我是如何三个月通过CISSP考试的

先说一下，上篇文章的正确答案是A，一顿分析猛如虎，一看答案250.

CISSP考试就是这样，虽然是选择题，但其实还是存在出题者的主观因素的。

Istvan is a new security manager and is pretty certain that a backup tape missing yesterday was there today. What can he BEST do to mitigate his discomfort? 

A. Put backup tapes in a locked cabinet that only he has control over.

B. Check recent surveillance of the area.

C. Ensure that backups are encrypted.

D. Hold a meeting with his immediate staff and ask who is removing backup tapes. 

主观因素在于discomfort for what？既然答案是A那出题人肯定是对丢失Tape这事本身感到不适，所以要采取相应的控制来降低丢失的风险从而缓解discomfort。而我的理解是对丢失Tape期间可能发生的事感到不适，所以要调查清楚这期间究竟发生了什么，比如是不是被人偷窃了数据，调查清楚能缓解discomfort.

下面进入正题，如何3个月通过cissp考试。

首先说明一下，3个月的备考时间是比较仓促的，存在一定的不通过风险。

我认为有2个关键因素是我3个月通过考试的原因。

因素1

从事信息安全工作这些年，工作中已经接触过8个知识域中很多知识点。

1、安全与风险管理域：在甲方企业的时候编写安全计划、SOP、安全标准。在业务系统设计期间做威胁建模。在APP因为隐私收集问题开展隐私合规工作，涉及到个保法，数安法，这些法律和合规问题也属于安全与风险管理知识域。

2、安全评估和测试域：大学毕业后的几年，主要做渗透测试。

3、资产管理域: 在甲方的时候开展数据安全工作中，对数据进行分类分级，属于该域。

4、软件开发安全域: 前几年搞得应用安全，SDL、devsecops属于该域。

5、身份与访问控制域：SDL安全左移，对业务系统进行安全设计，安全方案中关键的控制涉及到身份验证和数据访问控制。

6、安全架构和工程域：业务系统设计中要求研发团队使用什么加密算法，属于密码学知识点，密码学属于该域。

7、安全运营域：内网部署蜜罐、终端DLP、以及部署使用开源EDR“wazuh”，以及安全漏洞和安全事件的管理属于该域。

除了通信和网络安全，在过去的工作中cissp上面的7个知识域多少都已经有接触过了。

因素2

早在2020年已经报了培训班，但因为当时互联网公司上班特别卷，晚上下班到家9点半之后了，头昏脑胀的状态很难坚持学习下去，但是2020-2024将近4年的时间，中间反复了3、4次学习，每次重拾都从第一章开始看，最多坚持到第8章。这也是我这次3个月冲刺，前面几章看的比较快的原因。

如果你在信息安全工作中没有接触过多个知识域，3个月能通过考试的可能性微乎其微。所以3个月的学习能否通过CISSP考试，这因人而异。

我的学习计划分2轮，5个阶段

第一轮阶段1：CISSP官方学习指南第一遍阅读+课后习题

第一轮阶段2：官方习题集2016版，验证阶段1的学习成果

第二轮阶段3：CISSP官方学习指南第二遍阅读+参考资料，重点知识提炼

第二轮阶段4：官方习题集2021版本，验证阶段2学习成果

第二轮阶段5：考前模拟卷（官方习题2024版），4套模拟卷正确率大于80%

我的学习资料主要就是OSG官方学习指南第9版和3套官方习题，因为考试是机翻，我亲身感受是很大题目的句子读都读不通，所以建议参考OSG的英文版一起看。‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍

有需要学习资料的可以公众号回复CISSP‍‍‍‍‍‍‍‍‍

另外在这里寻一个安全工作机会，中小企业安全架构师/信息安全负责人（安全0～1建设）、应用安全SDL