הדרך הארוכה להסמכת ה-CISSP – חלק ו' (תחזוקת ההסמכה)

CISSP

השלמת את תהליך ה-ENDORSEMENT בהצלחה. אתה יכול להתגאות בהסמכה באופן רשמי. כל הכבוד! (ואנחנו באמת גאים, לא היה פשוט) ! 🙂

עכשיו צריך לשמור על ההסמכה על ידי תחזוקה שוטפת. מלבד התשלום השנתי , עליך להוכיח שאתה מעדכן את רמת הידע שלך בתחום אבטחת המידע.

אבל אין דאגה, תהליך התחזוקה קל יותר מהמבחן (תודה באמת!). מטרת מאמר זה הינו סיוע במציאת הדרך הטובה והיעילה לתחזק את ההסמכה בלי לבזבז זמן וכסף.

הערה חשובה: שימו לב, בשנת 2019 עודכנה מדיניות הדיווח CPE's. בוטלה החובה לדיווח מינימאלי של של 40 יחידות שנתיות (הפכה להמלצה). אין שינוי בדרישה התלת שנתית (עדיין 120 לכל הפחות ב-3 שנים).

עדכון אחרון – 26/10/20 – עדכון מדיניות CPEs (ביטול חובת דיווח מינימום שנתי)

 מאמר זה נכתב ע"י מקסים פרנקל, CISSP.

עדכון אחרון לכתבה : 12/03/19 (עדכון קישורים)

סדרה של כתבות – מדריך למועמד להסמכת CISSP :

הדרך הארוכה להסמכת ה-CISSP – חלק א' (התארגנות)

הדרך הארוכה להסמכת ה-CISSP – חלק ב' (תכנון לוח זמנים)

הדרך הארוכה להסמכת ה-CISSP – חלק ג' (הלימוד)

הדרך הארוכה להסמכת ה-CISSP – חלק ד' (לקראת המבחן)

הדרך הארוכה להסמכת ה-CISSP – חלק ה' (Endorsement)

הדרך הארוכה להסמכת ה-CISSP – חלק ו' (תחזוקת ההסמכה)

תהליך תחזוקת ההסמכה (2 חלופות):

מאז קבלת ההסמכה, אנו מתחילים את תהליך התחזוקה על בסיס מחזורים של 3 שנים.

דרישות התחזוקה מתייחסות גם לתנאי סף ברמת מחזור (3 שנים) וגם לתנאי סף ברמה השנתית.

  1. חלופה א'
  • תשלום שנתי שוטף (AMF – הסבר בהמשך)
  • עמידה בדרישות CPE’s (הסבר בהמשך)
  • שמירה על הקוד האתי של ISC2 (ראו התייחסות במאמרים הקודמים)
  1. חלופה ב' (רלוונטי גם אם מוסמך "איבד" את ההסמכה)
  • ביצוע מבחן מלא מחדש (כן, כן … מותר 🙂 )

תשלום שנתי שוטף או AMF) Annual Maintenance Fees)

יש לזכור ש-ISC2 הינו ארגון ללא מטרת רווח.

התשלום הינו שנתי והוא חובה.

הסכום עומד על 125$ לשנה אחת, כמובן שניתן לשלם מראש עבור שלוש שנים.

הערה: עד ה-30.06.19, המחיר היה עדיין 85$ לשנה.

אז מה זה בכלל CPE?

נקודת CPE (קיצור של Continuing Professional Education) הינה יחידת מידה השוות ערך ליחידת מידה אחת של לימודים (ברור, לא? 🙂 ).
ניתן להשיג CPEs במגוון רחב מאוד של דרכים (פעילויות לימודיות כגון קורסים או קריאת חומרים מקצועיים, נוכחות או העברת הרצאות, נוכחות בכנסים, כתיבת מאמרים ועוד).
חישוב דיווח ה-CPEs מתבצע בהתאם למדריך המפורסם באתר של ISC2.
חשוב להבדיל בין שני סוגי CPEs: Group A ו-Group B.

מה ההבדל בין Group A & B?

• Group A CPE’s – מדובר בפעילויות קשורות באופן ישיר לתחומי הלימוד של המבחן (לפחות לתחום אחד)
נקודות מסוג A הינם יחידות חובה לכל מחזור תלת שנתי, זאת אומרת שבכל מחזור תת שנתי אנחנו מחויבים לצבור לכל הפחוץ 90 נק' כתנאי סף לתחזוקת ההסמכה (עד 2019, הדרישה הייתה 40 CPE's בשנה לפחות אך הדרישה בוטלה).

• Group B CPE’s – מדובר בפעילויות הלא קשורות באופן ישיר לתחומי הלימוד של המבחן אך מוכרות ע"י Isc2 כחיוניות לביצוע התפקידים הניהוליים בתחום אבטחת המידע. דוגמא לפעילויות: קורסים בתחום הניהול באופן כללי, בניהול פרויקטים, ניהול משאבי אינוש, ניהול כספים וכו.

כמה נקודות אני צריך לאסוף בשלוש שנים?

• במחזור (שלוש שנים) עלינו לצבור סך הכל של 120 CPEs

• לא קיימת דרישה לדיווח שנתי.

