文章主要介绍了我是如何通过完全自学的方式一次性考过CISSP的经验分享,希望能够给正在或即将备考CISSP的同学提供一点点帮助。
1. 引言
我是从2023年4月份开始准备考试的,到2023年9月份通过了考试,10月份启动了背书,11月份收到从美国寄来的CISSP证书。从开始准备到通过考试用了6个月,从通过考试到收到证书历时2个月。
1.1. CISSP介绍
CISSP(Certified Information Systems Security Professional,注册信息系统安全专家)是一种国际认可的信息安全管理专业认证。CISSP认证由国际信息系统安全认证联盟(ISC)²提供,是全球范围内最受尊敬的信息安全专业认证之一。
-
认证领域: CISSP认证涵盖了信息安全的多个领域,包括安全和风险管理、资产安全、安全工程、通信与网络安全、身份和访问管理、安全评估与测试、安全运营。
-
考试要求: 要获得CISSP认证,考生需要通过CISSP考试。考试是一个单选题型考试,包括八个信息安全领域的题目。考试的难度相对较高,通常需要在相关领域有几年的工作经验,并且通过考试后还需要具备一定的工作经验才能正式获得认证。
-
(ISC)²的要求: CISSP认证是由(ISC)²颁发的,这是一个专门致力于提高全球信息安全专业水平的组织。除了考试成绩外,(ISC)²还要求申请人具备相关的工作经验,并需接受该组织的道德规范。
-
认证有效期: CISSP认证的有效期为三年,认证持有人需要在此期限内取得足够的CPE(Continuing Professional Education)学分,以证明他们在信息安全领域的知识和技能仍然是最新的。
总的来说,CISSP认证是一项为那些希望在信息安全领域建立职业生涯的专业人士提供的重要认证。
1.2. CISSP证书价值
- 提升职业竞争力: CISSP认证被国际广泛认可,CISSP持证人员是确保组织运营环境安全,定义组织安全架构、设计、管理和/或控制措施的信息安全保障专业人士,持有此认证的专业人员通常在信息安全领域的高级职位上更具竞争力,包括信息安全经理、安全分析师、安全架构师等角色。
- 符合认证要求: CISSP是信息安全行业首个符合ISO/IEC 17024 国际标准严格要求的认证。取得CISSP证书后可向行业和同行证明自己是具有丰富的经验的业界行家,可以为工作的组织提供有效的网络安全领导和指导。事实上,《2017 年网络安全趋势聚焦报告》表明,CISSP是雇主心目中最有价值的认证。
2. 考前
从以上介绍可以看出对于准备长期从事网络安全工作的,CISSP能够提升个人竞争力。所以我从2023年1月份就有了考证的想法,但由于工作繁忙,平时下班都很晚了。就这样一直拖到了4月份。自己也深刻反思了下,时间是挤出来的,后续就周末和平时午休时间备战来备考。
2.1. 备考材料
- CISSP官方学习指南(第8版)- 中文翻译版.pdf (访问密码: 6277)
- CISSP官方学习指南(第9版)- 英文原版.pdf (访问密码: 6277)
- CISSP官方学习指南第9版(中文版) - 文字版带完整目录书签.pdf (访问密码: 6277)
- CISSP官方习题册(第2版)- 英文原版.pdf (访问密码: 6277)
- CISSP官方习题集第四版(2016出版)- 英文原版.pdf (访问密码: 6277)
- CISSP考试大纲 - 中文版.pdf (访问密码: 6277)
- CISSP终极指南 - 中文版.pdf (访问密码: 6277)
- CISSP往年真题收集.zip (访问密码: 6277)
2.2. 备考工具
CISSP官方习题册在线模拟考试,链接
https://app.efficientlearning.com/。通过这个在线工具可以记录错题,并看到对应的答案解析。
2.3. 备考过程
CISSP官方学习指南第8版与第9版内容差异不大,由于第9版是最新版本,目前网上的中文翻译版本较少,所以大家直接看第8版本的就可以:
-
1、阅读2遍《CISSP官方学习指南(第8版)》:1遍走马观花,主要是了解知识体系,1遍精读,主要是了解具体知识点;
-
2、阅读1遍《CISSP官方学习指南(第9版)》:由于在精读《CISSP官方学习指南(第8版)》时经常发现很多看不明白的知识点,但通过阅读英文原版时就可以得到答案;
这里选择先中文版本后英文版,主要是为了提升学习效率,毕竟中文是母语,阅读起来更顺畅,缺点就是部分段落翻译的晦涩难懂,这里就需要再结合英文原版来理解了。
-
3、做笔记,知识建成体系: 基于前面3遍的阅读学习,可以按章节总结梳理知识点了,将知识按照自己的理解方式结构化,体系化;
-
4、课后习题,加深理解与记忆:教材的每一章节后面都有课后习题,做好一章节笔记后就可以自测了;
-
5、模拟考试,查漏补缺:在完成所有章节的笔记与习题后可以通过《CISSP官方习题册(第2版)》来进行模拟考试,习题集包含了1400多题仿真题目,可以通过在线工具随机生成指定数量的题目进行模拟考。考试后答错的题目有详解,基于详解完善学习笔记。
