通過CISSP考試的心得^_^y

[hhja...@gmail.com]

Roland老師還幫小昭打廣告，真是箭在弦上、不得不發呀^_^||

各位先進大家好：小昭有幸在上個月(2013/7/11)通過CISSP的電腦測驗，因為之前也受過這個論壇以及Roland老師很大的幫助，希望能夠分享一些自己在準備過程的經驗與心得，提供有心取得證照的朋友們做個參考。

我先大略簡述一下我的背景，我從小學就開始寫程式(BASIC)，一直以來都想當個Programmer，也這樣一路寫到大學，畢業之後進入某機關，開始接觸網路、MIS、以及影響我最大的資訊安全等業務，說起來，我是在踏入職場之後，才稍微了解「IT」是怎麼一回事，因此對我而言，CISSP這張證照如同對我過去的所有知識、專案、業務乃至於經驗，做個總體檢驗，而確實，上場應試的時候，工作上所獲取的一切，也扎實地成了我過關的後盾。

I.        花錢上課，有必要嗎？
我在五月份時參加Jeffery老師的二、四晚上所開的課程，接著又運氣很好地碰到恆逸在六月份有開週六班(Roland老師)，算一算剛好上到我考前一週(7/6)，因此我的CISSP課程就這樣連上了兩次，之前聽很多人說上CISSP的課程收穫不大，還不如自己看，但是我覺得，這取決於個人態度的問題，老師上課的過程其實會扯到的東西很多，這本來就因為 CISSP的範圍相對廣大，10個Domain有太多我們可能再考完試後就一輩子不會再使用到的內容，上課由老師簡明扼要帶過一遍，絕對能夠有所幫助，最重要的是，當從老師這邊聽到我沒聽過的東西，能不能把知識記憶起來，我所聽過的東西，是不是與之前的印象有所出入，然後不斷省思與目前工作上、或與過去工作經驗能有什麼樣的結合或精進，在這樣的流程之中，才是上課對我而言最寶貴的價值。另外，我強烈建議大家如果有去上課，務必準備一本可以亂畫的筆記本(便宜的就好)在旁邊，當老師講到一些特定名詞或是解釋，不要浪費時間，立刻在筆記本上面寫幾遍，加強印象(例如每個章節對CIA的要求、存取控制的Categories與Types、密碼學的分類、BCP流程等等)，同時，如果可以立即聯想到與工作的關聯，也要馬上註記，我覺得可以與工作立即產生關聯的知識點，通常能引導我們以思考而非強記的方式來融會貫通。

II.      到底該念些什麼？

1.          上課的講義，呼應一下我第一段就說到的，上課過程老師會給很多東西，可能是我們聽過的也可能是沒聽過的，但不管如何，就算不想記住，也應該隨手寫下，因此，您的講義應該會跟我一樣，佈滿了重點，複習的時候很容易就進入狀況，而且說實話，如果講義上的內容都真的懂了，考試的分數大約就有60%的把握了！(我最後一次上課的時候，Roland老師說剛好講義改版了…)

2.          我在決定要考試之後，於今(2013)年三月底購買了被稱為經典的「CISSP all-in-one Exam Guide (6^th Edition)」這本書，同時也一併購入同一位作者Shon Horris的「CISSP Practice Exams (2^nd Edition)」(可參考網址：http://www.tenlong.com.tw/items/0071793089?item_id=569633，不過我是去實體書店買的^_^||)，如果您不是個資安新兵 (VERY newbie…)，老實說我認為Shon Horris老師這兩本都「太超過！」，對不起，請容許我再說一次「太超過！！！」因此雖然我把All-in-one整本都看完了，甚至連同後面每一個題目以及Exam Practice的所有題目都做完了，我依然不認為海K這兩本書是一個好主意。

