<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>I disagree. And you are only thinking ISC2 here, but they are not the only player in Town.</div><div><br></div><div>I can tell you the some of the other associations, especially EC council (how many CEH out there) won't award the CPE unless the documents are in Oder and presented with the CPE request.  </div><div><br></div><div>This response of "no need" is a dis service to the OWASP community and membership.</div><div><br></div><div>As far as the work, the easiest and least work I have seen, used at ISSA Exec Forum and at the NYC ASIS conference is printing a bunch of blank certificates, with the date/time of the meeting, CPE awarded, titles of presentations, etc, with the name blank, the form is given out at the meeting towards the end, you can leave it at the sign in table, the attendee if they want one then takes it, writes in their own name, and they have a COA.</div><div><br></div><div><br><br>Sent from my iPhone<div>Robert Shullich, CPP, CISSP, CISM, GSEC, CIPP/US</div><div>Enterprise Security Architect</div><div>Tower Group Companies</div><div>Pro Box 026156</div><div>Brooklyn NY 11202</div><div>(201) 291-7432 (Direct)</div><div>(201) 221-8767 (Fax)</div><div>(908) 419-5417 (Mobile)</div><div><br></div></div><div><br>On Aug 6, 2014, at 1:13 PM, Tobias <<a href="mailto:tobias.gondrom@owasp.org">tobias.gondrom@owasp.org</a>> wrote:<br><br></div><blockquote type="cite"><div>
  
