一、教材选择

目前行业内普遍使用的是(ISC)2®CISSP® Certified Information Systems Security Professional Official Study Guide（简称OSG），中文版有第8版，英文版已经出到第9版，9版相比8版有很多概念上的改变，请参照9版，比如隐私盾在9版中已经失效。建议有能力的同学看英文版。但是该版本属于概要版本，细节讲的不是很透，特别是域5身份与访问管理部分讲解SAML等概念时讲的不清楚，请参考AIO继续学习。(AIO的书可以不细看，后面练习题可以做做扩展下思路，毕竟多一套题源)

在练习题方面，官方有(ISC)2®CISSP® Certified Information Systems Security Professional Official Practice Tests Third Edition的练习册。这本书值得拥有，我的建议是阅读原版做题，把每道题的解释弄清楚，并且答案里的解释有很多是教材的扩展内容，请务必掌握。

因此，教材的使用优先级次序：

（1）(ISC)2®CISSP® Certified Information Systems Security Professional Official Study Guide（简称OSG）9版。（主要）

（2）(ISC)2®CISSP® Certified Information Systems Security Professional Official Practice Tests Third Edition。（主要）

（3）ALL IN One（AIO）。（辅助）

（4）另外，NIST的各种标准有精力也可以看看（OSG中大量提到），OSG大部分引用了NIST里的各种标准，就像我们的CISP引用国内的各种标准和法律法规。老实说，我下了很多，但看过的只有RMF，想搞懂风险管理框架的过程。

https://csrc.nist.gov/publications/sp800

二、其它学习材料的选择

（1）国外有很多刷题的网站，但比较有名的是examtopics，能见到以往的真实题型并且有很多人的讨论，对于考生熟悉题型非常有帮助的，不过好像要收费，我只是在偶尔免费的时候使用，如果期望在这网站上发现要考的原题，我觉得您是想多了。还有exampracticetests和brainscape啥的我也免费用过，在bing里搜一些examtopics上的题目，很容易关联其他做题网站。（高能提示：这些网站上的答案不一定是标准答案，不一定是标准答案，这也是我刚开始比较迷惑的地方，因为这不是官方给的题，所以没有标准答案，要靠个人的水平进一步判断）

（2）国内也有人做题库，题源基本是“(ISC)2®CISSP® Certified Information Systems Security Professional Official Practice Tests Third Edition”汉化版本的，或者来自examtopics的一些汉化版本。如果自学能力强，可以不用这些题库。直接看原版的做题资料也行，做好错题本帮助巩固知识点。另外，还有个湾湾的讲师网站Wentz Wu（在bing里搜索），他每天给出一道题，并且有详细的讲解。我很多不明白的在其网站上搜一搜都有比较好的答案。建议学习中难点可以在其网站上搜一搜，讲的浅显易懂。当然这位讲师还出了本The Effective CISSP: Security and Risk Management 的书，我觉得也不错。