3.          後來在國外的論壇上得知了另外一本同樣被推崇的「CISSP Study Guide (2^nd Edition)」(ISBN：978-1-59749-961-3)，其實我當時是因為自己讀CISSP All-in-one時遇到了瓶頸，就無意地看了幾頁這本書的前幾頁消遣一下，我把這段文字抄寫給大家參考：「This book is also a reaction to other books on the same subject. As the years have passed, the page counts of other books have grown, often exceeding 1000 pages」、「If we can teach someone with the proper experience how to pass the CISSP exam in a 6-day boot camp, is a 1000-page CISSP book really necessary?」很諷刺，卻也讓我好奇這三位作者(Eric Conrad、Seth Misenar、Joshua Feldman)到底有什麼本事敢這麼正面挑戰Bible等級的All-in-one？開始間斷地配合All-in-one看了之後，如果再問我會以哪本書做為入門，我會毫不猶豫地推薦您這一本，尤其每個章節的「NOTE」、「EXAM WARNING」、「LEARN BY EXAMPLE」，都是重點中的重點，我在即將考試的前一天，就是很迅速地再次瀏覽這些方格中的內容；另外，作者特別提到，本書最大的重點，就是「Glossary」這一個附錄，他們把所有相關的詞彙、縮寫都整理出來，並且建議讀者應該要在考試前要能夠知道每個詞彙所代表的意義以及連結到的知識點(可以隨手寫下，或是看過去的同時在心中把所有知識點連結並默念)，嗯，我照做了，所以您也可以試試看喔！

4.          還有一本輕薄的小參考書，「11^th Hour CISSP Study Guide」 (ISBN：978-1-59749-566-0)，也是Eric Conrad老師所寫，只有196頁，我在國外網站看到的是，很適合做為考前衝刺使用，嗯…我是拿來上廁所的時候看啦，或是All-in-one念到想要把書本丟出去的時候也可以拿來重建一下信心。

5.          「Official (ISC)² Guide To The CISSP CBK (2^nd Edition)」(ISBN：978-0-8493-8231-4)，這一本是看了Ray Chen的心得分享之後去找來看的，其實今年年初剛出了3rd Edition，不過我實在找不到，也來不及買回來看，我這邊分享的是看第二版的心得，簡言之，很亂！大概由於分給不同的作者寫，因此內容的廣度與深度上參差不齊，不過也許是因為這本書已經有年紀了(2007年的書吧…)，又是看免錢的電子版，我想真的不要太過要求了；同樣的，我把這本書每個章節的習題都做完了。

6.          「BCPandDRP」：這是從TechExams挖出來的PDF檔案，雖然我本身的業務會參加到BCP、DRP的規劃與執行，但CISSP的BCP這一章卻讓我吃足了苦頭，這一個PDF檔案是一位CISSP寫給他的一個好朋友，內容深入淺出，如果您跟我一樣對於BCP那個Domain感到悲劇(?)的話，請務必看看這個PDF檔案。

7.          綜合說來，其實以上每本書都有各自不錯的地方，如果您打算自己念，那我的建議組合是：

• 把Eric的Study Guide看完

• 中間任何不懂的，就去查閱All-in-one

• 無聊的時候翻一翻「11^th Hour」、「Official Guide」這兩本

III.    考試前要做些什麼題目？我沒有另外花錢去買像是CCCure或是頗受好評的transcender的考試，幾乎都是書本上的題目，我稍微整理了心得如下：

1.          「All-in-one」：每個章節後面的題目，以及最後的「Appendix A: Comprehensive Questions」，我要特別推薦這個附錄，當時我排定這142題就當作考前最後一天的「休閒」(因為All-in-one的題目其實問法都很明確，很容易找答案)，結果狠狠踢到鐵板，這142題難度相當高，並不全然因為題目的內容，而是使用的文字，而且相對之前的練習題長上很多，幾乎每題都是兩行以上的題目，甚至有一些佔了快1/2篇幅的題目，老實說，寫到100題的時候已經有信心潰堤的感覺(喵低！還是考前一天勒！)，最後寫完的成績是78.1%，但也因為這樣，上場應試的時候，反而覺得…考題好短喔…