    <meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type">
  
  
    <div class="moz-cite-prefix">Hi Andrew, <br>
      <br>
      there is no need for a certificate. <br>
      For ISC2 people just file the CPE activity and hours in their
      system and that's it. Randomly they may ask for documentation, in
      which case, I suggest for trainings and meetings you sent them a
      link to the chapter meeting or the registration confirmation PDF
      from AppSec or the training. <br>
      <br>
      No need for us to do any additional certificate bureaucracy. <br>
      <br>
      Cheers, Tobias<br>
      <br>
      <br>
      On 06/08/14 09:55, Andrew Muller wrote:<br>
    </div>
    <blockquote cite="mid:CAC=o=DbVfoRhfmQDic79ghybcSV3yergF7YeJnxxda0zGXVtVw@mail.gmail.com" type="cite">Thanks Fabio,
      <div>  This is completely foreign to me so I need to know as much
        detail as possible :)</div>
      <div><br>
      </div>
      <div>Can you please share the certificate format with us? Perhaps
        we can standardise across all chapter meetings and events.</div>
      <div><br>
      </div>
      <div>Andrew<span></span><br>
        <br>
        On Wednesday, 6 August 2014, Fabio Cerullo <<a moz-do-not-send="true" href="mailto:fcerullo@owasp.org">fcerullo@owasp.org</a>>
        wrote:<br>
        <blockquote class="gmail_quote" style="margin:0 0 0
          .8ex;border-left:1px #ccc solid;padding-left:1ex">
          Guys
          <div><br>
          </div>
          <div>Each hour of training delivery, etc qualifies for a CPE
            credit. So in case you organized a 1 hour webcast or
            in-person delivery, each participant obtains 1 CPE.</div>
          <div><br>
          </div>
          <div>The way we organised this for chapter meetings is by
            providing each attendee a certificate of attendance and then
            they are responsible for submitting them to ISC2.</div>
          <div><br>
          </div>
          <div>Regards</div>
          <div>Fabio<span></span><br>
            <br>
            On Wednesday, August 6, 2014, Robert Shullich <<a moz-do-not-send="true" href="javascript:_e(%7B%7D,'cvml','robert.shullich@owasp.org');" target="_blank">robert.shullich@owasp.org</a>> wrote:<br>
            <blockquote class="gmail_quote" style="margin:0 0 0
              .8ex;border-left:1px #ccc solid;padding-left:1ex">
              <br>
              <br>
              Sent from my iPhone<br>
              Robert Shullich, CPP, CISSP, CISM, GSEC, CIPP/US<br>
              Enterprise Security Architect<br>
              Tower Group Companies<br>
              Pro Box 026156<br>
              Brooklyn NY 11202<br>
              (201) 291-7432 (Direct)<br>
              (201) 221-8767 (Fax)<br>
              (908) 419-5417 (Mobile)<br>
              <br>
              <br>
              > On Aug 6, 2014, at 12:12 AM, Robert Shullich <<a moz-do-not-send="true">rshullic@mindspring.com</a>>
              wrote:<br>
              ><br>
              > Last year ISC2 ran a booth at AppSecUSA 2013 and gave
              automatic conference credits if you went by the booth and
              got scanned.<br>
              ><br>
              > That being be different, there is three ways to go:<br>
              ><br>
              > Do nothing<br>
              > Get a relationship with ISC2 where we report the CPE
              for the person<br>
              > Provide a certificate of attendance and let the
              person then self report<br>
              ><br>
              > I'd go with the last one ax a personal preference
              although 2&3 together would be even better. The
              certificate of attendance is audit proof and can be used
              for multiple assoc. I have certs with ACCEI, ICCP, IAPP,
              ISC2, EC Council, ASIS and ISACA and maybe some more I
              can't recall. A certificate and self report works for me.<br>
              ><br>
              > Now in the case of 1 - do nothing - the person can
              still self report but getting audited could be a
              challenge.<br>
              ><br>
              > Sent from my iPhone<br>
              > Robert Shullich, CPP, CISSP, CISM, GSEC, CIPP/US<br>
              > Enterprise Security Architect<br>
              > Tower Group Companies<br>
              > Pro Box 026156<br>
              > Brooklyn NY 11202<br>
              > (201) 291-7432 (Direct)<br>
              > (201) 221-8767 (Fax)<br>
              > (908) 419-5417 (Mobile)<br>
              ><br>
              ><br>
              >>> On Aug 5, 2014, at 11:29 PM, "Kevin W. Wall"
              <<a moz-do-not-send="true">kevin.w.wall@gmail.com</a>>
              wrote:<br>
              >>><br>
              >>> On Tue, Aug 5, 2014 at 10:00 PM, Andrew
              Muller <<a moz-do-not-send="true">andrew.muller@owasp.org</a>>
              wrote:<br>
              >>> Hi folks,<br>
              >>> I'm currently running some free ZAP training
              with Simon telepresenting the<br>
              >>> content. Someone asked about CPE credits and
              I answered with an emphatic I<br>
              >>> don't know.<br>
              >>><br>
              >>> I've read <a moz-do-not-send="true" href="https://www.owasp.org/images/c/c1/Cpe_guidelines.pdf" target="_blank">https://www.owasp.org/images/c/c1/Cpe_guidelines.pdf</a>
              but I'm<br>
              >>> wondering if folks have sought to have their
              training and meetings<br>
              >>> recognised by ISC^2. I spoke to a director of
              ISC^2 and he seemed<br>
              >>> supportive.<br>
              >>><br>
              >>> Offering CPE credits would be yet another
              draw card for those running ailing<br>
              >>> chapters. However I'm keen to understand the
              recognition process and gotchas<br>
              >>> from someone who has done it already.<br>
              >>><br>
              >>> Thoughts?<br>
              >> Andrew,<br>
              >><br>
              >> Can you elaborate? I've used OWASP activities for
              CPEs<br>
              >> for ISC^2 for years, including my development
              contributions<br>
              >> to ESAPI. Are you talking about some formal
              program that<br>
              >> we designate being worth so many CPE credits
              ahead of time<br>
              >> and then have a formal sign-off for ISC^2, SANS,
              etc.?<br>
              >> As far as how many CPE credits you get for a
              specific<br>
              >> activity, I think that varies by which
              organization you are<br>
              >> submitting them to.<br>
              >><br>
              >> -kevin<br>
              >> --<br>
              >> Blog: <a moz-do-not-send="true" href="http://off-the-wall-security.blogspot.com/" target="_blank">http://off-the-wall-security.blogspot.com/</a><br>
              >> NSA: All your crypto bit are belong to us.<br>
              >> _______________________________________________<br>
              >> OWASP-Leaders mailing list<br>
              >> <a moz-do-not-send="true">OWASP-Leaders@lists.owasp.org</a><br>
              >> <a moz-do-not-send="true" href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
              _______________________________________________<br>
              OWASP-Leaders mailing list<br>
              <a moz-do-not-send="true">OWASP-Leaders@lists.owasp.org</a><br>
              <a moz-do-not-send="true" href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
            </blockquote>
          </div>
        </blockquote>
      </div>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <br>
      <pre wrap="">_______________________________________________
OWASP-Leaders mailing list
<a class="moz-txt-link-abbreviated" href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a>
<a class="moz-txt-link-freetext" href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a>
</pre>
    </blockquote>
    <br>
  

</div></blockquote></body></html>