FAQ CISM

I. Cosa è la certificazione CISM?

La certificazione CISM, istituita e rilasciata da ISACA, riconosce formalmente competenze ed esperienza in ambito di Management della sicurezza dei Sistemi Informativi. La Certificazione CISM è stata omologata dall’ANSI e dal DoD, ed è concesse ed amministrate direttamente dall’ISACA, sul cui sito sono disponibili informazioni più dettagliate ed ampie. Il sito è www.isaca.org

II. Perchè ISACA offre una certificazione della sicurezza dell’informazione?

ISACA è impegnata a offrire prodotti, servizi e supporto non solo a coloro che operano nell’ambito della professione di auditing dei sistemi informativi, ma anche a coloro che coprono ruoli vitali nella sicurezza e controllo dei sistemi informativi.  Per questo è stata istituita la certificazione CISM, che opera con regole analoghe a quelle che regolano il CISA.

III. Quali sono le condizioni per ottenere e conservare la certificazione CISM?

Per la certificazione CISM è necessaria la combinazione di quattro ‘e’: “esperienza”, “etica”, “educazione” e  “esame”. Più specificamente, i requisiti sono:
– l’avere sostenuto con successo l’esame CISM
– l’adesione ad un codice di condotta professionale 
– l’impegno nella formazione professionale permanente
– una esperienza lavorativa documentata e verificata di almeno cinque anni ed un minimo di tre anni di esperienza lavorativa in tre o più delle aree di competenza. Sono previste deroghe relativamente alla esperienza se sono soddisfatti alcuni requisiti di certificazione.
Gli esami di Certificazione CISM si tengono due volte all’anno, in giugno e dicembre, in una unica  giornata in tutto il mondo, e nella stessa giornata dell’esame CISA. L’esame CISM è solo in inglese, Non ci sono condizioni preliminari all’ottenimento della certificazione, eccetto quelle citate. L’esperienza di lavoro deve essere 5 anni di esperienza di management della sicurezza delle IT per il CISM (condizioni e sostitutivi: Requirements for CISM Certification)

IV. L’ISACA organizza dei corsi di preparazione all’esame CISM?

 L’ISACA mette a disposizione delle sue sedi locali (i “chapter”) la documentazione e i sussidi necessari per tenere corsi di preparazione. L’AIEA è un “Chapter” dell’ISACA ed organizza dal 2004 corsi di preparazione all’esame CISM. Tali corsi si svolgono a Milano e Roma. I corsi ed i relativi programmi sono resi noti sul sito AIEA www.aiea.it
I Corsi di AIEA vengono distribuiti su alcune sessioni (in genere 3) di due giorni l’una. Le sessioni sono una ogni 2-3 settimane e sono programmate in modo che l’ultima si tenga 2-3 settimane prima dell’esame. 

V. Quale altro tipo di assistenza offre l’AIEA per i candidati alla certificazione?

L’AIEA, in quanto Chapter ISACA coordina localmente, tramite un rappresentante designato presso il Chapter stesso, le problematiche connesse con la Certificazione CISM. In ambito CISM, AIEA svolge attività varie di orientamento e supporto ai soci nella risoluzione di eventuali difficoltà per affrontare l’esame e ottenere / conservare la Certificazione, in particolare consigliando loro la linea di condotta da adottare.

VI. Per sostenere l’esame CISM è necessario frequentare il corso AIEA?

No, l’esame può essere affrontato anche preparandosi da soli. Il vantaggio di iscriversi al corso è sostanziato dalla consolidata maggiore percentuale di promossi tra i partecipanti ai corsi, rispetto ai candidati che si preparano da soli.

VII. L’iscrizione ai corsi AIEA implica che sono anche iscritto all’esame CISM

 L’iscrizione ai Corsi ed all’esame sono due cose distinte, l’una non implica l’altra. I corsi sono gestiti e tenuti da AIEA; l’iscrizione al corso avviene e viene pagata in euro, presso AIEA. L’esame è tenuto direttamente da ISACA, l’iscrizione all’esame si esegue e si paga in dollari, direttamente presso ISACA. Le due iscrizioni non sono eseguibili con un singolo atto o modulo.

1 – Qual è la fonte ufficiale d’informazione sui requisiti per certificarsi CISM?

La fonte ufficiale d’informazioni sui requisiti per certificarsi come CISM è la pagina “http://www.isaca.org/TemplateRedirect.cfm?Template=/ContentManagement/ContentDisplay.cfm&ContentID=20681” dal sito ISACA.