2.          「Exam Practice」：這一本我也是全部做完，而且是一次全部做完，模擬6小時的考試，一共有308題，內容的難度適中，重點不在於答對題目，而是不管答對或答錯，都要好好地研究後面「詳解」針對每個選項的說明。

3.          「Total Tester」：這是All-in-one的書附光碟，據說收錄了1400題以上，我建議大家準備的過程不要去做任何裡面的試題，因為這套軟體預設會模擬實際的6小時考試，所以相當適合在考前兩週時為自己安排模擬上機考試使用，也為了讓模擬上機的考試更為有效，因此強烈建議只有在逼近考試時才拿來模擬考試狀況；不用做太多次模擬考試，因為這套軟體設計上的瑕疵，在一次的250考試中，可能會發生一題重複出現2次(我碰過最扯的是3次)。

4.          「Official Guide」、Eric的「Study Guide」、「11^th hour」，這三本我就寫得很隨興，不過也幾乎都寫完了，這三本的題目共通點，就是寫起來比較得心應手，很適合沮喪(?)的時候重建信心。

IV.    做題目有效果嗎？
誠如Ray學長以及其他來自世界各地考過的先進所說，我做了將近1500題左右，非常相似的考古題，還真的只有3~4題，我看過網路上最誇張的說法，「I was wondering if I took the WRONG exam and went into a WRONG test room…」，其實我也很疑惑，為什麼完全看不到相似的題目，後來才從其他網站知道，在進入考場的時候都要簽署NDA，(ISC)2特別強調他們具有這些題目的版權，而且，在CISSP的道德規範中，也有提到「不可與其他考生或準考生討論題目」，所以大家看不到考古題，那絕對是正常，也請各位不用浪費錢去買什麼BrainDump之類的考題(對啦，我就是說ExamCollection這個網站，我看過一位考生忿忿不平地寫著：I’ve done over 5000 questions, but it’s totally BULLSHIT, I still failed on my third test…)。所以小昭的想法與前輩們都差不多，做題目的目的是要知道自己對於這個Domain的知識點是否都已經掌握了，有時我們會發現，「啊這些不都已經看過了？簡單啦！」結果考試的時候一樣寫不出來…，題目做的多，相對會模稜兩可的選項在考試時就可以更快速地排除。

V.      考試要考英文版還是中文版？
嗯，Roland老師應該很清楚，小昭在聽完Ray學長的心得分享之後，很俗仔地跑去花了100美金把考試改為簡體中文版，但其實我之前有被這位前輩的文章刺激過(http://cisspvincent.blog.ithome.com.tw/post/8477/211678，水瓶柘榴子之家)，因此總覺得不考英文版就沒有面子，我的英文程度應該還有中上等級，但在做題目的過程，我發現有些真的只差一個關鍵字有看懂就知道答案(對我而言，這樣的題目約佔了10%)，然而CBT卻不允許如同紙本測驗那樣攜帶字典，讓我多少覺得有點不公平，因此掙扎了幾天，還是在考前五天的時候取消並且重新安排成簡體中文考試(說這麼多，其實就是捨不得那599美金啦！)。至於翻譯質量好不好？如果您是常常往來兩岸，或是一天不上對岸各式各樣的論壇就渾身不對勁的人，那麼CISSP中文考試的翻譯應該會讓您有大約60~70%的滿意度；剩下來的，就是那種原文就已經有點文言文，翻成中文自然也好不到哪裡去，不過令我意外的是，有些題目翻譯的水平之高，讓我都想幫他改個「甲上」了(小昭～你什麼玩意兒，還想幫人家批改勒！)。跳針一下，簡體中文考試是「中英對照」、「中英對照」、「中英對照」，請大家不要害怕！

VI.    可以提供一些網站參考嗎？

1.          CISSP Taiwan 網上論壇，https://groups.google.com/forum/#!forum/cissptaiwan
這是Roland老師的地盤，當然要幫忙打一下廣告

2.          華安信達信息安全專業論壇，http://bbs.chinacissp.com/
看一看對岸網友考試的心得，而且他們通常比較口無遮攔…(去看看就知道我在說什麼了)

