ISC2 Certified Information Systems Security Professional (CISSP) 考試心得

與自己的終極一戰

雖然標題看起來有點中二，但準備這張認證的過程確實很艱辛，而最大的對手始終是自己。

每個人背景經驗不同，對我有效的方式不一定適合其他人，這篇文的出發點是貢獻自己在準備這張證照的經驗，

無論你是自修或報名補習班，都希望這篇心得能對想挑戰這張證照的人帶來一點幫助。

為了確保在閱讀這篇時，你期待看到的內容與我寫的內容是一致的

如果你是希望找到什麼快速通關的撇步，那這篇心得應該不適合你

我通過的唯一秘訣就只是

花了很多很多時間而已

我的背景偏向網路工程師出身，先前並沒有太多資安管理面的思維熟悉的範圍基本上圍繞在資安產品

這幾年有個體悟是：技術往往不是最重要的。

對於這個考試而言，可能會需要一次又一次的打破自己過去的錯誤經驗(你的經驗不一定是對的)

最困難的地方在於要去學習自己過去不熟悉的領域比方說Database我就從來沒碰過
相對的對我來說Domain4、Domain 8 有一部分是非常熟悉，幾乎不用花太多時間

每個人的背景不同，但至少在官方要求至少五年的經驗裡一定會有能夠幫助到你的地方

我自己認為在考試中，「管理思維」比技術細節更重要。

很多題目考的不是「最好的技術做法」，而是「當下最適合的處理方式」。

那就廢話不多說，正題開始

認證介紹

CISSP®簡介

CISSP®(Certified Information Systems Security Professional)是國際公認最具權威的資訊安全專業人員證照。如果您在資訊安全領域有多年實務工作經驗，或者您想要向其他人證明您是資訊安全領域的佼佼者，那麼CISSP®認證就是您的下一個目標。

要成為一名CISSP®，您必須具有資訊安全通識體系八大領域的知識與能力，而擁有CISSP®證照證明您已達到了全球認證的資訊安全專業及職業之標準。

以上資料參考自恆逸

CISSP®是一個由美國(ISC)² 所頒發的資安證照，全名是Certified Information Systems Security Professional，也就是”認證資訊系統安全專家”。有關考試及認證的詳細規定，可與(ISC)²聯絡。

考試範圍

考試範圍包含八個領域：

Domain 1. Security and Risk Management 16%
Domain 2. Asset Security 10%
Domain 3. Security Architecture and Engineering 13%
Domain 4. Communication and Network Security 13%
Domain 5. Identity and Access Management (IAM) 13%
Domain 6. Security Assessment and Testing 12%
Domain 7. Security Operations 13%
Domain 8. Software Development Security 10%

報考資格

考生必須具備五年以上工作經驗，且工作內容涵蓋至少兩個領域。具備大學學位或者滿足特定條件，可以抵免一年的工作經驗，也就是四年即可。

報名考試

CISSP®考試可在Pearson Vue的全球考試中心進行。
考試費用是 $749美金。自2025年05月起，ISC2推出常態性的保險方案(Peace of Mind)，符合資格的考生只要多加$ 249美金，若第一次考試未能通過考試，可取得一次免費重考試機會。

~~(我是買1+1保險方案，雖然我最後是一次通過，但想一想249美金買來的安心感還是挺值得的)~~

12/15 更新買了之後180天一定要用掉，不是看你第一次報名，是看你購買當天若你要考簡中版本務必確認購買日期是否有兩次的簡中可以考

請務必注意Peace of Mind 方案是有條件的

安心考買了之後計算180天必須通過1+1次考試。 After your first exam attempt: You may retest after 30 test-free days. 第一次考試後：您可以在 30 天後重新参加考試。

