我的CISSP之路

引言

本文写于2012年，通过CISSP认证考试后的总结。一直以来觉得做安全的谈认证考试，挺难为情，你看那些大拿，毕业证都不要，还要啥证书？金融业企业安全建设群（文末有入群方式）近期谈到这个话题的时候很踊跃，才发现企业安全建设中信息安全认证必不可少，毕竟金融企业安全建设并不要求团队成员在某个领域非常高精尖，而要求主要方面都平衡，以及在至少一个领域有自己的专长，通过认证的系统性学习和考试检验，能迫使自己总结提高。现在越来越多的企业将上述证书作为安全职位上岗证+KPI考核，艺多不压身，有兴趣的朋友尝试一下。

开始行动往往就等同于成功。

CISSP和CISA是我接触比较早的两个认证，某天有个四大的人递过来一张名片，上面写着CISSP、CISA，我想这两个认证可能比较值钱他才会印在自己名字上拿出来显摆吧。后来去网上搜了一下，确实在安全界这两个认证还是很多人比较认可的，也比较火。我想原因有两个，一是这不同于IT厂商推出的认证，没有题库，也不仅仅是讲自己的安全产品的使用，而确实是在安全的方方面面，虽然难免是一英寸深，一英里宽的评价，但对于刚进入安全圈子的人来说，开阔知识面，增加阅历是很有帮助的。二是安全理念。我觉得安全是没有标准答案的一门学问，在安全的领域，永远没有人可以告诉你做到哪些哪些你们企业就安全了，可以高枕无忧了，恰恰相反，安全是一个持续的过程。安全需要你不断的更新你的知识库，并且你不能仅仅从你的角度出发考虑问题，也不能仅仅从技术角度出发解决问题，安全更多时候面临的是复杂环境，如何做好动态平衡需要做安全的人学习的一门艺术。从这个角度出发，我觉得老外的这些安全认证中给我们很多启发。这些考试普遍需要从多个岗位，多个角度上来看问题（安全不是一个人说了算的事情，是与每一个人的参与有关的），尤其是对风险的管控和对业务的保障，这是不少考试的出题的重要视角。

中间过了很多年，我考了很多IT厂商认证，觉得都很垃圾，后来看到了CISSP、CISA、CCIE、CEH，然后开始打怪通关。2011年第一次报CISSP考试，12月在北京考试，最终成绩出来没有考过。没考过是在自己意料中的，没有花什么时间看书，只是在临考前突击了2天，而且CISSP对英语要求比较高，考试的时候发现很多关键的单词自己都需要查字典，导致自己做题速度很慢，后面基本上遇到不熟悉的单词也不查了。虽然没过，但因为考试在北京，自己在酒店专注的复习看书，不用上班，感觉也是挺爽的。不过在后来在团队面前宣布我的考试成绩，脸还是有点挂不住的，觉得很没面子，同时暗下决心，2012一定要再考一次。

2012开春一过，因为有点其他事情耽误了，我从4月份开始看书，我记得第一次坐在电脑前看英文版的All in one的时候，我给自己建了一个TXT文本文档，标题就是聂君的CISSP之路，里面记载了我每次看CISSP的进度，以及看到有价值的知识点和不认识的重要单词。我开始看的是英文版，因为我在论坛里看了很多人发的帖子建议大家看英文版，后来我发现其实这个建议不适合所有人，比如我。看英文版适合英文很好的人，这样看起来非常有效率，而且不需要经过英文-中文-英文的转换，但这不适合英文不好的同学。我个人的经验是快速看中文版（别跟我说你中文看起来也很慢），每章后面都有个总结，对全章的知识点进行提炼，这个一定要仔细认真看，是全章的精华部分，看完一章后做后面的习题，看看自己的得分到多少，我基本上都低于70%的正确率，很正常。完了之后你开始看对应的英文版，因为中文版式翻译英文版的，看英文版的时候把中文版放在旁边，有不认识的英文长句和英文单词，直接看中文版，比查字典还快。而且All in one很罗嗦，没必要逐字逐句看，每章中文都有一些黑体，你只要理解这些关键段落和关键词的意思及原理就行了，快速突进，一章英文很快就干掉。我自己的实战经历是把所有中文看完，做后面习题。然后看每章英文，看一章做一次Total Seminars的章节练习题，这时候基本都能到80%的准确率了。最后考前复习的时候做了2套模拟题，看了孟紘给我的CISSP单词表。

