我是4.3日在上海考点参加的考试,没想到这次isc2效率这么高,4天后结果就出来了,佩服!这次我对CISSP认证考试经验做一个个人总结,希望对以后参加认证的朋友能够有所帮助。
不同的人情况不一样,采取的准备方式也会不一样,希望各位朋友能够在别人经验的基础上,结合自己的实际情况,制定出最合适的备考计划。作为我的个人情况来说,毕业后一直从事安全领域工作,差不多正好是4年的工作经验。在准备CISSP的过程中,我同时在准备PMP的考试,PMP是在3.27日考的(在我提出了建议后,Robin把原定于3.27日考的CISSP放到了4.3日,在这里要对Robin再次表示诚挚的谢意!让我这两个认证考试没有冲突)。因为两个考试隔的很近,所以在准备的过程中,CISSP和PMP的准备资料要轮换着看。如果要计算我最终为CISSP所花的准备时间的话,大约是一个半月。
有必要再强调一下,以下仅代表我个人的看法和经验,如有不妥之处请见谅。下面就几个方面说一下我的个人经验
1.背景的优势:
a.安全领域工作经验
对参加CISSP考试的朋友来说,如果能够有那么几年在信息安全领域工作的经验,那对通过认证考试帮助就很大了。CISSP考试的特点就如同passport里面所说的:a mile broad,an inch deep。在安全领域内有相关的工作经验,就会使得自己在平时的工作中耳濡目染,已经积累了相当的知识点和属于这个领域的common sense,加上一定的准备,通过CISSP认证就不会困难。
b.E文水平
CISSP为全E文考试,不像PMP是中英文对照的。所以E文好的话,对题干和答案的理解会很有帮助,在学习E文资料时也会比较顺畅。针对CISSP的考试在国外的一些论坛上就有异议说,它的考试有时候像在考语法,在“咬文嚼字”,其实正如在all in one每个章节后练习所说的那个形容词:vague。有些题目的题干和答案比较模糊,首先要完全看懂题目,其次要从4个相近的答案中选取best choice的一个,E文好的话会有很大帮助。
2.备考
a.看书为上,做题为下在做题方面,我只在www.cccure.org上做过20道题目,其余的就是所看的书上每个章节后面的练习题了。本来CISSP考试是一个广而浅的考试,最重要的是要掌握大量的知识点,而通过做题所获取和掌握的知识点过于零碎,缺乏系统的组织,只能是用来偶尔考评一下自己当前的准备状况,而通过做题来掌握知识点显然是一个费时低效的做法。以前我们考高等数学时,有过题海战术,“做题百遍,其义自现”,数学考试讲究专而深,讲究理解分析和推断,而这些不是CISSP考试的特点,因此不需要也不能用题海战术,我所收集的考试quiz,boson题目都没用过。其实准备CISSP的过程也更是一个整理自己知识结构的过程,因此将重点放在看书上可以说是事半功倍,而重点放在做题上,可能是事倍功半,做题目到是可以用来增强一下自己上考场前的信心,
b.参考书籍
我主要是用了all in one, passport和prep guide这三本书。 其余所收集的电子资料大约有300 M,结果都没用到,也没那么多时间去一一阅览。我感觉不管是哪些资料,翻来复去也就在于这十个Domain。不同的资料差别不是特别大,如果仅仅为了补齐各种不同资料之间的差异而将大量的资料一一阅览将会需要大量的时间,而这不符合cost effective的原则。书不在多,在于精。
all in one和passport是同一个作者写的,all in one有点过于罗嗦,passport比较精练,而prep guide从它的组织结构上来看,它不是系统化地组织而是通过罗列知识点来组织的,所以感觉会乱点。建议首先看passport,然后看all in one,它的第一遍可以细看,同时用色笔将各个重要的知识点勾画出来,保证下次再看时就可以直接看知识点附近的文字而不用通读了,否则,如同大话西游里面的唐僧般的罗嗦,太费时间,让人难以忍受。 而prep guide 罗列知识点的特点,使它放在最后看比较合适,充当巩固的作用。我的准备情况是passport和 all in one看了两遍,prep guide看了1.5遍。
c.其余备考方面的事项
在看书准备时,最好是用全E文的资料,原汁原味,便于对知识点的完全理解和对实际考题的把握。如果E文不太好的朋友,那也要中文为辅,E文为主的方式。其次,复习的时间要予以保证,短时间内要看这么多的书,没有时间保证是做不到的。首先要得到家人的支持,在这里,我要对我的家人表示无比的谢意和感激,他们让我没有后顾之忧,能够充分的投入到准备当中去,这个证书里,有他们三分之二的功劳。其次,工作的朋友要注意忙碌之余拨出足够的时间用于准备考试,即使是出差也要保证;临近考试了,也可以考虑通过休年假的方式来保证时间。
3.考试
a.best choice的特点
一定要注意,CISSP是best choice单选型考试。对每个题目最好是看完所有的4个答案选项,因为很有可能第一个答案也是对的,但best choice的答案却放在第四个。千万不要看到一个对的答案就赶紧填上去,除非你有天大的把握并且打算在本来就十分充足的时间内尽早结束去和你的Lover约会,。
b.考场上时间安排
6小时的考试时间是充分的够啊,大家宁可仔细点,也不要仓促求快。另外,对没有十足把握的题目全部试题卷上标记出来,方便后面复查。我的习惯是一口气做完所有的题目,中间可以喝点功能型饮料,比如红牛什么的。然后出去吃点心,安慰一下肌饿的肚子,顺便放松一下脑子,好对一些有疑问的地方做最后的检查。当然,请根据自己具体的情况安排自己的休息和进食时间。
c.考试题目
根据code of ethic,是不能透露具体的考试题目信息的,同时,在考试过程中,我也没特意去留心题目类型的分布等情况。最大的一个感觉是总有一部分题目是没有落在你的准备范围里面的,而要依据你的common sense来予以回答,这些common sense有可能来自于安全领域本身,有可能来自于管理领域,有可能来自于生活领域,还好,比例不太高,而且每个人都会有common sense,总能回答对一部分。我在考前琢磨着无线的东西应该会有,也曾想专门找点资料去看看,可是后来没有时间了,而且觉得不会太深,目前对无线的知识可能已经够了,所以也没去看了,这次考试中好像也没有无线的东西。而configuration mgmt出现了好几道,有些题目内容在资料上没有看到过,那只能靠common sense了,也不知道后来sense对了没有。总而言之,题目确实没有很细节的考试内容,我唯一一次在cccure.org上做模拟题,碰到过一道题目问我UDP,TCP在IP里的协议标志是多少,当时我想这可够细的,要CISSP考试真正考起来这么detail,那不惨也? 还好,实际考试不是这样的,否则谁能对十个Domain都熟悉到这种程度?