前言
不久前,我欣喜万分地通过了CISSP考试,终于从长达两个月的紧张备考中解脱出来,心中满是难以言表的喜悦与成就感。在此,我迫切希望与大家分享这份来之不易的成功经验。
01
报考相关(劝退指南)
我已从事安全领域相关工作七年,目前在一家互联网企业专注于应用安全,特别是在软件开发生命周期(SDL)管理方面。
关于CISSP考试,我认为,对于有一定安全从业经验的人来说,报考是一个不错的选择,同时建议稍微懂一点点英语。对于完全没有从业经验的人来说,我建议谨慎考虑,因为缺乏实践经验可能会使备考过程变得异常艰难,甚至可能导致投入与回报不成正比。
1
为什么建议有经验的人报考呢
以前啊,CISSP考试是那种线性的,大家做的题目都差不多,所以有些人可能靠点小聪明、走点捷径就过关了。但到了2023年,官方发现了这个问题,就让一堆人重新考,还改了考试模式,变成了CAT模式,就是电脑会根据你的答题情况,专门挑你不会的、答得差的知识点来考你。这样一来,每个人的题目都不一样了,想再靠那些小聪明过关就难了。
而且啊,考试里的题目,很多都不是书上直接能学到的,得靠你在实际工作中积累的经验,还有对安全管理的深刻理解才能答得上来。所以啊,别以为把书上的东西都学明白了就万事大吉了,到了考试的时候,你可能会发现,学的和考的根本不是一回事儿,心里可能会有点懵。
2
为什么建议稍微懂一点点英语
CISSP考试啊,有个让人头疼的问题,就是有些题目的翻译是机翻,读起来不通顺,也不符合咱们平时的技术表达习惯。所以啊,要是想考好,最好还是得能读懂英语原题。这对于英语基础不太扎实的朋友们来说,确实是个不小的挑战呢。
02
基础知识学习
CISSP考试啊,涵盖了8大领域,从技术到管理,那叫一个全面!不过呢,它的特点是知识面广但深度不算特别深,就像是一公里宽但只有一英尺深的水池。它的主要目的是培养咱们的安全管理思维。
说到学习资料,官方的教材是OSG,也就是那个CISSP官方学习指南,民间的话呢,有个AIO,也就是CISSP大全。其实啊,这两本选一本看就足够了。
我个人比较推荐大家以OSG为主,毕竟它是官方的考纲,较为权威!目前OSG教材已经出到了第十版,不过第十版为纯英文版的,目前国内还没有中文翻译版的,而且两版差别不太大,如果英语较好可以选择第十版的啃,如果英语不好建议直接看第九版。如果选择培训机构报名的话一般培训机构会赠送一本OSG教材。
对于OSG这本书啊,我的建议是,除非你已经有非常丰富的大企业安全管理经验,否则最好还是通读(精读)至少一遍。有些人说不用看书,但我觉得那不太靠谱。虽然书里的知 识点可能看起来有点零散,但它真的能帮咱们锻炼结构化思考能力,这对咱们应对考试是很有帮助的。
03
刷题
!多刷题,理解题,不要背题!
!不要试图用国内认证考试的思路报考CISSP!
刷题的话,我推荐用CISSP Official Practice/exam,虽然书是英文的,但网上还是能找到资源的,当然也有一些民间翻译的版本,不过翻译得可能不太准。我呢,是把Official Practice里的所有题目都刷了一遍,包括那八个知识领域的和四个综合练习,而且我还把每道题每个选项背后的知识点都搞懂了。
如果有经济实力报名培训班的话一般培训机构都会带中文版的练习题,可以直接跟着培训班的习题和讲解来做。
八个知识域的题目:随机抽取来作答的,考试前我的正确率能稳定在90%以上。
四个综合练习:我当模拟题来做,正确率大概在75%到85%之间。大家可以根据自己的情况参考一下这个标准。
!强烈建议整理错题本!
