三、学习重点

不管是培训机构（它们好像有学习群，如果能入群一起讨论还是很有用的）还是自学，我觉得重点还是自己，有人在架构和思路上给你讲清楚也不错，能讲透彻的不多，但愿您能遇到。因此，重点还是靠自己。结合网上经验和我的经历，我觉得很有必要把OSG阅读至少2-3遍，我把OSG9版英文增加部分翻译阅读了一遍，我大概刷了2000-3000道题。Wentz Wu建议一般情况下刷2000道题过，非英语考生5000道题过。当然，也有天才少年，看很少的书做很少的题就过了；嗯，祝愿您是天才少年，挣华为和互联网公司的高薪水，为国争光。

在学习内容上，当然是要把全书认真看一看了，不过有些感悟可以介绍一下，不要太注重技术，CISSP考的是人，技术和运营，并且是理论+行业（美）最佳实践。因此，很多管理上的知识必须掌握，流程上的东西必须掌握了，比如：风险评估（这部分我觉得CISP教材讲的比较透）、BCP/DRP过程、漏洞评估/补丁管理、变更管理以及角色、配置管理、安全评估/审计、SDLC、身份配置过程、证书生命周期、数据生命周期、RMF（风险管理框架）框架、CMM/SAMM、安全人员角色和职责、数据相关人员角色和职责、取证过程、事件响应过程、渗透测试过程、道德规范、PDCA过程（CISP教材里讲的比较透）、ITIL基本概念、隐私/HIPPA相关概念和关键组成、SOC审计概念。并且切实理解这些流程从前到后的功能是什么，各种过程的目的和目标以及作用得弄清楚。其他就是技术和物理上的知识点了，这个只能做好笔记认真复习。

最后，建议您做好自己的笔记，不要用他人的笔记，自己做一遍有利于加深理解，当然如果是天才少年，请忽略；哦，忘了提一句，我很不年轻，所以需要做笔记。

四、CISSP和CISP对比

我觉得CISP挺好的，CISP教材丰富并且具有很强的抽象性，如果学的深，理解的透完全在安全市场够用和管用；我想说的是如果国内也搞250道题，6小时考试，很难过，我觉得您也不一定开心。CISP和CISSP都强调合规，我想在工作中能保证您工作合规的东西应该是最重要的。所以，我觉得公平看待两个证书比较好。

五、总结

没有捷径可走，天才少年除外。祝您早日通过各种考试，学习国内国外先进技术，强身健体，为祖国安全事业添砖加瓦！

偶然发现的一百道有趣练习题（有段历史了，也没标准答案，各位可以适当参考）：

附件：https://www.t3trainings.com/wp-content/uploads/2018/04/dumps-300-400.docx