快速通過 CISSP 考試心得、準備方式與教材整理(Certified Information Systems Security Professional)
終於考到今年的目標啦!去年連續考到 ISACA 4C 後,當然就把 CISSP 當作今年目標,打好資安顧問與資安管理的基本功,學習國際上通用且正確的資安觀念!
我想把各種經驗寫出來做分享教學,希望把社群的分享風氣帶出來給大家。並期望之後有人也可以寫出不同的心得文,如果是自修同學對於申請考試和準備上有任何問題,可以透過 LinkedIn 交朋友與 Facebook 來聯絡我,能力範圍內盡量幫你解決(或是你想認識我出來喝杯咖啡也歡迎,我很喜歡多認識業界的朋友們交流,也真的不少人找我聊聊過了!)。
- 關於 Kuro 介紹、聯絡方式、文章分享(推薦透過此連結比較完整) :https://portaly.cc/kurohuang
- 其他聯絡方式 : https://kuronetwork.me/contact/
- 所有文章: https://kuronetwork.me/posts/
- LinkedIn: https://www.linkedin.com/in/kurohuang/
- 我做的資安貼圖 :
ISACA 考試延伸參考:
已取得(有付費的並持續更新)
- 2019.01 — Cisco Certified Network Associate : Routing and Switching (CCNA RS) (文化大學進修推廣部上課)
- 2019.11 — Network Security of Packet Analysis Course (NSPA)(重點整理)
- 2019.12 — EC-Council Certification Ethical Hacker (CEH) (心得)
- 2020.04 — Cisco Certified Network Professional: Enterprise (CCNP Enterprise)( Link )
- 2020.04 — VMware Certified Professional : Network Virtualization (VCP-NV)(心得點我)
- 2020.05 — Cisco Certified Network Professional : Security (CCNP Security )
- 2020.07 — Azure AZ-900 (心得點我)
- 2020.11 — EC-Council Certified Security Analyst (ECSA) & CPSA換證心得
2021 (心得連結在最後證照簡稱上)
- 2021.02 — Certified Threat Intelligence Analyst ( CTIA )
- 2021.04 — Certified Information Systems Auditor ( CISA )
- 2021.05 — EC-Council Certified SOC Analyst ( CSA )
- 2021.08 — Certified Information Systems Manager ( CISM )
- 2021.09 — Certified in Risk and Information Systems Control (CRISC)
- 2021.10 — Certified in the Governance of Enterprise IT (CGEIT)
2022 (心得連結在最後證照簡稱上)
- 2022.07 — Certified Information Systems Security Professional (CISSP)
- 2022.10 — Certified Data Privacy Solutions Engineer ( CDPSE )
- 2022.12.30 — Certified Cloud Security Professional ( CCSP)
- 2023.2 — Certified CyberSecurity Certification ( CC)
- 2023.04 — EC-Council Certified Incident Handler ( ECIH)
- 2023.08 — EC-Council Certified Ethical Hacker Practical / Master (CEHP)
2024 (心得連結在最後證照簡稱上)
- 2024.02 — AWS Certified Cloud Practitioner Certification (CCP)
- 2024.02 — AWS Certified Solutions Architect — Associate (SAA)
- 2024.03 — GCP Associate Cloud Engineer (GCP-ACE)
ISACA 證照學習組合包與教材總整理:
個人背景
- 工作經歷:科技製造業、金融業、四大會計師事務所之萬能工具人 — 資安顧問( 技術 & 管理)。
- 專案經驗:新興科技、雲端安全、資安治理規劃、資安藍圖規畫、電腦系統資訊安全評估、資安稽核、資安檢測、技術防護成熟度評估、資安成熟度評估、資安解決方案規劃、APP 資安檢測、國內外合規檢視、國際資安框架、縱深防禦設計、風險控制評估跟賣肝。
前言:
CISSP 是管理考試,先前被更困難的 ISACA CRISC (國際資訊風險控制師)荼毒過,我覺得 CISSP 管理面的內容都很容易,觀念對了都很好判斷或刪去,整體而言其實很簡單,主要是理解管理觀念和所有課本內名詞的熟悉度,個人覺得最困難的是大量的技術名詞和其用途,考驗記憶力和有沒有讀到。回到標題,其實也沒準備的多快 ( 跪 ),很多人短短一個月內就拿到了,我 ISACA 的 CRISC / CGEIT 考試大概準備兩三週就通過,CISSP 因為太過謹慎(恐懼)的關係,準備的時間是好幾倍啊,現在回想其實可以更短的時間,管理類考試只要觀念通,都可以一次通過!