3.          水瓶柘榴子之家，http://cisspvincent.blog.ithome.com.tw/category/8477/21061
(這位Vincent應該是CISSP的前輩等級，網站文章不多，但是很經典)

4.          TechExams，http://www.techexams.net/forums/isc-sscp-cissp/
這個站台有很多人分享他們的考試心得，還有各種考試資源的試用心得；這裡是小昭看過討論比較熱烈的地方，因此也包含了大量「PASS」與「FAIL」的文章(這點與亞洲地區比較不同，沒考過的通常就不會分享心得了^^||)，我提出個想法給大家參考，我本身是「吸引力法則」的奉行者，因此強烈建議大家可以多看看「PASS」的文章，少看「FAIL」的文章…

VII.  那麼像是考場的規定、考試的時間安排、報名考試的方式、考過之後的Endorsement都已經有許多前輩說過了，小昭就不再贅述，最後要分享的是我準備考試的心路歷程，其實我因為個人生涯規劃，決定離開目前就職的單位，轉換到更有「前」途的地方，但對於一直在IT界打滾的我而言，身邊最缺乏的就是IT類，尤其是管理面的證照，因此從今年年初開始，我陸續為自己安排了「BS10012LA」、「ISO27001LA」、以及「CISSP」這些課程，另外，基於個人興趣以及第二專長的培養，我還參加了會計師的學分班，有修到「審計學」、「中級會計學」等課程，很幸運的是，CISSP考試中，出現了好幾題在這些課程裡面所教的東西，尤其是審計學，因為審計對於內稽內控相當重視，因此套用在CISSP考試中，也是恰如其分，考完之後，我非常確信，這真的是個「an inch deep and a mile wide」的考試了。

唉呀！不知不覺寫了一大堆，考試前一天我還真的睡不著，而且考前兩週的時候脾氣真的壞到最高點，動不動就想要把All-in-one丟出窗外，感謝兩位老師以及Ray學長的指導，更要感謝過去每一位教育過小昭的長官、前輩，當然，還有這段期間忍受我不斷呻吟與哀號的家人親友們；考上CISSP，只不過是證明自己在過去的人生中真的有學到點東西，但能否真的讓這些技術、觀念落實在未來，為資安領域做一點貢獻，也為自己帶來更漂亮的履歷與薪資，我想才是我們要一起努力的目標呢！祝大家考試順利囉^_^b

[Vincent]

很棒的分享！恭喜考取 CISSP！

[Roland]

十分感謝小昭提供這麼詳盡又實用的 CISSP 準備經驗, 對有志拿到 CISSP 證照的朋友很有幫助.
由小昭準備考試的經驗談中, 發現也呼應我們一直強調的:"想著唸,不要搶著唸", 一定要自己思考,消化過, 才會內化成為自己的思維.
再次感謝小昭無私的分享, 也恭喜你順利考上 CISSP.

Roland.

On Friday, August 2, 2013 11:53:53 PM UTC+8, hhja...@gmail.com wrote:

Roland老師還幫小昭打廣告，真是箭在弦上、不得不發呀^_^||

各位先進大家好：小昭有幸在上個月(2013/7/11)通過CISSP的電腦測驗，因為之前也受過這個論壇以及Roland老師很大的幫助，希望能夠分享一些自己在準備過程的經驗與心得，提供有心取得證照的朋友們做個參考。

(略)

[Jack_Hwa(花俊傑)]

