关于2010年6月26日上海CISSP考试通过以后的心得体会
本人于2010年6月26日在上海参加了CISSP考试,然后一直等考试结果。7月17日上午打开电子邮件,看到了一封发件人为Registrar,题目为 (ISC)2 Information ISC2:000******的电子邮件,打开一看,注意到了醒目的 “ Congratulations! We are pleased to inform you that you have passed the Certified Information Systems Security Professional (CISSP®) examination - the first step in becoming certified as a CISSP.” 看到这个信息,意识到自己终于通过CISSP考试了,心中的一块石头落地了。回想自己考CISSP的经历,比较感慨,写下以下文字,一是对自己考CISSP的回顾和总结,二是响应www.cccure.org网站的motto,Knowledge Sharing and giving back to the community.
一、个人情况简单介绍
我是在2008年听说CISSP的,当时www.cisps.org论坛的名称是好像是www.chinacissp.com,通过这个论坛上别人的介绍以及百度上对CISSP的介绍,知道了CISSP是信息安全界最权威的认证,然后本人正好是“211工程”院校计算机技术与科学专业本科毕业,本科期间又读了英语第二专业,取得了专业英语八级的证书,后来又读了在职软件工程硕士,从事的工作和信息安全有关,于是打算考CISSP,在专业技术和知识上再上一个台阶。
二、第一次参加CISSP的经历
2008年8月买了一本CISSP All In One 第二版中文版(纸质),然后看了起来,但是进度比较慢,或者是因为自己的动力不太足,或者是对考试的感觉还比较朦胧。
后来我花了549USD(提前16天的优惠价,16天以内报名费为599USD)报了2009年11月7日上海的CISSP考试,于是在2009年5月制定了学习计划。主要内容是看CISSP All In One和做练习题,看了一遍CISSP All In One,然后做了很多题目,做的题目主要有CISSP Testking和CISSP Examsheets,每种都有近1500道题目。
然后2009年11月7日在上海交通大学信息安全学院参加CISSP考试,监考官有2位。我带了2本英语词典,一本是新英汉辞典,另一本是朗文当代高级英语词典,考试前坐在我前面的一位没带词典,我把一本词典借给了他。考试题目一共250道,考试时间为6小时,从上午9点到下午3点。我基本是1小时做50道题目,然后做完50道题目,就把答案涂在答题卡上。考试的时候心里感觉没底,250道考题中有太多的题目都是模棱两可的,只有少数(应该不超过30道题目)的答案比较确定。考试期间我吃了一些东西,包括巧克力和饼干,上了3次厕所,其实想通过上厕所到外面放松一下,看看外面窗外的风景,呼吸一下新鲜空气,让自己紧张的神经放松一下。等全部250道题目做完,5个小时多一些,等我把全部答案涂在了答题卡上,我本来想再从头开始检查一下,但没看几道题目,实在吃不消了,就坐在座位上开始吃东西、放松,等考试结束了。
考完以后等了正好两个星期,收到电子邮件,看到了如下信息:Thank you for sitting for the Certified Information Systems Security Professional (CISSP)® examination on 11/07/2009. We recognize and commend the significant personal commitment you made with regard to the testing experience, as well as the time and effort spent preparing for the exam. We are sorry, however, to inform you that you did not achieve a passing score. Your scaled score on the examination was 682. A scaled score of 700 or higher is required to achieve a PASS status on the examination.