針對 CISSP 我的建議是:
管理觀念通,考試很輕鬆
CISSP / CISA / CISM / CRISC 只是資安管理顧問的基本功,國外四大資安管理顧問很多都具備三張以上,台灣顧問產業現況就非常不重視管理與技術知識的基本能力,四張都包含國內外主流所需要具備資安的基本知識,沒有認真讀 ISC2 / ISACA 的認證之前,都不知道自己其實懂的很少,更不知道是不是正確的觀念,所以考完我也不會說自己是專家,因為沒有人八個 Domain 都全部具備實務樣樣精通!考試只是證明你懂這些管理顧問所需要的基本知識,所以 CISSP 是個起點,絕對不是終點,盡可能多認識各領域的專家,相互學習,雖然準備 CISSP 的過程很不容易,要相信自己做得到!
CISSP 是管理考試,管理觀念為主,雖然有超多技術內容,但不會很深,也不需要會動手設定,你需要知到超多技術觀念,但身為管理顧問不懂技術名詞和用途,如何溝通和給出最具成本效益的建議呢?所以在國內外這行,CISSP就是公認是一個很好的學習的目標,再次強調是持續學習廣度的知識,不是為了考證照這件事,我不是證照至上的人,不用證照也可以證明很多實力與能力,身邊大大都是例子,證照是立下一個明確學習的手段,僅此而已。
也再聊一下,我當過乙方四大的資安顧問也當過甲方資安人員,身為資安顧問/廠商有重大的使命,就是不要昧著良心說話,在這條路上,堅持做對的事情,說對的話,當個有良知能給合理建議的顧問 ,不懂不要裝懂 ; 同時甲方也要成為乙方的好戰友,該做的事情要自己做,不要把甲乙方變成上下關係拼命使喚,很多事情是甲方要自己學習並解決,有超過八成的資安管理問題不需要找外部顧問就能自己找到解答,期望甲乙方要同心協力互相成為對方的好夥伴!
啊對,唸書之前,我希望你看一下我這篇 CISSP 讀書方法(不敗學習力:10大聰明讀書法之 CISSP 證照考試應用心得),用科學的方式唸書,會對於考 CISSP 很有幫助,至少你記得起來 90% 的內容
動機:
身為資安顧問有重大的使命,要給自己與我的客戶能夠有正確的資安觀念,給出具有成本效益的建議,所以要提升自己各個領域的水平,所以先前學習了 ISACA 與其他相關的資安認證,資安顧問需要比客戶學習更多的知識,因為客戶每天都會問一堆奇怪又不同領域的問題。最後就是要拿到 CISSP 這張證照來達成 5C !
另外我過往的同事們,如 Weihan / Shawn / Griffin 考 CISSP 都是神速的快,自修且書翻一翻練一下就過了,在大大身邊我壓力也很大,他們的資安基本功都非常的深厚,好同事 Griffin 更是我的目標,追隨他的腳步在 27、28歲左右就拿完了 ISC2 / ISACA / EC-Council 等資安管理顧問基本功的認證!!
最初正要開始 CISSP 前運氣有點差,身體健康出了一些狀況,所以都是用平日短短的時間和假日時間居多,請各位避免過度勞累…
順帶提一下,我其中一個大目標則是將整本書都學完,並記起來!並不是只有想通過考試而已,書上所有的內容都是在工作上有機會用到的!!
延伸閱讀,證照跟證明的差別,你的資安證照真的是證照嗎?