我报考的是2012.5.19上海考试，考点在浦东新区的交大信息安全学院。位置很偏僻，偌大的城市，路上看不到什么人，连打车都打不到。考前两天我在复习的时候，基本上看1个小时书休息5分钟，效率非常高，心无旁骛。其实我在考前2天的时候基本上中文也就刚看完，英文还没开始，心里特别没底。但我在2天内看完英文后，心里就有底了，过了1个多月，成绩出来，顺利通过，当时我高兴的跳起来了。

整个过程其实平时我没花多少时间，可能也就是二三十个小时吧，真正有效率的是考前2天的专心复习，有点类似于大学里考试前的突击，效果特别好。有几点供参考：

1. CISSP考试是要注重体系的，要以老美的价值观安全观对待，明白了CISSP出题者的套路，才能选对所谓的最合适的那个答案。不要问为什么，只有老美才知道。

2. 考试6个小时，250道题，绝对对体力是个考验，所以我建议考前最后一天12点一定要睡觉，否则撑不住，而且没休息好，对考试大脑思维很不利，我第一次考试就是太晚睡，结果到最后头晕眼花，快没力气看题想题答题了。第二次早点睡，效果好多了。虽然最后还是感觉头晕的不行，心里骂老美真变态。

3. 英文一定要看，但如何看，取决于你的时间和你的英文水平，不同情况，不同级别英文能力的人都有办法在短时间内过，但方法很重要。

4. 没有真题，我考了两次，我都记不起来有一道题是相同的。我们应该感到庆幸，没有题库的认证能够保证认证质量，也不会让我们辛辛苦苦考过的认证直接扔进垃圾堆了。

5. 考试过了，没有考试成绩。考试没过的话会有一封邮件告诉你十个CBK你的成绩先后顺序，针对性的看你成绩最烂的CBK吧，我的好像比较烂的是物理和环境安全、法律、法规、遵从和调查、业务连贯性和灾难恢复，确实和我的工作经历有关系。

6. 考试过了，不代表有任何区别，人还是那个人。但考试通过能起码让自己感觉不是太坏，而且通过考试前的学习，对自己的专业知识也做个梳理归纳总结，还可以学到诸如直接证据、间接证据、决定性证据等等知识，肖恩哈里斯的书中也有很多搞笑的段子，也非常不错。
   

我推荐看一个人写的体会。J0ker将自己求学CISSP的亲身经历整理成《怎样成为一名CISSP》系列文章，有兴趣看看。

顺便说下我的CISA，基本上只看了同事给的一本PPT打印版材料，没什么营养的书籍，其他一概没看，考前也没复习之类的。推迟了两次才最终决定去考的，因为再也不能推迟了，结果过了。

开始行动往往就等同于成功。

题图：以色列网络间谍部队8200

------------------鸡汤分割线------------------

决策心理学认为，人在面临选择时，通常会采用“满意原则”，而不是“最优原则”，从自己最熟悉的待选项开始逐一进行考察，如果考察到一个满足内心标准的选项，就会采纳，而不是对比所有待选项选择最优。所以更高的标准，才会有更好的选择。一个成熟的人，他的标准来自他的内心，而大多数人，易受环境所左右。一个年轻人，进入一所不那么优秀的高校，对自己的标准会不由自主的降低以适应这个环境，减少自身与环境的冲突，而这种做法对他们的人生也许是致命的。外在安逸的环境，容易让我们在一个低标准下，自觉“满意”地度过每一天。以中高档标准要求自己是更恰当的做法，一定能从中受益。

有兴趣加入的朋友请关注微信公众号“君哥的体历”，扫描下方二维码加我微信，留言 微信号+公司名称，验证身份后入群。

本群主要用于探讨金融行业企业安全建设的实践，主要讨论如何做好安全运营、安全攻防，安全嵌入业务、安全考核、安全度量、安全如何体现价值、安全汇报，安全内控，更低的成本实现安全合规等最佳实践，解决安全在企业落地的最后一公里的问题，希望大家踊跃提问，发言，分享体历。进群的朋友先修改备注，姓名-公司。进群新人先做自我介绍，发招聘广告前请自觉发红包，其余广告禁止。为保障群质量，定期清理人员。

附注：

• 聂君，信息安全从业人员，十余年金融行业信息安全从业经历，默默无闻。好读书，不求甚解。性格开朗，爱好足球。

• 本订阅号文章是个人对工作生活的一些体验和经历分享，站在不同角度和立场解读会有偏差，见仁见智，不求正确统一，但求真、善、美。

长按识别二维码，和我交流。

老板打赏专用通道，请我一杯咖啡

本文始发于微信公众号（君哥的体历）：我的CISSP之路