60天通过CISSP考试 经验分享

前言

在前几月，我顺利通过了CISSP考试，结束了长达两个月的折磨

分享一下我通过CISSP的经验

一、报考相关(劝退指南):

先讲一下我自己的情况，从学习安全方面的东西到现在有九年了，现在在互联网厂做应用安全，sdlc方向。

我的建议是:有安全方面从业经验，且英语不太差的人报考

 如果完全没有从业经验，是真的不建议报考，很有可能变成花钱买罪受!

一、为什么建议有经验的人报考呢❓

针对这个考试，以往线性考试的情况下，大家做的题基本上都差不多，所以可以依靠某些投机取巧的方式过关；

但是在2023年，官方认识到了这个问题，并且抽了大量人重考，随后考试模式也变更了CAT模式(可以理解为计算机自适应抽题，哪个知识点答的差，就拷打你哪个知识点)，所以这种情况下大家做的题基本上都不一样，基本不可能再依靠"投机取巧"过关。

在考试题中，大部分题目都不是书上学过的知识，需要有比较丰富的实践经验，和对安全管理的认知才能完成作答

考试并不是学明白书上的东西就万事大吉的，到考试的时候大家看到题都会感觉懵逼，因为学的和考的关系不大

二、为什么建议英语不要太差

CISSP考试的时候很多翻译都是一坨💩，翻译的根本不通顺，也不符合常规的技术表述，这就需要我们拥有阅读英语原题的能力。

对于英语基础不太好的兄弟来说，这是一个难事

二、基础知识学习

cissp的内容分为8大Domain，基本上从技术到管理无所不包。但是属于一公里宽，一英尺深，内容深度都不算很深，但是很综合，主要培养安全管理思维。

基础知识，目前官方的教材是OSG(CISSP Official Study Guide)

民间教材有AIO(CISSP ALL IN ONE.) 两者选一者看即可

本人建议以OSG为主，因为OSG算是官方考纲。目前OSG推出了10th第十版，但是中文版本市面上只有第九版，考试已经涵盖了第十版的内容，我建议英语比较好的兄弟们直接看第十版，某宝可以买到第九版。

PS：顺便吐槽一句，中文版的OSG有多处翻译错误和表述问题，大家学习的时候需要把一些关键名词的英语记好

 比如rogue Tower，中文版的OSG翻译成“流氓塔”，给我看懵逼了好久...后来我反应过来是tmd伪基站🤡

针对OSG，我的建议是通读(精读)最少一遍，除非你有及其丰富的大企业安全管理经验

很多人说不用看书啥的，我认为是不科学的，书中知识点可能比较零散，但是会对我们的结构化思考能力有所裨益。

三、刷题

❗核心原则 : 要多刷题，千万不要背题，不要试图拿着国内认证考试的逻辑报考CISSP

刷题建议使用CISSP Official Practice/exam，书是英文的，网上可以找到，但是也有民间翻译好的(但很多翻译不准)。

我刷完了Official Practice所有题目，包括八个知识域和四个综合练习，并掌握了题中每个选项涉及的知识。

八个知识域的题目，随机抽取作答，正确率在考试前可以到90%以上

四个综合练习当模拟题做，正确率在75%-85%，大家可以参考一下

❗另外：强烈建议整理错题本，时不时翻看，要弄懂知识，而不是记下来选项

四、考试缴费与预约

CISSP考试可以在isc2官网提前预约，并且在每个季度最后一个月进行考试，考试托管给了PearsonVue机构(中文名叫培生)

考试费用目前是750刀一次，挂了的话钱打水漂，只能重来一次(所以建议准备好再去考，不然真的是送钱，750刀对我来说是一个月饭钱)

有的时候官方会推出"安心考"服务，950刀即可享受一次考试+如果考挂了在下个季度重来一次

大家如果对自己不是很有信心的话，我感觉上个保险还是有必要的，心里有个底(虽然我上了保险，也没用得上，一次通过了)

