# CISSP 證照考試常見問題  > 資料來源：版主自己考過證照 --- ## Q1：CISSP 考試怎麼進行？ ### 1. 報名時程 | 考場語言 | 可預約和考試月份 | | -------------- | ----------------------------------------------- | | **簡體中文** | 每年 **3、6、9、12 月** 四梯次 | | **英文** | **全年皆可**（依 Pearson VUE 考場時段） | - 選擇簡體中文考試的考生可以隨時切回英文 - 自 2024 年 4 月起，**所有語言的 CISSP 考試均採用 CAT 格式** > **報名流程** > > ISC2 於 2025 年 4 月推出新版 Dashboard，購買與排考流程已更新。大致步驟如下： > > 1. 登入或註冊 ISC2 帳號 > 2. 至官網該證照頁面購買考試（可選擇加購保險方案） > 3. 進入 Dashboard「Courses and Exams」點選 Schedule > 4. 填寫 ISC2 考生資料（務必與應試證件一致） > 5. 系統跳轉 Pearson VUE 完成預約 > 6. 收信確認（建議提前 30 分鐘到場） > > ＊實際操作畫面以官網為準，如有異動請依 ISC2 公告。 ### 2. 費用方案 | 方案 | 費用 (USD) | 說明 | | ---------- | ------------- | ------------------------------------------- | | 單次應試 | **$749** | 僅含一次考試機會 | | 保險方案 | **$998** | 若首考未通過，可在 **180 天內** 免費重考一次 |  > - 保險方案（Peace of Mind Protection）自 2025 年 4 月起已成為**常態方案**，不再限時搶購（**價格以 ISC2 購買頁實際顯示為準**）。 > - 購買保險方案的前提是**過去 12 個月內未曾應試**該科目。 > - **費用以官網公告為準**；ISC2 近年曾調整考費與年費，請報名前再確認。 ### 3. 考試地點 - **台北考場**：Pearson Professional Test Center Taipei, Taiwan - 地址：[台北市信義區基隆路一段163號12樓之3](https://maps.app.goo.gl/s8qMF9nSG9BjokFL9)（聯合世紀大樓） - 電話：(02) 27567808 - **恆逸高雄考試中心** - 地址：[高雄市苓雅區新光路38號4樓之1](https://maps.app.goo.gl/RUbhsznaYsY3cyje7) - 電話：(07) 5361199 ### 4. 考試形式 - **題型**：3 小時 **CAT**（電腦適性測驗），題數 **100–150** - **及格標準**：滿分 **1000 分**，需達 **700 分** - [**重考原則**](https://www.isc2.org/Exams/After-Your-Exam)：第一次失敗後需等 30 天，第二次失敗後需等 60 天，第三次失敗後需等 90 天，一年最多考四次。 - 不允許回頭寫題目，即送出該題便不能再修改 - 系統會即時評估，你可能在回答完 100 題就被判定通過或未通過而結束考試 - 考試時隨時可以舉手出來，吃自己準備的食物或上廁所，但是時間照算 ### 5. 資格條件 - **專業年資**：至少 **5 年** 資安全職經驗，涵蓋 8 大領域中的 **≥ 2 個** - 持 **大學學位** 或 ISC2 認可證書，可減免 **1 年** 年資 - ⚠️ ISC2 **自 2026 年 4 月 1 日起（目前已生效）** 縮減可抵免年資的[認可證照清單](https://www.isc2.org/certifications/cissp/cissp-experience-requirements)，原本約 50 張認可證照砍到剩 25 張。**CEH、CISA、CRISC、OSCP、大部分 GIAC 已被移除**；CompTIA Security+、CySA+、CASP+、CISM、ISC2 自家的 SSCP、CCSP 仍可抵免。詳細清單請查官網。 - **年資不足**：可先取得 **Associate of ISC2** 身分，於 **6 年內** 補足年資並完成背書後轉為正式 CISSP ### 6. 