2 – Qual è la fonte ufficiale d’informazione sugli esami CISM?

La fonte ufficiale d’nformazioni sull’esame CISM è la pagina: http://www.isaca.org/Certification/Pages/Exam-Registration.aspx

3 – Cosa è il foglio d’esame?

Il foglio d’esame è un documento in inglese, che riporta alcuni dati e informazioni che sono essenziali per permettere ai candidati di sottoporsi all’esame. Queste informazioni sono:
– il numero dell’esame
– l’indirizzo presso cui presentarsi
– l’ora dell’esame
– la lingua dell’esame
Senza queste indicazioni, e in particolare, senza il numero d’esame, non si viene ammessi in aula e non si può affrontare l’esame. Il foglio viene spedito ai candidati alcune settimane prima della data d’esame.

4 – Non ho ricevuto il foglio d’esame e non sono sicuro di essere iscritto. Cosa devo fare?

Il foglio d’esame viene spedito quando gli elenchi dei candidati sono completi e, quindi, dopo la scadenza del termine d’iscrizione. Il problema può essere dovuto a:
– mancata iscrizione
– mancato pagamento
– mancata ricezione del foglio.
L’iscrizione viene effettuata direttamente presso l’ISACA e deve riportare la firma del candidato, oppure deve essere stata eseguita on-line sul sito indicando un numero di carta di credito per il pagamento. Se il candidato non ricorda di aver autorizzato a video o firmato alcunché, è probabile non sia iscritto.

– Mancata iscrizione: per stabilire se si è iscritti esistono le seguenti possibilità: se il candidato è socio dell’ISACA ed ha una password di accesso al sito “my isaca” (http://www.isaca.org/SecureTemplate.cfm?section=my_isaca), riservato ai membri, può stabilire immediatamente la propria posizione, consultando i suoi dati su questo sito; se non è iscritto oppure non ha la password di accesso può solo rivolgersi al CISM Coordinator, oppure direttamente all’ISACA (certification@isaca.org) per chiedere se risulta la sua iscrizione.
Se il candidato sa di essersi iscritto ed ha una prova dell’iscrizione stessa, ma non risulta iscritto, può mandarne questa prova all’ISACA e richiedere di essere comunque ammesso. Se la mancata iscrizione è stata una dimenticanza le possibilità di essere ammessi all’esame sono assai limitate.

– Mancato pagamento: Per stabilire se il pagamento è avvenuto si può consultare la propria pagina sul sito “my isaca” oppure richiedere direttamente questa informazione a certification@isaca.org. Se il pagamento non è stato eseguito, il candidato deve attivarsi immediatamente per regolarizzare la sua posizione. Gli altri problemi di pagamento (se il pagamento non è pervenuto, oppure se non si può stabilire a che titolo e per chi è stato eseguito) devono essere risolti direttamente dall’interessato. Ad esempio il candidato può inviare all’ISACA (certification@ISACA.org) i riferimenti del pagamento eseguito, specificando che si tratta della quota per la propria iscrizione. Se il pagamento per qualsiasi ragione manca, il candidato può comunque chiedere ad ISACA di ricevere il foglio d’esame e partecipare all’esame stesso. I risultati gli saranno comunicati solo a pagamento ricevuto.

– Mancata ricezione del foglio: se il foglio non è stato ricevuto il candidato può richiedere un duplicato elettronico tramite e-mail, e presentare la stampa del duplicato all’esame.

5 – Posso presentarmi all’esame senza avere il foglio d’esame?

In caso il foglio di esame non sia pervenuto o sia stato smarrito all’ultimo momento, si può tentare di ottenere il duplicato tramite e-mail richiedendolo a: certification@isaca.org. Presentarsi ugualmente all’esame con un documento comprovante la propria identità, senza sapere/esibire il proprio numero di partecipazione all’esame, è un tentativo con minime possibilità di successo. Al Commissario d’esame spetta in questo caso la decisione se ammettere o meno il candidato. La partecipazione sarà in ogni caso impossibile se esistono delle incertezze sul numero d’esame.

6 – Ho un problema con il pagamento del corso preparatorio AIEA, perché la mia organizzazione ha una regola istituzionale di pagamento di n giorni dopo la data della fattura. Posso seguire ugualmente il corso?

