CISSP备考中文详解（超详细的中文备考资料）.doc

First CISSP简要介绍 编者序言：网络圈中的工程师大概都知道思科的CCIE认证。如果有谁说自己没听过CCIE，那就好象在说自己是外星人一样。同样，在信息安全圈中，也有权威的国际认证，那就是CISSP“Certified Information System Security Professional”（信息系统安全认证专家）。 　　关于《怎样成为一名CISSP》的初衷 　　本文作者J0ker是在安全圈中混迹多年的安全专家，他将自己求学CISSP的亲身经历整理成《CISSP的成长之路》系列文章，用J0ker的话说，出文章的目的最主要是想把自己的经验与广大网友分享，同时也纪念自己从业以来的一些经历。J0ker的话很精练，之前在51CTO.com安全频道推出了自己的很多文章，现在安全频道的每周信息安全要闻回顾栏目就是他主持的，我想J0ker出《CISSP的成长之路》系列，也是对他自己的另一种鞭策。 　　《CISSP的成长之路》将由15到20篇文章组成。其中详细的介绍了CISSP的相关知识、认证备考经过和心得，另外J0ker还会从CISSP的角度，向大家简单介绍信息安全的组成。希望《CISSP的成长之路》能给大家都带来帮助。最后引用一句J0ker常说的话：你们的支持就是我不断努力向前的动力：） 　　正文 　　作为《CISSP的成长之路》系列的第一篇文章，J0ker打算先简要向读者介绍一下CISSP的背景知识，下面我们先来看CISSP认证的颁发机构（ISC）2： 　　（ISC）2是信息安全领域的顶级认证机构之一，成立于1989年，到现在已经给超过120个国家的五万多名安全专家授予了相关认证。（ISC）2目前提供如下6种认证： 　　SSCP（SystemSecurityCertificatedPractitioner）认证系统安全实践者 　　CAP（CertificationandAccreditationProfessional）认证和评估专家 　　CISSP(CertificatedInformationSystemSecurityProfessional) 认证信息系统安全专家 CISSP的升级版本CISSP-ISSAP(InformationSystemSecurityArchitectureProfessional) 信息系统安全架构专家 　　CISSP-ISSMP（InformationSystemSecurityManagementProfessional）信息系统安全管理专家 　　CISSP-ISSEP（InformationSystemSecurityEngineeringProfessional）信息系统安全工程专家 　　（ISC）2同时也向公众提供信息安全方面的教育和咨询服务。(ISC)2的官方网站是http://www.isc2.org 　　（ISC）2提供的6种认证中，知名度最高和持有者人数最多的是CISSP。截至2007年4月底，全球共有48598名CISSP，其中人数最多的是美国，现有30385名，中国大陆有371名。因为CISSP的升级版本ISSAP和ISSMP要求考试的报名者必须是CISSP，而且有一定的相关领域工作经验要求，所以在国内除了香港18名台湾4名持有者之外，大陆还没有持有者。至于（ISC）2较为低端的SSCP和CAP认证，由于其定位和考核内容的原因，在国际上的接受程度不高，所以除了美加两国外，其他国家的持有者都很少。 　　CISSP认证是国际上最权威、最受认可的信息安全认证，它同时也是信息安全领域第一个通过ISO17024:2003标准的认证。CISSP主要的认证对象为在企业处于中高层、已经或将成为CISO(ChiefInformationSecurityOfficer)、CSO(ChiefSecurityOfficer)或高级安全工程师的信息安全专家。 　　