cissp教材,cissp教材 第七版pdf

2021年CISSP考试总结

目前行业内普遍使用的是(ISC)2?CISSP??Certified Information Systems Security Professional Official Study Guide（简称OSG），中文版有第8版，英文版已经出到 第9版 ，9版相比8版有很多概念上的改变，请参照9版，比如隐私盾在9版中已经失效。 建议有能力的同学看英文版。 但是该版本属于概要版本，细节讲的不是很透，特别是 域5身份与访问管理 部分讲解SAML等概念时讲的不清楚，请参考AIO继续学习。(AIO的书可以不细看，后面 练习题 可以做做扩展下思路，毕竟多一套题源)

在练习题方面，官方有(ISC)2?CISSP??Certified Information Systems Security Professional Official Practice Tests Third Edition的练习册。这本书值得拥有，我的建议是 阅读原版做题 ，把 每道题的解释弄清楚 ，并且答案里的解释有很多是教材的扩展内容， 请务必掌握 。

因此，教材的使用优先级次序：

（1）(ISC)2?CISSP??Certified Information Systems Security Professional Official Study Guide（简称OSG）9版。（ 主要 ）

（2）(ISC)2?CISSP??Certified Information Systems Security Professional Official Practice Tests Third Edition。（ 主要 ）

（3）ALL IN One（AIO）。（辅助）

（4）另外，NIST的各种标准有精力也可以看看（OSG中大量提到），OSG大部分引用了NIST里的各种标准，就像我们的CISP引用国内的各种标准和法律法规。老实说，我下了很多，但看过的只有RMF，想搞懂风险管理框架的过程。

（1）国外有很多刷题的网站，但比较有名的是 examtopics ，能见到 以往的真实题型 并且有很多人的讨论， 对于考生熟悉题型非常有 帮助的，不过好像要收费，我只是在偶尔免费的时候使用，如果期望在这网站上发现要考的原题，我觉得您是想多了。还有exampracticetests和brainscape啥的我也免费用过，在bing里搜一些examtopics上的题目，很容易关联其他做题网站。（ 高能提示：这些网站上的答案 不一定是标准答案，不一定是标准答案 ，这也是我刚开始比较迷惑的地方，因为这不是官方给的题，所以没有标准答案，要靠个人的水平进一步判断 ）

（2）国内也有人做题库， 题源基本是 “(ISC)2?CISSP??Certified Information Systems Security Professional Official Practice Tests Third Edition”汉化版本的，或者来自examtopics的一些汉化版本。如果自学能力强，可以不用这些题库。直接看原版的做题资料也行， 做好错题本帮助巩固知识点 。另外，还有个湾湾的讲师网站 Wentz Wu （在bing里搜索），他每天给出一道题，并且有详细的讲解。我很多不明白的在其网站上搜一搜都有比较好的答案。建议学习中难点可以在其网站上搜一搜，讲的浅显易懂。当然这位讲师还出了本The Effective CISSP: Security and Risk Management 的书，我觉得也不错。

不管是培训机构（它们好像有学习群，如果能 入群 一起讨论还是很有用的）还是自学，我觉得 重点还是自己 ，有人在架构和思路上给你讲清楚也不错，能讲透彻的不多，但愿您能遇到。因此，重点还是靠自己。结合网上经验和我的经历，我觉得很有必要把OSG 阅读至少2-3遍 ，我把OSG9版英文增加部分翻译阅读了一遍，我大概刷了 2000-3000道题 。Wentz Wu建议一般情况下刷 2000道题 过，非英语考生 5000道题 过。当然，也有 天才少年 ， 看很少的书做很少的题 就过了；嗯，祝愿您是天才少年，挣华为和互联网公司的高薪水，为国争光。

在学习内容上，当然是要把全书认真看一看了，不过有些感悟可以介绍一下，不要太注重技术，CISSP考的是人，技术和运营，并且是理论+行业（美）最佳实践。因此，很多 管理 上的知识必须掌握， 流程 上的东西必须掌握了，比如： 风险评估（这部分我觉得CISP教材讲的比较透）、BCP/DRP过程、漏洞评估/补丁管理、变更管理以及角色、配置管理、安全评估/审计、SDLC、身份配置过程、证书生命周期、数据生命周期、RMF（风险管理框架）框架、CMM/SAMM、安全人员角色和职责、数据相关人员角色和职责、取证过程、事件响应过程、渗透测试过程、道德规范、PDCA过程（CISP教材里讲的比较透）、ITIL基本概念 、 隐私/HIPPA相关概念和关键组成、SOC审计概念 。并且切实理解这些流程从前到后的功能是什么，各种过程的 目的和目标 以及作用得弄清楚。其他就是 技术和物理 上的知识点了，这个只能做好笔记认真复习。

最后，建议您 做好自己的笔记 ，不要用他人的笔记，自己做一遍有利于加深理解，当然如果是天才少年，请忽略；哦，忘了提一句，我很不年轻，所以需要做笔记。

我觉得CISP挺好的，CISP教材丰富并且具有很强的抽象性，如果学的深，理解的透完全在安全市场够用和管用；我想说的是如果国内也搞250道题，6小时考试，很难过，我觉得您也不一定开心。CISP和CISSP都强调 合规 ，我想在工作中能保证您工作合规的东西应该是最重要的。所以，我觉得 公平 看待两个证书比较好。

