一、cissp 认证简介

　　 cissp 认证是由国际信息系统安全认证协会international information systems security certification consortium(简称(isc)2)在全世界各地所举办的考试，符合考试资格人员于通过考试后授予cissp认证证书。(isc)2 成立于1989年，是一个非盈利性组织。cissp 目前已成为全球公认评价信息安全专业人员资质的重要参考依据，同时为了保持专业知识、技能及竞争优势，(isc)2 要求取得cissp认证的人员必须持续进修，在三年内累积120个cpe（进修点数，可以通过从事相关工作或研究等获得），否则必须重新参加考试，才能继续保持cissp 资格，同时(isc)2 在网站上公布cissp 认证证书合格人员的基本资料，供全球查询。

　　 【我国、香港、日本、韩国、新加坡的情况】

　　 cissp 的考试题目为250 题单项选择题，均为英文试题，所有考题必须在6 小时之内作答完毕，其范围都与信息安全有关，包含信息安全管理、访问控制、通信及网络安全、计算机运作安全、密码学、应用程序及系统开发、信息安全架构及模型、物理安全以及业务连续性规划和灾难恢复、道德法律等共有十个领域(domain)的专业知识。

　　 二、cissp 考试

　　 我参考了《srv的考试指南》和《cissp all in one》。srv套书虽然有点老（现在有第二版），但是上面的知识组织形式很不错。练习那本书我没有时间看完，但是相信练习对实际参加考试会有很大帮助。all in one里面的知识比较丰富，但是有些东西很罗嗦，但我还是坚持通读了一遍。

　　 还有一本小册子，叫做cissp exam cram book,很精练。另外还有几个网站上提供类似cram的东西，可以用于临阵磨枪，发现复习的遗漏点。

　　 cissp考的是广泛的安全领域的知识，不可能有那一两本书可以完全覆盖。除了购买考试书籍之外，对信息技术各个领域的知识获取对丰富知识面是很重要的。通过平时的工作实践、阅读各种安全杂志、邮件列表，或者通过网络途径与已经获得认证的人的交流都是很重要的。

　　 参加5.18日的考试，公司给予了很大的支持和帮助。考试是由(isc)2香港总部在深圳举办的，那几天深圳天气还可以，心情也不错。不过考试还是有压力的，一是国内第一次考试，不敢说有很大把握，二是公司寄予很大的希望，有些担心。考前我们几个各地的同事在一起聊天，谈工作和公司的事情，兴奋得到夜里十一点多又煞有介事地“临阵磨枪”到一点多，实在是担心第二天无法坚持六个小时的考试，这才睡下。

　　 到了考场后，一下子轻松了许多，教室宽阔明亮，感觉得特别亲切（好久没有进过大学的教室了），而且发现很多面孔都很熟悉，都是以前的同事或者同事的朋友或者朋友的同事，见了他们，信心增加了不少。

　　 考前阅读英文考试指令的过程就像大学里的四六级考试，不过更冗长，加上香港普通话的旁白也还是听不大懂。不过这辈子考试经过很多了，无所谓。按照监考的要求，将个人信息和试卷信息涂到答题卡上。试卷拆封后，看到五十多页的英文试卷觉得很兴奋，想了想开始的计划（包括涂卡，每小时50题），就开始答题了。

　　 isc2建议先做会的题，将没有把握的题做标记，然后再回头仔细推敲。这样的好处是可能从后面的题目中获得相关的信息。这个方法可能有的人喜欢，但是我认为250题太多了，何况做到最后不知道会是什么状态，说不定会混沌一团。我还是按照自己的计划，因为我觉得时间总是够的，平均每个题的时间是近1.5分钟。（考试可以带英汉字典，我只带了一本小字典。专业方面的词汇倒是不怕，就是担心有些日常词汇一下子忘记，会影响对题目的理解。按规定只可以带印刷版的字典，可是考试中竟然有人使用电子字典）。

　　 六个小时的考试太痛苦了，建议大家随时准备一些提神醒脑的食品（不是兴奋剂），饮料不一定很多，我只带了半瓶从北京带去的水（喝多了容易紧张，紧张又想喝水）。两个半小时的时候，我做到了150题，看来时间不是问题。中间出去时看到前面那位还不到到100题（不是偷看），信心又增加了。感觉很疲倦，我准备休息一会儿。吃点东西，看看窗外的风景，又趴在桌子上做了一个梦。
后面的时间很痛苦，做题目的效率明显降低。最后25题用了近一个小时，不过终于是提前半个小时完成题目。最后的时间，应该是看看前面那些做标记的题目。果然如我所想，基本上后面的题目不会给你多大帮助，因为你真的忘记了。而且题目的第一印象往往是你头脑中的意识，很难有什么会帮助你做出改变。有的题目拿不准，想来想去还是选择最初的答案。这半个小时应该算是球场上的“垃圾时间”。

　　 不过考试中间我发现了一个最大的错误，试卷号涂错了。考试中间走神，看到试卷下方的试卷号，想猜猜它是什么意思。我的试卷号是730010，我看看每张试卷都是，又看看封面。最后看看答题卡上，突然发现我在答题卡上涂成了730100，我惊出一头冷汗。一个cissp差点被封杀！提醒大家开始还是注意考试指令，仔细检查。

　　 考试历经艰难险阻，真是很精彩。试卷交上的时候，感觉很是自信。不过想起传说中三分之一的通过率，还是有些担心。不过总算考完了！

　　 乘北航的飞机回到北京，想到很多的工作，还是把cissp先忘掉的好。

　　 6月6号的时候，手机日历提醒我两周到了（14个工作日，isc2承诺的时间），我马上打电话到前台，失望的是没有我的信件。电子信箱里也没有。接下来的周末我还在想，还打电话到公司问有没有我的信件。

