CISSP考試準備與心得(三週內成功考取秘訣)

#CISSP #CISSP考試心得 #CISSP考試準備 #CISSP推薦用書

大家好！我是兩杯酒 (William. T)
我持續了六年，邊念學位、邊考取證照、邊上班，終於在2022/05，完成了人生一個最大願望，三十歲以前考上CISSP，並分享其學習方式！

接下來的內容，希望能對需要考取CISSP的各位，有所幫助！
本文章將分為學經歷階段、考試準備階段及應考心得。

===學經歷階段(知己知彼，百戰百勝)===
首先，請先為自己分析一下背景與經歷：

學歷背景

• 臺灣大學 資訊工程所 博士
• 臺北醫學大學 醫療資訊所 碩士

在我的生活中，一直都沒有離開過學校，因為我相信年輕就是本錢，學習就是要趁年輕！同時也該激發自己的潛力，看看自己能走多遠。

工作背景
任職於台灣某醫療軟體產業的上市櫃公司，年資目前六年，工作職稱是首席資安工程師。在工作任務上，主要包含安全軟體開發、CI/CD持續整合、雲端架構設計與實作、資安檢測報告評估與回覆、協助ISO 27001定期驗證稽核、醫院/公司資安事件回應（醫院很常被攻擊，有時要配合調查局）。

根據CISSP八大領域中，我熟悉的領域就包含(標記部分)：

• Domain 1. Security and Risk Management
• Domain 2. Asset Security
• Domain 3. Security Architecture and Engineering
• Domain 4. Communication and Network Security
• Domain 5. Identity and Access Management (IAM)
• Domain 6. Security Assessment and Testing
• Domain 7. Security Operations
• Domain 8. Software Development Security

以工作上來說，主要碰觸最少的就是BCP、DR、硬體管控與資產管理，因地端我們有其他同仁負責，而雲端就是由我來負責。一切相關經驗的歷練，是從研發任務開始（如台灣全國軍電子病歷系統整合），接著建立安全開發與CI/CD持續整合流程，之後又有了資通法，任務逐漸就增加了核心產品的ISO 27001驗證，而近年開始，醫院定期要求資通法自評表(附件十的資通法安全防護基準)，其中也包含各種弱點掃描與滲透測試，以及不定時醫院被攻擊，需要協助公司解釋與配合調查，最後是資安產品採購評估，協助公司強化資訊安全。

資訊相關證照
六年期間，自行不停考取許多證照：

1. AWS Certified Solutions Architect – Associate
2. AZ-204:Developing Solutions for Microsoft Azure
3. Certificated Ethical Hacker (CEH)
4. Certified Security Analyst (ECSA)
5.  Certified Hacking Forensic Investigator (CHFI)
6. Certified Application Security Engineer .NET
7. CompTIA Security+
8. AWS Certified Security – Specialty
9. ISO 27001:2013 LA (Information Security Management Systems Auditor/ Lead Auditor)

沒錯！持續學習就是我的秘訣之一！

===考試準備階段(想成功，就是要全力以赴)===
請為自己量身打造一個學習計畫！！對我來說時間就是金錢，若能用錢可以快速獲得知識，投資自己絕對是最棒的，當然也要能遇到適合自己的老師！

上課進修 (恆逸資訊)

• CISSP 三月聽第一次
• CISSP 五月免費重聽一次

為何要聽兩次呢？因為不同老師會給你帶來不同的觀點角度與案例分析！
說到這，一定要推薦一下我的啟蒙老師－唐任威 Vincent。

在六年前，我人生第一步踏入資安，考取 Certificated Ethical Hacker (CEH) 時，就是由這位既專業又幽默的年輕帥氣老師，當然這又是另外一個故事了！

自修學習 (考試用書-樂天電子書版本)

• (A) (ISC)2 CISSP Certified Information Systems Security Professional Official Study Guide
• (B) CISSP All-in-One Exam Guide, Eighth Edition
• (C) (ISC)2 CISSP Certified Information Systems Security Professional Official Practice Tests

