先说一下,上篇文章的正确答案是A,一顿分析猛如虎,一看答案250.
CISSP考试就是这样,虽然是选择题,但其实还是存在出题者的主观因素的。
Istvan is a new security manager and is pretty certain that a backup tape missing yesterday was there today. What can he BEST do to mitigate his discomfort?
A. Put backup tapes in a locked cabinet that only he has control over.
B. Check recent surveillance of the area.
C. Ensure that backups are encrypted.
D. Hold a meeting with his immediate staff and ask who is removing backup tapes.
主观因素在于discomfort for what?既然答案是A那出题人肯定是对丢失Tape这事本身感到不适,所以要采取相应的控制来降低丢失的风险从而缓解discomfort。而我的理解是对丢失Tape期间可能发生的事感到不适,所以要调查清楚这期间究竟发生了什么,比如是不是被人偷窃了数据,调查清楚能缓解discomfort.
下面进入正题,如何3个月通过cissp考试。
首先说明一下,3个月的备考时间是比较仓促的,存在一定的不通过风险。
我认为有2个关键因素是我3个月通过考试的原因。
因素1
从事信息安全工作这些年,工作中已经接触过8个知识域中很多知识点。
1、安全与风险管理域:在甲方企业的时候编写安全计划、SOP、安全标准。在业务系统设计期间做威胁建模。在APP因为隐私收集问题开展隐私合规工作,涉及到个保法,数安法,这些法律和合规问题也属于安全与风险管理知识域。
2、安全评估和测试域:大学毕业后的几年,主要做渗透测试。
3、资产管理域: 在甲方的时候开展数据安全工作中,对数据进行分类分级,属于该域。
4、软件开发安全域: 前几年搞得应用安全,SDL、devsecops属于该域。
5、身份与访问控制域:SDL安全左移,对业务系统进行安全设计,安全方案中关键的控制涉及到身份验证和数据访问控制。
6、安全架构和工程域:业务系统设计中要求研发团队使用什么加密算法,属于密码学知识点,密码学属于该域。
7、安全运营域:内网部署蜜罐、终端DLP、以及部署使用开源EDR“wazuh”,以及安全漏洞和安全事件的管理属于该域。
除了通信和网络安全,在过去的工作中cissp上面的7个知识域多少都已经有接触过了。
因素2
早在2020年已经报了培训班,但因为当时互联网公司上班特别卷,晚上下班到家9点半之后了,头昏脑胀的状态很难坚持学习下去,但是2020-2024将近4年的时间,中间反复了3、4次学习,每次重拾都从第一章开始看,最多坚持到第8章。这也是我这次3个月冲刺,前面几章看的比较快的原因。
如果你在信息安全工作中没有接触过多个知识域,3个月能通过考试的可能性微乎其微。所以3个月的学习能否通过CISSP考试,这因人而异。
我的学习计划分2轮,5个阶段
第一轮阶段1:CISSP官方学习指南第一遍阅读+课后习题
第一轮阶段2:官方习题集2016版,验证阶段1的学习成果
第二轮阶段3:CISSP官方学习指南第二遍阅读+参考资料,重点知识提炼
第二轮阶段4:官方习题集2021版本,验证阶段2学习成果
第二轮阶段5:考前模拟卷(官方习题2024版),4套模拟卷正确率大于80%
我的学习资料主要就是OSG官方学习指南第9版和3套官方习题,因为考试是机翻,我亲身感受是很大题目的句子读都读不通,所以建议参考OSG的英文版一起看。
有需要学习资料的可以公众号回复CISSP
另外在这里寻一个安全工作机会,中小企业安全架构师/信息安全负责人(安全0~1建设)、应用安全SDL
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...