建议在模拟考试能达到75%以上的正确率后,再去正式考试。
3. 考中
3.1. 选考场
CISSP目前仅在中国部分城市开放了考场,如北京、上海、苏州、郑州等,选择离自己较近的考场。
3.2. 订酒店
提前一周预订好离考场较近的酒店,我当时订的是上海腾飞大厦考场,订了附近的和颐至尊酒店,走到考场大概8分钟。
3.3. 到考场
我是提前一天晚上去了考场探路,避免第二天赶时间无法及时找到考场。(PS:先前考过一次HCIE认证,就是由于时间赶差点没找到考场)
3.4. 开始考试
进入考场前服务人员会让验证身份,身份通过后要录入掌纹,预备手续完成后会让你把所有随身带的东西全部放在储物柜,包括吃的零食和喝的饮料也不给带入考场,只能中途出来在休息区补给。
进入考场后是每人一个桌子,桌子是隔板隔开的,监考人员与你确认好是否准备好考试,确认OK后便给你配置账号,系统启动考试并开始计时。考试中的题目和平时的课后习题及官方习题册完全重合的题目很少,250道题中能找到原题的不超过10个,但知识点在教材中几乎都有。只要平时认真做好笔记,整个过程下来还是比较容易的。总结以下几个注意点:
- 1、考试题目不能回看,跳过的题目就无法回头了,所以即使不会的题目也要选一个答案;
- 2、考试题目是可以查看英文原文的,如果看到中文题目无法理解可以点击查看英文原文;
- 3、80%以上的题目都是让选择最佳答案的,如果不加上最佳哪项,试题上的每个答案都是正确的,所以平时一定要理解透知识点;
- 4、所有题目都是单选,其中有25道用于调查目的, 不记分,所以即使遇到了部分难题也不用太过纠结,就把当作是调查题,放松心态;
- 5、考试时间是6小时,一般是够用的,我所有题目答完,还剩下1个半小时。
4. 考后
考试完成后服务人员会给你打印考试成绩单,成绩单是背面向上递给人的(应该是考虑到个人隐私)。
5. 心得
一场考试报名费749 USD,再加住宿和车费,总共下来约7000 RMB,是一笔不少的花费了。既然下定决心要考,就要对得起自己花的这么多钱,认证备考,做好笔记,最终收获的将不仅仅是一张证书,还有flag完成后喜悦及个人知识技能的提升,这些都是无价的!
最后祝所有还在备考或即将准备考试的同学努力加油,努力就会有收获,愿大家像我一样都能一考即过。
6. 写在最后
我最近也在花时间将前期备考过程记的笔记整理汇总,后面会继续分享给大家。未完待续……
PS: 当前学习笔记已经更新完结,欢迎大家随时补充交流:
- 「 CISSP学习笔记 」8. 安全运营
- 「 CISSP学习笔记 」7. 安全评估与测试
- 「 CISSP学习笔记 」6. 安全开发
- 「 CISSP学习笔记 」5. 安全架构和工程
- 「 CISSP学习笔记 」4. 身份和访问管理
- 「 CISSP学习笔记 」3.通信与网络安全
- 「 CISSP学习笔记 」2.资产安全
- 「 CISSP学习笔记 」1.安全与风险管理
- 「 CISSP学习笔记 」0.开篇
推荐阅读:
- 「 网络安全常用术语解读 」软件物料清单SBOM详解
- 「 网络安全常用术语解读 」SBOM主流格式CycloneDX详解
- 「 网络安全常用术语解读 」SBOM主流格式SPDX详解
- 「 网络安全常用术语解读 」SBOM主流格式CycloneDX详解
- 「 网络安全常用术语解读 」漏洞利用交换VEX详解
- 「 网络安全常用术语解读 」软件成分分析SCA详解:从发展背景到技术原理再到业界常用检测工具推荐
- 「 网络安全常用术语解读 」什么是0day、1day、nday漏洞
- 「 网络安全常用术语解读 」软件物料清单SBOM详解
- 「 网络安全常用术语解读 」杀链Kill Chain详解
- 「 网络安全常用术语解读 」点击劫持Clickjacking详解
- 「 网络安全常用术语解读 」悬空标记注入详解
- 「 网络安全常用术语解读 」内容安全策略CSP详解
- 「 网络安全常用术语解读 」同源策略SOP详解
- 「 网络安全常用术语解读 」静态分析结果交换格式SARIF详解
- 「 网络安全常用术语解读 」安全自动化协议SCAP详解
- 「 网络安全常用术语解读 」通用平台枚举CPE详解
- 「 网络安全常用术语解读 」通用缺陷枚举CWE详解
- 「 网络安全常用术语解读 」通用漏洞披露CVE详解
- 「 网络安全常用术语解读 」通用配置枚举CCE详解
- 「 网络安全常用术语解读 」通用漏洞评分系统CVSS详解
- 「 网络安全常用术语解读 」通用漏洞报告框架CVRF详解
- 「 网络安全常用术语解读 」通用安全通告框架CSAF详解
- 「 网络安全常用术语解读 」漏洞利用交换VEX详解
- 「 网络安全常用术语解读 」软件成分分析SCA详解:从发展背景到技术原理再到业界常用检测工具推荐
- 「 网络安全常用术语解读 」通用攻击模式枚举和分类CAPEC详解
- 「 网络安全常用术语解读 」网络攻击者的战术、技术和常识知识库ATT&CK详解