04
考试缴费与预约
CISSP考试可以在ISC2官网提前预约,考试时间在每个季度最后一个月进行。
考试费用为749美元一次哦,如果没考过,只能再交一次重新考。所以啊,我建议大家还是准备充分了再去考,不然每次考试都叫749美金也顶不住。对大部分人来说,749美金可不是一笔小数目。
官方偶尔会推出“CISSP中文考试安心保障”服务:
948美元即可享受一次考试+如果考挂了在下个季度重来一次。如果对自己不是很有信心的话,我感觉买这个服务还是听划算的。
当然承制科技有CISSP保障班,特定情况下补考的费用由他们承担~
05
考前准备
在考试之前,请务必准备好个人身份证件以及一张附有个人签名的信用卡(根据官方要求,必须使用信用卡)。
在备考过程中,针对知识掌握情况,建议建立个人的错题集,将错误题目及其对应的知识点详细记录,并参考OSG进行深入理解,以确保充分掌握,因为考试中可能会涉及这些知识点。
06
进考场
考试当天,我们需前往PearsonVue官方指定的考场参加考试,这些考场通常设立在一线城市如北京、上海、深圳、成都、西安等地。若同学所在城市未设考点,则需提前预订酒店前往一线城市应试,这可能会带来一些不便。
考试大多安排在上午开始,且通常能准时进行。一旦进入考场区域,考生将不允许复习任何资料,且需将手机关机。随后,工作人员会进行身份验证,包括核对证件、拍照,并在正式进入考场前,要求考生录入掌纹信息(而非指纹)以完成身份验证流程。
07
考试中
进入考场后,你会发现有十几名考生共处一室,整个考场都处于摄像头的严密监控和录音录像之下。每个考生之间都设有很高的隔板,以确保考试的独立性。此外,由于PearsonVue承接了多家考试机构的业务,因此你周围的考生很可能并非都在参加CISSP考试。这里要特别提醒的是,考场的纪律非常严格,甚至超过了高考的标准,所以千万不要有任何作弊的念头。
当前的CAT模式考试是一种“自适应”考试形式,时长为三个小时,全部为单选题。考生可能会遇到100到150道不等的题目。计算机系统会实时评估你的答题准确率和通过可能性。一旦在回答完约100道题后,如果系统判定你已满足通过标准,考试将提前结束。当然,如果系统认为你此次考试通过无望,考试也可能会在此时终止,但这种情况较为少见。
我是考试答题到122道题考试结束的,用时2个多小时。
因此,大家一定要保持平稳的心态,无论做到多少道题,都要冷静思考,充分利用自己的经验和所学知识来应对,这才是最关键的。
大家最关心的考试题目的难度:非常具有挑战性(至少在我看来,我的安全经验已经算是比较丰富了)。大概只有25%左右的题目能直接用学到的知识快速解答,剩下的都得根据题目描述,仔细斟酌选项,然后选择出最优的一项答案,答题的时候你会发现有同时几个选项也是可以选的,但是必定会有最优的一项,真的很让人纠结。
08
考试结束
在100到150题的范围内,计算机会通过算法来判断你是否通过考试。在100题之后你永远不会知道,当你点击下一题的时候,屏幕上会不会突然出现“考试结束”这四个大字。
考试结束后,你还得再录一次掌纹,确认身份信息。然后,考场的老师会把你的成绩单背面朝上递给你,这么做可能是为了保护考生信息,防止泄露,也有人说是为了避免考生因成绩未过而感到尴尬。
拿到成绩单后,要是上面的内容和本文开头提到的第一张图一样,那就恭喜你啦,你已经成功通过了CISSP考试!但如果成绩单上指出了你知识掌握不足的知识领域,那就比较遗憾了,意味着你还需要再次努力,准备下一次的考试。
09
背书与证书维持
在考试通过后,ISC2会向你的邮箱发送邮件,收到邮件后就可以准备背书工作啦。
要成为CISSP的“member”(会员),需要满足五年的工作经验要求(如果你的本科专业是IT相关的,那么可以减少一年的工作经验要求)。你可以选择通过背书人进行背书,或者选择官方审查资料来进行背书。通常来说,选择背书人的方式更为常见,可以在网购平台上也能找到相关的服务,如果你在承制科技报名培训的话他们一般也会提供免费背书服务。
在大概6-8周背书审核通过后,会发邮件告知大家,在缴纳会费(每年135美金)后,会取得CISSP证书。
一般纸质版证书后续会寄到ISC2的中国办公室,然后办公室会联系大家确认详细地址。
拿到CISSP证书后,我们需要交年费(135美金),并且赚取CPE(学分)来维持证书(3年120 CPE)。如果是在承制科技报名培训的一般他们会给免费的CPE积分。
10
自学、报培训班
首先,经过我考下来的经历,我个人感觉CISSP证书的含金量真的很高,同时考试难度相对来说也挺大的。
如果各位平时就是学霸,可以选择自学自考;如果各位经济实力较强,可以选择报名承制科技CISSP保障培训班,毕竟有老师指导学习以及背书、维持服务,能帮我们在学习上省下不少精力。