Si, AIEA cerca di facilitare la partecipazione dei corsisti , purché il candidato porti una prova che il pagamento è stato richiesto e che la dilazione è dovuta al ritardo intrinseco della procedura aziendale di pagamento. Il candidato deve ovviamente sollecitare la propria organizzazione a velocizzare il pagamento, rispettando i termini di iscrizione

7 – Conosco molto bene alcuni degli argomenti d’esame, ma credo di aver lacune su altri. Ho ugualmente delle discrete possibilità di promozione?

Come indicato anche nel manuale, il requisito fondamentale della preparazione è che questa si estenda a tutti gli argomenti riportati sul manuale.  Una preparazione “a macchie di leopardo” è quindi insufficiente per definizione. L’esame è definito in modo da assicurare una copertura uniforme, quindi coloro che lo affrontano impreparati su un determinato argomento, sanno in anticipo che hanno un’alta probabilità di rispondere male alle domande che riguardano quell’argomento.

8 – Ho trovato su un sito delle domande d’esercizio. Posso usarle per prepararmi all’esame?

Si, ma il candidato che sceglie questi esercizi decide, a proprio rischio, di usare del materiale di preparazione che potrebbe indurlo in errore. Le domande di prova più appropriate sono indubbiamente quelle messe a disposizione dall’ISACA. Non è opportuno nemmeno usare domande di prova “vecchie”: la dinamica di concetti ed argomenti in ambito IT è tale che le domande di esame possono cambiare sensibilmente da sessione a sessione. Un’apposita commissione non solo seleziona di volta in volta le domande d’esercizio più adatte, ma prepara degli insiemi numericamente bilanciati secondo i pesi dei vari argomenti. Inoltre le domande di prova sono corredate da una spiegazione che riflette le logiche da usare per le risposte d’esame. Leggere e capire queste spiegazioni è una parte fondamentale dell’esercizio.

9 – All’esame c’era una domanda poco comprensibile, e credo di averla sbagliata. Come devo fare?

Se il problema è derivante dal testo o dall’argomento della domanda non occorre fare nulla. I risultati d’esame sono sottoposti ad un processo assai strutturato di revisione a posteriori, disegnato per mettere in evidenza difficoltà di questo genere e se necessario porvi rimedio, che viene svolto separatamente per le varie lingue d’esame.

10 – Mi sono sbagliato nel marcare la risposta esatta di una o più domande; alla fine il foglio era pasticciato ed aveva delle cancellazioni mal riuscite, Cosa devo fare?

La lettura delle risposte è automatica, quindi è possibile che una marcatura pasticciata causi una errata rilevazione della risposta. Per questo motivo in tutti i manuali e i bollettini si sottolinea l’importanza di marcare con chiarezza i dati d’esame e le risposte, annerendo a matita lo spazio relativo. Se uno o più pallini dei dati o delle risposte sono stati cancellati e rifatti più volte, e il punteggio raggiunto è di poco inferiore a quello limite, esiste per il candidato la possibilità di richiedere, a pagamento, la verifica del foglio consegnato. Questo riesame viene eseguito manualmente. Se risultasse che a causa dei pasticci e delle cancellature la risposta è stata erroneamente interpretata in prima sede di valutazione (ipotesi però poco probabile), la revisione potrebbe avere come risultato una correzione del voto.

11 – Una parte sostanziale dell’esperienza che mi è richiesta per la certificazione è stata ottenuta come consulente abituale di una azienda, di cui pertanto non risulto dipendente. Cosa devo fare perchè sia convalidata?

Dipende dall’entità della collaborazione. Se è a tempo pieno o comunque molto significativa, non c’è motivo che quell’azienda, se interpellata, neghi a ISACA la conferma integrale dell’attività eseguita. E’ opportuno però che il certificando preavvisi la persona di contatto che gli viene chiesto di indicare, in modo che acquisisca in anticipo la sua autorizzazione a citarlo come referente. La persona di contatto deve essere adeguatamente informata che l’esclusivo scopo delle possibili richieste di informazione di ISACA è quello di provare all’ISACA stessa l’effettivo svolgimento delle attività dichiarate, al fine della certificazione.

12 – Non dispongo dei requisiti minimi di certificazione in quanto mi manca una parte dell’esperienza richiesta. Devo aspettare a sostenere l’esame?

L’esame può essere sostenuto anche senza già disporre dei requisiti di esperienza, e rimane valido per 5 anni. Pertanto l’esperienza richiesta deve essere acquisita e fatta valere entro 5 anni dall’esame. Diversamente l’esame decade.

13 – Ho deciso di cambiare lingua d’esame. Posso ancora modificare la mia scelta?

