CISSP認證介紹及學習歷程分享

一、簡介

CISSP是「(ISC)²註冊信息系統安全專家」，是由(ISC)²組織和管理，是目前全球範圍內最權威、最專業、最系統的信息安全認證，可以證明證書持有者具備了符合國際標準要求的信息安全知識和經驗能力，已經得到了全球範圍的廣泛認可（來自百度百科」CISSP」）。

CISSP的過程分為：認證和考試。現大陸持有證書人數2538人（參考官方統計：點擊查看），據不完全統計包含持證未續費及未註冊人員在1W人左右。認證介紹也可以參考國內(ISC)2的官方社區。

報考要求：

1、參加CISSP認證的人員需要遵守CISSP道德規範（即(ISC)²制定的職業守則）。

2、要有在信息系統安全通用知識框架（CBK）的八個領域之中擁有最少2個範圍的專業經驗5年（或者4年的有關專業經驗及擁有學士資格或ISC2認可的證書）。

3、CISSP應考者還需要得到另外一位持有有效ISC2認證的專業人士的推薦確認。

考試：（兩種方式任選一種）

1、自適應考試（根據現場答題情況自動變換題目難度、順序等），即英文考試，題目100-150道，考試時長3小時，總分1000分得到700分通過。

2、線性考試（線性和固定格式，可選中文），題目250道，考試時長6小時，總分1000分得到700分通過。

題目類型：

CISSP題目全部為單(多)選題，包括單選項選擇、拖圖題、場景分析幾種方式。CISSP題目偏向綜合分析，需根據結合場景選擇最合適的答案。

費用：

1、報考費用699美元。

2、認證維持年費125美元/年。

CBK考核範圍：

·安全與風險管理(安全、風險、合規、法律、法規、業務連續性)

·資產安全(保護資產的安全性)

·安全工程(安全工程與管理)

·通信與網絡安全(設計和保護網絡安全)

·身份與訪問管理(訪問控制和身份管理)

·安全評估與測試(設計、執行和分析安全測試)

·安全運營(基本概念、調查、事件管理、災難恢復)

·軟體開發安全(理解、應用、和實施軟體安全)

掙取CPE學分：

只要您通過認證考試，並順利獲得證書，申請成為(ISC)2的會員，需要每三年重新進行認證，重新認證需要掙取繼續教育(CPE)120學分，並繳納年金$125。獲取學分可關注官方郵件列表參與相關課程學習，或通過閱讀與寫作、志願活動、參加會議等。

二、複習考試2.1 複習

認證考試的大綱最新是2018年4月版。

推薦學習資料有以下三本：

·CISSP認證考試指南(第7版)（俗稱的「ALL IN ONE」）

·CISSP官方學習指南(第7版)（白色封皮）

·Official (ISC)2 Guide to the CISSP CBK（課堂教材）

CISSP的All in one（認證考試指南）及官方學習指南已根據新版大綱更新至第八版，但國內暫時無中文翻譯版，因為與第七版更新差別不大，可根據第七版（中文）進行複習。

複習：

其他學長都建議從ALL IN ONE直接開始看起來，因為這本書是公認的最好的複習材料。一般建議先從課堂教材CBK開始，先看一遍，然後All in one（認證考試指南）精讀細讀一邊，最後針對考試看一遍官方的認證考試指南。

課堂教材CBK是英文翻譯版，適用於課堂講課及做筆記，具體內容進行了分塊精簡，不適合用來複習考試，但依然建議看一遍。

All inone（認證考試指南）是公認最好的複習材料，各個章節對技術原理講解比較細緻，部分內容過於陳舊過於瑣碎，因此導致此書對應試考試型來說有些脫離題目設置。但其技術原理講解比較透徹，對安全技術基礎不是特別好的同學，不僅適用考試複習，也可以作為平時工作學習的手邊參考書。此書建議通讀一遍，細讀一遍。

官方學習指南是參考考綱的章節設置，直接針對考試題目設置，比較適合複習後期開始模擬考題複習。

第一次參加培訓：從2018年5月份參加了培訓班5天課程，這是考綱的八個域的第一遍學習。課堂培訓上完課以後，我用了一個月的時間粗略看了一遍CBK，中間把課堂老師講到的重點以筆記形式記錄下來。然後再購買書籍的時候，網上官方學習指南大多缺貨，只買到了All in one（認證考試指南）一本。

第一遍All in one細讀：因為沒有確定考試準備，此中間休息了兩個月沒有看書。從8月份開始細讀All in one，兩個多月的時間細讀了一遍，事先進行了時間安排，預估每周複習一個章節。每天按照安排6點鐘早起，上班前看書一個半小時，晚上8點左右開始，兩到兩個半小時左右，基本上保障每天3-4個小時的看書時間（平均每天30頁）。每一章節後的練習題，在複習完第二天進行集中答題練習，然後對比答案，以用來作為前一章節的複習。

