CISSP认证考试

CISSP（Certified Information Systems Security Professional）认证考试是全球知名的信息安全领域的专业认证之一。 1. 考试概述：CISSP考试旨在测试考生在安全运营、安全管理、安全架构、安全工程、安全法律与规定、通信与网络安全等方面的技能和知识。 2. 考试时间：CISSP考试时长为3小时，含有100~150道题目，包括单选题、多选题、判断题等题型。 3. 考试费用：CISSP认证考试费用根据考试地点和考试机构而有所不同，一般在500~1000美元之间。 4. 考试科目：CISSP认证考试涵盖以下8个基本领域： - 安全与风险管理 - 资产安全 - 安全架构与工程 - 通信与网络安全 - 身份与访问管理 - 安全评估与测试 - 安全操作 - 软件开发安全 5. 考试难度：CISSP认证考试被认为是信息安全领域的顶级认证之一，其考试难度较高。根据官方统计数据显示，通过率约为70%左右。 6. 考试准备：为了提高通过CISSP认证考试的机会，考生应该充分准备考试。可以参考以下几种方式： - 官方学习指南：(ISC)²发布的官方学习指南提供了详细的考试大纲和考试内容，考生可以通过这些材料来制定学习计划。 - 培训课程：各种培训机构都提供CISSP认证培训课程，这些课程可以帮助考生系统地学习相关知识。 - 经验积累：考生可以通过实践经验来加深对相关知识的理解和熟悉度。同时也可以通过阅读相关书籍和论文来提高知识水平。 7. 其他注意事项：CISSP认证考试需要考生过滤掉非常困难和非常简单的问题，将注意力集中在中等难度问题上。考生还需要保持耐心和冷静，在规定时间内仔细答完所有题目。

CISSP认证考试中的安全与风险管理科目的资料和建议： 1. 学习指南：(ISC)²发布的官方学习指南提供了详细的考试大纲和考试内容。它包括安全与风险管理领域的各种主题，如风险管理、合规性、法律、监管和政策等。 2. 经验积累：考生可以通过实践经验来加深对相关知识的理解和熟悉度。例如，了解企业内部如何进行风险评估和安全控制，并了解在应对安全和风险事件时需要采取的最佳实践和技术。 3. 相关书籍：阅读与安全与风险管理相关的书籍可以帮助您学习更多的基础知识。例如，《信息系统安全管理》（Information Security Management）一书，该书详细介绍了信息安全管理体系（ISMS）的实施、运营和维护。 4. 认证培训课程：各种培训机构都提供与安全与风险管理相关的CISSP认证培训课程，这些课程可以帮助您系统地学习相关知识。此外，参加这样的课程还可以获取与其他考生交流的机会，以便分享经验和最佳实践。 5. 安全标准和框架：了解各种安全标准和框架，如ISO / IEC 27001和NIST Cybersecurity Framework等，可以帮助您更好地理解安全与风险管理的原则和最佳实践。 6. 网络资源：有许多在线论坛和社区可以帮助您了解安全与风险管理的最新趋势和最佳实践。例如，(ISC)²有一个在线社区，在那里您可以与其他CISSP认证考生以及安全专业人士交流并获取有用的信息。

资产安全是CISSP认证考试中的一个重要科目，主要涉及如何保护和管理组织的信息、设备和其他物理和虚拟资源。 1. CISSP学习指南：资产安全章节 这是一份由ISC2官方提供的学习指南，其中详细介绍了资产安全的概念、管理和保护方法。 2. CISSP培训课程 有很多机构提供的CISSP培训课程都包括资产安全的内容，您可以选择一家受信赖的机构进行学习。 3. 《信息安全管理实践指南》 这本书是由国际标准化组织（ISO）发布的，其中有许多关于资产安全的内容，对CISSP考生来说也非常有用。 4. NIST SP 800-53 这是美国国家标准与技术研究所（NIST）发布的一份安全和隐私控制框架，其中包括了大量的资产安全方面的内容。 5. CISSP考试真题和模拟试卷 在备考过程中，您可以通过做真题和模拟试卷来检验自己的掌握情况，并且加深对资产安全方面的理解。

[CISSP学习指南 第4版](https://gateway.pinata.cloud/ipfs/bafykbzacecghpppe3ncdwtk7wcctzfn2keevkpy44x2o5bzu25yabyh3mpu74?filename=cissp-study-guide-eric-conrad-seth-misenar-joshua--annas-archive--libgenrs-nf-3637762.pdf)

