Question

——聂君

本文写于 2012 年，是通过 CISSP 认证考试后的总结。一直以来觉得做安全的谈认证考试，挺难为情，你看那些大拿，毕业证都不要，还要啥证书？金融企业安全建设群（文末有入群方式）近期谈到这个话题的时候很踊跃，企业安全建设中信息安全认证必不可少，毕竟金融企业安全建设并不要求团队成员在某个领域非常高精尖，而要求主要方面都平衡，以及在至少一个领域有自己的专长，通过认证的系统性学习和考试检验，能迫使自己总结提高。现在越来越多的企业将上述证书作为安全职位上岗证+KPI 考核，艺多不压身，有兴趣的朋友尝试一下。开始行动往往就等同于成功。

CISSP 和 CISA 是我接触比较早的两个认证，某天有个四大的人递过来一张名片，上面写着 CISSP、CISA，我想这两个认证可能比较值钱他才会印在自己名字上吧。后来去网上搜了一下，确实在安全界这两个认证还是得到很多人的认可的，也比较火。我想原因有两个：一是这不同于 IT 厂商推出的认证，没有题库，也不仅仅是讲自己的安全产品的使用，而确实涉及安全的方方面面知识，对于刚进入安全圈子的人来说，开阔知识面，增加阅历是很有帮助的。二是安全理念。我觉得安全是没有标准答案的一门学问，在安全领域，永远没有人可以告诉你做到哪些你们企业就安全了，可以高枕无忧了；恰恰相反，安全是一个持续的过程。安全需要你不断地更新你的知识库，并且你不能仅仅从你的角度出发考虑问题，也不能仅仅从技术角度出发解决问题，安全更多时候面临的是复杂环境，如何做好动态平衡是需要安全从业人员认真学习的一门艺术。从这个角度出发，我觉得老外的这些安全认证给我们很多启发。这些考试普遍需要从多个岗位、多个角度上看问题（安全不是一个人说了算的事情，与每一个人的参与有关），尤其是对风险的管控和对业务的保障，这是不少考试出题的重要视角。

中间过了很多年，我考了很多 IT 厂商认证，觉得都含金量不足，后来看到了 CISSP、CISA、CCIE、CEH，然后开始打怪通关。2011 年第一次报 CISSP 考试，12 月在北京考试，最终成绩出来没有考过。没考过是在自己意料中的，没有花什么时间看书，只是在临考前突击了 2 天，而且 CISSP 对英语要求比较高，考试的时候发现很多关键的单词自己都需要查字典，导致自己做题速度很慢，后面基本上遇到不熟悉的单词也不查了。虽然没过，但因为考试在北京，自己在酒店专注复习看书，不用上班，感觉也是挺爽的。不过后来在团队面前宣布我的考试成绩时，脸还是有点挂不住，觉得很没面子，同时暗下决心，2012 一定要再考一次。

2012 春节一过，因为有点其他事情耽误了，我从 4 月份开始看书，我记得第一次坐在电脑前看英文版的《All in one》的时候，我给自己建了一个 TXT 文本文档，标题就是“聂君的 CISSP 之路”，里面记载了我每次看 CISSP 的进度，以及看到有价值的知识点和不认识的重要单词。开始，我看的是英文版，因为我在论坛里看了很多人发的帖子建议大家看英文版，后来我发现其实这个建议不适合所有人，比如我。看英文版适合英文很好的人，这样看起来非常有效率，而且不需要经过英文-中文-英文的转换，但这不适合英文不好的同学。我个人的经验是快速看中文版（别跟我说你中文看起来也很慢），每章后面都有一个总结，对全章的知识点进行提炼，这个总结一定要仔细认真看，是全章的精华部分，看完一章之后做后面的习题，看看自己得分到多少，我基本上都低于 70%的正确率，很正常。之后，你开始看对应的英文版，因为中文版是翻译英文版的，看英文版的时候把中文版放在旁边，有不认识的英文长句和英文单词，直接看中文版，比查字典还快。而且《All in one》很啰嗦，没必要逐字逐句看，每章中文都有一些黑体，你只要理解这些关键段落和关键词的意思及原理就行了，快速突进，一章英文很快就干掉。我自己的实战经历是把所有中文看完，做后面习题。然后看每章英文，看一章做一次 Total Seminars 的章节练习题，这时候基本都能达到 80%的准确率了。最后，考前复习的时候我做了 2 套模拟题，看了孟紘给我的 CISSP 单词表。

我报考的是 2012.5.19 上海考试，考点在浦东新区的交大信息安全学院。位置很偏僻，偌大的城市，路上看不到什么人，连打车都打不到。考前两天我在复习的时候，基本上看 1 小时书休息 5 分钟，效率非常高，心无旁骛。其实我在考前 2 天的时候基本上中文也就刚看完，英文还没开始，心里特别没底。但我在 2 天内看完英文后，心里就有底了，过了 1 个多月，成绩出来，顺利通过，当时我高兴得跳起来了。

整个过程其实平时我没花多少时间，可能也就是二三十个小时吧，真正有效率的是考前 2 天的专心复习，有点类似于大学里考试前的突击，效果特别好。有几点供参考：

·CISSP 考试是注重体系的，要以美国的价值观、安全观对待，明白了 CISSP 出题者的套路，才能选对所谓的最合适的那个答案。

·考试 6 小时，250 道题，对体力绝对是个考验，所以建议考前最后一天 12 点一定要睡觉，否则撑不住，而且休息不好对大脑思维很不利，我第一次考试就是太晚睡，结果到最后头晕眼花，快没力气看题了。第二次早点睡，效果好多了。

·英文一定要看，但如何看，取决于你的时间和你的英文水平，英文不同级别能力的人都有办法在短时间内过，但方法很重要。

·没有真题，我考了两次，似乎没有一道题是相同的。我们应该感到庆幸，没有题库的认证能够保证认证质量，也不会让我们辛辛苦苦考过的认证直接扔进垃圾堆了。

·考试过了，没有考试成绩。考试没过的话，会有一封邮件告诉你十个 CBK 中你的成绩先后顺序，针对性地看你成绩最差的 CBK 吧，我的好像比较差的是物理和环境安全、法律、法规、遵从和调查、业务连贯性和灾难恢复，成绩确实能反映我的工作经历。

·考试过了，不代表迎来人生巅峰，人还是那个人。但考试通过能起码让自己感觉不坏，而且通过考试前的学习，对自己的专业知识也做个梳理归纳总结，还可以学到诸如直接证据、间接证据、决定性证据等知识，肖恩·哈里斯的书中也有很多搞笑的段子，谈起来也非常不错。

J0ker 将自己求学 CISSP 的亲身经历整理成系列文章《怎样成为一名 CISSP》，有兴趣可以看看。

顺便说下我的 CISA，基本上只看了同事给的一本 PPT 打印版材料，其他一概没看，考前也没复习。推迟了两次才最终决定去考的，因为再也不能推迟了，结果过了。

开始行动往往就等同于成功。