Si, ma occorre richiedere questa variazione per tempo. Tipicamente le iscrizioni all’esame si chiudono circa 70 giorni prima del suo svolgimento. Una variazione della lingua può essere richiesta entro i 15 giorni successivi alla scadenza del termine d’iscrizione. Per i termini esatti, che possono variare di anno in anno, è necessario consultare il bollettino informativo d’esame.

14 – Mi sono iscritto all’esame ma non potrò prendervi parte. Posso ritirare l’iscrizione?

Sono previste due modalità diverse: cancellazione o rinvio.
-la cancellazione dà diritto al rimborso della tariffa ma ISACA trattiene una quota di 100 dollari per spese amministrative
-il rinvio, di cui si può usufruire una sola volta, permette di rimandare l’esame alla sessione successiva. In questo caso la quota d’iscrizione non può più essere resa, ed inoltre occorrerà versare un quota di reiscrizione di 50 dollari pagabili al momento di iscriversi alla successiva sessione d’esame.
Queste variazioni, come tutte le altre, devono essere richieste entro i pochi giorni successivamente alla chiusura delle iscrizioni. Per i termini esatti consultare il bollettino informativo d’esame.

15 – Mi sono iscritto all’esame ma non potrò prendervi parte. Posso rendere la documentazione e i sussidi d’esame già acquistati?

No, il materiale di studio già acquistato non può essere reso.

16 – Quando sarò informato dei risultati dell’esame?

I candidati saranno informati sul risultato degli esami sostenuti dopo 8-10 settimane dall’esame

17 – Quanto dura l’esame?

Il candidato ha a disposizione 4 ore per rispondere a 200 domande a risposta multipla.

18 – Quale è il punteggio richiesto per superare l’esame?

Un candidato, per superare l’esame, deve ottenere un risultato minimo di 450.

19 – Quali sono gli argomenti oggetto dell’esame?

L’esame CISM verifica la conoscenza da parte del candidato di principi e prassi dell’IS Audit e le sue competenze tecniche. L’esame interessa sei aree (domini)
–Governo della sicurezza dell’informazione
Definire e mantenere un contesto che garantisca che le strategie della sicurezza dell’informazione siano in linea con gli obiettivi di business e rispettino leggi e regolamenti  che le riguardano
–Gestione del rischio
Identificare e gestire i rischi nell’ambito della sicurezza dell’informazione e conseguire gli obiettivi di business.
–Gestione di programmi per la sicurezza dell’informazione
Progettare, realizzare e gestire un programma per la sicurezza dell’informazione per attuare il contesto definito nell’ambito del ‘Governo della sicurezza dell’informazione’
–Gestione della sicurezza dell’informazione
Coordinare e dirigere attività che interessano sicurezza dell’informazione in modo da attuare il ‘Programma per la sicurezza dell’informazione’.
–Gestione delle risposte
Mettere in atto e gestire la capacità di risposta e recupero a fronte di eventi dannosi o disastrosi per la sicurezza dell’informazione.

20 – Posso dare nella medesima sessione anche l’esame CISA?

No, dal momento che i due esami si tengono contemporaneamente lo stesso giorno.

21 – In cosa consiste la analisi della pratica lavorativa CISM e come è stata predisposta?

La filosofia ISACA per la certificazione consiste nel valutare abilità e conoscenze del candidato in relazione alle prestazioni lavorative. Per definire le attività svolte da un responsabile della sicurezza dell’informazione e le conoscenze che dovrebbe avere, ISACA ha costituito una ‘task force’ di leader del mondo del business, esperti in materia e professionisti per definire l’esperienza lavorativa su cui si basa l’esame di certificazione. In relazione all’importanza dell’analisi e alle evoluzioni nel settore della sicurezza dell’informazione, ISACA ha attualmente in corso una revisione dell’analisi. Ai qualificati CISM che sono impegnati nella attività di revisione dell’analisi si sono aggiunti rappresentanti di ISSA , dell’Information Security Forum e di ASIS International.

22 – Chi è candidabile per la certificazione CISM e cosa la rende unica?

La certificazione CISM si caratterizza rispetto ad altri attestati di sicurezza dell’informazione perché è concepita specificamente ed esclusivamente per coloro che hanno esperienza nella gestione di un programma di sicurezza dell’informazione. I requisiti di esperienza e l’esame CISM si basano sull’esperienza richiesta per svolgere, con competenza, i compiti e le funzioni di responsabile della sicurezza dell’informazione. Questi requisiti e le attività e competenze sottoposte a verifica sono state maturate da leader della sicurezza dell’informazione e quindi verificate da esperti e responsabili della sicurezza dell’informazione. I requisiti sono volti a misurare la esperienza di gestione di situazioni attinenti alla sicurezza dell’informazione, piuttosto che competenze di tipo generale.

