[讨论] CISSP 认证考试心得

信息安全顾问处顾问部经理徐士坦
大纲:
一、CISSP 认证简介
二、CISSP 认证考试经过
三、准备考试心得分享
四、结论
一、CISSP 认证简介
CISSP 认证是由International Information Systems Security
Certification Consortium(简称(ISC)2)在全世界各地所举办的考试，符合考试
资格人员于通过测验后授予CISSP 证照，该组织系一非营利性组织成立于1989年；CISSP 目前已成为全球公认评选信息安全专业人员的重要参考依据，也就是获得(ISC)2 所颁发的CISSP 证照代表着具备信息安全的专业，且为了保持专业知识、技能及竞争优势，(ISC)2 要求取得CISSP 证照人员必须持续进修，于三年内累积120 点之进修点数(从事相关工作或研究等)，否则必须重新参加考试，才能继续保有CISSP 资格，同时(ISC)2 亦于网站上公布CISSP 证照合格人员的基本资料，目前我国拥有此证者已累积到8 人，超过邻国日本的5 张认证，而远远落后于韩国的51 人，关于CISSP 详细信息，可参考http://www.isc2.org 网页。
        CISSP 的考试题目为250 题选择题，均为英文试题，所有考题必须在6 小时之内作答完毕，其范围都与信息安全有关，除了法律，犯罪调查及道德规范外，尚包含信息安全管理实务、存取控制、电信及网络安全、计算机作业安全、密码学、应用程序及系统开发、信息安全架构及模型、实体安全以及企业持续运作与灾变复原计划等共有十个领域(Domain)的专业知识。
二、CISSP 认证考试经过
为了准备这项考试，钰松国际公司内部特别组成一个读书会，读书会成员利
用工作空档轮流准备自己较为熟悉的领域，担任导读的工作，并于读书会中交换心得，由于公司大部份同仁现职工作，与准备考试所应具备的知识相似，因此当碰到书中艰深的专有名词或某些较困难考题时，可以藉由日常工作所累积的实务经验中，相互讨论交换意见并试着找出问题的解答。例如遇到防范骇客问题时，研发部门提供了许多宝贵的专业实务；技术服务处及顾问处分别从技术及管理二个方面交换工作经验及专业知识，法务部门则提出法律及犯罪调查等有关问题的经验分享，这些实际工作经验对于后来的应试，或多或少发挥了一定的解题效果，因为如果仅仅了解课本内容，实际回答问题时可能因为缺乏实务经验而会有仿真两可，不知如何选择的题目，这也难怪(ISC)2 要求参加考试人员至少具备三年以上与信息安全直接相关的工作经验，如此保证通过考试人员不仅只是一张paper-CISSP 证书而已。
本次考试从报名开始就历经各种的考验，在决定报名参加韩国汉城12 月份所举办的考试时，于10 月中报名时竟然已经额满，在受限前往其它地方应试的
情况下，感到些许的挫折与无奈，突然之间于10 月下旬的某一天又出现额，
立刻于网络上完成报名手续，隔日竟然又出现sold out(额满)状况，报名费用
这么昂贵的考试(US$450-500)，在国外却是那么热门，真是令人不可思议。
完成报名手续后，照理应于考试前收到准考证才可以参加考试，但直到12
月6 日，也就是考试的前二天，仍苦于未收到准考证的困扰，经过多次以电子邮件询问均无明确答复，上飞机时手中有的仅是网络报名单及信用卡扣款收据而已，怀着一颗忐忑不安的心情到了韩国时已是万家灯火，只能等到隔日再到考场交涉，同时查看考场座位。
       考试的前一天，好不容易找到了考试地点-- Dongguk University ，却因为
语文问题及学校一般行政人员对这项考试并不了解，且找遍全校并没有任何张贴的标志(至少没有看到英文CISSP 的告示)，前后足足折磨了三个多小时，才大概可以确定考试的教室位置，此时当地室外温度约只有6-7℃度左右，当场也无法再多加探听，只有等明日早一些时候先到考场再说，还真可谓好事多磨。考试当天抵达考场时，终于看见英文的标示，心中也较为放心。然而马上面临另一项的挑战，原来全部考生都是韩国人(约有二百多人)，彼此交谈及考试的过程使用言语当然不是英文更没人会中文，他们也非常意外有”老外”来考试。好不容易找到一位可以讲英文的监考人员，经过他的协助翻译之下，也翻遍了整个考选名册，终于找到了我的名字(因为缺少准考证号码，他们以为我跑错地方)，至于考试中间有人发问及回答问题，所听到的都是”雾煞煞”的韩国话，真是后悔没在考试之前多多学习韩文，至少也应该多看韩剧，才不至于感到这么无助与孤独。好不容易挨过六个小时的煎熬后顺利交卷，姑且不论考试题目困难程度，单是考试过程就非常精彩，可说是历尽险阻艰辛。后来回国后，才发现直到考试的前一天(12 月7 日)中午12 时，准考证以电子邮件方式寄出，而当时我正在查看考场，因此没有及时收到，也许对于当地参加考试人员而言不是问题，然而对我们”外国人”真是造成了不少的困扰，所幸经过这么多折磨后，终于在12 月底收到了(ISC)2 寄来的证书(谢天谢地是英文的证书)。
3
三、准备考试心得分享
CISSP 考试的范围非常广泛，且不断加入新信息的考题，又要求具备实务经
验，因此想要参加考试的人，须有长期抗战的心理准备，如果想要在短期内通过考试，个人认为应该也要把握重点加强准备，兹就个人的准备及考试心得提出浅
见报告说明，