我是怎么通过CISSP的?
我是怎么通过CISSP的?
写在前面
本文是我个人对 CISSP 认证的学习准备与参加考试的记录,写下时已经是通过考试半个月后,期间又去了一趟远东(海参崴)旅行,感觉至少有一部分成长吧
下文会对 CISSP 简单介绍,对学习内容简单概括,然后衍生出如何准备,如何学习,最后再谈考试当天的情况,期间会插入一些自己的态度和思考,全做后人的主观参考,切勿全部照搬(本人自身的情况应该稍有特殊)
PS:在我细节了解 CISSP 之前,其实在23年底24年初时,现在的领导(CIO)问过我关于 CISSP 和 CISP 的区别以及含金量的问题,我的回答是:都没含金量(草
因为我认为证书是能力证明的东西,当你达到了这个能力水平,去了解考试的内容并学习后,参加就应该能通过(这种想法其实很傲慢,但我不打算改 XD),站在技术的角度,拥有个人严重&高危 CVE 才是真的含金量
所以,如果是抱着涨工资或者评资历,又或是考证党的心态去参加 CISSP 考试,我是不太建议的
PPS:到现在(2025年),中国大陆的 CISSP 持证人数乐观估计约在6000 - 8000左右?2022年官方给出的数据是 3866 人,而通过率是50-60%
为什么要去考呢?
其实早在大学的时候就听闻过 CISSP,但当时觉得这种证书离自己还很遥远,也就没有仔细了解过;后来开始工作成为牛马,至少在前两家公司都会在每年的某个特定时刻讨论起大家是否有资证的情况,不过好像大多说的也是 CISP
到了24年末时,掐指一算,好像我也到可以去尝试的时间了(4年工龄),加上23年面试时被说“更希望招安全管理的人才”的气还没消,而且从19年拿到软考中级后就再没有进一步的证书了(都担心过期了要),多少说不过去
之所以没想先去考 CISP,是听朋友说这个证很水刷题就过了,而 CISSP 都没几个(后来也验证了我确实是周围第一个通过的),所想不如一步到位,更具挑战性,更加稀少些的好
所以,通过 CISSP 在我这里一直是作为一个能力证明存在的,而到了25年Q2,公司业务对给出的安全建议不想修改不想变动,更让通过 CISSP 成为了我自己路线及方法论是否正确的论证,我想证明我给出的建议、做出的建设等是对的,仅此而已,为此考证,回首看来如此卑微
什么是CISSP?
CISSP 是由 ISC2 推出的国际信息安全管理方面的认证
侧重安全管理,安全建设,安全开发(SDLC),而不直接考核安全技术
被称为“信息安全管理层的门槛证书“,只是管理层的门槛,虽然算高级安全认证
考试的内容与学习的内容以国外(美国)信息安全理论为基础,结合国际在信息安全管理方面的实践,覆盖安全体系建设全链路的知识
IT管理这方面确实还是国外领先的,这点需要承认,然后虚心学习巩固自己
然而以上都不是重点,重点是——
为通过CISSP的学习,光培训+考试的费用就近1w
而 CISSP 的认证证书需要满足至少5年(本科4年)的工作时间才可申请,即使你通过考试,在写此文时,我由于两次跳槽间的空闲时间,甚至还不满足4年,要等到11月底再申请(按第一次工作到现在的时间,6月底我就该满了的)
因此,一般需要或知道 CISSP 价值的公司都会对参与者给予支持,比如通过了免除一定的费用,放假给你去工作日考试等,也需要参与者尽可能去获得公司的支持
但我并没有,一个 CISSP 是什么都不知道的公司怎么会理解价值呢?虽然我希望能报销些费用,领导也模糊答应,但目前确实是没有得到一分钱补贴
要不要报培训班?