23 – La certificazione CISA è riconosciuta per il CISM?

Il programma di certificazione CISM riconosce che le credenziali CISA confermano che l’interessato ha raggiunto un livello di conoscenza e di competenza generale di base nella sicurezza dell’informazione. In base a ciò, ai qualificati CISA è riconosciuto un attestato di competenza di due anni nella sicurezza dell’informazione. D’altra parte, i certificati CISA non si possono candidare alla qualifica CISM a meno che non possiedano l’esperienza richiesta e possano dimostrare competenza e conoscenze pratiche nel ruolo di responsabile della sicurezza dell’informazione.

24 – La certificazione CISSP ed altri attestati di sicurezza sono riconosciuti per il CISM?

Il programma di certificazione CISM riconosce che le credenziali CISSP confermano che l’interessato ha raggiunto un livello di conoscenza e di competenza generale di base nella sicurezza dell’informazione. In base a ciò, ai certificati CISSP è riconosciuta una competenza di due anni nella sicurezza dell’informazione. D’altra parte, i certificati CISSP non si possono candidare alla qualifica CISM a meno che non possiedano l’esperienza richiesta e possano dimostrare competenza e conoscenze pratiche nel ruolo di responsabile della sicurezza dell’informazione.
Ai detentori di altri attestati più specialistici, come il GIAC (Global Information Assurance Certification di SANS, il MCSE (Microsoft Security Systems Engineer ), il CompTIA Security + Credential e il CBCP (Certified Business Continuity Professional del Disaster Recovery Institute, è riconosciuto un attestato di esperienza di un anno nella sicurezza dell’informazione.

25 – Cosa caratterizza il CISM rispetto ad altre certificazioni di sicurezza?

Il CISM si differenzia da molte altre certificazioni di sicurezza per i suoi requisiti di esperienza e per la focalizzazione sulle attività svolte come responsabile della sicurezza dell’informazione.
Altre certificazioni di sicurezza sono caratterizzate per il focus sulle competenze tecniche o su conoscenze di specifici ambienti elaborativi o prodotti o sono rivolte a personale del settore nelle fasi iniziali della carriera. Solo il CISM si rivolge al responsabile della sicurezza dell’informazione, a colui cioè che, superata la fase di acquisizione di conoscenze, non è più interessato prioritariamente a competenze di tipo tecnico o specialistico, ma si è invece dedicato alla gestione del programma di sicurezza di un’azienda. La certificazione CISM è concepito per coloro che devono gestire e coordinare i programmi della sicurezza dell’informazione di un’azienda, e per i tecnici, molti dei quali possono essere detentori di altre certificazioni.
L’attenzione agli aspetti manageriali, che caratterizza il CISM, è testimoniata dai requisiti di esperienza, che richiedono un minimo di tre anni di responsabilità nella gestione della sicurezza dell’informazione e dall’esame, che si focalizza sulle attività di competenza dei responsabili della sicurezza.

26 – Cosa caratterizza il CISM nei confronti del Certified Information Systems Security Professional (CISSP)?

Sebbene vi siano parecchie differenze fra il ‘common body of knowledge’ del CISSP e le ‘job practice areas’ del CISM, quelle più evidenti riguardano i requisiti di esperienza. Le certificazioni CISSP e/o CISA sono complementari alla certificazione CISM e ne è incoraggiato il conseguimento.

27 – Quali sono i requisiti da soddisfare nell’ambito del CISM continuing professional education program?

Per mantenere la certificazione CISM, si devono soddisfare i requisiti del CISM Continuing professional education (CPE) program. Questo programma richiede che l’interessato abbia svolto almeno venti (20) ore annuali e almeno centoventi (120) ore ogni tre anni di ‘continuing professional education’. Inoltre è richiesto il pagamento di un canone annuale a ISACA dell’importo di 40$ per i membri ISACA e di 60$ per gli altri.

 

NEW – “…..ISACA’s CISA and CISM certification boards recently approved changing the way exams are scored. To alleviate confusion found with the previous scoring method and to provide greater clarity, ISACA will use a 200-800 point scale with a passing point of 450 beginning with the June 2007 exams. Using a 200-800 scale will increase the range of scores and eliminate the perception that the score is a percentage. This scoring method is used by several testing organizations, including the well-respected SAT and GRE exams….”