看到邮件信息,心里比较纠结,感叹只要多做对几道题目就通过考试了。但感慨归感慨,客观地说,如果此次真的过了,感觉倒不是很踏实,因为感觉对有些知识点的掌握还不够牢固,因此就当此次没过是一次Blessing in disguise吧,准备下次再考,并马上制定了第二次考CISSP的计划。
三、第二次参加CISSP考试的经历
我的第一次CISSP考试是2009年11月7日,然后2010年3月27日和6月26日上海都有考试的机会,我觉得需要再多花时间深入学习一下,就决定选择6月26日的考试。
这一次我学习CISSP的重点是看书,看了CISSP All In One,CISSP Official Guide,CISSP Prep Guide,CISSP PASSPORT,CISSP for Dummies,CISSP Study Guide等书,做的题目基本是看书的时候书上面附带的习题。然后我觉得CISSP Study Guide(4th Edition)(2008年出版)的不错,里面的分类比较详细,分了19章。
我在5月底报了6月26日的考试,但有个朋友在考试前18天左右去报名,竟然没有考试名额了,只好等下一次考试了,因此不要太晚报名。
到考试前最后一个星期,也就是考试前的7天,我每天在
http://www.cccure.org 网站上做300道题目,一般是上午100道,下午100道,晚上100道,正确率徘徊在76%-85%,平均大概在80%。可惜后来www.cccure.org上面的题目不能免费做的,下文将详细介绍一下。
2010年6月26日还是在上海交通大学信息安全学院参加了CISSP的考试,这次监考官竟然有4位,除了上次我见过的2位,新增了1位美女和1位帅哥,我估计他们是为了获取CPE分数,而参加监考活动的。在考试之前,监考官给每位考生发了调查问卷,里面有一项问题是,你花了多少时间准备CISSP考试?我粗略计算了一下,我应该有超多1000个小时的CISSP学习时间了。这次考试的感觉是,估计有50道题目可以确定答案,然后剩余的题目中大多数可以用排除法排除2个答案,只需要在2个答案中选择一个,这样一来,答案的正确率应该能够提高不少。这次考试也许是我太仔细了,我的前50道题目竟然花了80分钟左右,一看时间,感觉要来不及了,因此在后面答题的时候,加快了速度,最后在离开考试结束10分钟的时候,我终于答完了最后一道题目,并把答案都涂在了答题卡上。最后10分钟我只是检查了一个姓名和准考证等信息,考试内容我再也没去检查。
考试中有个小插曲,我还是带了2本英语词典,一本是新英汉辞典,另一本是朗文当代高级英语词典,放到桌子上,比较醒目,考试中,监考官向我说明情况,有位考生没带词典,向我借了一本,等到考试结束又由监考官还给了我。
然后等了正好3个星期,也就是7月17日上午,我打开电子邮件,终于收到了考试通过的邮件,悬在心中的一块石头终于落地了。
四、考试时候的心得体会
考试的时候,我的感觉是,参加这个考试,要把自己当作企业的信息安全管理者,从这个角度来考虑考试中出现的大量的情景题,再加上自己的工作经验和一些常识,能有效提高答题正确率。
考试有250道题目,考试时间有6小时,我的做法是,50道题目为一组,做完50道题目,把答案涂在答题卡上,这些事情最好控制在1小时左右,然后5组以后,也就是5小时后,就能做完250道题目了。最后的时候,去不去检查做完的题目,因人而异,我的做法是,在做题目的时候尽量做仔细,把每一道题目当成最后一次去看。
然后前面提到考试中词典的问题,我个人觉得,还是应该带一本英汉词典,不管是不是真的能用得上,有备无患,以防万一。
然后考试中,有机会的话,就出去上上厕所,来舒缓一下压力。
五、相关资料介绍
参考书。这一部分应该是重点,有关CISSP的考试资料,我收集了一些,但主要还是CISSP All In One,CISSP Official Guide,CISSP Prep Guide,CISSP PASSPORT,CISSP for Dummies,CISSP Study Guide等书。我觉得这些书都不错,可以互补一下。
模拟题。然后我觉得考试之前肯定要做题目,CISSP Testking和CISSP Examsheets的模拟题还不错,每种都有近1500道题目,www.cccure.org上面的题目也不错,虽然这上面的题目和真题的区别挺大,但可以作为强化记忆和理解的手段,可惜目前这个网站上面的www.freepracticetests.org部分的题目不像以前是免费的了。很多好的项目都要收费,而收费的原因如下:Donations have been found to be TOTALLY ineffective, this is why we have implemented the registration system and the user fees. 对于免费的注册用户,该网站提供的服务只限于如下:
As a non paying or FREE user you have very limited access.
1. You can only generate quizzes of 25 questions or less
2. You have a maximum of 30 quizzes that can be taken
3. No tracking of results or progression is available to non paying member.
4. You will receive advertisements from our sponsors a few times a month.
5. You do not get access to premium content such as:
Quiz on questions that you have missed in the past,
Quiz on questions that you have not seen within a domain,
Ability to save and resume a quiz later on,
Access to premium questions that have just been added,
And a lot more.