我的建议是,报
我自己考的时候,恰好一个大学同学考完CISP,推荐我去他培训的机构,在最初其实我是不想报培训班的,因为网上有自学通过考试的案例(现在想来是很少有的),但仔细了解 CISSP 后,我意识到 CISSP 的证书是要内部成员背书申请的,且证书是需要续期的(有效期三年),每年的续期费用不说(125美元),还要求有至少120 CPE 学分,这一套下来想个人操作稍有困难(主要没人背书)
此时我是有些动摇的,结合一般培训机构都会有更多的试题能更好的应对考试(CISSP没有题库,没办法通过刷题过),我开始倾向报个培训班了,但我并没有选择同学推荐的机构,原因是在收款时对方直接给我发来一个收款码,我想着这样如果后续需要开发票不好弄,于是要求能不能在官网购买课程,留下订单方便后续开票证明,结果对方说官网没有课程链接,走淘宝可以不可以……最后说我不放心可以签一个合同保证能开票,但我又不能现在就以公司的名义签(毕竟到现在都还没打算给我报销啥的)
给我的感觉是,好不专业啊大哥
接着我另找了两个国内机构,他们一上来就推荐 CISP 的考试,对 CISSP 缄口不提
后来在知乎上翻寻 CISSP 学习相关的流程时,我看到有提到了艾威(Avtech)
一番问价后,我也提出了要求官网支付的需求,人家就很自然的给我链接,注册账号购买,还问要不要现在开票(这就叫专业.jpg)
我也很直接的问了,艾威的报价是我寻的几家里偏贵的(其实也就只有同学推荐的和艾威给出了价格,后者贵200-300),为什么?
关于这个问题,对方没有直接回答,而是对比了CISP和CISSP的考试难度,然后给出了近期显示日期的学员通过后在学习群的反馈聊天记录,最后才说艾威已经做教培23年了,让人觉得更加真实留有好感
但至此我还是拖着,迟迟没有决定报班,直到我看了一段 Youtube 上的 CISSP 课程,我彻底放弃了自学通过的想法,这个会在下文学习流程里提到
我在4月底进行的报名,艾威立刻就寄来了自主编写的教材,并且开放过往的直播回放课程,章节课程,官方试题和老师收集试题在官网供学习,同时学习资料包含OSG的原文教材、OSG机翻中文教材以及往期同学写的一份笔记等
而在此时,我才知道,由于25年 CISSP 考试的大纲略有变动,24年采用的OSG第九版教材已经不那么适用,而新出的OSG第十版还没有官方中文翻译版
该贷款学习了
如果看到这里,培训班的近4000块,后续报考的750刀,这里少说快1w的沉默支出还没有打消你要学习的念头的话,你可以开始“贷款”学习了,下文是我自己在准备学习期间做的备考动作,希望能帮到你
获得支持
前期准备:安排好工作内容,并至少获得上级的支持(不反对)
在我24年末决定要在25年通过 CISSP 时,规划就已经开始了,只不过最早开始的是工作上的规划——
我在25年初评定年终奖的私人会谈时,就和上级做了25年的部分展望,里面就玩趣地提到了我可能会去考证的事情,看看领导的反应,手下想去学习他自然是不反对的,即使他并不认为这会给公司带来什么价值(这个观点其实不太对),但这样对于我来说足够了,不反对就是我要的目的
到了Q2,我直接把完成 ISC2 CISSP 8 Domain 学习,写在了 OKR 的一个 KR 里,落下笔;同时在Q3把参加 CISSP 考核写在了 OKR 的一个 KR 里(注意我没写通过)
OKR是会在公司内公示的,虽然只是作为技术&能力提升的一个层面点,也能告知大家我在Q2、Q3有学习任务(不论他人是否关注),其实也就是侧面表示在Q2、Q3会承载较少一些的工作任务,杂事不要那么多的打扰
同时我在Q1把较多的工作打了提前量,解决掉了可能在Q2、Q3的工作,同时Q2、Q3自己安排的也是长期构建能力的工作,让领导和公司理解需要投入时间等待产出,在每个Q的结束例会上,我也会提一句目前 CISSP 的学习进度,让领导和同事意识到这个事我还在做,但我也只是打哈哈带过,这样可以保留他们的一丝注意,若我后来没通过也不会带来较大反弹
至于补贴,因为公司对会计证有部分补贴(但也没白纸黑字写下来是最草的),我也主动拿这个和上级沟通,但也是给台阶说等我过了再看,毕竟我自己是做好全额支出的准备的,需要能承担1w块打水漂的压力
初步认知
认知内容:了解CISSP会学什么,细致程度,已经掌握多少
耗时:4月中旬-5月上旬
这部分开始正式学习,请先在 Youtubu 看一遍(我学习时还没有2025年的总和课程出来,所以是在2025年看的2024年的合集):
CISSP Exam Cram Full Course (All 8 Domains) - Good for 2024 exam!
