CISSP筆記 - HackMD

###### tags: `CISSP` ### 免責聲明本筆記僅作為個人學習與參考用途，部分內容參照了ISC2的CBK培訓課程（由恆逸資訊提供）的教材，以及人工智慧工具（如ChatGPT）進行資料查詢及生成。筆記內容不作為任何商業用途，並且無意侵犯ISC2、恆逸資訊或其他相關版權擁有者的權利。筆記中的觀點、解釋和描述均為個人理解，不代表ISC2、恆逸資訊或任何其他官方機構的立場。筆記內容不構成對官方資料的完整或準確解釋。部分資料可能需要進一步核實。如有錯誤或不準確的地方，或發現本筆記涉及任何版權或智慧財產權問題，請立即聯繫我，我將迅速採取適當措施，進行修改或刪除。您可以通過以下方式聯絡我：ttc989a@gmail.com TTC的CISSP筆記 === 此筆記自己的期許是盡量以自己的話表達我預計要整理筆記的方式 1. 骨架=>章節裡的term 觀念放最前 2. 填肉=>term的內容 3. 表皮=>延伸內容跟著各個term 4. 衣服=>資源放在最後了解一個term要知道 - 是什麼東西(定義) - 可以達到什麼(目的) 1. 這東西出現前是什麼情景 2. 這東西出現後是什麼情景 3. 這東西很重要，因為? 4. 這東西很重要，所以? 5. 這東西很重要，但是? (要花很多時間吸收，暫時先以通過考試為主) Andrew Ramal在PMP的課程中說 Don't be certified not knowing anything. 筆記以官方培訓教材簡報整理為主 OSG也是有滿多東西想補充的，但時間不夠~ 後來就放下了 CISSP CBK --- - [CISSP CBK](/muwYq7uGSPWtZqGp4WHfYQ) Ch1-資訊安全環境 --- - [Ch1 The Information Security Environment](/Rn-d9SfHTp2IezNd9jO-HA) Ch2-資訊資產安全 --- - [D2.Asset Secruity](/gDlSmcj1TPyDF8DsyusR5w) Ch3-識別與存取管理 --- - [CH3 Identity and Access Management(IAM)](/E37HdtwWQqmq8Ekjk3vs0A) Ch4-安全架構與工程 --- - [CH4 Security Architecture and Engineering](/hpjh2jOSSnW87fODwzy1-w) Ch5-通訊與網路安全 --- - [CH5 Communication and Network Security](/wryg71kTS3SCSveEp1jL4A) Ch6-軟體開發安全 --- - [CH6 Software Development Security](/P-JvVJMpSnaN-zerJGzRaQ) Ch7-安全評估與測試 --- - [CH7 Security Assessment and Testing](/GTWpiXTkS9-5OYeJW0oyBQ) Ch8-安全營運 --- - [CH8 Security Operations](/j7K1SQG6S6eh_NxcL9JB1A) CH9-融會貫通 --- - [CH9 Putting It All Together](/M8SFYL60RL682APYEl0Qww) 考試只有一項可分享的 - 做好時間控管，這是唯一一個可以把握在考生手上的武器 :::info 進考場時，小白板先寫下三件事： - <<我是CISO，我是風險顧問>> -> 沒有很有效 - <<要用邏輯分析，不要全靠直覺>> -> 大部份時間都在讀懂題目，一些想法只有快速在腦中閃過而已，也沒有很有效 - <<注意時間控管>> -> 我能幸運通過的就在於時間控管這項了，考前一定要挑一個時間，模擬一場正式作答。答題的過程中完全沒有把握，也不知道自己到底對了多少題。大概做到第 50～60 題時，就一直在想會不會在第 100 題就結束，因為每一題都很難，陷入沒有標準答案的煎熬。到了第 103 題還沒結束，時間剩下 100 分鐘，情況和之前一樣：還是沒什麼把握。不過至少時間還夠，雖然考到這裡心情已經很不舒服，但也只能告訴自己：「現在放棄就真的結束了。」剩下 47 題、還有 100 分鐘，時間是充裕的。後半段邊注意時間邊做題，有些題目需要多花點時間，有些則比較快。最後 150 題全部做完時，還剩下 6 分鐘。回想起來，整場考試真正能掌握的，可能就只有時間而已了…… ::: [CISSP考試的時間管理及CAT說明](https://www.reddit.com/r/cissp/comments/1gailz2/managing_time_for_the_cissp/) :::spoiler **略~解題技巧(出自於練習題的心得，考試時沒時間用上)** 在做練習題時，一直有時間的壓力，也想盡量多做幾題所以有時會想靠直覺，或是關鍵字，就直接選答案但有時題目會因為「用字」答案完全不一樣例如 - 「防止」會計舞弊用SoD VS.