五、考前准备

考前准备好身份证+一张个人签名的信用卡(官方要求必须是信用卡)，进考场前要用

针对知识方面一定要建立自己的错题本，把错了的每个知识点对着OSG或者GPT弄懂，考试指不定就考到了。

手写笔记这块看个人习惯，我的话喜欢把东西写下来，然后时不时review，下图这种篇幅的笔记，在考前我写了大几十页(忽略我不好看的字)

六、考试开始前

到考试当天，我们需要前往官方指定的PearsonVue考场，一般在一线城市(北上深，成都，西安等等)都有考点

如果所在城市没有考点的同学，需要提前订好酒店去一线城市考试，还是比较辛苦的

考试大部分会在上午开始，考试基本上都能准时进行，进入考场范围后不能复习任何资料，手机关机。

随后工作人员会进行人证查验，拍照，在正式进入考场前，要录入掌纹(是的你没看错，不是指纹)

北京PearsonVue考场外面大概是这个样子

七、考试进行时

进入考场后，一般十几个人在一个考场，全程头顶摄像头录音录像，每个人之间有很高的隔板

而且别人考的大概率也不是CISSP，因为PearsonVue承接多家考试

所以不要有任何歪心思，考场比高考还严。

目前CAT模式的考试是"自适应"的，三个小时时间，题目都是单选，作答100-150道题都有可能，计算机会自动计算你的答题准确率和通过率，当你作答第100道题后，如果计算机认为你已经可以通过考试，那么你的考试会直接结束(当然也不排除，机器认为你这次考试挂定了

笔者是作答到120道题考试结束的，平均一分钟一道题。

所以大家要稳住心态，无论作答到多少道题，冷静思考，调动经验和所学才是最重要的。

至于大家最关心的考试题目难度，我只能说：比较难(在我自认为我的安全经验超过了绝大多数人的情况下)。

考试中的题目只有25%左右是能用所学知识直接秒杀的，其余都得根据题干描述择优选择，这很让人纠结

考试结束后，我整个人脑子都是一种发麻的感觉

八、考试结束

在100-150题这个区间内，机器会根据数学计算，判定你是否通过，你永远也不知道点下一题的时候，界面是不是"考试结束"四个大字

在结束后，需要重新录入掌纹，比对身份信息；

接下来考场的老师会把你的成绩单背面朝上递给你(据说是为了防止一块考的朋友如果看到没过，比较尴尬.. 😅)

拿到成绩单，如果上面的内容，和本文第一张图一致，那么恭喜你，你顺利通过了CISSP考试！🎉

如果成绩单上列出了你存在不足的知识domain，那么很遗憾，意味着考试还需再战

九、背书与证书维持

在考试通过后，isc2会向你的邮箱发送邮件，收到邮件后就可以准备背书工作啦。

背书成为“member”要求有五年的工作经验，可以选择背书人背书，也可以选择官方审查资料背书

一般选背书人的多一些，某宝也有这种服务，本科如果是IT相关专业，可以减少一年经验要求。

背书成为"associate"，准会员，不需要满足工作经验，每年要交50美金，维持准会员身份，满足工作经验后提交材料可以转正。

在大概6-8个周背书审核通过后，会发邮件告知大家，在缴纳会费(每年135刀)后，会取得CISSP证书

纸质版证书后续会寄到ISC2的中国办公室，然后办公室会联系大家确认详细地址。

证书就是长这样啦~

拿到CISSP证书后，我们需要交年费（135刀），并且赚取CPE(学分)来维持证书（3年120 CPE）

这个在收到证书时都会提供相关资料

十、最后

对于CISSP这一认证，想必大家都看重它不一般的含金量，所以选择和我一样花钱找罪受

最后祝大家考的全会也许不太现实，但可以衷心祝愿大家在CISSP考试中蒙的全对😛

Contact To Me

如有大家关于CISSP报考，学习相关问题，欢迎联系我的微信：J0o1ey997