2021年CISSP考试总结

一、教材选择

目前行业内普遍使用的是(ISC)2®CISSP® Certified Information Systems Security Professional Official Study Guide（简称OSG），中文版有第8版，英文版已经出到第9版，9版相比8版有很多概念上的改变，请参照9版，比如隐私盾在9版中已经失效。建议有能力的同学看英文版。但是该版本属于概要版本，细节讲的不是很透，特别是域5身份与访问管理部分讲解SAML等概念时讲的不清楚，请参考AIO继续学习。(AIO的书可以不细看，后面练习题可以做做扩展下思路，毕竟多一套题源)

在练习题方面，官方有(ISC)2®CISSP® Certified Information Systems Security Professional Official Practice Tests Third Edition的练习册。这本书值得拥有，我的建议是阅读原版做题，把每道题的解释弄清楚，并且答案里的解释有很多是教材的扩展内容，请务必掌握。

因此，教材的使用优先级次序：

（1）(ISC)2®CISSP® Certified Information Systems Security Professional Official Study Guide（简称OSG）9版。（主要）

（2）(ISC)2®CISSP® Certified Information Systems Security Professional Official Practice Tests Third Edition。（主要）

（3）ALL IN One（AIO）。（辅助）

（4）另外，NIST的各种标准有精力也可以看看（OSG中大量提到），OSG大部分引用了NIST里的各种标准，就像我们的CISP引用国内的各种标准和法律法规。老实说，我下了很多，但看过的只有RMF，想搞懂风险管理框架的过程。

https://csrc.nist.gov/publications/sp800

二、其它学习材料的选择

（1）国外有很多刷题的网站，但比较有名的是examtopics，能见到以往的真实题型并且有很多人的讨论，对于考生熟悉题型非常有帮助的，不过好像要收费，我只是在偶尔免费的时候使用，如果期望在这网站上发现要考的原题，我觉得您是想多了。还有exampracticetests和brainscape啥的我也免费用过，在bing里搜一些examtopics上的题目，很容易关联其他做题网站。（高能提示：这些网站上的答案不一定是标准答案，不一定是标准答案，这也是我刚开始比较迷惑的地方，因为这不是官方给的题，所以没有标准答案，要靠个人的水平进一步判断）

（2）国内也有人做题库，题源基本是“(ISC)2®CISSP® Certified Information Systems Security Professional Official Practice Tests Third Edition”汉化版本的，或者来自examtopics的一些汉化版本。如果自学能力强，可以不用这些题库。直接看原版的做题资料也行，做好错题本帮助巩固知识点。另外，还有个湾湾的讲师网站Wentz Wu（在bing里搜索），他每天给出一道题，并且有详细的讲解。我很多不明白的在其网站上搜一搜都有比较好的答案。建议学习中难点可以在其网站上搜一搜，讲的浅显易懂。当然这位讲师还出了本The Effective CISSP: Security and Risk Management 的书，我觉得也不错。

三、学习重点

不管是培训机构（它们好像有学习群，如果能入群一起讨论还是很有用的）还是自学，我觉得重点还是自己，有人在架构和思路上给你讲清楚也不错，能讲透彻的不多，但愿您能遇到。因此，重点还是靠自己。结合网上经验和我的经历，我觉得很有必要把OSG阅读至少2-3遍，我把OSG9版英文增加部分翻译阅读了一遍，我大概刷了2000-3000道题。Wentz Wu建议一般情况下刷2000道题过，非英语考生5000道题过。当然，也有天才少年，看很少的书做很少的题就过了；嗯，祝愿您是天才少年，挣华为和互联网公司的高薪水，为国争光。

在学习内容上，当然是要把全书认真看一看了，不过有些感悟可以介绍一下，不要太注重技术，CISSP考的是人，技术和运营，并且是理论+行业（美）最佳实践。因此，很多管理上的知识必须掌握，流程上的东西必须掌握了，比如：风险评估（这部分我觉得CISP教材讲的比较透）、BCP/DRP过程、漏洞评估/补丁管理、变更管理以及角色、配置管理、安全评估/审计、SDLC、身份配置过程、证书生命周期、数据生命周期、RMF（风险管理框架）框架、CMM/SAMM、安全人员角色和职责、数据相关人员角色和职责、取证过程、事件响应过程、渗透测试过程、道德规范、PDCA过程（CISP教材里讲的比较透）、ITIL基本概念、隐私/HIPPA相关概念和关键组成、SOC审计概念。并且切实理解这些流程从前到后的功能是什么，各种过程的目的和目标以及作用得弄清楚。其他就是技术和物理上的知识点了，这个只能做好笔记认真复习。

最后，建议您做好自己的笔记，不要用他人的笔记，自己做一遍有利于加深理解，当然如果是天才少年，请忽略；哦，忘了提一句，我很不年轻，所以需要做笔记。

四、CISSP和CISP对比

我觉得CISP挺好的，CISP教材丰富并且具有很强的抽象性，如果学的深，理解的透完全在安全市场够用和管用；我想说的是如果国内也搞250道题，6小时考试，很难过，我觉得您也不一定开心。CISP和CISSP都强调合规，我想在工作中能保证您工作合规的东西应该是最重要的。所以，我觉得公平看待两个证书比较好。

五、总结

没有捷径可走，天才少年除外。祝您早日通过各种考试，学习国内国外先进技术，强身健体，为祖国安全事业添砖加瓦！

偶然发现的一百道有趣练习题（有段历史了，也没标准答案，各位可以适当参考）：

附件：https://www.t3trainings.com/wp-content/uploads/2018/04/dumps-300-400.docx