20201116通过CISSP考试，总结一下备考经历。我没有参加培训班，完全自学。从报名到考试用了一年半的时间，期间断断续续学习，实际的学习用时大概2个月，一次通过，还算是比较顺利。

1.语言与文化

CISSP主要是以美国人的视角来看待网络安全的。所以：尽量尝试从英语的语言角度、美国人的文化、美国人的思维方式角度去理解网络安全问题。所以，英语好的话，具有较强的优势。

一是英语语言问题。我对英语好的一个评判标准是：至少大学英语六级分数超过550。最好看英文原版教材，读原汗原味的英语教材更有助于理解；而读中文版教材时，还得费心力去思考翻译有没有问题。英文如果不好，也建议你多花时间对比中英文一起看。

二是美国人的文化和思维方式。资本主义更侧重资本家的利益，美国文化重视个人隐私、自由，但网络安全更关注企业的业务安全，所以，CISSP要为资本家服务，保证企业能赚钱，人员生命是第一位的，其次，业务正常运行是优先保证。不像中国人以整体方式去看待问题，美国文化重视分而治之，将事物会分解开来研究，所以，网络安全被细分为通信、网络架构、计算机原理、身份认证、授权、审计、研发安全、安全运营...再把这些小的解决措施像珍珠一样连接起来形成整体框架、架构，形成珍珠项链。美国重视标准、管理制度建设，因此针对网络安全建立了各种各样的标准、制度、架构。

2.概念与专业术语

前面说到，美国文化重视分而治之，将事物会分解开来研究，所以在研究每个对象时，就会定义很多概念、专业术语。而CISSP考试就很强调对这些概念、专业术语的理解，对技术原理的掌握。

3.网络安全发展

由于网络安全是随着IT技术发展而不断发展的，而且很多企业往往重视业务多于重视网络安全，甚至忽视网络安全，所以网络安全远未到达成熟的阶段。网络安全领域的知识更新非常快，新的攻防技术不断涌现，从上个世纪90年代的计算机蠕虫，到21世纪初的病毒木马，再到互联网的web安全，再到最近的云安全、数据安全，每隔几年都会出现新的攻防技术，CISSP也就对应地更新这些知识点和考题。网络安全法律法规在各国也不尽相同，CISSP更多地考察美国、欧盟的法律，基本不涉及西方世界以外的法律，但是，法律法规也在变化，例如美欧之间的“安全港”数据安全协议过期后，签署了“隐私盾”协议，现在“隐私盾”协议也被欧盟判定为失效了。所以，要以发展的眼光对待CISSP考试，关注最新的网络安全动态，2017年以前的教材、真题建议就不要看了。

4.考试题目

ISC要求考生签署保密协议，不得泄考试题目（真题），因此，网上真题很少，可能在培训班内部有纸质的真题分享（瞎猜的）。CISSP考试时，出现原题的数量也很少，一般就10个左右。如果做题速度太快，还会被系统判定为违反规则，反而会被约谈，并且在一段时间内禁止参加CISSP考试。所以，题海战术、死记硬背并不太适用于CISSP考试。

初看CISSP题目，如果不能理解其背后相关的知识点，很可能会产生一头雾水的感觉。针对管理性问题的知识点，得从美国文化、管理角度、工作流程和先后顺序去分析；针对技术性问题的知识点，得从概念、专业术语、技术原理去分析。

大部分考试题目在AIO、OSG中并不能直接找到答案，得靠自己的理解和工作经验去分析思考，才能得出正常答案。

二、报名

报名网址：https://wsr.pearsonvue.com/testtaker/signin/SignInPage/ISC2?locale=zh_CN

我选择的是中文考试，一是对自己的英文还不够自信，二是考虑到可先看中文，再对比英文进行参考，得到的信息量更大，更有利于做出准确的判断。如果英文好的话，也可选择英文。其实考试过程中，总是感觉中文题目的翻译很有问题，看不懂题意，反而看英文的次数更多，题目更便于理解。

地点：上海。国内可选地点：北京、上海、广州。

时间：原计划是2020年4月考试，因为疫情被取消了；推迟到9月，又因为与HVV行动时间重叠，推迟到11月，终于完成考试。

三、教材选择

1. 官方教材

教材方面，就是CISSP备考三大件：

1. AIO( All in One，目前最新版为英文第8版，中文第7版，第8版还没有中文版)

考试必备。这本书讲得比较深，知识点丰富，章节练习题目挺不错的，难度较高，对于理解知识点很有帮助。但是内容组织得不合理，知识结构没有OSG教材那么严谨和有条理性。我个人建议是：如果英文好，直接看英文；如果英文不太好，中英文配合着看。