因此以后大家要找到这么好的做题的地方,不得不花点钱了。
视频资料。还有一个很好的视频资料向大家推荐一下,那就是Shon Harris CISSP Training 2007 Platinum,这是Shon Harris和另外一位安全专家主讲的CISSP培训视频资料,真的是很不错,除了传授很详细的CISSP知识和技能,还能极大提高学习者的英语听力能力。我估计完整看完这个资料,需要50个小时左右,如果谁能有毅力完整、仔细地看一遍,不管是对CISSP知识点,还是英语水平,肯定会有质的提高。
六、学习方法问题
关于看书。说到学习方法,因该是因人而异。看书可以分为粗看和细看。细看的话,肯定需要花很多时间,特别是对英语没什么感觉的人,有时候1小时才看十几页甚至几页,粗看的话,可能会遗漏一些要点。我的经验是,最好先经过细看,这需要花很多时间,然后反复粗看。因此,刚开始细看的时候,你不得不拘泥于一些细节问题,让后都粗看的时候,也许你就只看一些段落的标题了,等你一看到段落标题,马上自己联想起相关知识点,如果觉得自己已经掌握了,就可以跳过去了,反之,则再花些时间细看这一段落。这样一来,你会发现,看书的速度会越来越快,我后来看一些书,基本2天就能看完一章,甚至1天就能看完一章。然后虽然我以前参加过英语专业的学习,但说实话,在考CISSP之前,我还没完整地看完过英语原版的书,这次算是很好的经历,看完了好几本原版的英语书,体验了完整看完英语书籍的经验。
关于做题。等看完一本书之后,我觉得有必要找多点题目做一遍。做完以后,一定要反复看做错的题目,分析做错的原因。然后再换一本书再看,因为不同的书的内容会有一些差异,可以起到互补的作用,而且不同的书对相同的知识点的解释可能还不同,这就需要你不断去思考和分析,因此多看不同的书,应该是有益的。
关于电子书。然后大家的很多学习资料都是电子版的吧,我的经验是,把电子书的目录打印出来,然后通过在打印的目录上做记号的方法,来追踪自己的学习进度,然后等你看完一本书之后,把打印的目录保存下来,也算是有意义的纪念品。
关于培训班。在决定参加CISSP考试之前,我听说过培训班,也曾经考虑过是否要参加培训班,但是看到培训班5天的培训时间收费要好几K,我就犹豫了,最后还是决定自学。而且后来的经验告诉我,就算培训班每天24小时授课,按照正常人的接受程度,是很难一下子吸收那么多知识的。而且我相信,培训班只能起到锦上添花的作用,而很难起到雪中送炭的作用,也就是说,原来有很强基础的人去参加培训班,可以由培训老师激发出潜能,而基础很薄弱的人去参加培训班,我估计会听得很吃力,消化不良。
七、展望
其实这次考完CISSP之后,我已经着手开始看CISA了,居然发现CISA 也有All In One Exam Guide,目前差不多看完第一遍了,发觉CISA只有6部分内容,分别是:
IS Audit Process - 10% of Exam
IT Governance - 15% of Exam
Systems and Infrastructure Lifecycle Management - 16% of Exam
IT Service Delivery and Support - 14% of Exam
Protection of Information Assets - 31% of Exam
Business Continuity and Disaster Recovery - 14% of Exam
在学习了CISSP之后,发现再看CISA相对容易很多,因此考出CISA的难度会小一些。
然后我再谈谈对CISSP的认识,我记得CISSP All In One的作者Shon Harris的官方网站(
http://www.logicalsecurity.com)主页上面有这么一句话“Security is not just a technical issue, it is a BUSINESS issue.” 因此,说到底,考出CISSP,要发挥作用,还是要和企业或者组织的业务相关联,因此我打算有时间再考一下CISA,CISM,GMAT,有机会再去读个名校的MBA。
我希望我的心得体会能给大家有所帮助,并祝愿努力过的朋友也同样能通过CISSP考试。
最后奉劝大家:不要饿了才吃饭,不要渴了才喝水,不要困了才睡觉,不要累了才歇息,不要病了才检查,不要老了才后悔。Don’t eat until hungry, don’t drink until thirsty, don’t sleep until sleepy, don’t rest until tired, don’t be examined until sick and don’t repent until aged.
登录
注册
