关于那年背考cissp的日子

文章最后更新时间为：2022年03月09日 23:27:47

1. 背景

2022年3月8号，顺利通过cissp的考试，最近也是一直在复习，所以简单总结一下这段经历。

2. 为什么要考cissp

其实做安全，很容易迷茫，有时候觉得自己什么都不会，但是又比较懒，搞二进制也没什么成果，搞web又很烂大街，经常陷入一些自我否定的想法。

当初也是比较单纯，就是打算考个cissp，来帮助下次找工作而已。但是回过头来，考cissp其实和找工作没太大关系，因为我在甲方，短时间内没有去金融企业和事业单位的打算，所以这个证暂时对我没啥帮助。

但是随着信安工作经历的增长，我慢慢意识到技术永远是为业务打工的，技术要继续，但是同时也不能完全沉溺在自己的世界中，在甲方，安全建设更加重要。安全建设不是说你帮公司挖了多少洞，找到了多少bug，而是有方法论的形成一套完备的的安全体系，有时候我们工作经常要思考，这么做的意义是什么？怎么覆盖更多的攻击面？能给公司带来多大的价值？由此又能延伸出什么工作内容？

在工作中，也遇到了不少同行和朋友，感觉大部分人，基本上都沉溺在自己的技术中，不会主动规划自己的阶段性工作，这样很容易发生，自以为做出了很牛逼的东西，但是不被老板认可的情况，也会出现不知道应该做什么的时候。大多数人的职业卡点都是在技术平庸，同时没有管理能力。

总结来说，cissp可以帮助我们拓展下视野，了解一些信息安全运营方面的东西。

3. 备考阶段

因为怕偷懒，所以没留太多时间准备，整个备考阶段规划了两个月：第一个月用来看书，第二个月用来刷题。

看的书是OSG第八版，也就是cissp官方学习指南，2021年cissp的大纲已经更新了一次，英文官方教材也出新版本了，但是还没出翻译版的osg。所以我还是看的老版本。总共21章节，8个域。所以基本上是一天一章节，然后看完一个域之后复习一下这个域的内容。一开始看osg，看的比较粗略，基本上只是留下了一个印象，快速看完后，刷一下每章的习题，每天花一个小时左右可以完成任务。

书看完了之后，开始刷题，我是刷的铭学在线的综合题（我这里不是打广告，这些题好像是cissp官方习题册里的，所以大家可以自己去看看），因为cissp的题目基本都是封闭的，网上没有出现过原题，所以我觉得刷什么题都一个样，没有什么特别明显的好坏之分。这里我每周刷两套，一套125题目，一个月刷了7套综合题目，刷题很轻松，最要命的是看错题，刷题一个小时，看错题看两个小时。刷题的时候，有个傻逼的地方，就是我一开始做了一些错题笔记，但是直到考试也没翻过这些笔记，感觉还是直接记在脑子里比较好，记笔记会松懈，不利于大脑记忆。

整个备考算是比较轻松的，按照自己的计划就好，自律带来自由！

4. 考试阶段

我是预约的8点考试，前一天10点多就睡了，早上6点起床，7.30左右到考试中心，很久没体会过早睡早起的感觉了，精神挺好的，一点也不困。

现在考试不能回看，也就是做完的题没办法检查修改，只能一遍过。一开始我的计划是6个小时，两个小时做100题，所以特地做得比较慢，但是做的过程中，我感觉特地做慢没什么好处，会让我在那里发呆。所以我调整了一下，还是按照正常速度做，差不多的题目也不纠结了，直接刷刷刷，平均下来一分钟一题。总共360分钟，交卷的时候还有100来分钟。总结来说做题有以下几个比较重要的吧：

• 中间最好休息1-2次，出去喝口水，上个厕所什么的，放松一下心情。
• 优先使用排除法，有时候多个选项都正确，选择最正确的选项。
• 一定要通读题目，在脑子里幻想场景，时间很多，不需要着急。
• 多使用中英文对照着来看，会有意想不到的惊喜。
• 不会做的题目不要纠结，乱蒙一个最像的就行，不会的题目，思考1分钟和思考10分钟没差别。
• 保持自信，考试开始时遇到的题目都有点不确定，做得有一点心累，不过还是保持信心，也许蒙的都对呢

考试内容这部分没办法说出来，我只能说4个字：安全管理。

交卷后就知道结果了，有一张纸质的结果，显示是否通过考试。

5. 证书申请和维持

拿证需要5年工作经验，如果未达到年限要求，仍可以参加考试，先成为(ISC)准会员，直到满足所要求的工作经验后再申请认证。我暂时工作经验还没到，这部分先鸽了，三年后再来补。

6. 其他

感谢女朋友的鼓励和帮助。接下来好好工作了