第二次參加培訓：2018年9月份，當我All in one看到第七章節時，恰巧有機會又在周末時間去上了一遍課程，這次主要是針對前面看書的情況進行了重點聽講。這期間把All in one全部看完了第一遍，基本上前面看的也忘得差不多了，很多考點還不是很清晰，思路有點亂。課程結束最後，跟著老師一起預估了一套模擬題，正確率在60%，因為我學習和工作都是信息安全方向，所以基礎還算可以，但我知道還遠未達到可通過的水平。

第二遍All in one粗讀：因為拖得周期比較長，前面看了到後面就忘記了，國慶節後10月份我準備再把All in one過一遍，這次以考綱和重點內容為主。這次用了一個月時間，平均每天3個小時左右，一周完成兩個章節內容或課後習題練習。我用標籤紙把所有考試重點及重要的技術點所在的頁碼貼好，重點考試內容記錄筆記，在課後習題時再回頭把考到的內容仔細再看一遍。

最後衝刺：進度安排主要以All in one課後習題、模擬題為主，做題目然後對比答案，只需要課後習題和一套模擬題，對每道題目的對應知識點做了一本錯題本和重要知識點梳理，記錄了一本筆記。到了11月份，開始準備預約考試時間了，本來想在準備兩個月到元旦左右考試，因為自己沒有把握，所以一直按照兩個月的時間來安排的計劃，結果11月底預約考試時，只有12月12日考場還有空位，否則只能往元旦後再推。臨近考試，經過一番思想鬥爭，我毅然決然報名參加了考試（複習戰線拉長會磨削自己耐性不利於複習效果）。在11月份這一個月左右，主要以All in one課後習題、模擬題（多套）、官方學習指南的課後習題為主，重要知識點梳理記筆記，錯題整理。中間正確率在70%多一點，要達到正確率在80%，這個跨越確實有點難，感覺複習達到了瓶頸，心理開始變得緊張浮躁。這時候，我找了已經考試的同學和老師進行了請教溝通，了解他們的複習方法和給的建議，慢慢調整心態（特別感謝他們）。

模擬考試：最後在考前一周，我留了幾天用來自己模擬考試，特地留了幾套模擬題目。我利用一個封閉的小會議室，模擬正式考場環境，一次性做一套題目，過程中拋棄手機，除了上廁所不理會別的事情。此次練習，主要是在模擬考試的內容同時，體會長達6個小時的重要考試的心理歷程，以及身體對此的反應，感受考試環境帶來的身體的勞累、疲憊、緊張和心理緩和，感覺自己做題的速度合理安排時間。這種考試是體力、腦力、精神和心理的考驗，「知彼知己」才能把握好節奏，順清楚思緒，在答題是做到思路清晰、心智明了。最後模擬了兩次，正確率在80%以上，終於達到可以去考試的標準水平了。

總結建議：

複習主要以提到的三本書為主，CBK粗讀一遍基本就可以了；All in one，以基礎知識講解為主，基礎稍差的同學建議複習以此書（中文版）為主，對技術講解比較細緻，建議All in one至少看兩遍，有基礎的同學也要細讀一遍；官方學習指南是針對考試考綱設計，更符合考試，建議也要看一遍。至於選擇哪一本書作為複習主要材料，個人不建議使用CBK，最好All in one和官方學習指南相結合，各細讀一遍，粗讀時前期複習理解知識重點以All in one為主，後期面向考試模擬時以官方學習指南為主。

關於複習是否使用英文教材？無論教材還是考試題目，中英文因為翻譯的原因，多少存在差距，會導致題目意思被曲解。所以建議英文好的同學可以直接看英文書籍，或者中英文輔助（中文All in one+中文版官方學習指南+英文版官方學習指南），英文不是特別好的建議直接用中文版進行複習，後期做課後練習題時，可以用翻譯工具中英文對照進行複習。在做模擬題時，模擬題目都是有中英文對照的，在有不理解的地方一定要對照英文，真實考試中有中文翻譯是錯誤的。

複習時間多久為宜？網上前期學長們主要集中複習時間大多在4-6個月左右，也有2個月時間突擊的。我個人建議，除考前模擬考試外不建議請假全天候覆習，除非已經報考時間緊急，建議4-6個月，工作日每天保證3小時左右的複習時間。

看書複習有哪些方法？我的複習過程比較笨，就是通讀，細讀，課後習題，找重點，錯題記錄。第一點，一定要合理安排時間，根據總體時間和章節，每天看多少頁書，要做好合理規劃。第二點，一定要堅持，在複習過程中，一定會遇到瓶頸時期，看書看不下去，書本太厚看完遙遙無期，或者模擬題總是錯同樣的知識點，正確率提升不了，這個時候一定不要放棄，按照計劃慢慢看完，等你回頭來看時可能就理解這個知識點了。第三點，多與同學交流，交流學習方法，交流對題目的理解，多向他人請教，不要讓自己鑽進牛角尖裡。