《CISSP® Study Guide》 是一本非常实用的网络安全考试指南，旨在帮助读者了解CISSP®考试的各个方面，并提供了大量的实践经验和技巧，为读者顺利通过考试提供了有力的支持。 本书的第一部分主要介绍了网络安全的基本概念和原则，包括安全管理、安全模型、网络安全、密码学等方面的知识。这些内容为后续章节的学习奠定了坚实的基础，同时也为读者提供了更全面的网络安全知识。 第二部分主要介绍了CISSP®考试的各个领域，包括安全与风险管理、安全架构与设计、网络安全、身份和访问管理等。每个领域都被详细介绍，涵盖了该领域的所有相关知识点，而且每个章节都包含了丰富的示例和练习题，可以帮助读者更好地理解和掌握知识。 此外，本书还提供了一些非常有用的附加资源，包括练习题、模拟考试、补充阅读材料等，这些资源可以帮助读者更好地准备CISSP®考试，并提高他们的考试成绩。 《CISSP® Study Guide》是一本非常实用的网络安全考试指南，为想要通过CISSP®考试的读者提供了非常有价值的帮助。无论是初学者还是有经验的网络安全专业人士，都可以从中获得很多有益的知识和技巧。强烈推荐！

《CISSP® Study Guide》是一本非常详细和全面的书，它为想要成为CISSP®认证专业人员的人们提供了一种可靠的学习方式。这本书由全球著名的信息安全专家编写，内容包括了网络安全、应用安全、数据和信息安全等多个方面，为读者提供了一系列有用的知识和技能。 这本书采用了一种易于理解的语言，使得读者可以更加轻松地掌握复杂的安全概念。同时，它还提供了大量的练习题和实践案例，为读者提供了一个深入学习和练习的机会。此外，这本书还包括了许多实用工具和技术，以帮助读者在实际应用中更好地保护信息和数据安全。 我认为《CISSP® Study Guide》是一本非常实用和必备的书籍，它适合所有想要了解和掌握信息安全的人们。如果你想成为一名专业的信息安全工程师或者提升自己的技能，那么这本书绝对是一个很好的选择。

Eric Conrad（CISSP®，GIAC GSE，GPEN，GCIH，GCIA，GCFA，GAWN，GSEC，GMON，GISP）是SANS Institute的研究员和Backshore通信公司的首席技术官。Backshore提供威胁猎手、渗透测试、事件处理和入侵检测咨询服务。Eric在1991年开始他的职业生涯，当时他担任一家小型海洋通信公司的UNIX系统管理员。他在多个行业获得了信息安全经验，包括研究、教育、电力、互联网和医疗保健，在从系统程序员到安全工程师、HIPAA安全官和ISSO的职位中工作。他是MGT414: SANS CISSP认证培训计划、SEC511: 持续监控和安全运营以及SEC542: Web应用程序渗透测试和道德黑客合著者。Eric获得了SANS技术学院信息安全工程硕士学位。 Seth Misenar（CISSP®，GSE，GDSA，GDAT，GMON，GCDA，GCIH，GCIA，GCFA）担任SANS Institute的教学研究员和Jackson，密西西比州Context Security LLC的首席顾问。他是全球获得GIAC GSE（#28）证书的安全专家之一。Seth的重点领域包括安全研究、网络安全和安全运营、安全架构和云安全。Seth曾担任财富100强企业的物理和网络安全顾问，以及一家州政府机构的HIPAA和信息安全官。Seth为SANS Institute教授各种网络安全课程，包括他是共同作者的两个热门课程：畅销的SEC511: 持续监控和安全运营和MGT414: SANS CISSP认证培训计划。Seth拥有Millsaps学院的理学学士学位。 Joshua Feldman（CISSP®）是Radian Group（纽约证券交易所：RDN，一家房地产和抵押保险公司）的安全技术高级副总裁。他的使命是保护超过1000万美国消费者的金融记录。他是Radian技术安全计划的执行负责人。之前的安全职务包括在Moody's信用评级、康宁公司以及美国国防部和国务院工作。在2008年，Joshua在学习CISSP®考试时是Eric的学生，他对Eric熟练掌握材料的能力印象深刻，于是邀请Eric在国防部与他一起工作。Eric开始工作后不久，又邀请了Seth。该项目成功运行了8年以上，这证明了为美国军方网络专业人员带来的价值。Joshua在1997年离开他的公立学校科学教学职位后开始进入网络飞行记录仪（NFR，Inc.）工作，这是一家位于华盛顿特区的初创公司，制造第一代网络入侵检测系统。他拥有马里兰大学的理学学士学位和国防大学的网络运营硕士学位。他目前与他的小狗Jacky-boy住在费城。