没有捷径 可走，天才少年除外。祝您早日通过各种考试，学习国内国外先进技术，强身健体，为 祖国安全事业 添砖加瓦！

偶然发现的 一百道 有趣练习题（有段历史了，也没标准答案，各位可以适当参考）：

附件 ：

请问CISSP的官方教材是全英文的吗？有中文翻译过来的教材吗？

这位童鞋，CISSP的官方教材肯定是全英文的啊，想找中文教材的话我看够呛啊，除非ISC2有懂中文的给翻译过来，要不国内的人翻译的话拿叫侵版权了，你要是想找些“中文翻译的资料“倒是可以找到的，各培训机构都有自己的中英文对照的内部教材，而且对备考很有帮助的，你倒是可以去咨询下

CISA，CISSP认证考试的教材与考试难易程度，通过率分别如何？分别需要多长时间考完？

两者都是国际认证，英文证书。cisa和cissp考试都是中英文考试、相对而言，cissp难一些，

cissp考试时长是6小时，cisa考试时长4小时，

CISA是一个国际性的考试，中文或英文或其他语言，对于CISA只是一个考试语言种类的增加，难度并没有降低。官方的通过率为45%左右， 肯定是只要自己肯学就没问题。

选择一家正确的、靠谱的培训机构，可以收到事半功倍的效果。艾威培训是一家以培训服务为主的跨国培训公司。涉及的培训课程主要有项目管理培训、CISSP培训、CISA培训，ITIL培训、Togaf培训等，公司在上海、北京、深圳等多地开课，从美国引进的培训教育理念，以客户为中心进行定制化的培训课程。

CISSP的一点小结

刚过了CISSP，有点五味杂阵，稍为记录一下。注意：下文不含考题内容！

一、考场（广州）

时间：这边是七点半正式入场，不会提早让进的，但如果你排第一个进去，检查完了，就可以开始考了，不是必需等到八点。

环境：场内有椅子供等候和休息用，环境还挺好的。每人一个小柜子，有钥匙，柜子还挺大的，目测可以放四五摞A4纸。考场的椅子挺舒服的，坐了四个多小时后，竟然不觉得腰累。

二、考中

拿到第一题，蒙了，好像是拿错试卷了，感觉是我拿着菜刀冲上去，然后发现敌人是一排的钢铁侠！一题两题不会做，还OK，连续若干道题都蒙的时候，就已经做好补考的准备了。记得之前看过一个评论说One Inch Deep的说法是不对的，简直是挖祖坟！

咬着牙做下去，后面的题就开始简单一些了，恢复了一点点信心。考了两小时，完成一半，去休息了一趟。休息时间没限定，反正花的是自己的考试时间。其实时间上还真是很充足的，我平均一分钟一题的速度做完。

三、小结

提醒一下，现在的规则是提交答案后，不能回看，不能修改的！

考前一晚，没睡好是正常的，毕竟压力大，大家都是这么过来的，进了考场冲就完了！

考试期间的心态很重要啊，就算不会做，也要挺过去，不做完最后一题不放弃，阳光总在风雨后！

有实际业务经验的话，很多时候有帮助，例如我之前处理过公司的BCP，有些问题就按现实中的情况去回答就是了。

中文翻译的质量挺高的，基本可以看明白，但因为我复习时全用英文，看英文的反应比较快。发现有些题目和答案还是要看清楚英文表述的细节，否则容易蒙圈。

四、复习

教材：我只用了OSG和Practice Test最新2021版的英文版，没报班，没买题库。

时间线：

1、 用了半年时间，将OSG粗看了两遍，其实也没记住啥，就是混个面熟。

2、考前两个月开始，将OSG中每章的Exam Essentials都过一遍，做好笔记，毕竟这才是重点。同时刷题，将Practice Test的做成Flash Card，每天用手机刷一刷。

3、考前一个月，用按考纲的知识点再梳理一遍，做一份完整笔记，顺便把Latex学会了。最后的笔记有两百多页，目录都占了十多页。

4、Practice Test中的四份综合题，我用来找感觉，一周一份，从67%做到77%的正确率。

再说一点：记牢基本概念后，将它们都放入到各种情境中，融汇贯通；再多练习一下如何选择最佳方案。其它人也经常提到一点，就是经常出现两个相似的答案，但像柯南说的：真相只有一个！就看你实力与运气。最后，祝各位考友的运气都棒棒的！

CISSP台湾地区现在用第几版教材

现在是第9版教材。

CISSP即信息系统安全专业认证，这一证书代表国际信息系统安全从业人员的权威认证，CISSP认证项目面向从事商业环境安全体系建构、设计、管理或控制的专业人员，对从业人员的技术及知识积累进行测试。信息网络安全在网络帝国中的热度正在急剧上升其所向披靡的能力几乎控制了整个行业的发展方向。

早期参加CISSP考试的人员多数集中在信息安全从业人员。随着CISSP被更多的人认知，其分布也将逐渐趋于平均，其中像银行、证券、电信、IT服务提供商、政府和教育部门等行业用户的CISSP的持有者都将会大量增加。