考試中心

台北考場 – 台北市基隆路一段163 號12 樓之3 (我在這邊考，要注意考試的環境是半開放式的)
高雄考場 – 高雄市前鎮區中山二路2號25樓

以上資料參考來源 Wuson頁面介紹

每年的3、6、9、12 可以選考簡體中文，對於非母語人士還是會比較友好一點

考試的題目在我考的這段時間是100~150題，CAT動態出題，會特別針對你的弱點攻擊並且是不能回頭修改的，唯一能做的就是一題又一題的往前挑戰自己

我很幸運地在第 100 題按下送出時就結束考試。根據官方說明，其中有" 25 "題為不計分題。

如果你寫到 150 題，其實代表你離通過只差一點點，所以不論題數多少都不用太緊張，照平常實力發揮就好。

讀書計劃

我自己是一個會在年底規劃明年目標的人，去年底的時候就已經預計自己今年會開始這門證照的準備

也是受到前同事兼好友Ken Yang的大力推薦，他跟我說非Wuson不上，我自己也覺得既然要準備就一起入坑吧
於是就跟著他一起報名，這段時間我很感謝他，一路陪著我渡過了無數苦讀的夜晚(甚至熬夜熬得比我還兇)，直到最後一起拿下認證

想起五年前第一次遇到他我跟他一起蹲在機房一整天，出來後一起幹譙客戶，能遇見一個這樣願意一路互相督促的夥伴，我想我已經很幸運了

在心理準備上

我也預期會在這上面花非常多時間，於是在年初開始就接連規劃了好幾張證照，幫助我自己在這段期間可以進入戰鬥狀態

換句話說，我2025這一整年都在考試的路上QQ
而CISSP，是今年的第五張

老師會幫忙安排好要做的功課跟項目，這會減少我們對於考試教材的理解跟準備上需要花的時間

在沒有太多頭緒，或者看不太懂到底要準備什麼的我們會比較有一個清晰的思路

即使我自己在考試前看了那麼多篇的心得文，對於要怎麼準備，多少還是有點迷惘

所以我會在後面盡量列出每個教材能帶來的幫助，希望讓讀到這篇的考生少走一些彎路。

在時間上

最初我是預估自己每天應該可以花至少3小時的時間讀書，這樣的日子我可以堅持四個月

不過中間一定會遇到亂流，我自己這陣子其實無論家裡還是工作上都遇到不少問題，甚至九月還同時有碩士班開學

讓我人生中第一次感受到忙到無法自理的感受

別逼自己太緊，注意鬆弛有度

在教材上

CISSP Official Practice Tests (OPT)線上購買作為增加基本的單點知識非常好用，裡面總共1200題我都做過
WUSON Practice Field (WPF)
老師出的題目，屬於非常難的程度，需要仔細思考題目到底在問什麼，我自己從40分刷到70分就覺得已經很吃力了
而這部分我是做完S1-S8
ExamOutline 理解每個 Domain 想考的重點，這部分我用 AI 協助我做整理，省了大量的時間。
CISSP Official Study Guide (OSG)
我買的是簡中第九版，整本都有翻過一次，裡面的 950 題我也全刷完。
OSG的話優先順序可以放在後面，但還是建議要看過一次
CISSP CBK Reference (CBK)
這個主要用AI輔助我參考而已

另外這段時間我自己也翻過的

LearnZapp(手機刷題) 補充單點知識，屬於相對簡單且基礎的，我有刷但就用免費的額度
Quantum Exams (可以先刷個10題試試) 這個是CAT動態題組，難度上我覺得略比WPF簡單一點，我自己是在最後階段利用這個強化自己對考試的信心，還有對CAT考試的題感
Boson
這個我大概看了幾題就不做了，屬於特別難的單點知識
以考試而言我自己覺得情境比較重要，若對單點深入更有興趣可以刷
How to think like manager 極力推薦，對於像我這種缺少管理思維的人必須要好好讀通到底為什麼會這樣做判斷
各式各樣的心得分享
別人的方式對你不一定有用，但可以找到跟自己比較相同的做法來比照
我自己大概翻了不下20個人的心得分享，聽了大家的做法以後會能夠歸納自己的一套辦法
我很建議去找找各種不同人的方式，來找出最適合你的做法
大量的前人筆記這個資源很多，我想大家都可以找到最適合自己的