「發現」舞弊用強制休假 - 「approve 組織的BCP合適人員是最高領導者CEO」 VS. 「BCP的owner合適人員是職位夠大，也能專注管理的CIO」 - 翻譯看不懂，或不是常見的描述 - user’s physical attributes - 生物特徵 - narrow down the list of potential vendors - 缩小潜在供应商的范围 - Which of the following concerns should not be on Amanda’s list of potential issues when penetration testers suggest using Metasploit during their testing? - 当渗透测试人员建议在测试期间使用 Metasploit 时，以下哪些问题不应该出现在 Amanda 的潜在问题列表中？ - 题目要求找出不需要担心的问题 - 换句话说，你需要选择一个错误的担忧 - 實務經驗可能是不正確的三觀 - 例如雇主要求你對第三方供應商的政策程序文件審查，發現幾個嚴重問題該怎麼做? - A. 上報CIO - B. 撤銷供應商ATO 營運授權 - C. 要求供應商審查條款條件 - D. 讓供應商簽NDA - 實務中可能就會以達成任務為目標，讓供應商再確認條款回去修改，又或是動則得咎回報長官 - 但這裡實際要選撤銷ATO 營運授權 - 很難選時要小心，有一類題目是有情境目標，例如要增強安全性，但題目句尾卻問直接原因，就會變成「符合情境目標選項是B」，但「符合直接原因選項是A」，該怎麼選?? - 問每個選項能增強安全性嗎?是原因還是結果 => 可以把錯的排除，但還不一定能找到正確答案。 - 觀察選項的用字，有些用的很武斷要問自己，「一定嗎?」或很奇怪的用字要注意，例如「因......而聞名」，最後綜合評斷選了後就放下吧，還有下一題要做!! - 有時總想找一個快速解，直覺最相關(關鍵字)的選項，這時只要有一絲絲不肯定，覺得怪怪的，相信直覺，再看一次題目。 - 快速解只適用於有八九成把握時，模擬兩可的就不要這樣做了 - 問自己 ==選項可以實現關鍵字內容嗎==? 套套看所有選項 (==邏輯分析==) - 例如練習題中SDLC用哪個==安全技術==確保整個==生命周期==安全開發?選項DAST、青菜、菜頭、SAST - DAST 是一種安全技術嗎?(O) 保護SDLC整個周期安全開發?(X 後期) - 青菜是一種安全技術嗎?(X) - 菜頭是一種安全技術嗎?(X) - SAST 是一種安全技術嗎?(O) 保護SDLC整個周期安全開發?(前後期都可用) - 要注意有一類的選項的描述很合理，但與題目要求無關，就要多想一下(不是指過度延伸思考) - 其實練習題==目的==還是讓自己了解哪些知識點要加強，雖然做題很多挫折，但就是培養強大心理素質的過程，撐下去!做很難的題目例如量子考題，我認為也是相同用意。 - 題目的措詞很有挑戰，是因為審查過程中移除了所有可以直接得出結論的線索，或推導出結論絕對必要的詞語，這也是很多認證機構一直在用的概念。 - 像個管理者一樣思考要注意的事 - 有時侯會選的是高大上感覺的答案，經過思考後就會發現那是打高空，而不是真正要解決問題!!那會有危險 ::: OPT模擬試題 --- ==因為我考簡中版本，後半部翻譯都是簡中== [01.CISSP練習題 OPT Domain 1 : Security and Risk Management](/omjQfh9CSYWzQohfML_9_w) [02.CISSP練習題 OPT Domain 2 : Asset Security](/OhowxjX6Tz6Q2wEEZuWjHA) [03.CISSP練習題 OPT Domain 3 : Security Architecture and Engineering](/D_3903NxT4yk-oxPy3pLJQ) [04.CISSP練習題 OPT Domain 4 : Communication and Network Security](/UtnBo8CxRZqY8YAqHiyQTQ) [05.CISSP練習題 OPT Domain 5 : IAM](/56CeL2syTSCD9IjrRHU_xQ) [06.CISSP練習題 OPT Domain 6 : Security Assessment and Testing](/2PrjCFxqRB2a7WC3LSsIdA)] [07.CISSP練習題 OPT Domain 7 : Security Operations](/AYHjMFaTTtaA8RSzzPDOgQ) [08.CISSP練習題 