• במחזור (שלוש שנים) עלינו לאסוף מינימום של 90 CPE’s מסוג Group A
• ניתן להשלים עם CPE’s מסוג Group A (לדוגמא: ניתן לצבור את כל 120 CPE’s מסוג Group A) או עם CPEs מסוג B

הסבר על הפעילויות המקנות זכות ל-CPEs:

• כנסים – על כל שעת נוכחות בכנס ניתן לדווח על CPE 1,חשוב מאוד לבקש הוכחה בכתב על הנוכחות בכנס (יש לפנות לגוף האחראי על הכנס). מומלץ לשמור את ההזמנות לכנס במייל ולא למחוק, אין חוכמות מול ISC2
• קריאת המגזין של ISC (InfoSecurity Professional Magazine) אשר מתפרסם פעם בחודש, לאחר הקריאה ניתן לזכות ב-CPEs לאחר ביצוע בוחן קצר
• WEBINARS/WEBCASTS/COURSES -או כל מדית לימודים אינטרטית אשר תחזק את הצד המקצועי שלכם כל שעת הרצאה/לימודים מזכה אתכם ב-CPE אחד
• הכנת מצגת או כתיבת הרצאה הקשורה לאחד הדומיינים של מבחן ה-cissp. פירוט הזכאות ל-CPEs בהתאם לזמן ההכנה ולא בהתאם לזמן ביצוע ההרצאות (ראו פירוט במדריך של ISC2)
• כתיבת מאמרים (לדוגמא: מאמר זה 🙂 ). כל מאמר עד חמישה עמודים מזכה ב-5 CPEs. כל מאמר גדול מחמישה עמודים מזכה ב-10 CPEs
• הרשמה ל-Journal של ISC2 אומנם הרישום הוא בתשלום סימלי של 45 דולר לבעלי ההסמכה, לאחר ההרשמה ניתן לקבל 5 cpe
• פגישות מועדון ("Chapters"). כיום אין עדיין מועדון בישראל
• כתיבת השאלות למבחן ניתן לשלוח בקשה במייל. במידה ותבחרו לכתוב שאלות למבחן, תקבלו זכאות לעוד CPE’s
• ביצוע פעילויות התנדבותיות – מזכות ב-CPE’s בהתאם לכמות השעות של הפעילויות
• ועוד הרבה דרכים לקבל CPE’s

בדיקת CPEs ומדיניות בקרה

דיווח ה-CPE’s מתבצע באופן אישי במערכת הדיווח של ISC2 (קבלת שם משתמש + סיסמא לאחר קבלת ההסמכה).

לאחר דיווח הפעילות, יתכן ותקבלו ביקורת (Audit) ואז תאלצו להוכיח את ביצוע הפעילות בכתב.

כל מוסמך מחויב לשמור הוכחות בכתב עד 12 חודשים לאחר סיום המחזור (ובמילים פשוטות, עליכם לשמור את הוכחות 4 שנים).

הערה חשובה: לא יהיו וויכוחים במידה ולא תצליחו להוכיח את ביצוע הפעילויות … התוצאה לא תהיה חיובית עבורכם. שמרו גיבוי של ההוכחות (מייל בענן או אחר).

בקשר לעמידה בקוד האתי:

כל סטייה מהקוד האתי יחשב בסיבה לביטול ההסמכה.

לדוגמא: במידה ותחליטו לעזור מישהו בתהליך ה-ENDORSEMENT ולא תבצעו את התהליך בהתאם להנחיות של ISC2, תתכן פתיחת הליך משמעתי על ידי ISC2.

לסיכום

למרות התחושה שתחזוקת ההסמכה הינו תהליך מורכב, ניתן לשמור על ההסמכה בצורה פשוטה וזולה.

לדוגמא: אם מופיעים בכנס פעם בחודשיים (8 שעות), אנו עומדים בדרישות מדיניות צבירת ה-CPE's (כנס פעם בחודשיים = 8 * 6 = 48 CPE's בשנה = 144 CPE's במחזור).

מאגרי מידע ללימוד עצמי (ולרוב חינם) :

כתיבת שאלות למבחן

ניתן לקבל CPE's (עד 21) תמורת כתיבת שאלות למבחן. רצ"ב ההודעה הרשמית של ISC2:

If you’re an (ISC)² member and want to participate in exam development, please email examdevelopment@isc2.org with your (ISC)² ID #. If you are selected and complete a workshop, you’ll earn up to 21 CPEs, plus you will have travel expenses paid

Podcasts

http://www.pauldotcom.com/

http://securityweekly.com/

https://www.grc.com/securitynow.htm

http://podcast.wh1t3rabbit.net/dtr-episode-105-newscast-for-august-11-2014

מאמר ריכוז Podcats של אתר ITWorld.com

Webinars:

https://www.brighttalk.com/webcasts (מעולה, מתעדכן בתדירות שבועית)

https://www.beyondtrust.com/resources/education (מעולה, מתעדכן בתדירות שבועית)

http://www.bankinfosecurity.com/

https://www.isc2.org/thinktank/Default.aspx

קורסים מלאים:

Coursera – פלטפורמה ללימוד חינם (קורסים אקדמיים איכותיים)

Cybrary – פרויקט המבוסס על קורסים חינמים ופתוחים בתחומים טכניים, אבטחת מידע והכנה להסמכות

קורס Designing and Executing Information Security Strategies של University of Washington (כ-40 CPE's)

קורס קריפטוגרפיה של University of Maryland (כ-30 CPE's):

קורס קריפטוגרפיה נוסף של Stanford (קיים קורס המשך ברמה מתקדם)

CodeAcademy – פלטפורמה ללימוד חינם של שפות פיתוח כגון Python, Ruby, PHP, JQuery ועוד. מומלץ

Microsoft Virtual Academy – בית ספר של חברת מייקרוסופט – מקוון רחב מאוד של קורסים חינמיים

TEXAS A&M ENGINEERING EXTENSION SERVICE (TEEX)

Information Security for Everyone   (כ-10 CPE's)

Digital Forensics  (כ-5 CPE's)

edX

Introduction to Linux (כ-40 CPE's)

Artificial Intelligence (כ-150 CPE's)

קישורים למקורות מידע נוספים :

https://www.isc2.org/-/media/ISC2/Certifications/CPE/CPE—Handbook.ashx

לא ניתן להגיב.