CISSP认证的考核范围包括10个方向，称为CBK（CommonBodyofKnowledge）以下按首字母排序： 　　1、AccessControl访问控制 　　2、ApplicationSecurity应用安全（包括开发） 　　3、BusinessContinuityandDisasterRecoveryPlanning业务持续性和灾难恢复计划 　　4、Cryptography信息加密 5、InformationSecurityandRiskManagement信息安全和风险管理 6、Legal、Regulation、ComplianceandInvestigation法律、法规、调查 　　7、OperationsSecurity操作安全 　　8、Physical（Environment）Security物理（环境）安全 　　9、SecurityArchitectureandDesign安全架构和设计 　　10、TelecommunicationandNetworkSecurity通讯和网络安全 　　CISSP认证以考察考生对信息安全技术掌握的全面程度而著称，这10个CBK里面几乎全部包含了当前信息安全领域的知识。不过CISSP的试题难度并不是大家想象中那么难，排除语言的原因之外（CISSP试题是全英文的），几年安全从业经验再加上考前抽时间认真复习，一次通过考试的几率还是挺大的。用一个最恰当的句子来形容CISSP的考试，就是“Onemilewide，Oneinchdeep“，考试范围之广和试题的难易程度可见一斑。但试题的简单并不说明CISSP的试题可以轻松搞定，因为，即使没有语言障碍，考前也经过充分的复习，拿到试卷后考生会发现CISSP的考试将是一场严峻的考验——在6个小时内，考生需要完成250道选择题，平均每道选择题只有一分半钟的时间可以思考，而且由于CISSP考试使用标准化答卷，考生要留出大概半个小时的时间把答案填到答卷上，事实上考生用来完成每道题的时间只有一分钟左右。CISSP考试也不是光靠死记硬背复习资料就能解决的，大部分题目都是给出现实中的一个场景，让考生分析后再选出正确的答案，有些迷惑性比较强的题目不是4选1，而只能凭感觉在2个相似答案中选其一。 　　每次CISSP考试的通过率都不算低，但还是有大概一半的考生无法通过考试。他们并不是说个人能力有问题，很大程度上还是因为CISSP考试考察的范围太广。尽管如此，J0ker依然相信，即使他们没有通过CISSP的考试，但通过学习CISSP的课程，他们对信息安全的知识水平和整体把握能力都会有一个较大的提升，这将成为他们安全从业经历中一份不可多得的宝贵经验。 The Second 为什么要获得CISSP认证 J0ker简单介绍了CISSP及认证机构（ISC）2的背景。相对于知道CISSP或者（ISC）2这两个抽象的概念，读者肯定对为什么要获得CISSP认证、获得CISSP有什么好处和 CISSP主要从事什么工作这样的问题更感兴趣，J0ker将在本文中结合自己的经历给读者解答一下。 　　第一个问题，为什么要获得CISSP呢？ 　　信息安全是一个相对的概念，在安全威胁很低的情况下，安全专家通常是被人们所遗忘的对象。但随着信息技术的发展，当年只有精通系统和网络底层，推动技术进步的高手才能被称为黑客，现在随便一个会用网络的再随便找些入侵工具也自称为黑客，技术门槛的降低和对技术的追求转化为对金钱的追逐——越来越多的入侵事件、恶意软件的传播、还有时不时出现在媒体上的高智商犯罪等就是这些所谓“后起之秀”的杰作。面对越来越严重的安全威胁，不单在IT技术领域，在各行业的企业组织都越来越意识到信息安全的重要性，但单纯依靠技术方案来并不能解决如何保护企业信息资产的问题，所以市场对专业的信息安全人才的需求也在随之大大增加。而CISSP则可以证明持有者掌握国际公认的信息安全知识和标准、并拥有丰富的安全从业经验，保持CISSP认证的有效性还可以显示持有者对信息安全的发展和技术进步有很高的热情，并愿意为信息安全贡献自己的一份力量。此外，获得CISSP认证还有其他的好处，比如： 　　1、 适应市场中越来越热的对信息安全人才的需求 　　2、 增加对信息安全的知识和概念的理解 　　3、 为当前的工作增加信息安全的理念 　　4、 在日益激烈的职场竞争中增强自身优势 　　5、 在薪水增长和职务提升上更有优势 　　J0ker是2004年听朋友（国内最早的CISSP之一）说起CISSP是国际上最权威的信息安全认证，也觉得应该要提升一下自己的层次，所以就开始注意上这个认证，但因为种种原因，一直到今年才考。