90天準備 CISSP 考試：學習小技巧與資源分享

前言

每個人學習背景不同，所以先簡單介紹我的背景：

• 資安領域工作經驗 5+ 年以上 ⬆️
• 有過資訊網路相關經驗，相關知識約 CCNP 或以上
• 資訊工程相關學系
• 資安研究員、資安工程師

由於資安相關經驗比較豐富一些，所以在實際學習內容上可能會跳比較快，但是我覺得按照這樣的學習進度應該 90 天應該是可以完成的​。

這篇只包含我的學習安排的分享，還有一些我覺得比較沒看到別人提的豆知識，
至於讀書筆記和資源我都是看 Kuro 的整理知道有哪些資源的，超詳細！
對於詳細準備有需求的，從他的文章去看就對了，在後面有連結。

那些沒注意到的考試相關資訊

有些資訊可能是大家口耳相傳，又或是我比較不愛讀文件? 有些資訊我是自己考試才知道的，所以這邊做個紀錄給大家。

1. 有 CISSP 安心考的套裝組（有兩次考試機會)
   這個考試我忘記我是從哪裡點到的，據說好像是一個定期優惠，USD749 一次考試變成 USD 948 ，如果你是要為自己留點緩衝建議可以買這種，但是如果你一次就過了那就浪費了QQ
2. 中文考試(只有簡體中文) 是三個月一次, 3 6 9 12 才會有中文考試，所以抓好自己可以的時間，雖然我是想到馬上就報名完全沒注意這件事。
3. CAT 考試系統：動態出 100~150 題，我是考試完才知道原來題數不是固定的，『聽說』是表現較好的話，你就 100 題結束，但是有偏科的話可能會多給你一些題目做，但其實有過就好，聽說以前是 250 題，還好有新的系統我超討厭寫考卷，250 題容易讓我精神不集中。
4. 多關注 ISC2 的官方資訊，有時候會有特價或是抽獎活動，我考完朋友跟我講可以登記官方考試抽獎活動抽禮物卡，就是有時候會有意想不到的。如果你有 ISC2 的證書，也可以參加 ISC2 台北分會 裡面有時也會分享這種資訊，同時也是詢問交流的好方式。
5. 考完申請 CISSP 需要有個背書人(endorser)：當然你沒有背書人，也可以 ISC2 也可以幫你推薦背書人，如果你有朋友有 CISSP 就可以請他幫忙當背書人。

學習安排：

由於學習領域劃分 8 大領域，官方教材是將這領域又拆分不同章節，但我讀書時是按照領域去學習的：

• Security and Risk Management
• Asset Security
• Security Architecture and Engineering
• Communication and Network Security
• Identity and Access Management (IAM)
• Security Assessment and Testing
• Security Operations
• Software Development Security

在這次學習中，我是與朋友共同讀書分享的方式進行，以下有些個人認為的小訣竅：

1. 先別死嗑，不要追求讀懂每一個字
   先前有看過一本書叫做『雪球速讀術』，從核心概念或基礎框架開始，快速掌握最重要的知識點，讓你對該領域有基本的輪廓。每次深入學習時，都以之前學到的內容為基礎，最終累積成系統化的理解。我會推薦學習的人，應該是先讀一次了解這個核心領域應該要知道的知識，就算沒有很懂，先快速了解一遍之後回來讀或是讀到下個領域或許有重複的概念，這樣你就能在腦中做系統化的知識輸出。
2. 每週專注一個領域：
   我們每週選定一個學習領域，進行『實體討論』，實體會讓人去排開一個時間，進行方式也是透過先行閱讀，當天直接交流其中的重要概念與實際見聞。理論上，我們需要約 5,6 天來完成全部學習內容，但由於每個人有日常工作或臨時事情，因此時間進度上可能會有些延後，但這並不影響整體效率，我覺得按照每週一個領域的篇幅能快速學習。
3. 提升效率與動力
   如果你對截止日期較為敏感，我會建議你就直接預約考試就對了，而且能預約到一個比較好的考試時間，或者覺得與人有約定能促使自己完成目標，那麼找一個行動力強的朋友非常關鍵！為了減輕考試壓力，可以選擇直接買兩次的考試，第一次當作練手感。
4. 每日多少學習一些
   如果我一天都沒看書，我會在睡前拿實體書當作助眠，通常不作筆記或是簡單圈起來覺得有點收穫的。或是利用通勤時間/運動時間，打開 Youtube 搜尋 CISSP e.g. CISSP Exam Cram Full Course (All 8 Domains) - Good for 2024 exam!，有很多別人對每個領域講解的影片，但還是要看書！

結語

CISSP 是一個廣度證照，你在學習他的過程中或許可以接觸到一些你原本不太會去了解的框架，雖然技術深度並沒有很深，但卻會驗證你一些概念。

當然我在學習過程中，有時候會覺得題目的答案不只一種，考試題目也只是給你一個『相對』比較好的參考，先撇除過多的假設/前提，按照題目背景與領域思維去選答案可能會比較輕鬆。

參考資料：

• ErwinLiu 的讀書筆記： https://hackmd.io/@ErwinLiu/CISSP
• Kuro 超詳細的心得：https://medium.com/blacksecurity/cissp-8ff31adf79e0
• Youtube 可以當 podcast 聽：CISSP Exam Cram Full Course (All 8 Domains) - Good for 2024 exam!