剛入行新手建議念 ISC2 的 CC (Cybersecurity Certification)證照
以下為大概的時程安排(大概):
- 2022.05:上課 + 寫完筆記 + QOTD 題目
- 2022.06.01–06.17: QOTD 、補充自己的筆記細節
- 2022.06.17–07.17:OSG 9th 線上題庫 全部+ OPT 3th 線上題庫 全部 + QOTD
- 2022.07.17–07.23:OSG/OPT錯的練到歸0 + QOTD + How to think like a manager for the CISSP 書(CISSP 管理觀念統整)
- 2022.07.24–07.25 :看各式各樣整理好的筆記 + 錯題的筆記與找同行複習觀念
- 2022.07.26:順利通過 CISSP 考試
五月份:
- 認真上課 + 做電子筆記 + 預先寫 CISSP 練習題,因為我不喜歡一直翻紙書,找資料太慢了,所以全部用電子化方式,修改增補也方便。
- 不管什麼課程,課前都要預習當週要上課的內容,先預習寫課程相關的題目最好,抓出不熟悉的內容,不要管對錯和分數。
- 自己寫筆記,看別人的會忘
- 丟掉工作經驗和你的技術腦(個人想法),工作經驗絕大部分都錯誤的,沒有照著框架和正確的方式去做,把經驗丟掉。
六月份:
- 2022.06.01–06.17: QOTD 模擬題
- 2022.06.18–07.16:OSG 線上題庫+ OPT 線上題庫 + QOTD 模擬題 + 找同行複習
- 熟讀 Exam outline主題
- 錯題馬上做筆記與整理,計算每次的分數
- 熟讀 OSG / AIO ,建議寫完每個 Doman 的題目就把該章節的課本看熟,確保完全理解
七月份 -1:
- 2022.07.16–07.23:OSG/OPT錯的盡可能刷到 0 錯,因為課本的邏輯也是是考試方向之一,熟悉官方課本邏輯與想要表達的方向在思考題目時會有幫助,但不是死背喔!!!
- QOTD
- How to think like a Manager for the CISSP (管理觀念彙整)
- 讀熟 Exam outline ,我是讀到可以看著每個主題直接講
- 熟讀 OSG / AIO ,建議寫完每個 Doman 的題目就把該章節的課本看熟,確保完全理解
七月份-考前幾天:
- QOTD
- How to think like a Manager for the CISSP 重點筆記
- 把所有筆記看一輪,能記住多少細節就盡量記,整本書都是考試範圍
- 複習管理觀念與原則
- 錯題的觀念複習
- 為了順利通過考試,許可的話廣度和深度都達到。
上場的準備:
- 無形壓力(同行的幫忙)
- 買全穀類食物當早餐,不要吃太多精緻澱粉。
- 連喝三天的雞精(含當天起床)
- 長效型人蔘蜆B群(長效緩釋)
- 考試休息時候吃綜合堅果
- 提神飲料 / 一瓶水
- 綠油精/眼藥水
- 帶著管理思維
- 超涼濕紙巾
考後感想
- 如果曾經考過 ISACA 考試,對於管理面觀念很有幫助,ISACA管理面的考試更難(特別是CRISC),解管理題絕對 OK !
- 管理思維很重要,考試大家最怕的管理題真的不難,透過基於風險的決策/CISO 角度來思考。
- 能記多少就記多少,整本書都是考試範圍,不要鐵齒,沒時間就抓重點複習,該背起來就都要背起來,這些東西都是你應該具備的基本知識。
- 理解課本觀點和邏輯思考(所以要熟讀課本),搭配正確的管理觀念,想通過沒問題。
- 技術也要讀,千萬不要偏廢,基本的技術知識是管理顧問的基本功之一,不懂技術的用途會造成溝通上有差距,也難以判斷很多事情的真偽,請不要挑主題念!
- 感謝幫我說明觀念還有給我建議的朋友們
每個人背景不一樣,我的經驗和感想只能當參考,無法套在每個人身上,請自己調整
人生的學習歷程(2024補充)
這張圖是受邀去某超大銀行分享一些學習的心路歷程,就做了這張圖!
關於 Kuro 介紹、聯絡方式、文章分享(推薦透過此連結比較完整) :https://portaly.cc/kurohuang
資源統整
CISSP教材:
- OSG 8th 中文版 / 9th 英文版官方書(官方思維要看,最新的第九版也要看,有新主題和新解釋)
- AIO 8th (也能只當工具書挑重點看即可,細節解釋的比較好)
- How to think like a manager for CISSP (CISSP思維)
- 國內外同行的筆記和資料
- CISSP CBK,可以不看但我個人推薦考完後精讀這本,補充細節知識
CISSP練習題庫:
- OSG 9th + OPT 3th 線上題庫
- QOTD
- Boson
- Udemy上 Thor的 Hard Question#1
延伸學習
Certified Cloud Security Professional ( CCSP)