之前一直认为CISSP只是单纯的技术认证，但接触上之后才发现，CISSP其实是涵盖了信息安全的各个方面，着重突出了信息安全是由技术和管理构成的整体这一观点，J0ker在学习CISSP的过程中受益颇多，不单巩固了和自己工作相关的Access Control、Operation Security 和Telecommunication & Network Security 三个CBK的知识，同时好好的补充了其他七个CBK的知识，也对CISSP认证所强调的整体安全和管理高于技术两个观点有了深刻的体会。学习CISSP，本身就是一个对学习者安全知识体系进行完善的过程，相信其他CISSP或学习过CISSP的读者也有相似的体会。 　　OK，我们转到下一个问题，CISSP都从事什么工作？ 　　先说说国外的情况，以美国为例，刚拿到CISSP认证的人，在企业中大多从事安全管理员、安全产品的开发或安全服务的具体执行工作，头衔一般就是Security Administrator、Security Analyst或Security Engineer。随着工作经验的增加，CISSP会渐渐脱离具体的技术工作，转而从事更偏重管理、处于企业中层的工作，比如安全产品开发团队或安全服务团队的领导、安全咨询、安全培训讲师和安全部门经理等，头衔则变为Senior Security Analyst/Engineer、Security Team Leader、Security Consultant、Security Manager等。最后， CISSP会进入企业管理高层，管理整个企业的信息安全或IT，头衔则变为Director of IT/Security department、Chief Security Officer或Chief Information Security Officer。 　　国内的情况稍有不同，除了少部分CISSP做的是安全产品/服务的售前/售后和安全工程师外，有相当一部分CISSP是从事安全咨询、培训方面的工作，更多的是处于企业中高层管理的位置，读者如果有兴趣了解更详细的情况的话，可以从(ISC)2官方站点上的Member Directory功能中查询。 　　最后说说大家最感兴趣的CISSP薪水问题，因为国内CISSP薪水的总体情况J0ker也不是很了解，在此就借用（ISC）2 2006年度的官方报告来说一下，CISSP薪水水平的分布成金字塔型，职务越高薪水越高，人数也越少。还是以美国为例，2006年CISSP的平均年收入为： 　　IT Administrator： $45000-$55000 　　Information Security Administrator：$75000 　　Security Analyst/Engineer：$80000 　　Manager， Information Security :　$100000 　　CISO, CSO ：$150000 及以上 另外，国内和国外相同的一点是，拿到CISSP认证之后通常待遇都会有所提升。 Third 怎样获得CISSP 认证 J0ker介绍了为什么要获得CISSP认证和CISSP的职业发展情况。那需要通过怎样的流程才能成为一个CISSP？J0ker打算在从本文开始的3个文章中，从参加CISSP认证考试的条件及报名流程、CISSP考试的过程和应注意的问题和CISSP考试通过后的取得认证的手续及CISSP认证的维护这三个方面来向大家介绍。 　　一、参加CISSP认证考试的条件： 　　根据（ISC）2目前的CISSP考试需求，考试的报名者需要具备信息安全领域涉及1个或以上CBK的4年工作经验，注意这个工作经验指的是信息安全领域的全职工作经验，兼职的不能算，(ISC2)认可的工作经验，指报名者在信息安全领域作为实践者、审计师、咨询、工程师等需要有直接的信息安全知识支持的工作经历。如果报名者有本科及以上学历或拥有（ISC）2认可的认证证书，工作经验的要求可以降为3年，但报名者只能通过学历或认证证书减少1年的工作经验要求，并不能同时使用学历和认证证书以减少工作经验要求为2年。 (ISC)2认可的可以减少1年工作经验的证书中，常见的有MCSE、CISA、CISM及一些比较少见的安全认证，有兴趣的读者可以从(ISC)2的官方站点上https://www.isc2.org/cgi-bin/content.cgi?page=1016 获得更详细的列表。如果读者对CISSP认证很有兴趣，但工作经验又达不到（ISC）2的要求，怎么办？ 不要气馁，（ISC）2专门为这种情况的考试者设立了一个称为“Associate of (ISC)2”的头衔，考试者在通过CISSP考试，在实际工作中积累足够年限的工作经验，便可向(ISC)2申请升级为正式的CISSP。 　　