CISSP — 考照心得分享

After many months of studying, I am very excited to share that I have passed the #CISSP examination today.

8 min readDec 5, 2021

前言

之前公司常常遭受駭客入侵或釣魚信件影響，但因自己當時對資安領域的相關能力不夠，不知道怎麼為公司做好安全的防護避免一直受到惡意攻擊，所以在多重的查詢之後，打算去學習 CISSP 相關的觀念，因為 CISSP 本身的知識體系也是有認證，心裡想著如果也能考到證照會更好。

自己總共考了兩次才考到證照，因為自己當初身邊都是軟體開發相關領域的朋友居多，沒有太多相關專業人士可以提供建議，摸索很久的過程心得寫下來想分享經驗讓想考的人少走一些冤枉路，所以在這裡分享一下準備方式、準備技巧、兩次考試回顧分析、自己的心得小結。

準備方式

從書上的題目找出觀念混淆的地方進行差異比較，並整理成心智圖，也可以參考 YouTube 影片上整理的心智圖，透過心智圖可以將相關的觀念與圖像、顏色建立記憶連結，幫助已經脫離讀書年紀很久的我們快速記憶， YouTube Destination Certification 頻道：這是全英文的免費教學影片。

影片連結：CISSP MindMaps / Domain Review — YouTube

我會挑選這個平台的原因是因為打遊戲時可以撥放著聽，並且同時複習資安的觀念，去回想日常工作上哪邊要做得更好或是可以改善的要點，而使用這個頻道最大的好處是可以選擇自己相對不熟悉的觀念與章節，聽 Rob Witcher 講重點複習大觀念，如果英文還不錯的朋友也可以試看看。

IT Dojo 題目練習：也是一個 YouTube Channel，它的好處是用題目來複習觀念，並且聽一下頻道主的解題思路。作法是把模擬考題練完之後針對弱點從低往分數高的 domain 補強，運用 IT Dojo 題目去補強很弱的領域，可以快速釐清自己不懂的觀念。

做好時間規劃：按時完成行政任務，例如提早或準時完成 CISSP 註冊、替自己畫押考 CISSP 的時程。

模擬考：接受沒有讀完書的狀況進行模擬輔考，人永遠都不會真正準備好，透過模擬考可以檢視自己的學習狀況與了解需加強的部分，雖然剛開始一定會很挫折，但看到自己一次次的進步，會對考試越來越有信心，連帶影響的考試氣場也很重要，信心足夠更容易考上。

SWOT 分析：每隔一段時間幫自己分析個人考試競爭力，了解自己的優勢並注意到自己的弱點，透過一次次的分析可以正視自己的短處，加以改進與補強，等到考試的時候，就能表現出最好的自己。

差異分析：利用模擬考題庫提供的 Tests Bank 所產生的分數作差異分析，檢視自己的學習成果。

準備技巧

讀書方式：確立每天的小目標，念書的時候快速拆解章節，先大致看全貌(章節目錄)，再詳細看章節內容（要到可以在工作的實務上也能融合到這些觀念，甚至可以指導同事一同落實），最後抓重點複習，然後針對弱點不斷重複看；記得定期審視考試大綱，把各個知識點串聯起來並思考如何應用在實務上，將每個章節這樣有系統性地讀下來，就容易記憶，搭配實務更能印象深刻。
善用小工具：建議可以用 Quizlet 把名詞解釋弄懂並熟記，最好能夠解釋給別人直到他聽懂，也可以透過看相關新聞建立更多的資安相關的管理知識。
考前一天：整理筆記並加強記憶，重看做錯過的題目，然後保持一致的生活，將自己處於備戰狀態，盡量不要有任何外務干擾。
考試當天：考前 1 小時又 45 分鐘以前吃早餐，這樣考試的時候才不會吃飽想睡。個人建議早餐吃蛋、堅果類，少吃碳水化合物；提前 30 min 到考場（因疫情而台北考場新增的要求），喝杯自己喜歡的咖啡、看看自己的筆記、放鬆心情。
考場注意事項：檢查廁所與飲水機動線、考試時把流程內容抄下來；專心考試。理解名詞定義並翻譯成白話文：如 Exposure 曝險：一筆現有的投資遇到價值下跌時，會損失多少。快速解題：迅速讀懂題目與選項描述的內容 -> 四個選項逐一刪去 -> 找出最佳或相對較佳的答案 -> 注意不可回頭檢查（考試規定）