请不要勉强,打开字幕后选择中文翻译,这个视频由于近8小时,在前几小时后续将没有中文字幕,此时请逼迫自己,开着英文字幕看下去,并且要能够随演示和字幕知道大概在讲什么
这种边阅读理解遍听力的8小时,如果你能大致了解CISSP会涉及到的部分知识的话,就足够了,然后和自己掌握的能力与接收过的工作做对比,判断自己接触过多少方面,完全没接触过多少方面,一定要对自己诚实!
如果你的判断是这个外国人提的70%及以上是我接触过的,并且里面有些领域是我投入过较多时间的工作内容,那么恭喜你,你是比较适合去尝试 CISSP 的,可以开始考虑报班了;如果低于60%的水平,我觉得你还需要思考自己的工作路线是否和安全管理与安全建设这个方面符合,不要急着报班白花钱
深度学习
没有题库:请认真对待每一个领域的知识点,我给出的学习力度可以作为最低限度的参考
耗时:5月中旬-8月底
这段时间很漫长,相比于 Youtube 上仅8小时的课程,艾威的课程足足接近40小时,而这些课程我都在工位上的空闲时间看完的
如果你能完成或者已经完成了手头上的工作,有空闲时间我就翻开书,跟着视频1倍速仔细学习一并思考,不要担心被别人发现迎来批评,在能完成工作的前提下摸鱼时间是在学习专业知识而不是在看小说已经不知道高到哪里去了,我不认为这是错的,应该提升自己而不是一昧的给资本家贡献剩余价值
在这最初的第一遍学习时,你需要边学边能记下一些知识点在脑海里,并且你要能很敏感地感觉到这个点会被考,需要背,有点难等,记得边看视频边在书上写写画画知识点,圈圈关键词等
在前4个领域的第一遍学习时,每完成一小节的学习,我都会进行一遍抄书——把划下来的自己记不住或者觉得重要的或者自己没接触过感兴趣的知识点抄一遍到笔记本上(艾威会送两本笔记本,一本小几百页,一本几十页,按我这个低水平的学习力度都可以全部写满写完),然后当一整章学完时,稍微翻翻整章的书,开始做艾威提供的各领域官方练习题
PS:就这样学下去,如果你担心学到中间前面的知识忘了也没关系,先不管,继续学,先对知识有记忆有印象
小试做题
小约翰可汗:有时候你想成为做题家都是没那么简单的
其实我在看视频看书学习的时候还没有太明显的感觉有什么困难和不同的,当时也有按耐不住的好奇,到底美国的题目是啥样的,然后一做就意识到了不简单:
几乎所有的题目都会依附一个模拟出来的工作场景,你会成为其中某个角色或者替其中某个角色参考,选出最合适或最不合适的答案,纵使都是客观题,因为代表角色的不同(管理高层/苦命操作员等)、题干中强调的层面不同(最安全的实现/最便利的实现)、更加合适的方案(几个选项都对都可以做)导致很接近的题目正确答案不经相同,这点在过往的应试教育是少见的
再加上——为了保证题目不外泄,一般不会请业内人员来翻译,那么题目中的一些表述和名词就是会让人觉得比丝之歌的古风翻译还头疼(比如expect,如果翻译成期望就会带有主观色彩,可能不是预定要做的计划;如果翻译成预期,就可能是已经预定要做的事,是计划内了)
除此之外,还有不得不尝的一定超纲的题目,这大概是为了让你适应在正式考试中本就会出现的20-25%的超纲题,比如一题四个选项里只有一个选项的法律规定你见过,选之,错误,这个时候只能靠自己去猜测,把握好自己的认知,即你要清晰的知道自己唯一见过的选项是不符合题目要求的,是出题者最后的仁慈,给你用来被排除掉的