這是我參考各大網路上推薦的書單，畢竟時間是有限的，每一本都幾千頁，所以不可能每個字都看過一遍且都記起來，對我來說，兩本互相對照，一本習題，是一個絕佳組合！

念書計畫

• 4/24~4/30 (使用A 快速掃讀，一天至少2~3個篇章)
• 5/1~5/8 (使用B 隨意掃讀)
• 5/9~5/13 (使用CISSP課程中，學生的官方教材，並每日用C 做模擬試題)

每天上課後，下課就是做題目，做完就檢討！
由少題到很多題，最後再到正常數量！

• 5/9 一 CHT 1 (100題)
• 5/10 二 CHT 2 (100題)
• 5/11 三 CHT 3, 4 (200題)
• 5/12 四 CHT 5, 6 (200題)
• 5/13 五 CHT 7 (100題)
• 5/14 六 CHT 8 (100題) + 自己的筆記總複習
• 5/15 日 綜合題目CHT 9 (125題)
• 5/16 一 綜合題目CHT 10 (125題)
• 5/17 二 綜合題目CHT 11 (125題)
• 5/18 三 綜合題目CHT 12 (125題)
  共1300題

每日生活

• 8:50起床
• 9:00~12:00 遠距上課
• 12:00~13:10 吃飯
• 13:10~18:00上課
• 18:00~20:00 吃飯洗澡休息
• 20:00~21:00 寫一份考題
• 21:00~22:00 檢討+簡單複習該章節
• 22:00~23:30 娛樂休息一下
• 23:30~00:30 第二份考題
• 00:30~13:30 檢討
• 13:30~14:30 放輕鬆＋睡覺

什麼？怎麼有人進行這麼恐怖的安排？所以請量身打造，謝謝！我考完回來後，睡了14個小時才醒！

學習方式
除了平常實務經驗，多張證照的學習過程，剩下就是補足CISSP的內容缺口。

思考方式：

1. 若在參考書，碰到沒學過的東西，全部都要查清楚，邏輯看懂，作筆記！
2. 若在模擬題，無論題目對錯，都要完全能看懂題目，所有選項，不會的就是放到”重要筆記裡”。

上述兩點，就是在準備最後考試前要看的。

考試當天
5/19 四 考試當天 (秘訣在於提醒自己)

• 9:00~10:00 快速掃過之前做得題目(熱身暖機) ，挑選總複習2~3篇，若腦袋開始變慢，請停止動作！
• 10:30~12:00 先看文字筆記重點，再看圖片筆記重點 (只看不思考，慢慢變得不耗腦)
• 12:00~1:00 聽歌休息
• 1:00 進入考場

===應考心得(有努力不一定會成功，但不努力一定不會成功)===
在應答時，果不其然沒有一題是看過的，此外，會讓人懷疑自己是不是沒有準備，我好幾度看著考試名稱，上面明明就是寫著CISSP啊？為何我好像都看不懂呢？

於是在兵荒馬亂之中，我把腦袋清空，靠著直覺，花了幾個小時走到最後一題，不禁感嘆，這兩週應該是徒勞無功了，真的是我人生中，最沒有把握的一場考試！

走出試場後，我領著隨身行李，拿著TA給的成績單，心中的落寞與失望，讓我一點都不想看成績單寫了什麼。我默默的走向電梯，想了一下還是面對吧！

我將成績單翻面一看，就看到幾個關鍵單字

1. Congratulations
2. Provisionally passed

真令人無法相信！！我竟然通過了？！

這次的考試過程，與以往相比，屬於最困難的一張，CISSP真的是著重在專業判斷與素養，真不愧是(ISC)²！

CISSP考試真的有如人生的選擇題，在課本上是找不到答案的，這樣的狀況下，你怎麼知道什麼才是對的呢？

最後送各位兩句：

1. Do the thing right and do the right thing. 把事情做對，做對的事情
2. Shoot for the moon. Even if you miss, you’ll land among the stars. 訂下如奔向月亮的遠大志向，縱使不能到達，也會躋身於繁星之中。

您是否也已經準備好成為CISSP的一員了嗎？

2022/06/02
我是兩杯酒 (William.T)