不过要注意的是，(ISC)2在五月份修改了CISSP认证考试对报名者的工作经验要求，从2007年的10月1日开始，原来的4年全职工作经验要求增加到5年，工作中要涉及到的CBK数目的要求则从至少一个增加为至少两个。报名者依然可以通过学历和认证证书来减少1年的工作经验要求，认证证书列表和年限放宽的限制和原来一样。 CISSP认证考试的报名者在填写报名表之前，还需要同意(ISC)2的认证考试的付款、退款、重付款的规则和考试保密协议及试卷的版权协议，还有最重要的，(ISC)2的CISSP道德准则(Code of Ethic)。另外，报名者在填写报名表时，还需要回答4个关于是否有犯罪记录背景的问题。 　　相信大家在以上的工作经验要求和个人背景要求都没有问题，CISSP的道德守则就是要求CISSP有诚实的品质，大家按自己的真实情况进行填写即可。 　　二、CISSP认证考试的报名流程： 　　目前CISSP考试在中国有三个考点，北京的清华大学网络研究中心、上海的交大信息安全学院和广州的软银数码港酒店，大家可以根据自己的方便程度来选择考点。 　　CISSP考证只能由报名者自己向（ISC）2报名，(ISC)2并没有提供代理报名的方式，这一点请大家注意。目前(ISC)2提供2种CISSP考试的报名方式，在线报名和离线邮件/传真报名。前者适合上网方便、有信用卡的报名者，后者则比较适合没有信用卡的报名者。在线报名的网址是： 　　https://www.isc2.org/cgi-bin/cissp_register.cgi?examdateid=2877 　　离线报名方式需要报名者到（ISC）2网站上下载报名表，按表上要求填写后邮寄或传真到表格上所写明的地址。亚洲区域的报名者使用以下地址的报名表： 　　https://www.isc2.org/download/ExamRegistrationFormAsia.pdf 　　J0ker在这里要提一下，因为邮寄或传真有可能有延时，所以建议报名者尽量采用在线报名的方式注册CISSP考试。 　　报名者在选择报名方式的同时也选择了考试费的支付方式，如果是在线报名方式，报名者需要用信用卡支付，请确保信用卡的可用额度足以支付报名费用，使用支持RMB和美元的双币信用卡即可，比如招商银行的信用卡。另外，没有信用卡的报名者还可以请别人代为支付，按在线报名表格的要求填写信用卡信息就可以了，但听有的朋友说请别人用某些银行的信用卡代为支付的时候，会因为（ISC）2提供的支付回执上写的是报名者的名字而非信用卡主人的名字，从而导致支付失败。J0ker报名也遇到的这种情况，支付回执上写的就是J0ker的名字而不是信用卡主人的名字，但支付是成功的，当时用的就是招行的信用卡。对于没有信用卡的报名者来说，还有一种方法可以付款，那就是到银行去购买一张汇票（Draft），填写好相关信息后和打印出来填写好的报名表一块邮寄到(ISC)2香港办事处就可以了，不过这种方法会比较耗时。 CISSP考试的报名费在预定考试15天之前支付为499美元，15天之内为599美元。如果报名者因为各种原因需要取消或改时间考试，则需要最少比考试提前15天用书面通知（ISC）2，并且还要支付100美元的退考费或改时间考试费。如果某一次考试的报名人数超过了考场可以容纳的最大人数，(ISC)2会根据报名费的到达顺序按先到先得的原则安排考试。 　　三、最后J0ker带大家简单走一下CISSP考试在线报名的流程 　　进入(ISC)2的官方站点 　　打开(ISC)2考试预约页面，地址为：https://www.isc2.org/cgi/exam_schedule.cgi 　　在出现的页面上可以按照考试的城市、国家或月份进行查询，我们选国家为China，搜索列出当前年份将在中国进行的CISSP考试，然后在随后的两个页面中选择考试的时间（Register）及考试的类型（CISSP） 　　下一个页面就是（ISC）2的考试收费规则、保密协议和道德准则，请报名者先仔细阅读，同意的话按底下的“Iagree”按钮继续 　　报名表填写： 　　第一栏的Personal Information和第二栏的Business Information就是报名者的个人信息、联系信息，按规定填写即可。 　　