2024年CISSP认证考试通关秘籍：备考方法与实战经验分享

前言

不久前，我欣喜万分地通过了CISSP考试，终于从长达两个月的紧张备考中解脱出来，心中满是难以言表的喜悦与成就感。在此，我迫切希望与大家分享这份来之不易的成功经验。

01

报考相关(“劝退”指南)

我已从事安全领域相关工作七年，目前在一家互联网企业专注于应用安全，特别是在软件开发生命周期（SDL）管理方面。

关于CISSP考试，我认为，对于有一定安全从业经验的人来说，报考是一个不错的选择，同时建议稍微懂一点点英语。对于完全没有从业经验的人来说，我建议谨慎考虑，因为缺乏实践经验可能会使备考过程变得异常艰难，甚至可能导致投入与回报不成正比。

1

为什么建议有经验的人报考呢

以前啊，CISSP考试是那种线性的，大家做的题目都差不多，所以有些人可能靠点小聪明、走点捷径就过关了。但到了2023年，官方发现了这个问题，就让一堆人重新考，还改了考试模式，变成了CAT模式，就是电脑会根据你的答题情况，专门挑你不会的、答得差的知识点来考你。这样一来，每个人的题目都不一样了，想再靠那些小聪明过关就难了。

而且啊，考试里的题目，很多都不是书上直接能学到的，得靠你在实际工作中积累的经验，还有对安全管理的深刻理解才能答得上来。所以啊，别以为把书上的东西都学明白了就万事大吉了，到了考试的时候，你可能会发现，学的和考的根本不是一回事儿，心里可能会有点懵。

2

为什么建议稍微懂一点点英语

CISSP考试啊，有个让人头疼的问题，就是有些题目的翻译是机翻，读起来不通顺，也不符合咱们平时的技术表达习惯。所以啊，要是想考好，最好还是得能读懂英语原题。这对于英语基础不太扎实的朋友们来说，确实是个不小的挑战呢。

02

基础知识学习

CISSP考试啊，涵盖了8大领域，从技术到管理，那叫一个全面！不过呢，它的特点是知识面广但深度不算特别深，就像是一公里宽但只有一英尺深的水池。它的主要目的是培养咱们的安全管理思维。

说到学习资料，官方的教材是OSG，也就是那个CISSP官方学习指南，民间的话呢，有个AIO，也就是CISSP大全。其实啊，这两本选一本看就足够了。

我个人比较推荐大家以OSG为主，毕竟它是官方的考纲，较为权威！目前OSG教材已经出到了第十版，不过第十版为纯英文版的，目前国内还没有中文翻译版的，而且两版差别不太大，如果英语较好可以选择第十版的啃，如果英语不好建议直接看第九版。如果选择报名的话会赠送一本OSG教材。

对于OSG这本书啊，我的建议是，除非你已经有非常丰富的大企业安全管理经验，否则最好还是通读（精读）至少一遍。有些人说不用看书，但我觉得那不太靠谱。虽然书里的知识点可能看起来有点零散，但它真的能帮咱们锻炼结构化思考能力，这对咱们应对考试是很有帮助的。

03

刷题

！多刷题，理解题，不要背题！

！不要试图用国内认证考试的思路报考CISSP！

刷题的话，我呢，是把承制科技里的所有题目都刷了一遍，包括那八个知识领域的和四个综合练习，同时结合老师在强化学习的时候会把错题、解题思路、出题人逻辑等都讲透彻，我还把每道题每个选项背后的知识点都搞懂了。据同班级的学员讲他们见过在网上找到的一般英文版的题，也有一些民间翻译的版本，不过翻译得可能不太准。

如果有经济实力报名培训班的话都会带中文版的练习题，可以直接跟着培训班的习题和讲解来做。

八个知识域的题目：随机抽取来作答的，考试前我的正确率能稳定在90%以上。

四个综合练习：我当模拟题来做，正确率大概在75%到85%之间。大家可以根据自己的情况参考一下这个标准。

！强烈建议整理错题本！

04

考试缴费与预约

CISSP考试可以在ISC2官网提前预约，考试时间在每个季度最后一个月进行。

考试费用为749美元一次哦，如果没考过，只能再交一次重新考。所以啊，我建议大家还是准备充分了再去考，不然每次考试都叫749美金也顶不住。对大部分人来说，749美金可不是一笔小数目。

