2020 CISSP-黃同學

本來一直是做防火牆方面的工作，聽說CISSP是業界公認最難的考試，想說去上課聽聽看吧。於是去年年底就選了價格無比親民的全智網。沒想到就像小白兔誤闖森林，愈陷愈深，不僅被凌虐的體無完膚，也找不到回去的路了。上課講義是很有系統的介紹，其實那只是個導讀。

上完整套課程，真正的苦頭才開始。我開始鑽進去讀 All-In-One (AIO)一千多頁看了很久，二個月看不完。心裡急了，想說乾脆先訂考試時間吧，訂好了自然就會逼自己趕上進度。到了第一次考試，6個小時下來，結果沒過，開始懷疑人生。其實想想還好，心裡倒沒什麼很難過，考過算運氣，沒過是應該，先考個經驗吧！

考完的報告列出了我有及格和沒及格的Domain，我覺得它真實的反應我準備不足的地方。Domain4通訊網路安全最強，沒什麼準備，成績最高，本來那就是本行。Domain1 風險管理，Domain8 軟體開發安全，都沒及格最差。考後我馬上告訴Joseph老師，老師還安慰我，說只差一點。

我覺的全智網雖然規模不是國內最大，但是它最大的好處是，老師和學生很close，會幫學生分析問題所在。KK老師也主動問我還幫我分析弱點所在。我整理之後，沒時間療傷，馬上報名 Royce 老師的 Security+, 以及 Joseph 老師的 ISO27701。這兩門課對我接下來的 CISSP 準備很有幫助。

CompTIA Security+ 會把所有有關系統，網路，應用的弱點及威脅，做詳細的分析還有Lab實做，印象會比較深刻。而且它貫穿好幾個CISSP Domain，讓我準備這類弱點威脅題目時，不用思考太久，得心應手。ISO27701涵蓋ISO27001及隱私權，我覺得這個對我整個資安面的建立有很大的啟發，尤其是在Domain 資產管理，身份驗證管理，運作安全，這些都和ISO27001有緊密關連的。我也在網路上找了國外的一些影片學習，多做一些題目，突然間不知什麼時候將許多的觀念串在一起，好像打通了任督二脈，豁然開朗。在第二次考試時，也順利考過了。很多題目比較容易就抓到它想問的重點了。

最後，我想說的是 CISSP 不會問你LDAP port 是不是 389，它會問你LDAP的最大弱點是什麼？所以這跟我們以前準備考試方法不同，用硬記的方法準備會很辛苦。有人說準備CISSP是二吋深，一里寬；那只是個比喻，寬度是絕對寬，要多花時間；但千萬不要小看二吋深，如果觀念不清楚，連半吋都不易到達。所以建議要準備的同學，真的要花時間把觀念弄清楚。