新版CISSP考试准备过程和心得 – 作者:HermanLei

我终于通过了CISSP考试，获得了人生中第一张信息安全相关的证书。回想整个准备过程，虽然自觉准备时间并不长，且尚觉得自己掌握的知识还不够全面，但幸好结果是好的。之后我还需要再接再厉，继续提高自己在信息安全方面的管理和技术能力。

其实这不是我第一次考CISSP了，之前四月底的时候，我想赶在考试大纲更新和报名费涨价之前应考，于是在准备时间不足半个月的情况下参加了考试。当时只粗略看了OSG第八版的中文版和做了里面的习题，因为我是在香港参加考试，只能选择英文的自适应考试，所以我看的时候也对应以英文版的单词做参考。时间紧迫，我并没有做习题集，这也给之后的失败埋下伏笔。我是在下午考，当天上午我还在上班，中午也没怎么休息就去应考，也造成考试状态不好。考试过程中，因为做的练习不够，没有完全抓住CISSP考试所需要的用CISO的思维去思考问题的关键，再加上有些英文单词不认识和疲劳带来的思考力下降，我在150道题做完后没能通过考试。考完后，成绩单显示我有三个领域没达到要求，所以没能通过。

没能通过考试，心情当然是很沮丧的，但我也立刻收拾心情，报考了下一次的考试（主要是为了省钱，五月之后报名费就涨了50美金）。我总结了第一次考试失败的主要原因：

准备时间太短，没有做习题，对知识点了解得不够透彻，覆盖的知识领域也不够广。

只用自己工作的经验去分析题目，没有站在一个管理者的角度去思考。同时对与自己工作相关性较低的领域没有做加强复习。

在休息不足的情况下考试，整个人状态不好。

所以，我把新的考试时间选在了七月中旬的上午，一是让自己有充足的时间准备新版考试的内容，二是早上精神比较好。我重新制定了学习计划，打算从五月开始认真准备，重新认真看一遍OSG，同时把AIO看完，然后做完官方习题集。然而理想很丰满，现实很骨感，因为工作繁忙，下班后也精疲力尽了，根本无心学习，所以我的计划一直推迟到六月中才开始。因为时间压缩了，要认真看完OSG和AIO基本不可能的，于是我调整了学习策略，决定用更节省时间的方式，就是先看网上的教学视频进行学习，并着重学习之前没达标的三个领域。这里我要推荐两个YT上的CISSP教学系列：

Destination Certification – CISSP MindMaps / Domain Review

Inside Cloud and Security – CISSP EXAM CRAM

这两个系列都很好，尤其是第一个，把CISSP的知识点用mindmap的形式进行讲解分析，而且还会对一些难点做特别的讲解，更重要的是这两个都是免费的。其他诸如Mike Chapple，Kelly Herderhan，freeCodeCamp都有很好的教学视频和课程，有充足时间准备的同学也可以去看看，我因为时间不够，就都只看了一些我想了解的部分。我还加入了一个Budding CISSPs的TG群，里面大家都会分享习题和解答问题，非常的nice，还有一个wentzwu网站会每天分享CISSP习题，也很好。

在六月底的时候，针对新版考试内容更新的OSG第九版和Official Practice Tests第三版也出了，如果在美亚买实体书的话，等拿到手都已经过了考试日期了，所以我在Welly上买了电子版，利用下班时间开始做习题和学习新增的知识点。但这样学习的专注度不够，效率不高，于是我在考试前的四天请了假，利用四天时间把OSG第九版好好过一遍，然后把习题全部做完。这四天时间，我差不多一天学习10个小时，大概用了两天半把OSG过完。因为新版目前只有英文版，所以我借助翻译软件把内容翻译，看中文来快速掌握里面的大致内容，然后标注重点进行记忆，同时查阅一些书上只是带过没有深入讲解的内容，以作补充。接下来一天把习题集没做完的领域做完，标注错题。最后半天做了两套习题集后面的综合测试，两套题正确率都是80%。其实我心里还是很没底的，之前跟考过CISSP的同事聊过，他说习题至少要做3000道，同时最后习题正确率在90%以上考试才比较稳。而我满打满算也只做了1500道，就连习题集最后的两套测试题都没时间做，但因为自己已经学得很疲惫了，为了以好的精神状态参加第二天考试，我决定早点休息。

由于担心着明天的考试，我实际入眠时间也就4个小时，所以参加考试的时候精神并不是非常饱满，但比第一次还是好不少。到了考试的时候，我发现自己还有不少知识盲点，很多题都是在两个答案中游移不定。然后过了100题时，考试并没有结束，这是一个坏消息，也是一个好消息。坏消息是我前面答的100题还没能达到通过考试标准，好消息是还没有糟到直接不合格。于是我稳定心神，继续答题，然后在答完大约120题时，显示考试结束。最后出来拿成绩，显示我通过了考试，我当时就长舒一口气，终于不用再考一次了，同时也为自己的付出和努力感到高兴，当然还有一些运气。

对于CISSP考试，我的感触是考试涵盖内容真的广，而且一定要用信息安全管理者的思维去思考，选出最优解，如果只靠看书背题，没有相关工作经验和安全管理思维，是很难通过考试的。但同样，没有看书做题，只用工作经验来应考，也是很难通过的。因此，这也证明了这个证书的含金量。最后祝愿所有参加考试的同学都能顺利通过考试，为信息安全行业添砖加瓦！

以下是我推荐的一些学习资料和平台，个人意见，仅供参考。

学习书籍：

CISSP Official Study Guide – Nine Edition

学习视频：

Destination Certification – CISSP MindMaps / Domain Review

Inside Cloud and Security – CISSP EXAM CRAM

习题练习：

Official Practice Tests – Third Edition

习题平台：

wentzwu.com

来源：freebuf.com 2021-07-17 13:56:02 by: HermanLei