考試心得

先說結論

過程比結果重要

以考試的前中後來說，我覺得我並沒有太在乎成本，無論是花錢買教材或者花錢買時間，請特休來讀書等等

只要我自己判斷能夠幫助到我，我就會把這筆錢花下去，或者把時間投入下去

上課前

反覆閱讀獨孤九劍筆記，Benson筆記
從上課前就先訂了上課附近的青年旅社，目標是為了確保上課時有精神，不過記得第一天隔壁很吵，還是讓我第一天上課前就睡不太好
到處說自己要考試，藉此給自己一點不能輸的壓力

上課期間

認真填寫每個課後評鑑
上課中就瘋狂寫筆記，我自己是帶著筆記本，想盡辦法把老師當下講過的重點先抄下來
課後把握還記得住的黃金時間，把手寫的筆記轉換成電子筆記

上課後

練習進行心智圖的輸出
開始追逐所有教材的題目與內容
反覆找其他教練幫忙Review 加上自己講給別人聽
鞏固自己既有的知識

考試當天

早點到考場
不吃澱粉，我的話是兩顆茶葉蛋一杯咖啡
整理好自己預計最後進場前要看的內容，考試前再看過一次，然後放鬆心情

整體回顧

我是六月上課，9/29 (一) 報考

準備時間上其實算很充裕，扣掉上課的月份還有整整三個月的時間可以做準備

以最棘手的WPF來說，我自己最初的規劃是按表操課一週一回，但事實上我這段還是做不夠好

比方說第一次跟第二次的時間太過接近，我在實力沒有任何進步的狀況下寫了兩回測驗

後面的檢討是我需要先強化單點知識

於是我的順序就變成先花一週的時間寫過OPT的每一個Domain 加上再花一週的時間深入檢討每一個錯題

花了整整兩週之後我進步了11分

接下來的狀況就是，每週都保持進度，反覆刷題檢討刷題檢討刷題檢討無限loop

在WPF5 跟 WPF6的這段時間是首次突破70分

這兩週大概做的事情就是OPT的重刷跟寫OSG

我自己覺得這段時間的進步來自於我又反覆鞏固單點知識

另外一個沒做好的的部分是

最後的S7、S8寫的時間太過接近

導致我在寫S8的時候一整個寫得很浮躁，無法好好的去思考每個題目在問什麼

所以寫題時也切記不要太密集，我當下是浮躁到寫完都無法看書

如果重來一次，我會這樣安排：

上課後立刻寫 WPF1 檢視吸收度
接著刷 OPT 1-8全Domain並檢討
再回來寫 WPF2，之後做心智圖輸出與錯題整理。
接下來依進度每週或兩週一次 WPF，同時利用 ExamOutline 或其他題庫補強弱項。
這段期間建議OPT OSG 都要刷完
考前寫一回S7 or S8 感受一下150題的壓力

對於知識的補充，我認為強化的順序會是這樣

讀到後面的階段會發現所有的題目其實都是單點知識，但最一開始會由於單點知識的不足，而導致分數無法有效地提升

到後面會變成需要管理思維的建立，這可以藉由How to think like manager 或是找教練一起討論，會比自己埋頭苦幹有效的多

最後是解題技巧，而這個唯一強化的方式就是反覆刷題，直到自己對題目都有敏銳度

我在寫題上並不是都很順利一次到位，像是OPT我就反覆刷了三次，OSG也刷三次才達到我覺得可以的程度

至於一些關鍵的流程，參考Kuro大大的建議是全部都背起來

不過我自己並沒有辦法每一個流程都記得那麼清楚，於是我都會去想一些奇怪的口訣

例如威脅建模的STRIDE
我是用"七串佛螃蟹色香味俱全" (欺騙、竄改、否認、洩漏、拒絕、提權)

BCMs BCP NIST_RMF等等，都是你在上場前應該要滾瓜爛熟的詞彙

我推薦寶傑教練的時間序，我是每天都翻過一次直到我真的有記住了

另外對於強化記憶，我的方法是在我的書桌前按照心智圖的位置貼滿了一整牆的便條紙，逼自己每天早晚都看一次

在這一部分也感謝我的好戰友Steven 單點知識會受到他的提問幫助我強化印象，管理思維也是他的專精。很多我在牆上寫下的內容都是他曾經反問大家的東西

應用工具

工具的部分種類繁多，五花八門

我認為按照自己習慣的方式最重要，不要再特地花時間學工具，除非他真的很有幫助

一如既往的我還是推薦自己要做筆記，我使用的是Heptabase (可以點這個連結來看我當時的筆記內容)