Hello 您好,

準備考試的奮鬥過程，真的如人飲水，冷暖自知呀，但無論如何，都會釀成一段美好的回憶。

謝謝您的分享，也恭喜您成為CISSP喔~

Best regards,

Jack

--
您已訂閱「Google 網上論壇」的「CISSPTaiwan」群組，因此我們特別傳送這封郵件通知您。
如要取消訂閱這個群組並停止接收來自這個群組的郵件，請傳送電子郵件到 cissptaiwan...@googlegroups.com。
如要在此群組張貼留言，請傳送電子郵件至 cissp...@googlegroups.com。
請前往以下網址造訪這個群組：http://groups.google.com/group/cissptaiwan。
如需更多選項，請前往：https://groups.google.com/groups/opt_out。
 
 

[(●水瓶柘榴子●)]

恭喜成為CISSP，經驗分享內容也非常棒啊！

 

hhja...@gmail.com於 2013年8月2日星期五UTC+8下午11時53分53秒寫道：

<w:LsdException Locked="false" Priority="66" SemiHidden="false" UnhideWhenUsed="false" Name="Medium ...

[hmjqqq h]

恭喜小昭前輩考取 CISSP並分享心得 

未來再跟您多多請教

 

hhja...@gmail.com於 2013年8月2日星期五UTC+8下午11時53分53秒寫道：

[Ray Chen]

Hi 小昭:

記得有位前輩說過，是準備CISSP的過程讓你成為CISSP，而不是這張認證讓你成為CISSP。

準備的過程是孤獨寂寞的.....

漫漫長夜的努力總算有回報了。

恭喜啦~

很棒的分享

Ray

hhja...@gmail.com於 2013年8月2日星期五UTC+8下午11時53分53秒寫道：

<w:LsdException Locked="false" Priority="66" SemiHidden="false" UnhideWhenUsed="false" Name="Medium ...

[Lee Jason]

各位好!

非常感謝小昭的分享，可惜我來晚了，否則會省卻很多功夫!

小弟是一位來自香港, 昨天考試合格的 CISSP, 也經歷過上課，K書 (CISSP All-in-one Exam Guide 3rd Edition, Practice Exam 2rd Edition, 還 K多一本 Exam Cram CISSP) 很同意小昭說的 "上課由老師簡明扼要帶過一遍，絕對能夠有所幫助，最重要的是，當從老師這邊聽到我沒聽過的東西，能不能把知識記憶起來" 那東西可能不是沒聽過，卻可以是沒想過啊! 所以，課還是要上，但別奢望上完課後跑去考試, 必死無疑! Brain dump 也不是出路，CISSP要求考生有5年工作經驗可不是蓋的, 因為 的會用"不著邊際"來形容 CISSP 考試, 問題的角度很廣也很主觀，沒主題, 答案有陷阱等等..... 但只要有經驗，英文咬文嚼字夠快是沒問題的. 我自己的意見是: 別在意做practice exam 時正確答案是什麼，而是。。。錯的答案為何是錯的? (有解釋的) 看它，比看正確答案還管用! 

Jason

hhja...@gmail.com於 2013年8月2日星期五UTC+8下午11時53分53秒寫道：

Roland老師還幫小昭打廣告，真是箭在弦上、不得不發呀^_^||

各位先進大家好：小昭有幸在上個月(2013/7/11)通過CISSP的電腦測驗，因為之前也受過這個論壇以及Roland老師很大的幫助，希望能夠分享一些自己在準備過程的經驗與心得，提供有心取得證照的朋友們做個參考。

我先大略簡述一下我的背景，我從小學就開始寫程式(BASIC)，一直以來都想當個Programmer，也這樣一路寫到大學，畢業之後進入某機關，開始接觸網路、MIS、以及影響我最大的資訊安全等業務，說起來，我是在踏入職場之後，才稍微了解「IT」是怎麼一回事，因此對我而言，CISSP這張證照如同對我過去的所有知識、專案、業務乃至於經驗，做個總體檢驗，而確實，上場應試的時候，工作上所獲取的一切，也扎實地成了我過關的後盾。