複習到何種程度去報考？複習過程中，要能夠清楚了解具體知識點考察哪些內容，相關內容屬於那一章節的哪些知識點。考題中有25道題目屬於不計分測試題目，模擬跟實際考試存在心理和技術發揮問題，一般推薦模擬考試正確率在80%以上，再去進行考試報名。

如何思考題目理解題意？常常題目內容全都認識，可完全不理解題目的出題意圖，不知道如何作答。題目中很少是非黑即白的純理論知識答案，大多題目需要理解然後作答，這個時候請儘量把題目意思帶入到自己的實際工作經驗場景中去，這樣會比較容易理解。大多題目不會只有一個答案，乍一看似乎至少有兩個答案都是正確的，一定要充分利用排除法、代入法、比較法，理解場景設置選擇最優選項。

個人體會「六句話」：合理安排規劃、保證每天學習時間、堅持不洩不躁、錯題本很重要、模擬題目1000-2000道、代入實際工作經驗中才能顯高效。

2.2 考試

報考：

CISSP的考試由VUE考試中心管理，在國內有北京、上海、廣州幾個考點，一個考點內一般會有10多個考試座位，每天都有人預約考試，所以你需要提前通過考試中心官網（自己繳費）或者培訓班（代理繳費）的方式提前預約考試時間，建議一般在提前一個月時間預約，以留取一個月的最後複習時間。

如需更改考試日期，必須至少提前2個工作日（48小時）通知，少於24小時無法更改和取消，（改期手續費，50美金，取消該考試，100美金）否則您的考試將被作廢。

報考後會收到郵件提示，告訴你考點的詳細地址、考試具體時間、所需要攜帶的證件及注意事項、證書申請流程。

考前準備：

1、考試時請帶上兩個有效證件：身份證、軍官證、護照、駕駛證（任選一）；以及信用卡、醫保卡、社保卡、（任選一），需要兩個證件同時有效。

2、考試6小時，時間不間斷，中間可以去廁所及吃飯，耗費體力需要準備一些乾糧。

3、熟悉交通路線，提前參觀考場環境，提前預定來往車票及附近酒店，注意飲食。

考試過程：

考試會要求提前半小時入場（考試流程順序及注意事項及不講了），考試過程中，一定要心平氣和放鬆心態，按照平時做題速度進行，切忌心浮急躁答題速度過快。部分題目中英文翻譯南轅北轍，有些中文翻譯題目詞語錯誤的會在其上直接劃掉（類似「在法醫取證過程中」），當發現有疑問時，可切換英文對照讀題。當做題時間一小時以後會有疲憊感覺，可以申請休息（吃點東西或去廁所），特別是感覺不順，切忌浮躁。我提前模擬過兩次，所以心態基本平穩，做題時間4個小時未休息基本完成題目，用了半個多小時進行回顧檢查。暫時不確定答案的題目可以先標記（一般來說第一感覺最準確），答完所有題目後提交前，系統會提示你回顧做了標記的題目。考試過程中，一般來說時間充裕，一定要自己審題。

認證背書：

考試完成後，可提前示意老師交卷，走出考試間，老師會當場列印考試成績（通過與否），當然也會收到官方郵件通知，如果通過後，需要9個月內完成會員申請，登錄(ISC)²官方網站（填寫個人信息），使用註冊帳號填寫背書審核材料（個人經歷證明審核及已通過認證人員的擔保），然後等待官方審核的郵件通知（認證背書不細贅），背書流程可能需要6周左右，待審核通過大概需要8周左右收到紙質證書。

其他建議：

是否選擇英文考試？英文水平較高者，建議選擇英文，考題沒有歧義。英文為自適應考試，考試系統根據你的答題情況，調整出題難度，題目數量較少時間較短，但自適應考試有看運氣的成分。英文水平不佳的最好建議選擇中文考試，但模擬及考試時一定要中英文對照進行。

考場能否提前查看？建議提前一天到考場視察環境，以防止臨時情況耽誤考試導致遲到。

是否會有機率被抽取進行重考？考試後，官方會根據監控視頻進行心理測評和考題情況分析，有極小几率部分人員會被抽取進行重考（重考採用全新的題庫）。從被抽中考試的情況來看，一則是看運氣，二則分數不能考的太高或太低，做題目速度不要太快，同期同學不要扎堆一起報考。

不計分題目如何設置的？考試題目有25道題目僅供官方測試之用，用於調整考試大綱、測試難易程度或者新技術，不計入總分，但也不標註那些題目為不計分題目。

考試難度如何？CISSP跟國內CISP很早就籤署了準備互認的備忘錄，只因在法律法規方面不統一至今未達成互認，對技術的考核兩者同樣都是「一公裡寬一釐米深」。但作為一個國際上認可度比較高的高級證書，個人認為CISSP的難度等級比CISP高1-2個級別，但在我參與過的認證考試中，不認為其是最難的考試，畢竟只是涉及知識面廣泛，對技術基礎和工作經驗有一定要求。

*本文原創作者：兩塊，本文屬於FreeBuf原創獎勵計劃，未經許可禁止轉載