有2个细节需要注意一下，第一个是姓名填写的地方，Title就填Mr、Miss之类的，Last Name填名，Family Name填姓，报名者不用担心倒过来写在考试时会遇到麻烦，监考官手上的名单的考试者名字顺序是对的。另外一个细节是Business Information的最底一行有选择Home Address或Business Address的选项，这个选项决定（ISC）2按哪个地址和报名者进行E-mail的联系和证书的寄送，请报名者确保填写的地址有效。 　　接着就是报名者的背景信息，第三项是上面说过的是否有犯罪背景和报名者是否曾经持有CISSP认证，第四项是报名者的工作经验和学历，按实际情况填写即可。不过要注意CBK的填写是多少个月从事什么CBK的工作，总CBK工作的时长应该满足（ISC）2所规定的CISSP考试的工作经验需求。 　　再下来就是考试地点选择和信用卡付款信息，选好考试时间和地点、试卷语言、支付币种，再根据信用卡信息填妥，检查一遍。确认无误之后，就可以点击页面最下方的”Sumit“提交报名表格和支付考试费。注意不要多次点击提交按钮或重复提交表单，否则就会造成多次支付。 　　提交成功后，页面会重定向到一个支付回执页面，上面是报名者信息、支付款项和考试协议，最好用网页另存为将它保存下来。报名者还需要将它打印出来，签上自己的名字，考试时需要给监考官看，以证明报名者同意考试协议。 　　另外，交易成功后，(ISC)2会发送一个Order Confirmation邮件，确认报名者已经交款成功。在第二天(ISC)2还会发送一个Admission Letter，里面就是报名者的准考证，上面有考号、考场位置、考试时间等内容，报名者也需要把它打印出来保存好，考试时同样需要带到考场。至此，CISSP考试的报名即告完成。 Fourth 怎样获得CISSP 认证 接下来J0ker打算先介绍CISSP考试的进行情况和考试通过后的手续，然后再用10个文章的篇幅详细介绍读者最关心的CISSP考试的备考。 　　在本文中大家可以了解到CISSP考试需要做的准备和考试中应当注意的问题： 　　考试前的食、住、行 　　CISSP考试在国内的考点只有北京、上海和广州三地，常有不少外地考生参加CISSP，因此参加CISSP考试首先要考虑的是交通问题，对本地考生来说这个问题同样需要考虑。以J0ker参加的在上海举行的CISSP考试为例，考场在位于浦东张江高科的上海交大信息安全学院，从市内到考场需要坐地铁到终点站，下地铁后还需要换乘一趟区县公交车，全程约需一个半小时左右。而CISSP考试的时间是从上午9点开始，8点半之前就要进场，也就是说，如果是从市内出发去考场，考生6点刚过就要起床，然后匆忙洗刷之后就要赶车去考场，这样很容易影响到考试的状态，当然，如果考生自己有车就很方便了。更好一点的选择是提前在考场附近找住的地方，这样次日早上考生就不需要起那么早，对考试状态的保持更有好处。 　　说了CISSP考试的住和行的问题，食的问题也相当重要，如果考生选择在考点附近找地方住，就得考虑晚上吃饭是否方便，第二天考前的早餐吃什么。还是以上海考点为例，因为张江高科是高科技工业园区，超市和饭馆只有在地铁站附近才有，而第二天早上出去吃早餐时间很紧，所以当时J0ker就提前买好了面包和牛奶冲到早餐。另外，由于CISSP考试的时间很长，从上午9点到下午3点，正好跨过午饭时间，考生还得准备好饮料和食物。虽然CISSP考试允许考试时考生离座到考场的后面吃东西，但体积较小，不会污染试卷的食物是允许在座位中吃的，建议考生最好准备巧克力、肉干等食物，可以边吃边继续考虑试卷上的考题，而不用浪费宝贵的答题时间。至于饮料就看各人口味了，推荐清淡一点的茶饮料或水，既解渴又有轻微的提神作用。 考生还需要携带最重要的考试材料： 　　（ISC）2提供的Registration Confirmation和Admission Letter，考生在（ISC）2站点上注册考试并经过（ISC）2确认后，（ISC）会通过E-mail提供这两份材料，考生自己打印出来并签上名字。 　　考生还需随身带着带照片的证件，(ISC)2认可的有身份证或者驾照，如果没有上述材料，考生将不允许参加考试。另外，考生最好再准备2支2B铅笔（考场也会提供，（ISC）2牌2B铅笔…不过自己备上总是好的），1块比较软的橡皮，还有一本英汉词典，（ISC）2规定母语非英语的考生可以使用词典，但词典只能够是Word to word对词翻译的，不允许使用电子词典类的工具，牛津之类的词典即可。 　　