　　 终于在6月12日的下午，我看到了(isc)2 寄来的证书，很多同事向我表示祝贺，并让我请客。

　　 cissp 考试的范围非常广泛，而且每年都有新加的考题，又要求具备实践经验。在复习的时候我就想，不管怎么样，考完后一定要按照cbk的大纲，充实自己在各个方面的知识。在公司内应该组织这样的以domain为主题的学习小组，小组内可以充分地交流。同时在工作中也应该去应用并丰富学习到的知识。

　　 三、学习考试总结

　　 1.准备

　　 做好考试的心理准备和物质准备。心理准备自不必多说，参加过高考和考研的都有经验。物质准备无非食品、咖啡、音乐等以备深夜读书熬战之用。

　　 当然，还要花一些银子购买书籍、到网络上搜集各种资源，包括订阅邮件列表，到一些cissp交流网站注册用户。cissp考试是英文考试，你的英语能力必须过关，不要寄希望考试时查字典。但是参考书无所谓，只要对知识的描述没有错误，一些关键的地方最好还是参考英文描述。

　　 制定学习计划，重在坚持。每个人从业和擅长的领域不同，不熟悉的领域可以多花些时间。一般安全管理和加密方面的题目最难，考试中的比例也不小。道德法律方面的题目一般很直观，不要花时间去研究美国的法律。

　　 2.学习

　　 cissp考试不存在侥幸，如此大的题量不允许任何的投机。不过有计划地刻苦学习，加上端正的态度和扎实的基础，还是有可能在短时间内取得很好的效果。

　　 技术方面的知识没有什么好说的，有清晰的概念就可以了，要注意增加一些近期新技术方面的知识。但是安全管理方面的题目就不只是概念的问题了，这种题目有一定的灵活性，有的是场景题。自己不擅长的领域一定要多用时间，弄清楚关键概念，要勤翻书，勤查资料。几种资料在一起对比着学习，可以加深理解。但有的问题可能几种资料说法不一，需要请教有经验的同事或者专家。一定要在考试之前确保没有遗漏，因此执行计划是最重要的。

　　 3.练习和模拟考试

　　 按照(isc)2的约定，考试者不得将考试题目以任何方式泄漏，通过考试的cissp大都遵守这个规则。cissp的考试书籍往往会有一定的练习题，不过这些练习一般是根据书籍本身而定的。在刚读完一个domain后，做这一章的练习就会觉得太简单。srv的练习题目太多，适合巩固知识。all in one的题目太少而且简单。boson的考试模拟机不错，可以用来感受一下真实的考试。
通过大量的练习可以强化记忆，通过对比加深理解。模拟考试只是热身，不要因为模拟考试效果不好而影响情绪，一般现场发挥会更好，就像足球场上一样。

　　 4.考试

　　 考试前的报名准备工作要提前进行，包括正确充分的报名材料。收到确认函后，到考试地点的交通和住宿，一定不要出错。如果通过考试，确认函上面的id就是你的cissp证书id。
六个小时笔试考试可能很少有人经历过，一定要做好充分的准备。所有的题目均为单选，选择最恰当的答案。
考试中的技巧自不多言，根据自己的习惯和实际情况。

　　 5.等待

　　 等待考试结果和cissp证书的到来。

　　 四、认证之后

　　 cissp需要遵守(isc)2道德规范－code of ethics，并为信息安全做出贡献。考试并不是cissp的终点，为了保持cissp认证的先进性和竞争力，(isc)2要求cissp在三年内取得120个cpe，否则需要重新参加认证考试。


　　 cissp考试的cbk覆盖了安全的各个方面，但是考试的深度不够。信息安全方面的其它认证可以弥补这一点，向giac、sans及cisco、checkpoint等专业厂商提供的安全认证。

　　 五、后记

　　 传言中国人善于考试，有的考试到了中国会做的很滥。仅仅取得认证不是cissp的真正目的，与(isc)2的宗旨相违背。也许，未来的两年cissp将热遍中国，但愿这些cissp能够在中国信息安全领域做出真正的贡献，成为未来中国信息安全的中坚，而不仅仅是一张纸文凭。

　　 附：参考资料

　　 书籍：

　　 srv examination book (vol1&2, version 2)

　　 cissp certification all-in-one exam guide

　　 cissp exam cram book

　　 secured computing: a cissp study guide

　　 the cissp prep guide: mastering the ten domains of computer security

　　 网站：学习交流

　　 www.cissp.com

　　 www.ccure.org

　　 rr.sans.org

　　 www.securityfocus.com

　　 groups.yahoo.com

　　 我的email: chinajwj@yahoo.com

　　 维护一个学习小组： http://groups.yahoo.com/group/cn_cissp_study/
my 1.5 cents

　　 三、学习考试总结

　　 3.练习和模拟考试

　　 按照(isc)2的约定，考试者不得将考试题目以任何方式泄漏，通过考试的cissp大都遵守这个规则。....

　　 四、认证之后
cissp需要遵守(isc)2道德规范－code of ethics，并为信息安全做出贡献。...

　　 五、后记

　　 传言中国人善于考试，有的考试到了中国会做的很滥。仅仅取得认证不是cissp的真正目的，与(isc)2的宗旨相违背。也许，未来的两年cissp将热遍中国，但愿这些cissp能够在中国信息安全领域做出真正的贡献，成为未来中国信息安全的中坚，而不仅仅是一张纸文凭。