官方偶尔会推出“CISSP中文考试安心保障”服务：

948美元即可享受一次考试+如果考挂了在下个季度重来一次。如果对自己不是很有信心的话，我感觉买这个服务还是挺划算的。

当然有CISSP保障班，特定情况下补考的费用由他们承担~

05

考前准备

在考试之前，请务必准备好个人身份证件以及一张附有个人签名的信用卡（根据官方要求，必须使用信用卡）。

在备考过程中，针对知识掌握情况，建议建立个人的错题集，将错误题目及其对应的知识点详细记录，并参考OSG进行深入理解，以确保充分掌握，因为考试中可能会涉及这些知识点。

06

进考场

考试当天，我们需前往PearsonVue官方指定的考场参加考试，这些考场通常设立在一线城市如北京、上海、深圳、成都、西安等地。若同学所在城市未设考点，则需提前预订酒店前往一线城市应试，这可能会带来一些不便。

考试大多安排在上午开始，且通常能准时进行。一旦进入考场区域，考生将不允许复习任何资料，且需将手机关机。随后，工作人员会进行身份验证，包括核对证件、拍照，并在正式进入考场前，要求考生录入掌纹信息（而非指纹）以完成身份验证流程。

07

考试中

进入考场后，你会发现有十几名考生共处一室，整个考场都处于摄像头的严密监控和录音录像之下。每个考生之间都设有很高的隔板，以确保考试的独立性。此外，由于PearsonVue承接了多家考试机构的业务，因此你周围的考生很可能并非都在参加CISSP考试。这里要特别提醒的是，考场的纪律非常严格，甚至超过了高考的标准，所以千万不要有任何作弊的念头。

当前的CAT模式考试是一种“自适应”考试形式，时长为三个小时，全部为单选题。考生可能会遇到100到150道不等的题目。计算机系统会实时评估你的答题准确率和通过可能性。一旦在回答完约100道题后，如果系统判定你已满足通过标准，考试将提前结束。当然，如果系统认为你此次考试通过无望，考试也可能会在此时终止，但这种情况较为少见。

我是考试答题到122道题考试结束的，用时2个多小时。

因此，大家一定要保持平稳的心态，无论做到多少道题，都要冷静思考，充分利用自己的经验和所学知识来应对，这才是最关键的。

大家最关心的考试题目的难度：非常具有挑战性（至少在我看来，我的安全经验已经算是比较丰富了）。大概只有25%左右的题目能直接用学到的知识快速解答，剩下的都得根据题目描述，仔细斟酌选项，然后选择出最优的一项答案，答题的时候你会发现有同时几个选项也是可以选的，但是必定会有最优的一项，真的很让人纠结。

08

考试结束

在100到150题的范围内，计算机会通过算法来判断你是否通过考试。在100题之后你永远不会知道，当你点击下一题的时候，屏幕上会不会突然出现“考试结束”这四个大字。

考试结束后，你还得再录一次掌纹，确认身份信息。然后，考场的老师会把你的成绩单背面朝上递给你，这么做可能是为了保护考生信息，防止泄露，也有人说是为了避免考生因成绩未过而感到尴尬。

拿到成绩单后，要是上面的内容和本文开头提到的第一张图一样，那就恭喜你啦，你已经成功通过了CISSP考试！但如果成绩单上指出了你知识掌握不足的知识领域，那就比较遗憾了，意味着你还需要再次努力，准备下一次的考试。

09

背书与证书维持

在考试通过后，ISC2会向你的邮箱发送邮件，收到邮件后就可以准备背书工作啦。

要成为CISSP的“member”（会员），需要满足五年的工作经验要求（如果你的本科专业是IT相关的，那么可以减少一年的工作经验要求）。你可以选择通过背书人进行背书，或者选择官方审查资料来进行背书。通常来说，选择背书人的方式更为常见，可以在网购平台上也能找到相关的服务，如果你在科技报名培训的话会提供免费背书服务。

在大概6-8周背书审核通过后，会发邮件告知大家，在缴纳会费(每年135美金)后，会取得CISSP证书。

一般纸质版证书后续会寄到ISC2的中国办公室，然后办公室会联系大家确认详细地址。

拿到CISSP证书后，我们需要交年费（135美金），并且赚取CPE(学分)来维持证书（3年120 CPE）。如果是在报名培训的话会给免费的CPE积分课程。

10

自学、报培训班

首先，经过我考下来的经历，我个人感觉CISSP证书的含金量真的很高，同时考试难度相对来说也挺大的，但是在老师的带领学习下我感觉还是比较轻松的。

如果各位平时就是学霸，可以选择自学自考；如果各位经济实力较强，可以选择报名CISSP保障培训班，毕竟有老师指导学习以及背书、维持服务，能帮我们提升学习效率，大幅度提升CISSP考试通过率。