考试用的材料物品准备好，去考场的行程计划好之后，就可以放松一下自己的心情了。CISSP考试说到底也只是一次普通考试而已，用不着对它很紧张，紧张反而会影响考试状态的。考前的晚上可以早点睡，随便看看考试参考材料也可以缓解一下紧张的情绪，J0ker推荐看看《CISSP All in One》的每个章节后的Quick Tips，既可以对CISSP 各CBK里面的关键知识点进行回顾，量也不至于太多。或者也可以稍微做点题练练手，找一下考试做题的感觉。 　　CISSP考试在上午9点开始，考生需要在8点半之前到考场，进场之后可以先找个地方把自己的物品放下，休息一下或者上洗手间什么的。 　　J0ker当时参加的CISSP上海考试是这样的： 　　上海考场设在在上海交大安全学院的一个教室，J0ker是8点10分的样子到场，当时考官还没有来，大概有10多个考生在里面，聊天或自己看资料。 　　8点20分，2个考官进场，看起来像是上海交大的老师（也有可能是参加监考的CISSP志愿者），所有的考生在8点30分之前都到场了。 8点30分至50分，考官检查考生的证件、(ISC)2提供的材料、并按照之前排好的座位给考生安排座位，考生进行签到。其中出了个小小的意外，有个考生一直没有收到Admission Letter，而负责（ISC）2亚洲区联络事务的(ISC)2香港正好换负责人，也一直联络不上，拿不到Admission Letter，不过考生跟考官沟通了一下就解决问题了，考官手上的名单中有这个考生的名字和考试号，考生拿到考号就可以参加考试。如果有朋友在参加CISSP考试时遇到这样的问题，可以尝试下和考官沟通下，一般都可以解决的。 　　8点50分，考官分发试卷、答题卡，考生就可以按照试卷上的说明，填好考号、试卷号、地址等信息，签署考试保密协议。一位考官用中文和英文宣读考试注意事项，另一位考官则进行巡查，帮助考生解决填涂试卷信息的问题。考生要特别注意这些试卷信息的填涂，要是填错的话，就拿不到成绩了。 　　上午9点钟，CISSP考试正式开始，考生就可以打开试卷了，打开试卷证明考生同意(ISC)2的保密协议和考试守则，如果考生不同意，不要打开并将试卷交还考官（不过J0ker没听说过有谁这样干 :) ）。试卷一共有30多页，250道题，都是单项选择题，题型有一个问题一道题的，而场景类的题目通常有三到五个问题，考生需要考虑好怎么在6个小时的有限时间内完成250道题，因为做错没有倒扣分，所以即使不懂试卷也不要留空，随便填一个也好的。 　　当时J0ker是这样的，因为刚开始考试时进入状态比较慢，所以J0ker习惯第一遍凭自己的感觉和经验做题，尽量少在某一个题目上思考，所以J0ker在2个小时15分钟的时候粗略的做完了题目（答案可以先划在试卷上，但只有填涂到答题卡上的才有效），有的题一时做不出来就随便选了个答案之后跳过。做完正好11点过，喝了点红茶吃了点巧克力，再休息了下，然后开始认真的边检查边将答案填涂到答题卡上，检查的过程中J0ker一共改了35道题， 有不少是在2个答案中选其一的，不是十分有把握的还是保留原来答案。检查并填涂的过程相当的慢，弄完大概200道题就过去3个小时了，剩下的50多道题也就匆匆检查了一遍就填到答题卡上。按照这样算的话，J0ker估计认真做完成试卷的时间大概在5个小时出头的样子，还需要留出半个小时左右把答案填涂到答题卡上，所以考生需要掌握好时间。 　　另外还有一个大家可能比较关心的问题，CISSP考试其实不限制中途上洗手间的次数，不过一次只能去一个人，而且出入考场还需要Sign in和Sign Out，为了节省宝贵的考试时间，考生最好控制一下喝水的量。 　　放松，合理安排时间，保持平和的心态… 每个人都有自己的考试方法，J0ker上面所说的考试流程和需要注意的问题也是仅供朋友们参考，剩下的还需要靠朋友们自己努力了，Good luck to you！ Fifth 怎样获得CISSP 认证 在51CTO安全频道策划的系列文章CISSP的成长之路的上一篇《怎样获得CISSP认证2》中，J0ker向大家介绍了CISSP考试前的食住行和考试中要注意的问题。那么，成功通过CISSP考试之后还要通过什么手续才能拿到CISSP认证？获得CISSP认证之后如果保持认证？J0ker将在本文中为大家一一解答。 　　