1. OSG( Official Study Guide，官方学习指南，目前最新版为第8版)

考试必备。这本书的知识点全面，结构有条理性，并且是官方学习指南。

1. PT( Practise Test，习题集，目前最新版为第2版 )

考试必备。做题的目的是深入理解概念和原理。

2. 其他资料：

1.AIO配套练习题（第七版以前有光盘，第8版只有在线练习题了）可以做一下，推荐。AIO中推荐的什么flash card没有必要花时间去看了。

2.各种泄露的真题。看看2017年以后的真题就好。我找考友寄来了一套最新的做了2遍，很不错，推荐。

3.培训PPT、录音、视频。如果真的想看培训视频，建议看优管上MF Prod的CISSP培训视频（英文，有英文字幕），不废话、内容翔实、原理讲得比较透，推荐。我主要看了了遍国外CISSP培训视频。关于国内培训视频，听了一两个国内培训视频或录音，觉得国内的CISSP培训在专业性、内容深度方面比国外还是很有差距，废话很多，觉得浪费时间，就没看了。这也是我没有报培训班的原因，感觉除了可提供真题练习和讲解服务之外，就只剩收费了，不推荐。（如有理解不当或失言之处，欢迎留言打脸。）

4.CBK( 第4版 )。排版很不友好，阅读体验太差，我看不下去，只看了一点点，不推荐。

5.国盟CNCISA在微信公众号中的每日一练。跟真题的题型、考试方式比较相近，给你乍一看丈二摸不着头脑的迷茫，很难在官方材料中找到答案，还有课本外的的新知识点。当然也有很多中规中矩的题目，推荐。（不是打广告哈，没有广告费）。

四、学习过程

总结我的备考经历，就是看书2遍、做题2遍，复习一遍，考试。

1. 时间安排

既然决定了考试CISSP，我就先报名确定了考试时间，把自己“逼上梁山”，接下来就计划、执行、坚持。工作后的时间太少了，只有挤时间学习。我基本不熬夜，而是早起，提前2个小时起床可以有大块的时间来集中精力学习，主要看教材，模拟考试；另外就是利用坐飞机、步行的各种时间碎片来看学习，主要来看国外培训视频、做练习题。

虽然没有严格执行，但我实际的大致学习计划是：

（1）2个月，完成AIO8e教材第一遍阅读、课后练习。
（2）2个月，完成OSG8e教材第一遍阅读、课后练习。
（3）3个月，做题。PT、AIO配套光盘、网上搜集的真题...
（4）1个月，结合整理的试题库，再看一遍AIO和OSG。
（5）考试。

2. 学习方法

1.AIO的术语清单。一定要看最后最后的Glossary和Index，强烈建议多次学习Glossary和Index，检查自己是否掌握了这些知识点了。利用AIO的英文电子版，可快速定位知识点在正文中的位置，进一步学习其原理。

2.思维导图。对于梳理知识点，可能有帮助吧，实用性不强，反正我没做思维导图，也没看别人的思维导图。

3.知识点梳理。根据OSG列出一个知识点的顺序清单。利用有道笔记把题目整理到相应的知识点下，这些题目包括做错的题、有助于梳理知识点的题；题目的解答最好能与AIO或OSG的页码对应起来。在做题的同时，完善知识点。另外，针对教材以外的知识点，利用搜索引擎单独整理。

4.考友与考试群。只加了一个微信群，群主每天在群里发一道题，大家跟着做。我加这个群的主要目的是每天提醒自己还在备考CISSP中，坚持要抽时间学习。

六、考试

1. 评估是否达到参加考试的水平

经过1年多时间的备考，通过对知识点进行评估，觉得自己已经把相关的法律法规、框架、概念、术语、技术原理、流程顺序都懂了，做题也能达到80%以上得分率（CISSP考试通过要求为70%），我认为就可以参加考试了。

2. 考试过程与注意事项

生理（身体）状态准备。考试时间为6个小时，题量为250道题，对体力、精力形成了较大挑战，中途可出去喝水、吃干粮补给，所耗时间算入考试时间。强烈建议上午参加考试，且带上两块士力架；早上要吃饭但不宜吃太多，7分饱就好了，吃少了撑不了那么长时间，吃多了得上厕所。我是下午考试的，中午没有休息，下午直打瞌睡，严重影响考试，大家以此为鉴。

安全检查。入场前的安全检查非常严格，可谓是我参加的所有考试中最严格的安全检查了。一是任何东西不能携带入场，包括背包、饮料、干粮、手机、笔、电子产品、手表、...。饮水、干粮不能携带入场，只能放在外面，入场后只能举手示意请假出来饮水或吃干粮。二是眼镜要经过检查，可能是防止偷拍吧。三是多重身份认证，需要至少2种证件（我提供的是身份证和护照，驾照也可以用），还要采集签名、掌纹、现场拍照头部人像（感觉泄露的隐私信息太多了。。。），且签署考试注意事项、保密协议。四是考试过程全程摄像、录音。五是中途离场回来时也要再次执行安全检查。

做题时心理状态调整。前面说了，CISSP考试中基本没有原题，很多题目模棱两可，心理素质不好的同学容易产生心理恐慌，这时，尤其要注意调整心态，恢复情绪，不要心急。

控制做题速度。做题太快时，将会有考官判断你在刷题，可能取消你的考试成绩和限制后续考试，所以，要控制做题速度，沉下心来仔细分析每道题目。我大概用了4个小时完成250道题目。

领取考试结果。做完250道题后，提交，出场再领取考试结果打印单。考试结果只会提示“恭喜你”或不通过，没有具体的成绩。