通过2020、11、16年CISSP考试，总结备考经验。我没有参加培训班，完全自学。从报名到

考试用了一年半的时间，期间断断续续的学习。实际学习大概两个月，我过了一次，比较顺利。

第一，个人对考试的整体感受。

 

 

1.语言文化。
 

CISSP主要从美国人的角度看待网络安全。所以，尽量从英语语言、美国文化、美国思维方式的

角度去理解网络安全。所以，英语好，就有很强的优势。一个是英语语言问题。我判断英语好的

标准之一是至少六级成绩超过550分。最好是看英文原版教材，看英文原版教材对理解更有帮助

；看语文课本的时候，你要想想翻译有没有问题。如果英语不好，建议你多花点时间对比一下中

英文。

 

第二，美国文化和思维方式。资本主义更注重资本家的利益，美国文化更注重个人隐私和自由，

但网络安全更注重企业的经营安全。因此，CISSP应该为资本家服务，确保企业能够赚钱，人

员的生命是第一位的。其次，业务的正常运营是优先保障。不像中国人以整体的眼光看待问题

，美国文化重视分而治之，分开研究事情。因此，网络安全被细分为通信、网络架构、计算机

原理、身份认证、授权、审计、研发安全和安全操作...然后把这些小方案像珍珠一样连接起来

，形成一个整体框架、结构和珍珠项链。美国非常重视标准和管理体系的建设，因此建立了各

种网络安全标准、体系和框架。
 

 

2.概念和术语。

 

如前所述，美国文化非常重视分而治之，分开研究事物，所以在研究每个对象的时候都会定义

很多概念和专业术语。CISSP考试强调对这些概念和术语的理解以及对技术原理的掌握。

 

 

3.网络安全发展。
 

因为网络安全是随着IT技术的发展而发展的，很多企业往往更注重业务而不是网络安全，甚至

忽视网络安全，网络安全还远远没有达到成熟阶段。网络安全方面的知识更新特别快，新的攻

防技术层出不穷。从20世纪90年代的计算机蠕虫到21世纪初的病毒木马，再到互联网web安全

，再到最近的云安全和数据安全，每隔几年就会出现新的攻防技术，CISSP会相应更新这些知

识点和试题。不同国家的网络安全法律法规不同。CISSP更注重美国和欧盟的法律，基本不涉

及西方世界以外的法律。但是，法律法规也在变化。比如美欧“安全港”数据安全协议到期后，

签订了隐私盾协议，现在隐私盾协议也被欧盟判定无效。所以要用发展的眼光看待CISSP

考试，关注最新的网络安全动态，2017年之前不要看教材和真题。
 

 

4.考试题目。
 

ISC要求考生签署保密协议，不要泄露试题(真题)。所以网上真题很少，培训班可能会有纸质

真题分享(猜测)。在CISSP考试中，原题的数量也很少，一般在10道左右。如果题做得太快

，系统会判定为违规，但会面试，并禁止参加一阵子的CISSP考试。因此，海上战术和死记

硬背不适合CISSP考试。乍一看，如果你不能理解CISSP背后的相关知识点，你可能会感到

困惑。管理问题的知识点要从美国文化、管理、工作流程、顺序等角度分析；技术问题的知

识点要从概念、技术术语、技术原理来分析。在AIO和OSG，大多数试题都不能直接回答。

只有通过自己的理解和工作经验分析思考，才能得到一个正常的答案。