收到考试成绩单 　　参加CISSP考试之后，考生大概要等2个星期才能收到（ISC）2用E-mail发来的考试成绩，通过的考生会收到一封祝贺信，并带有一个PDF附件（Endorsement表格），另外，信中还介绍了如何进行下一步手续的简单介绍。考生如果收到的是一封包含考试成绩和10个CBK评价的E-mail，则说明考生没有通过考试，而考生对10个CBK的掌握程度与评价的分值成反比。没有通过的考生也不要气馁，可以针对(ISC)2考试结果邮件中的CBK评价，有重点的再次进行复习，Good Luck! 　　背景证明——Endorsement 　　(ISC)2为了保证CISSP认证的可信性，采用了第三方确认的方式对通过CISSP考试的考生进行专业知识和工作经验进行确认，这个流程称为背景证明，也是常说的Endorsement，（ISC）2会把Endorsement表格随CISSP考试的结果邮件一起发送给通过考试的考生。(ISC)2规定Endorsement的签署人必须持有(ISC)2认可的认证，比如CISSP、CCIE、MCSE、BS7799LA等，或者必须是考生所在单位的高层领导（通常是CTO、CEO，部门经理级别的不可以），这样签署的Endorsement才会被(ISC)2所接受。需要注意的是，从2007年9月开始，(ISC)2修改了对Endorsement签署人的要求，要求签署人必须持有(ISC)2系列认证（CISSP/SSCP），这样签署的Endorsement才会被(ISC)2所接受的。J0ker认为，（ISC）2提高Endorsement的签署人要求，更有利于控制新进CISSP的质量，防止出现现在国内某些认证泛滥和贬值的情况，另外，由(ISC)2认证持有者来做Endorsement的签署人，也能更好的根据CBK来对考生的经验进行二次确认。 准备好英文简历 　　除了Endorsement之外，通过CISSP考试的考生还需要准备一份个人的英文简历，按照常规的简历写法来写就可以。不过要注意一下工作经历的写法，应该在工作经历里面的每一个项目后面说明该项目涉及到哪些CBK，比如，CBK: Access control 这样写就可以了。准备好英文简历后，考生要将英文简历和Endorsement表格交给自己的Endorsement签署人，让签署人填好Endorsement表格并签名。考生可以用电子邮件或传真的方式将材料送达(ISC)2的审核负责人，如果是采用电子邮件方式，可以将材料准备好后扫描成PDF文档，再通过电子邮件发送到Audit@isc2.org，不过要注意只能由Endorsement的签署人来发送这两份材料，考生自己发是无效的。如果是采用传真方式，只需把材料传真到(ISC)2香港办事处即可。J0ker建议考生尽量选用电子邮件的方式来发送审核材料，这样处理的速度会比较快，也可以防止因为传真引起的审核材料丢失。 　　教育经历审核 　　(ISC)2每次还会随机抽取10%左右的通过者再做一下教育经历的审核，被挑选到的通过者会在所收到CISSP考试结果邮件中看到教育经历审核的要求和具体步骤。J0ker当时没有被抽中，后来问了一下曾经被要求进行审核的CISSP朋友，所谓的教育经历审核需要提供两份材料，其中一份是声明，声明被审核者确认所提供的所有材料都是真实无误的，另外一份资料是被审核者的学历证书复印件。被审核者准备好材料之后，可以将材料扫描编辑成PDF文档，发送到Audit@isc2.org，也可以将材料传真到(ISC)2香港办事处。 　　送出审核材料后，考生大概会在2到3天后收到（ISC）2的资格审核确认邮件，如果审核通过，大概2个星期后，考生就能收到（ISC）2用航空邮件发来的CISSP证书，成为CISSP中的一员。可能大家比较担心证书投递的问题，不用担心的，国内的邮局都有专门的翻译负责国外邮件的分发，只要在CISSP考试报名时填写地址信息正确，一般都能很快收到。如果考生收到了(ISC)2的资格审核确认邮件，却又在2至3个星期内没有收到CISSP证书，还可以向审核确认邮件里提供的E-mail地址发邮件询问，(ISC)2确认后会重新寄送CISSP证书的。随CISSP证书一块寄来的还有一个CISSP名片、一封(ISC)2的欢迎信，信上介绍了CISSP的(ISC)2的会员权利，并附带了(ISC)2网站的初始登陆密码。 