就在这种情况下,每当你学完一整章做完官方章节练习题(每章都有100道上下)后,正确率要争取接近70%,尽量高过,如果只有60%可能就要小心了,做完题后一定要学会整理错题、蒙对的题和作对题目里不懂的选项,这三块对于你来说是新的知识来源,不仅要知道自己为什么错,也要知道为什么对及其他选项是什么意思,我会把这部分的题目和题解与个人理解做下笔记
一遍复习
时间紧迫:重要的是怎么把最初学习到的知识和后续做的题目串联起来
耗时:9月上旬-9月中旬
看到上面 深度学习 耗时长久的你可能会疑惑真的要花这么久吗?而事实上,光观看课程+做笔记每天可能就要花费两小时以上(在这个过程中我意识到时间不够了,所以只把笔记做完了前4个domain),后续做题每章100道也是接近两小时一次的时间,再算记错题也需要时间(错题我是全domain做了记录),最重要的是我懒啊不想牺牲休息时间(x,所以只有在上班工作的间隙中学,这也是半工半读的最大挑战,没经历过非脱产学习的人是难以想象的,以至于第一遍复习已到9月,现在看来是绝对晚了的安排
在第一遍复习的时候,我没有做笔记,没有再看课程(艾威后来在8月每个周末的直播课我都是一边挂着一边玩游戏度过的),而是对着书仔细看,在这个过程中填补自己遗漏的知识,关注自己之前做错或做对题目涉及到的知识,在书上多画画
与 深度学习 时一样,一章一章来,复习完一整章后做艾威提供的各领域老师整合的练习题(也是每章100道左右,很少很少有和之前官方练习题重复的,大概是历年收集到的真题,但也和真实考试时遇到的题不同,还是那句没有题库,和高考一样在考之前几乎不会有做过的题目),这部分同样要做错题笔记之类的
二遍复习
时间紧迫:需要把自己变成人型目录
耗时:9月中旬-9月下旬
这遍复习是最快也是最后的一次,我在这个期间还是回来翻书,把每个小节重点的知识结合正式表述,用自己的语句记在笔记本上,比如“SOX 法案 - 强制上市公司保证计算机系统信息安全,因为财务数据出自信息系统”等,简洁并能切中要点,自己理解
这里我要吐槽一下艾威给的这本自编教材,近600页的书囊括了 CISSP 考试的重点知识(占考试80%左右知识点),也可能是因为过于庞大,每节涉及的知识点都很多,总之这本厚重的教材没有一个总和的知识点目录,比如当你想查找有关软件能力成熟度模型集成(CMMI)时,你不知道它在哪个领域哪一小节哪一页
所以在二遍复习的目标就是,把你自己变成一个人型目录,你要能准确的知道你想要的知识点在哪个领域什么位置,反过来说就是对于每个领域包含的知识及表述你都能清楚,那么目的就达到了,可以开始准备考前的冲刺了
模拟考试
因时间尽力而为
耗时:9月下旬
当完成二次复习后,我大概就只剩一周的时间就要考试了,我还剩下8套综合试题(官方4套+老师收集4套)没做,而且到我参加考试,我也只完成了8套里的3套(1套官方+2套收集),其实做题量完全不大的
为什么只做了三套呢?因为综合试题,一套就有超过150道的题目量,近180道更是家常便饭,我在做之前还天真的以为会不会就是之前的章节题拿过来汇编,结果我发现几乎全是没见过的新题,那一刻我的内心是崩溃的,也认定了我自己会做不完8套
在做综合题时,大家需要模拟考试的状态,把自己的做题时间放慢下来(如果之前做章节题时有很多是审题不清导致的更要注意这点),便于清晰审题不说,真实考试的时候题目很长,阅读理解时间都会与做题时不同;对于忘记的知识、超纲的知识要对自己诚实,错就错了,下一题争取追回来,180题呢,战线还长