OPT Domain 8 : Software Development Security](/qHUXH_eZSLC5jasL4t8vFQ) [CISSP練習題-OPT Practice Test 1-4](/csSx28nSSi-AKp6AqjKkbw) OSG模擬試題 --- [CISSP練習題 OSG 10th Assessment Test + Chapter 1-21](/YNBrNfdtQyGq2f5Verc33Q) [CISSP練習題 OSG 10th Practice Exams 1-2](/P5hbTBDmRE2jEoQqHT74Zg) [CISSP練習題 OSG 10th Practice Exams 3-4](/hdxo6_0bTC2QUVrbPDP7Fg) [阿龍180題 CISSP Post-Course Assessment](/FcFRE6RSR0GZTGc_5_lACA) CISSP 484 --- [CISSP 練習題 484 (1-150)](/NueUcB_EThyNp1S875bYAQ) [CISSP 練習題 484 (151-300)](/VHIwx9-STp23arGrxyOR2Q) [CISSP 練習題 484 (301-484)](/y4pMPr-9SyCxGEe8oUq9NQ) CISSP 其他練習題 --- [CISSP 其他練習題](/zkzvbE9NQECyrTvEWJzr1w) [Reddit推薦CISSP影片](/XCVaKEP9TiWXtuHt5YJ3AQ) - 「Why you will pass the CISSP」 by Kelly Handerhan - 「How to "Think like a Manager" for the CISSP Exam」 by Inside Cloud and Security - Pete Zerger - 「CISSP Exam Prep 2025 LIVE - 10 Key Topics & Strategies」 by Inside Cloud and Security - Pete Zerger - 「50 CISSP Practice Questions. Master the CISSP Mindset」 by Technical Institute of America - Andrew Ramdayal - 「CISSP Is a MINDSET GAME – Here’s How to Pass!」 by Technical Institute of America - Andrew Ramdayal [How To Think Like A Manager for the CISSP Exam](/iyTMW0LFTVGkYVbqAKTsQQ) [quantum exam 樣題](/ZYApi5olQgujLYbOZjD2bA) --- ### 做完練習題發現自己不熟的地方很多啊!! [CISSP要複習的知識點](/e3DM0lBCQkGsusVprNBbMw) [00.CISSP總複習](/4YIZVmIYQoCjZqOSN7pjFw) 資源 --- ### CAT 自適應考試相關 - [CISSP 考试策略：成功应对自适应考试](https://www.youtube.com/watch?v=dCK2aBrHnB4) [CISSP 的考試講解原始文章](https://www.reddit.com/r/cissp/comments/1fuuubc/cissp_exam_explained_long_post_with_a_tldr/) :::spoiler **📌 CISSP 電腦自適應測驗（CAT）運作方式摘要** 作者DarkHelmet20 🔍 測驗運作核心 1. 初始題目難度中等，系統根據答題情況動態調整問題難度。 2. **題目反應理論（IRT）**評分，考慮答對與否、題目難度與應試者整體能力。 3. 評分非線性：不是答對越多越高分，有些題目分數權重高，有些則低。 4. 系統會即時修正能力估計，每題作答後重新評估。 5. 通過與否依據最終能力估計與通過門檻比對，而非正確率。 🎯 常見迷思破解 - 700/1000 ≠ 70% 正確率通過 - 那只是評分尺度，不代表你要答對 70 題。 - 一題難題可能等於 90 分，簡單題可能只值 4 分。 - 練習測驗得 80% 正確率 ≠ 考試就會通過。 - 無論通過或未通過，都不會收到實際分數 - ISC2 從不提供數字成績，避免誤導考生。 🧪 關於 Beta 題目 - 考試中會混入未計分的新測試題（Beta 題） - 用於未來評估題目效度。 - 不影響分數，但考生不會知道哪些是 Beta 題。 - 建議每題都當作正式題目來作答。 