本书源于真实的信息安全行业经验。本书的作者担任过系统管理员、系统程序员、网络工程师/安全工程师、安全总监、HIPAA安全官、高级副总裁、ISSO、安全顾问、讲师等职位。 本书也源于真实的教学经验。我们已经在世界各地向专业人士教授信息安全课程，累计行程不计其数。我们在数百个课程中教授了成千上万的学生：在大多数大陆上都有面对面教学，也有在线教学。课程包括CISSP®，当然还包括持续监控、威胁猎捕、渗透测试、安全基础知识、黑客技术、信息保障训练营等。 好的教师知道，学生花费了时间和金钱与他们在一起，时间可能是最宝贵的。我们尊重我们的学生和他们的时间：我们不会浪费它。我们教授我们的学生所需知道的内容，并且尽可能高效地做到。 本书也是对同一主题的其他书籍的反应。随着时间的推移，其他书籍的页数不断增长，往往超过1000页。正如Larry Wall曾经说过的：“有多种方法可以做到这一点”[1]。我们的经验告诉我们，还有另一种方法。如果我们可以教会有适当经验的人在6天的训练营中通过CISSP®考试，那么是否真的需要一本1000多页的CISSP®书籍呢？ 我们问自己：我们可以做什么之前没有做过的？我们可以做得更好或不同吗？我们可以写一本更短的书，直截了当地让学生通过考试，尊重他们的时间吗？ 我们相信答案是肯定的；您正在阅读结果。我们知道什么是重要的，不会浪费您的时间。我们已经把Strunk和White的建议“省略不必要的单词”[2]转化为我们的信条。 本书将教您需要知道的内容，并尽可能简洁明了地做到。

如何为考试做准备 阅读并理解本书：全部内容。如果我们在本书中涵盖了一个主题，那是因为它是可测试的（除非另有说明）。考试旨在测试您对共同知识体系的理解，共同知识体系可以被视为信息安全专业人员的通用语言。它被称为“宽一英里，深两英寸”。正式术语至关重要：请注意它们。 共同知识体系会不时更新，最近一次是在2015年4月。本书已更新，完全反映2021年CISSP®认证考试大纲。下载并阅读考试大纲是一个很好的准备步骤。您可以在此处下载：https://www.isc2.org/CISSP-Exam-Outline。 掌握本书中的缩写词及其所代表的单词，前后都要能够拼写。虽然您通常可以期望在考试中遇到缩写词，但学生熟悉这些缩写词将能够更快地完成考试。 考试问题的很多语言有时可能不太清晰：共同知识体系中的正式术语可以作为指引，帮助您解决更难的问题，突出在问题中真正重要的单词。

CISSP®考试是一项管理考试，请记住这一点：回答所有问题时都要像一位信息安全经理那样回答。许多问题不清晰，并且提供有限的背景信息：当要求提供最佳答案时，您可能会认为：“这取决于情况。”像经理一样思考和回答问题。例如：考试说明您关注网络利用。如果您是一位专业的渗透测试人员，您可能会想知道：我是在尝试发动攻击还是防范攻击？“关注”是什么意思？您的CSO可能正在试图减轻网络利用的影响，这就是您在考试中应该回答的方式。

2021年更新 2015年的更新代表了一次大变革，将知识领域从10个减少到了8个。许多内容被移动了。领域内容有时可能会显得混乱：概念并不总是从一个逻辑上流畅地连接到下一个。有些领域很大，而其他领域则较小。最终，这不是一个问题：您将面临来自8个领域的问题，问题不会明确说明它们基于的领域。 自那时以来的更新（2018年和2021年）保持了8个领域的相同设计。2021年的更新重点是添加更多最新的技术内容，包括强调供应链安全、零信任、微服务、容器、无服务器、量子密码学以及其他现代技术主题。

笔记卡方法 在学习时，为不容易记忆的高度具体信息保留一个“笔记卡”文件。笔记卡就是一个文本文件（您可以使用像WordPad这样的简单编辑器创建它），其中包含详细信息的压缩列表。 将笔记卡填充满任何重要的详细信息（您没有从以前的经验中已经知道的），例如软件能力成熟度模型集成（CMMI）的五个级别（在第9章，领域8：软件开发安全中介绍）或公共标准准则级别（在第4章，领域3：安全架构与工程中介绍）等。 笔记卡的目的是避免迷失在“细节”中：沉浸在一些难以一眼记住的具体信息中。将您的学习重点放在核心概念上，并将具体细节复制到笔记卡中。完成后，打印文件。在考试日期临近时，更仔细地研究您的笔记卡。在考试前几天，真正关注那些细节。