但是我得说,180题真不是人做的,考试的时候也是只给了 100-150 题的题量,因为当题量到了180题时,20-25%的超纲题影响会被放大,而且可以明显的发现150题后(甚至130题左右就开始)错误率陡然上升,就我个人而言已经很难像前150题一样集中注意力了,会变得疲惫,所以正式考试时,能100题内解决战斗才是最优解
在做综合题期间,我看完了艾威整理的2024年参加考试的前辈笔记,意识到了两年大纲不同导致的知识差异(比如 RMM&CMM&CMMI 这三个模型的不同等级表述是不同的,尤其是第二级和第四级),更意识到了艾威给的教材是重点知识,也就意味着是精简过的,真正完整的教材应该还是得看OSG第十版,有很多细节知识可能会被考到
在此,我推荐所有有时间的后来者看一遍OSG的官方教材,我们是因为刚好改大纲且没有官中,只能看机翻(虽然我也没看就是,但看了肯定更好)
学习之外
该玩玩,放轻松,船到桥头自然沉
检阅指标
章节习题:正确率 70% 及以上(偶尔两次低于这个数字也行)
综合习题:正确率 75-80%,更接近 80%(就是70-80% 这10% 往往带来了通过考试的容错)
身心放松
- 你不能一直在学习,正如同你不能一直在工作,有时候学不下去了,敲点代码做点测试抓点灰产帮帮同事也是一种休息
- 除了最后的两周以外,整个学习备考的时间都没有占用我本有的休息时间,该玩玩,该睡觉睡觉,比如我就不追直播课,周末睡到中午醒了再入会听的(听也是在打游戏)
- 我在备考期间还要分出一部分经历去做远东旅游的计划,详见:滨海远东之行(Trip Vladivostok),我在纠结去哪个餐厅吃什么、能不能赶在涨潮前到景点、可恶的欧盟制裁导致线上支付不了门票和卢布能不能贬值成 22年的思考中完成了 CISSP 的学习
- 最后的两周,陪伴我的娱乐就没有游戏了,除了明日方舟外,我的休闲手段变成了看通辽仓鼠的奇葩小国和硬核狠人系列(还没看到神奇组织就考完了),让我回想起当时在大学准备考研的最后时光,那时我和室友看的是围棋少年
挑战 BOSS - 考试
考试须知
CISSP Exam 题量:100 - 150题(20-25%左右超纲检测题)
合格率:正确率需达到 70%
通过考试概率:50-60%(国内数据)
考试方式:CAT 100题后当达到70%正确率或当检测到150题都无法达到70%正确率时自动停止考试
报考提示
考试时间:每年每个季度最后一个月
报名时间:每年每个季度前两个月
一般会提前一个半月到一个月进行考试报名和考点选择,我在8月20日报名时,在杭州9月就只剩下9月24日的一个考点可以选择了,而且一般只有工作日可以选择,所以如果公司不支持,就只能像我一样请假去考试
我推荐自己去报名,艾威会提供完整的报名流程给你(这里注意自己 ISC2 的账号名称要是自己的姓名拼音,不要是昵称,详情可以咨询培训机构),自己报名直接面对的就是750美元的支出,培训机构代为报名会因为走的是培训机构的公司账户支出,税和开票之类的关系会导致代缴会更贵,如果你的公司支持美式账单报销,则可以个人支付并打印发票报销
在这里,我建议没有十足把握的朋友选择可两次考试机会的套餐,需要999美元(官方价格)
虽然我是一遍并且100题就过了,但是当时从我的准备以及后面的时间紧迫来说,我还是选择了支出999刀,已经付了1w了,多这1-2k的不多,再有一次的模组可不是想有就有的
BOSS(考试)场地环境