📚 題庫與體驗差異 - 題庫規模龐大，每位考生幾乎不會遇到相同題目。 - 因此考生感受會有差異： - 有人覺得像英文閱讀測驗。 - 有人覺得技術性很高。 - 有人覺得偏概念應用。 - 都是正常現象。 🧠 應對建議 - 單靠死記硬背幫助有限。 - 應培養理解能力與批判性思維，能靈活應對不同情境的問題。 - 考試目標是測試你是否能在實際資安管理情境中做出正確決策。 ✅ TL;DR（懶人包） - CISSP 是電腦自適應考試，難度依答題狀況調整。 - 評分是非線性的，重點在於高難度題的表現。 - 含未計分的測試題目，需認真對待所有題目。 - 題庫極大，考試體驗千人千面。 - 理解力與應用力比記憶更重要。 📎 原文作者來自 Reddit，此為摘要整理版本，僅供學習使用。如有任何疑慮請聯絡筆記製作者。原文出自Reddit https://www.reddit.com/r/cissp/comments/1fuuubc/cissp_exam_explained_long_post_with_a_tldr/ ::: [CISSP 的时间管理原始文章](https://www.reddit.com/r/cissp/comments/1gailz2/managing_time_for_the_cissp/) :::spoiler **🕒 CISSP 考試時間管理摘要** 作者DarkHelmet20 感謝 u/Stephen_Joy 提供此內容： 🎯 關鍵時間與題數原則 1. 考試時間：3 小時（180 分鐘） - 計時一開始即啟動，無法暫停，即使你中途休息。 - 除非你事先獲得 ISC2 批准的醫療豁免，否則時間就是固定的。 2. 考試題數範圍：100 ~ 150 題 - 包含最多 125 題計分題 + 最多 25 題 Beta（不計分）題。 - 若未完成 100 題，系統將直接判定為不及格。 3. 答題節奏建議： - 答完 100 題後若考試未結束，不要慌張，也不要急著作答。 - 你仍有通過的機會，請繼續認真應對每一題。 📘 評分邏輯與三大規則（依順序套用）來自官方說明：[ISC2 官方 CISSP CAT 說明](https://www.isc2.org/certifications/cissp/cissp-cat) 1️⃣ 規則一：置信區間規則（Confidence Interval Rule） - 當你完成前 100 題（其中 75 題為計分題）後， - 若系統能以 95% 的信心水準確認你已「達標」或「未達標」， - 考試將立即結束，並判定結果。 2️⃣ 規則二：最大長度規則（Maximum Length Rule） - 若你未觸發置信區間結束條件，且繼續作答至第 150 題（包含最多 125 題計分題）， - 系統將依據你最終的能力估計值判定是否通過。 3️⃣ 規則三：時間耗盡規則（R.O.O.T.）（Run Out of Time Rule） - 如果你在未觸發前兩條規則時時間用盡，且作答超過 100 題， - 系統將只看你最後作答的 75 題計分題（例如第 76~150 題）來進行能力評估， - 若此段能力穩定達到或超過標準，則你通過；反之不及格。 ⚠️ 此規則不考慮信心區間，但前提是你完成了足夠的計分題（至少 75 題）。 🧩 Reddit 使用者補充說明（No-Jaguar8466 & tresharley）第三條規則的判定相對嚴格：若你在最後 75 題中「任何時候」表現低於通過標準，就會被判定為不及格。考試採「滑動視窗」評估模式：第 75～125 題的表現會「取代」你前面第 1～50 題的分數評估權重。如果你後段表現優於前段，超時結束反而可能讓你過關。若前段表現優於後段，超時會拉低通過機率。 ✅ 時間管理建議 - 確保能完成至少 100 題，這是及格的最低門檻。 - 保持穩定作答節奏，避免一開始太慢或後段倉促。 - 別讓「時間用盡」主動發生；你無法確定系統會採哪條規則判你過關。 - 每題都要當作會影響結果來作答（尤其因為你不知道哪些是 Beta 題）。 📎 本文為 Reddit 公開文章之重點摘要整理，僅供學習用途。如有疑慮，請聯絡筆記整理者。原文出自Reddit https://www.reddit.com/r/cissp/comments/1gailz2/managing_time_for_the_cissp/ ::: - [Top 5 CAT Test Day Strategies](https://certify.cybervista.net/cissp-cat-announced/) - [CISSP 考试 100 道题中，我应该答对多少道题？](https://community.isc2.org/t5/Exams/How-much-questions-I-should-answer-correctly-in-100-questions/td-p/45977) --- - 查定義的寶庫 - 免費的NIST glossary https://csrc.nist.gov/glossary - ISO 27系列 - 蒐集的網路資源 [CISSP資源](/VuSEGWrrQLWZRyhoiTKBNA) --- :::spoiler **Reddit看到的答題方式** 1. Read the problem 阅读问题 2. Read it again 再读一遍 3. Close your eyes and think about it for a few seconds 闭上眼睛想几秒钟 4. Read the problem again 再次阅读问题 5. Read the answers 阅读答案 6. Read the problem again 再次阅读问题 7. Read the answers again 再次阅读答案 8. Answer the question 回答问题这看起来可能有点过头了，但对我来说并不算太难。如果我在第7步之前就停下来，至少会有5道题答错*。 https://www.reddit.com/r/cissp/comments/1le34ee/passed_to_my_surprise_at_100_75_minutes_left_on/ --- 是的，我使用了一些学习工具（很多人在材料上发布过这些工具，并使用它们），但我在考试中做了一件事，让我在一个多小时内通过了 100 个问题。简单有效：我会读题目，然后向自己解释为什么其他答案不如我选择的答案。如果我选择了 A，我会在心里说：“B 是错的，因为___；C 可能正确，但不如 A ，因为___；D 也不如 A，因为___ ”等等。重要提示：我并非只是“因为 A 正确就选了”。我必须（在心里）好好讨论一下每一个问题。这实际上很有帮助，因为它引导我避开了题目中隐藏的陷阱。如果我不知道某个术语，我会排除我知道不正确的答案，从而将我的正确率提高到 50/50。 https://www.reddit.com/r/cissp/comments/1ll9ydg/something_a_little_different_one_weird_trick_that/ --- fcerullo Practice by doing “question breakdown drills” with each practice test: 透過在每次練習測驗中進行「問題分解練習」來練習： Step 1: Read the last sentence first (often the actual question). Step 2: Identify the domain. Step 3: Highlight keywords (e.g., first, best, most, least, next step, MOST LIKELY). Step 4: Eliminate obvious distractors quickly. Step 5: Ask yourself: What concept is this actually testing? 步驟 1：先讀最後一句（通常是實際問題）。步驟 2：確定領域。步驟 3：突顯關鍵字（例如，第一、最佳、最多、最少、下一步、最有可能）。步驟 4：快速排除明顯的干擾項。步驟 5：問問自己：這其實是在測試什麼概念？ tedjordan A couple rules to remember for the exam: 考試時需要記住以下幾條規則： Policy trumps all 政策勝過一切 Unless exam says "choose least expensive", choose the Cadillac answer 除非考試說“選擇最便宜的”，否則選擇凱迪拉克答案 Don't spend more than 2 minutes on a question 不要在一個問題上花費超過 2 分鐘的時間 Browse the answers first, then read the question. This will help you focus on what the question is really asking 先瀏覽答案，然後再閱讀問題。這有助於你集中精力理解問題的真正意義。 You're right to do practice questions before the exam. For answers you get wrong, study why you got the wrong answer 考試前做練習題是對的。對於答錯的題目，要研究為什麼答錯。 https://www.reddit.com/r/cissp/comments/1m0n1ba/preparing_for_my_third_cissp_attempt/ :::