I.        花錢上課，有必要嗎？
我在五月份時參加Jeffery老師的二、四晚上所開的課程，接著又運氣很好地碰到恆逸在六月份有開週六班(Roland老師)，算一算剛好上到我考前一週(7/6)，因此我的CISSP課程就這樣連上了兩次，之前聽很多人說上CISSP的課程收穫不大，還不如自己看，但是我覺得，這取決於個人態度的問題，老師上課的過程其實會扯到的東西很多，這本來就因為 CISSP的範圍相對廣大，10個Domain有太多我們可能再考完試後就一輩子不會再使用到的內容，上課由老師簡明扼要帶過一遍，絕對能夠有所幫助，最重要的是，當從老師這邊聽到我沒聽過的東西，能不能把知識記憶起來，我所聽過的東西，是不是與之前的印象有所出入，然後不斷省思與目前工作上、或與過去工作經驗能有什麼樣的結合或精進，在這樣的流程之中，才是上課對我而言最寶貴的價值。另外，我強烈建議大家如果有去上課，務必準備一本可以亂畫的筆記本(便宜的就好)在旁邊，當老師講到一些特定名詞或是解釋，不要浪費時間，立刻在筆記本上面寫幾遍，加強印象(例如每個章節對CIA的要求、存取控制的Categories與Types、密碼學的分類、BCP流程等等)，同時，如果可以立即聯想到與工作的關聯，也要馬上註記，我覺得可以與工作立即產生關聯的知識點，通常能引導我們以思考而非強記的方式來融會貫通。

II.      到底該念些什麼？

1.          上課的講義，呼應一下我第一段就說到的，上課過程老師會給很多東西，可能是我們聽過的也可能是沒聽過的，但不管如何，就算不想記住，也應該隨手寫下，因此，您的講義應該會跟我一樣，佈滿了重點，複習的時候很容易就進入狀況，而且說實話，如果講義上的內容都真的懂了，考試的分數大約就有60%的把握了！(我最後一次上課的時候，Roland老師說剛好講義改版了…)

2.          我在決定要考試之後，於今(2013)年三月底購買了被稱為經典的「CISSP all-in-one Exam Guide (6^th Edition)」這本書，同時也一併購入同一位作者Shon Horris的「CISSP Practice Exams (2^nd Edition)」(可參考網址：http://www.tenlong.com.tw/items/0071793089?item_id=569633，不過我是去實體書店買的^_^||)，如果您不是個資安新兵 (VERY newbie…)，老實說我認為Shon Horris老師這兩本都「太超過！」，對不起，請容許我再說一次「太超過！！！」因此雖然我把All-in-one整本都看完了，甚至連同後面每一個題目以及Exam Practice的所有題目都做完了，我依然不認為海K這兩本書是一個好主意。

3.          後來在國外的論壇上得知了另外一本同樣被推崇的「CISSP Study Guide (2^nd Edition)」(ISBN：978-1-59749-961-3)，其實我當時是因為自己讀CISSP All-in-one時遇到了瓶頸，就無意地看了幾頁這本書的前幾頁消遣一下，我把這段文字抄寫給大家參考：「This book is also a reaction to other books on the same subject. As the years have passed, the page counts of other books have grown, often exceeding 1000 pages」、「If we can teach someone with the proper experience how to pass the CISSP exam in a 6-day boot camp, is a 1000-page CISSP book really necessary?」很諷刺，卻也讓我好奇這三位作者(Eric Conrad、Seth Misenar、Joshua Feldman)到底有什麼本事敢這麼正面挑戰Bible等級的All-in-one<span style="font-family:"新細明體&quot

...

[Vincent]

感謝分享啊～

---

Vincent

--
這是 Google 網上論壇針對「CISSPTaiwan」群組發送的訂閱通知郵件。
如要取消訂閱這個群組並停止接收來自這個群組的郵件，請傳送電子郵件到 cissptaiwan...@googlegroups.com。
如要在這個群組張貼留言，請傳送電子郵件到 cissp...@googlegroups.com。
請前往以下網址造訪這個群組：http://groups.google.com/group/cissptaiwan。
如需更多選項，請前往：https://groups.google.com/d/optout。