入场凭证:护照+身份证,不推荐信用卡证明,比较麻烦
场地开放:考场只会在考试前30分钟开(一般是在写字楼里的一个房间),所以提前1小时左右到,然后让自己平静一下是不错的
考前核对:会让你签字、采集掌纹、拍摄人脸照片用于记录和核对身份
讨伐规则:
- 当你进入考场的那一刻,你就不能再看书了
- 所有的物品有储物柜寄放,你能带入机房的只有自己和储物柜钥匙
- 工作人员会给你分配电脑与隔间,理论上会提供可擦笔和涂写版,我考试时还有耳塞和耳机
- 当工作人员示意可以开始考试时,你可以立刻操作电脑开始,即使还没到考试开始时间,因为是系统计时150分钟
- 一旦作答,不可回退,不可修改,单题直接计分
CISSP 作战难度
除去本就涉及到的知识难度,CISSP 绝境歼灭战的主要难度在题干
由于是翻译而来,即使你能看英文原文,你也会觉得这都认识的字词怎么组合出一段又长又读不懂的话来的,以至于你去理解这个题干需要时间,经常看完一遍觉得看完一遍,不看选项都不知道它想要干什么,时间就在此期间消耗
再就是你按下选项就不能回去重新改,不会给你所谓“检查一遍再交卷”或“后面一个题就是前面一题的答案让我回去改”的可能,每次按下选项都意味着如果做错,后面就要用资源(近乎作对三道题)来弥补,但你又不知道当前到底做对多少,有没有做错
以至于,做着做着我自己做题的速度赶不上时间,基本上要落后时间十几分钟,当我做到100题时就还剩20多分钟了,正当我在90多题就开始觉得下面要冲刺提速的时候,100题做完,弹出提示考试结束了
然后就是几分钟时间给你填问卷,当时心里想怎么到这就结束了,难道是前面做的太差了
后来问卷更是,第一问就是问此次考试你觉得难度如何,然后问你觉得那些方面比较难,然后再问你觉得是什么原因导致的你觉得这次成绩不佳,答题错误之类的,让我直接心凉透了,准备十二月的考试吧只能是
我愣愣的,连问卷都没填完,填问卷的时间都结束了(问卷后面很多是主观回答,还要用英文敲),然后屏幕弹出提示,到机房外的工作人员手上拿通知书,我举手示意,得到许可出机房
这时我才意识到,一起进来的三个考生里,一个早在考试一半就润了,想必是和自己准备的差距较大,放弃了;一位先我十分钟左右离开,希望他有个好成绩;还有一位仍在努力答题,看来是到100-150题的节点了
出机房,签字,领结果告知书,我直接对折,拿钥匙去储物柜取东西了,内心从发愣逐步转化为小恼火,内心对美国佬的中文翻译水平颇有微词
回来交钥匙,把告知书放包里前,我还是抱有一丝期望,看了眼上面的内容,我才意识到我通过了,我那时有点恍惚,生怕自己把未通过幻想看成了已通过
写在后面
现在回想起来,那天我也只是平常的出了考场,很平静,出写字楼往地铁站的路上,我就开始想通过了也没什么的了,因为你不会改变什么
作为能力的一部分,你只是证明了你有这个能力,但是公司并不理解你这个证有什么用,认为不会给公司带来价值,况且你准备了这么点时间就通过了,看来确实不难,和你自己说的一致,没有含金量
黑神话悟空里,黑熊精向观音问袈裟之于金池,得到回答“若不披上这件袈裟,众生又怎知我尘缘已断,金海尽干”
我还没到这个程度,反而是要被认为“你这是什么袈裟,烂大街的避火罩吧?”
我现在还没拿到证书,因为要等4年工龄,磨到12月再申请吧
聊以慰藉的是,考完往地铁站走的那段路上,在大学寝室群里发的一句“过了”,引来了友人の认可,会心一笑
我不知我将身处何处,唯有做好自己