準備考試的心得

第一次考試回顧（2021 年 4 月）：

這次的考試以失敗收場，而且覺得每題的技術都可以運用，所以很難選答案，唯一有做好的地方是時間的掌握。

前 100 題：多數是情境題，題目都蠻長的，所以文法理解很重要，像是 which、that 等文法應用需要特別注意，剛開始的題目需要多一點耐心，如果寫不出來也不用太氣餒，保持信心往下寫就好。後面50 題：多數是基本題，題目較短，容易理解也比較好作答。這次考試沒有遇到任何計算題，且有很多被強調要熟悉的觀念只出現一次或是沒有考，如： Kerberos等。

總共考 150 題，當時剩下不到 20 分鐘，考試不能檢查，所以時間掌控很重要。

第二次考試回顧（2021 年 9月）：

第二次我用風險管理驅動決策的思維去思考情境以及刪除可能的選項，我發現大多題目變得比較好懂且知道選擇哪種風險回應方式。

這次 DevOps 相關的資安問題與解決策略的題目變多，也多幾題非常刁鑽的技術題，但依舊可以依靠考試技巧刪答案。總共只考 100 題，花費110分鐘。

心得總結

職涯上來說，我準備這張證照的心態從一開始只是想要學學資安知識，到心態轉換決定要拿到認證是 2 年的時間流逝，這張認證我覺得是很具實用性，考照過程所學的知識也與實務相當接近。

準備過程坦白說真的不輕鬆，一開始只念其表不知其內，念了很多的知識與框架，幸好我中間不斷的與其他產業的戰友學習不同領域的實務經驗後，順利地打掉對書中內容錯誤的理解，直至精隨的定義輸出，才能順利拿到證照；而 AIO 與 OSG 是算是 CISSP 聖經，如果有時間的話可以多翻幾次。現在我工作中有時遇到資安管理相關的挑戰時還是會回去查閱。

最後選對老師非常重要，很感謝 Alex 老師的指導，也謝謝自己在這段期間的努力，考到證照對我來說意義重大，雖然沒能在 Alex 老師的生前考到證照給他分享這份喜悅，但我會與老師分享這份榮耀，祂也將永遠在我心中最後。希望備考人參考我的經驗後也可以順利考照，祝大家考試順利。

後記

To Alex 老師：親愛的 Alex 老師：本以為自己看透生死，天下無不散的筵席，但當事實發生在我身旁時我依舊還是會難過。一位待我很好老師離開，我向 Alex 老師學習 CISSP 的過程很是愉快，我也主動擔任該班班長希望可以學習到更多，過程中也有獲得很多心得，只可惜在剩餘沒幾堂課下，天界需要資安專家，所以老師您被徵召走了，您一路好走， Alex 老師。

每天看到 CISSP 的講義就會想起你，想起你上課幽默的內容，想起你的諄諄教誨還有身為一個準資安專家未來要注意的事。在今年 4 月我第一次上場失敗後，因緣際會下認識你，你也鼓勵我繼續努力再次挑戰這張認證。短短 2 個月過去，我們同學在六月時都以為你很快就會回來繼續把剩下的內容教完，所以除了每天讀書的進度努力完成之外，就是期待老師的指導即使到完成考試的當下，到現在，我都覺得我考上考試，你也會於臉書把我標註起來，說「 Kevin 是我第 XXX 位成為 CISSP 的學生！」。明明一樣的課本內容，不一樣的成績單，該我們歡慶之時，卻剩我一人舉杯即使我們認識才幾個月，現在很多話卻也不知道怎麼表達才好。於是用這樣一張我認為得來不易的 CISSP 認證榮耀您，記載著老師曾經的努力拉拔。

謹此感恩老師的指導。

To others： I must thank all those who have made this journey.

To Kevin Henry, I have watched your videos on Pluralsight at first, and those videos help me decided to start my CISSP certification and build a strong fundamental knowledge before I start preparing CISSP exam.

To Rob Witcher, your videos on YouTube is really helpful, I’ve watched it every day before.

My teacher Alex Lai who encourage me continue and teach me about CISSP.

Lastly, I would like to thank my family and all the others support me to complete this journey.

特別感謝

為追求良好的閱讀體驗，本篇文特聘本篇文的責任編輯：

校閱與協助內文編輯與修改。