
謝謝昭名不吝分享成功經驗,並同意我收錄他的分享文章!
~ Wentz Wu
感謝社群各位大大這些日子不吝指導與分享,讓自己有幸在上週(2/3)通過CISSP考試,整理一下自己的歷程當lesson learned,並和大家交流,謝謝~~
通過CISSP考試後的第一個週末假期,心中石頭能落了地,兒子說爸爸終於可以開始耍廢了。回想這段時間遇到不少波折,先遇到因應疫情管理考試中心被取消該次考試 (三週前通知),改期接著又跟公司內部考試準備撞期,忙完後又得知考試即將要改版,只好約了三個月後趕快上陣……還好最後通過了。不過也體會到:繞路不見得遠,只要你願意努力,大家也都會用心幫著你。
參加考試的契機,是在公司轉任資安部門後,想多充實資安專業,於是在向老婆報備後,任性的展開CISSP學習旅程。為了想盡快了解考試全貌,前年底自費在恆逸資訊上Roland老師的課程,Roland老師的資安方面經驗很豐富,也很感謝後來的重聽機會,讓因故抽離半年沒唸的我重新加深學習記憶,不過課後衝刺的路還是要靠自己一步一腳印。也謝謝Wentz 老師的邀約,我試著把這段混亂但充實的過程做個整理分享(潮一點的說法,這是段很敏捷的過程,哈)。
先做一下我的背景介紹,我目前服務於金融業資安單位,資訊系所畢業,之前有十多年的程式開發,以及系統維運管理(unix-based 和mail server)及和資料庫管理(ms-sql、oracle)經驗,並有ITIL Foundation和PMP管理相關認證,對CISSP每個領域都不會完全陌生。CISSP是個很吃經驗的考試,一開始就講明希望考生五年內至少在兩個領域有相關經驗,想測試出考生是否滿足最佳實務思維與實際經驗運用,於是在面對情境問題時,正確觀念與經驗才容易回答。我依「木桶理論」補強自己最弱的資安治理、網路協定,也把軟體安全一些較有經驗的部份加強現有的最佳實務和熱門考點(如敏捷),進行持續的學習補強。
我的準備方式很樸實無華,上課認真聽(重聽特別珍惜),回家要復習,週末六日唸8個小時,平日唸2~3小時。課程上完唸一次課本(我以OSG為主),再來做考題驗證不足的地方再補強(約2千多題),若扣掉上課時間約當用了100小時左右。我一開始把OSG考試聖經從第一章開始狂唸,結果就在一堆知識點迷失,唸到最後忘了前面在講什麼,建議要先建立CISSP的CBK間關連的思維(我上課的Roland老師,以及Wentz老師的書很強調這部份),以及控制措施使用的原因、背景、缺點、限制,在學習、記憶和答題上應該會有很大的幫助。
我的準備過程中的作法,剛好和最近看到YouTuber未秧Winter的一段影片「學測國文不難!給你在北一女學到的10種讀書方法秘技!受用一輩子」有些地方蠻相近的,大家可以先參考學霸美女是怎麼說的。^^https://www.youtube.com/watch?v=veCqx1st7XY
我的方法如下:
(1) 找到動機和戰友:總是在夜深人靜摸摸睡著的孩子的臉,多少又補充一些HP(生命點數)再拼下個Round。在社群裏(CISSP上課同學line群,還有Wentz老師 追求高效能的CISSP群組等)找到一起努力的朋友,會覺得自己並不孤單。聽聽學友們的準備分享,效果更佳(也謝謝Joy ,Paul一月份的分享,立馬被激勵)。
(2) 拿CISSP exam outline當學習地圖:常鼓勵我的學友Steven Cho一直跟我強調的,一開始我不知道exam outline有什麼特別。但是後來發現自己做題好像在一些地方重覆卡關,拿出exam outline才驚覺這是官方早提醒你的重點(考點)。
(3) 混淆點的比較與整理:把講義、教材中,針對控制措施、弱點、協定比較容易弄混的內容圖表要特別整理記憶,有必要可畫成心智圖幫助記憶。
(4) 不懂的多學幾遍:除了問老師、同事,YouTube也是個很棒的學習管道,有些相對比較複雜的機制(如Kerberos),如果書上講的看不懂,沒關係,上去找幾個影片看一下,總會有位大神可以講的讓你心領神會的。
(5) 即時回想:看完一個段落,想一想剛才學到了什麼,他的步驟是什麼,為什麼要這樣做。不用急著去背下來,但盡可能讓這部份是「已被理解」的狀態。
(6) 建立習慣:每天工作下班後再跟小孩”天倫之樂”混亂一陣子,已經很累了,再強迫自己學習其實很違反人性的,透過蕃茄鐘讓自己維持學習的定性與慣性,透過規律學習/休息的時間區隔,讓自己每天都要吃到幾顆蕃茄(都有唸到書)。
(7) 帶著走的重要筆記:時間的軸總會走到考前一天,這份你覺得重要的內容,會是你最後穩固記憶與心情的好工具(不過我因為時間關係,後來直接用人家在網路上分享還不錯的筆記:p)。
(8) 善用工具與資源:不斷使用google翻譯學習自己不熟的英文重要內容,還有使用線上題庫(如Sybex Practice Test測驗題線上版),讓我在不同平台的學習需要,依章節挑題目,可以即時翻譯網頁,並挑出錯題做最後衝剌復習(有朋友使用flashcard app,也是種隨時隨地學習的方法)。
(9) 找有詳解的好練習題:有詳解才能讓你有思路去分辨題目中,最佳或最不適合的選項的原因在那裏? Sybex Practice Test測驗題必做,他是OSG教材重點(考點)的題目化,而Wentz老師的思考導向練習題本365題每日一問QOTD,也是我這次重要的參考書,上網站看每一篇的詳細解析,整理自己思路的盲點與誤區。
這次考試我常常使用的有:
(1) 刪去法: 感覺上考試並不會想刁難大家,因此幾乎每題最多會有兩個選項”覺得難決定”,這時候就是對基本定義和流程的考驗了。(定義真的要多熟悉)
(2) 歸納法: 用換位思考時時要告訴自己「要以大局為重」,找到對公司、對業務最適用的方式,不要「為資安而資安」,只著重運用高大上的控制措施,卻忽略了輔助業務經營的初衷。
(3) 心理建設:鼓勵自己不需慌張,時間絕對夠,穩穩的一題一題作答,把現在這一刻自己的本事表現出來就行,達到70%就過了。
「獨學而無友,則孤陋而寡聞」,在這段過程中認識了一些朋友,也在準備中知道自己的不足,經過了6小時的考試洗禮,也更深切體會到這是只是資安領域的起點(我不會接受我的資安顧問只懂70%吧!笑~~)。一直覺得Wentz Wu老師是位難得的資安傳教士,在國內只有十幾年前資策會羅英嘉老師出過一本cissp專書。而Wentz老師肯投入心力寫CISSP相關書籍,在自己的網誌上每天花幾個小時準備一個題目和大家分享具有CISSP專業思維的資安情境題,真的非常難得,不過,雖然被老師的書圈粉已久,我還是希望Wentz老師能出中文版,比較容易”服用”。^^ ||
與大家有緣在這裏相遇,也希望一起繼續分享與努力。