我自己用了Heptabase約兩年的時間，一年約三千的訂閱費用其實不便宜，但他是一個很好用的學習工具，我自己覺得特別契合CISSP這種特別廣泛的知識架構，我自己是挺推薦的，操作簡單加上很容易把知識做個分門別類，很適合用來做學習使用

至於免費的替代品的話，我會推薦Xmind 是一個非常好用的心智圖工具

電子書 (需要有設備)

考慮到需要把握所有你能使用的時間，我自己是把一些講義跟教材放到電子書裡面方便我通勤時，或者不方便拿出電腦的時候我就用電子書來翻講義

這部分的話形式不限，我覺得重點在把握零碎時間，用手機用平板都一樣

Zotero (免費)

Zotero 是一款原本設計給研究者的文獻管理工具，但我是利用它的網頁snapshot功能還有記錄題目跟檢討

我自己覺得非常適需要大量刷題會反覆寫錯且需要複習的狀況下使用，最重要的是他也支援手機版，可以做到電腦操作手機閱讀

畫面大致如下：左側可以分門別類中間區塊可以將網站進行紀錄，並且Snapshot下來，右側的話可以看相關資訊，也可以新建筆記，我自己會簡短寫一下自己的反省在這裡

手機倒數日

考任何考試之前我的建議就是報名下去就對了，有壓力才有動力

用提醒的方式放在手機最醒目的地方來告訴自己馬上就要考試了

NotebookLM & ChatGPT等等AI工具

必須說NotebookLM 屬於神級工具，非常好用

我把相關的講義丟進去，無論找答案，找名詞，都可以用它來輔助我整理，省了非常多的時間

至於AI工具我的建議是在初期不要太依賴，因為很有可能在我們還無法判斷 AI的回答正確與否的時候，把我們的觀念帶歪

沈浸式翻譯

下載連結，極度推薦這個工具，尤其是若你報考簡中版本，那平常可以將題目翻譯成簡中來使用

總結

剛踏出考場時，手機裡收到來自Kady教練的一個訊息說

NOTE

班長期待你的好消息

那一刻我覺得心裡其實挺暖的，好像所有的痛苦跟努力都有了答案

而通過考試後的空氣並不會不一樣，只是我手上多了一張初步通過測驗的紙

但不ㄧ樣的地方在於這段時間的努力跟痛苦，都是未來繼續變強的基礎

我想我的目的並不是只想要通過考試而已，我想要知道我未知的東西，我想要擴展我的認知，增加我的視野，這是我能夠在一張又一張認證的折磨中，不斷要求自己的最大原因

套一句我這段期間的好戰友 Vivian說的話

我真心推薦不要只把 CISSP 當作一張證照，而要認真去理解其中的知識，因為它不僅能幫助考試，更能在實際工作與決策上發揮長遠的價值。

如果一定要下一個總結的話

TIP

謝謝那個連續四個月都熬夜到逼近崩潰的自己

題外話

如前面提到我是參加Bruce老師的私塾班，2025/6月上課的梯數算506 (年份，班級)

同時也擔任了班代的職務，我自己覺得這段旅程的最大的收穫不是考試，而是在這個過程，遇見了很多教練很多朋友

今年參加雲端大會的時候就因為報梯數的時候認識了Henry 然後他又引薦了Danis，最後由他們幫助我做了一次長時間的Review來提點我

會有這樣的連結是我始料未及的，我想那天他們的心情應該是

下面這張圖是How to think like manger的最後一頁

雞湯喝了這麼多次，我覺得這個算是有touch到我

最後就是當時考過後的影片分享，裡面的內容又特別針對於這段心路歷程

更新在約兩個月之後

ISC2 會在將實體證書與徽章寄給你寄來的很有質感，但是我的被郵差折成兩半了

徽章也會包裝好給你

但收到還是挺開心的

作為工程師，我蠻認同分享與共好的想法，若各路大神們有興趣，歡迎加我的Linkedin，期待能與大家一起交流