如何保持CISSP认证 　　（ISC）2规定，CISSP认证的持有周期只有3年，CISSP只有按时缴纳每年的会员费(AMF)，并在三年内赚取120 CPE（Continuing Professional Education，继续教育点数），才能在三年后更新所持有的CISSP认证。 　　CISSP的会员费是每年85美元，CISSP在(ISC)2网站上登陆自己账户之后便可查到自己下一次交会员费的时间，如果在该时间60天之内不缴纳会员费，就需要多交20美元的滞纳金。交会员费同样需要CISSP登陆自己账户后才能操作，在会员费信息下面有一个”PAY AMFs NOW“按钮，点击进入后，选择缴费币种、缴费年限、填好信用卡信息，验证无误后提交，便可完成会员费的缴纳过程。 　　(ISC)2对CISSP有120 CPE的要求是为了督促CISSP不断的提升自己的知识和经验，使自己能和技术的发展保持同步。规定只有CISSP本职工作之外的额外发展活动才能算CPE点数，而根据额外发展活动的不同，CPE的种类又分成A类和B类两种，A类CPE（Direct Information Security Activity）即是与CISSP 10个CBK直接相关的活动，而B类CPE(Professional Skills Activity)则是CISSP自身能力发展的活动，120个CPE中必须包含80个A类CPE和40个B类CPE。 　　120个CPE提交的最迟时间是3年周期之后的90天之内，如果CISSP在3年内不能赚够120个CPE，将会把取消CISSP资格，而在3年周期的最后6个月中提交的超过120的额外CPE点数，可以带到下一个3年周期。CISSP提交CPE的方法也需要登陆到自己的(ISC)2账户，然后使用”SUMIT CPEs NOW“ 功能进行CPE的提交，提交的CPE申请一般会在2到3天内得到通过并更新到CISSP的账户信息中。另外，（ISC）2还有随机抽查CISSP CPE的制度，如果CISSP被抽到要求审核CPE的话，则需要提供该CPE的有效证明材料，比如有CPE是CISSP自学某本安全方面的书籍，那(ISC)2会要求CISSP提供这本书的发票，因此提交CPE时，CISSP应保存好CPE的相关有效证明材料。 　　CPE提交和CPE点数具体如何计算的资料，都可以在(ISC)2网站上找到，J0ker在此就不再详述。 　　下篇预告：《CISSP复习资源》，从下篇开始51CTO安全频道策划的CISSP成长之路系列文章将进入详细介绍复习阶段，届时J0ker将给大家介绍CISSP复习中可以利用的各种资源和它们的优缺点，敬请期待！ Sixth 复习流程及资源 在51CTO安全频道特别策划的CISSP的成长之路系列的前几篇文章里，J0ker向大家简要介绍了CISSP认证考试的基本情况，但对于想要进一步深入了解CISSP认证体系、或者想要获得一个CISSP认证的朋友来说，内容还是稍微简单了点。所以，从本文开始，J0ker将用大概15篇文章的篇幅，向大家详细的介绍CISSP认证考试的复习流程、各种复习资源和CISSP的10个CBK的内容，本文要介绍的即是CISSP认证考试的复习流程及资源。 　　J0ker先给大家说说CISSP考试的复习流程，和其他考试一样，CISSP考试的复习也需要循序渐进，不断巩固，由于CISSP考试的广度和深度——”One Mile wide, One inch deep”，决定了复习的同时也是一个学习过程。因为要报考CISSP的朋友大多是各自单位的技术骨干和中高层管理，日常事务十分繁忙，所以复习的时间安排和计划对考试的成功显得无比重要。 　　怎么制定复习计划 　　知己知彼，方可百战不殆。考生应该先了解一下CISSP考试的10个CBK的组成和内容，根据自己的情况将掌握得较好、较差的CBK分别列到表里，并以此为根据安排各CBK复习的优先度。考生还需要根据自己空闲时间的多少，合理的进行分配，比如，如果有半年的准备时间的话，每天保证1到1个半小时复习即可，如果准备的时间较短，可以斟酌增加每天复习的时长。 　　进行复习 　　制定好复习计划之后，考生便可每天按照计划好的优先度和时间安排进行复习。复习中有2个要点，其一复习贵在坚持，持续的复习可以保持考生对CISSP知识的掌握程度，三天打鱼，两天晒网只不过是在浪费时间；其二复习不可偏颇，考生应该对自己掌握较好的章节也进行全面复习，CISSP考试的广度往往出乎过分自信的考生意料之外。