Продолжаю рассказывать про получение сертификата CISM.
Я уже начал потихоньку заполнять необходимые документы, подтверждающие мой практический опыт. Об этом необходимом опыте я и расскажу в сегодняшней заметке.
Ранее:
- Как я сдавал (и сдал) CISM. Часть 1: Третья попытка...
- Как я сдавал (и сдал) CISM. Часть 2: Подготовка и экзамен
После сдачи экзамена дается 5 лет на прохождение дальнейших процедур, которые необходимых для получения сертификата CISM. Они заключаются в оплате 50$ пошлины , а также в заполнении и отправке специальной формы заявления (Application for CISM Certification), в котором необходимо указать довольно много информации о себе и подтвердить профессиональный опыт. Далее нужно будет указать свою приверженность кодексу профессиональной этики ISACA ( Code of Professional Ethics ) и ознакомиться с правилами регулярного набора и подтверждения "баллов обучения" ( Continuing Professional Education (CPE) Policy ).
Ну, оплатить 50$ просто (я это сделал кредиткой на сайте ISACA). Далее надо разобраться с подтверждением опыта.
Как многие знают, для получения статуса CISM необходим пятилетний опыт в ИБ, причем минимум 3 года надо быть в роли менеджера по ИБ ("Information Security Manager"). При этом кандидат должен был быть ответственным за программу или процессы управления ИБ. Ну, или выступать в роли консультанта по этим вопросам. Я скорее иду именно по консалтинговому опыту.
И это еще не все. Кандидат должен подтвердить опыт минимум по 3 из 4 доменов сертификации CISM, напомню их:
И это еще не все. Кандидат должен подтвердить опыт минимум по 3 из 4 доменов сертификации CISM, напомню их:
- Information Security Governance
- Information Risk Management and Compliance
- Information Security Program Development and Management
- Information Security Incident Management
Есть две возможности сократить необходимые года общего 5-летнего опыта (!но 3 года опыта в управлении ИБ должны быть):
- Можно "скинуть" 2 года если выполняется одно из условий:
- наличие сертификата CISA;
- наличие сертификата CISSP;
- получено высшее образование (выше бакалавра, "post-graduate") по специальностям ИБ или смежным областям (приводится пример "business administration", "information systems", "information assurance").
- Или можно "скинуть" 1 год при выполнении одного из следующих условий:
- наличие одного полного года опыта в управлении информационными системами;
- наличие одного полного года опыта в управлении общей безопасностью ("general security", и приводят примеры: "physical security", "personnel security", "investigations management"), причем именно в "управлении" (т.е. работа просто охранником "не катит");
- наличие одного из базовых сертификатов по ИБ (приводится пример GIAC (SANS Global Information Assurance Certification), MCSE (Microsoft Certified Systems Engineer), CompTIA Security+, CBCP (Disaster Recivery Institute Certified Business Continuity Professional), ESL IT Security Manager);
- прохождение обучения по программе управления ИБ, соответствующей некоей "the Model Curriculum" (видимо, это какая-то официальная программа обучения).
В принципе, мне должно хватить своего опыта, я работаю по профессии с 2007 года (первая должность была "инженер 1й категории сектора защиты информации службы безопасности и режима" в ФПД ОАО РЖД), а с 2008 года я уже попал в консалтинг (в компанию ЛЕТА). Причем в консалтинге занимался именно вопросами управления ИБ.
В общий комплект отсылаемых документов я не буду прикладывать свой диплом (вряд ли он будет засчитан. да и, видимо, его надо переводить на английский), а вот международные сертификаты по ISO 27001, ITIL и COBIT5 отправлю (хотя тоже вряд ли будут учтены, но все же). Российские сертификаты и дипломы о прохождении курсов повышения квалификации отсылать не имеет смысла...
В следующей заметке по теме CISM я расскажу про заполнение анкеты и ее верификацию (подтверждение).
