопливо готовиться... К сожалению, мои ленность и распиздяйство высокая загрузка и отсутствие свободного времени привели к тому, что я потратил на подготовку гораздо меньше времени, чем хотел. Это не могло не сказаться на итоговом результате. Экзамен я сдал, что называется, "по нижней границе". Набрал проходные 455 баллов при следующем распределении по доменам CISM:
- Information Security Governance - 437
- Information Risk Management and Compliance - 501
- Information Security Program Development and Management - 445
- Information Security Incident Management - 410
Я горд и счастлив... :)))
В следующем посту я напишу рекомендации по подготовке и свои наблюдения об экзамене...
В следующем посту я напишу рекомендации по подготовке и свои наблюдения об экзамене...