背書 - 通過考試後，須於 **9 個月內** 向 ISC2 送交背書申請 - 需由一位有效 ISC2 持證者為你背書；若無人可背書，可選擇由協會代為背書 > [實際背書流程可參考，感謝版友提供](https://quill-countess-e8d.notion.site/ENDORSEMENT-2024-10-111e9e1f099280369c4ecc4fe95cc0a5) ### 7. 證書維護 1. **年費 (AMF)**：**每年 USD 135**（以官網公告為準） 2. **持續教育 (CPE)**：每 3 年累積 **120 CPE 學分**（建議每年至少 40 學分） 3. 準時繳交年費並完成 CPE 方可續證；逾期未繳將進入 90 天暫停期，超過則失效 --- ## Q2：為什麼常常有人會覺得都不會寫，但最後考過的錯覺？ **每場 CISSP CAT 考試都會隨機混入 25 題「預試題」**，這些題目專供統計分析之用，**不計入最終分數**；然而考生並不知道哪些題目是預試題，因此仍應對 **所有題目** 全力作答。 > **官方來源** > > - [**CISSP CAT FAQ**](https://www.isc2.org/certifications/cissp/cissp-cat)：在 *How many items will a candidate receive on the CISSP CAT exam?* 段落明確寫道：每份考卷含 **25 pre-test, or unscored items**。 --- ## Q3：這個證照有考古題嗎？ - **沒有「真」考古題**。CISSP 受 ISC2 **保密協定 (NDA)** 約束，考生不得洩漏或販售試題；網路上所謂「記憶題、全真題」與正式考題重複率趨近於 0。 - 違反 NDA 之外，散布真題亦觸犯 **ISC2 Code of Ethics – Canon IV「Advance and protect the profession」**，最重可能被撤銷證照。[https://www.isc2.org/ethics](https://www.isc2.org/ethics) - **練習題的目的** 在於培養手感、理解「為何其他選項錯」，而非死背答案。建議使用官方題庫書籍，並使用線上練習序號。  [ISC2 CISSP Official Practice Tests, 4/e](https://www.tenlong.com.tw/products/9781394255078)  建議註冊官網網頁練習 > **小提醒**：若要分享筆記或經驗，請避免引用題目內容，並以自己的話描述概念，以免觸犯 NDA 與 Canon IV。 --- ## Q4：有推薦的參考書嗎？ ISC2 目前[不再公開推薦特定教材](https://www.isc2.org/certifications/cissp/cissp-self-study-resources)，但以下兩本仍是社群最主流的備考用書，**一本精讀勝過多本翻閱**：  [ISC2 CISSP Official Study Guide, 10/e](https://www.tenlong.com.tw/products/9781394254699)  [The Official \(ISC\)2 CISSP CBK Reference, 6/e](https://www.tenlong.com.tw/products/9781119789994)（2021 年出版，尚未更新至 2024 年考綱，但核心內容仍適用） > **備註**：如果發現多本書講的定義不太相同，也可以參考 [CISSP Glossary - Student Guide](https://www.isc2.org/certifications/cissp/cissp-student-glossary) --- ## Q5：有推薦的考試準備策略嗎？ 1. **先看 [考試大綱](https://www.isc2.org/certifications/cissp/cissp-certification-exam-outline)** → 逐條列出自己不熟的名詞 2. 利用官方書、AI、[**白皮書 (NIST、OWASP、ISO 等)**](https://www.isc2.org/certifications/references) 查資料，**確保每條大綱都說得出來「在做什麼」** 3. 練習官方題庫，重點放在「為何其他選項不對」 4. 建立自己的筆記（別人整理的終究是別人的） ### 📚 版主整理的讀書會筆記 如果想參考結構化的讀書會筆記當起點，可以從這裡開始： - [📖 CISSP 讀書會筆記總目錄](https://hackmd.io/@hiiii/HJ3eWFgh-g) ⚠️ 提醒：筆記只是地圖，最後還是要建立自己的版本——這份筆記當作學習的起點，不是終點。 ### 官方授權培訓機構 如果想上課的話，也可以參考 [**ISC2 官方授權培訓機構**](https://www.isc2.org/training/partners)： - [AI Network Ltd（全智網）](https://ainetwork-training.com/courses/cissp/) - [Network Security Intelligence Technology Co., Ltd.（網安智慧）](https://www.nsit.com.tw/course_detail/13) - [Systex | UCOM（恆逸教育訓練中心）](https://www.uuu.com.tw/Course/Partner/isc2) ### 版友分享資源 - [CISSP 考過參考資源，感謝版友分享](https://hackmd.io/@TTC989/SJWuyPeQlg) - [CISSP 考過參考資源，感謝 James Liao 版友分享](https://gofile.me/7AwZW/dEeThoMlx) - [CISSP 大悲咒，感謝大 Ray 老師提供](https://youtu.be/SB8WSHhEI9A?si=bfZs8aM2ICuHSO5I) - [CISSP 周六讀書會影片，持續更新](https://youtube.com/playlist?list=PLr1HiXzr31qwGA0-6VY3L3GGw5EqViEq-&si=F8rH4N4wUlRvtRa_) --- ## Q6：為何常說考 CISSP 要「戴上管理者的帽子」？ CISSP 題目強調 **最佳答案**，而非單純技術正確性。若只用工程師思維，容易忽略： - **法規與合規要求**（PCI-DSS、隱私法） - **商業影響與成本**（機會損失、罰鍰） - **風險處置策略**（避免、移轉、減輕、接受） > **管理者視角** ＝ 站在資安長或高階管理層角色、兼顧「企業全局」後再選最佳方案。 ### 範例題（AI 產生的模擬練習題） ```text 一家全球電商準備在兩週後發表全新行動支付 API • 行銷估計若延後上線，將損失約 500 萬美元市場檔期 • 內部滲透測試剛發現此 API 存在高風險 SQL Injection • 開發團隊表示最少需要 4 週才能完全重構並修補程式碼 • 公司必須符合 PCI DSS 與各地隱私法 身為資訊安全主管，在目前時程與合規壓力下，你應採取下列何種最合適的風險處置？ A. 延後發表會，直到漏洞完全修補並通過再測 B. 購買含資料外洩條款的網路保險，以轉嫁潛在損失 C. 正式呈報執行管理層、取得書面風險接受後，部署 WAF 作為補償控制並要求 4 週內完成修補 D. 照原計畫上線，先把 SQL Injection 的修補列入下一輪 Sprint ``` 在此案例中，**C** 是「最佳答案」——但重點不在「部署 WAF」，而在前半段：**正式呈報、取得書面風險接受**。這是 CISSP 真考最容易反直覺的地方：CISO 的角色是**把風險翻譯給管理層**，讓有資源與授權的人去拍板，**不是自己決定要不要接受風險**。 A、D 容易被誤解，標籤要重貼： - **A（完全修補才上線）** 不等於工程師思維，而是**合規優先、風險避免**思維。真正的工程師反而會想「加個參數化查詢 (Prepared Statement) 一天就修完，幹嘛延後」。 - **D（照原計畫上線、列入下一輪 Sprint）** 不是商業思維，而是**赤裸風險接受、治理失當**——資安主管不能在沒有業務擁有者書面同意的情況下，自行決定「先不修」。 - **B（買保險）** 只能轉嫁部分財務損失，不能轉嫁合規責任與法律義務。 > 💡 **CISSP 真考小規則**：只要看到「**CISO 或資安經理直接決定接受、承擔某風險**」的選項，通常都是錯的——因為風險接受是**業務擁有者（Business Owner）的權責**，CISO 的角色是呈報與建議，不是拍板。 --- ## Q7：除了考完考試，還能做什麼？ - 考照不是終點。別以為補習五天、K 書三個月後考過就一勞永逸；資安日新月異，持續學習與交流才是關鍵。 - 推薦加入 [**ISC2 Taipei Chapter — 台灣國際認證資安專家協會**](https://www.isc2chapter.tw/)——與資安前輩分享經驗、參加講座並累積 CPE。 --- ## Q8：讀完八大領域，還是不知道在幹嘛？用一家公司的故事串起來 > 很多人把 CISSP 八個領域當八個獨立科目各自苦讀，結果考完（甚至考過）還是說不出它們之間的關係。 > 下面用一家虛構電商「全買網」從零開始建立資安體系的過程，帶你走一遍八大領域怎麼串在一起。 --- ### 場景：全買網剛拿到第二輪融資，準備大幅擴張 全買網是一家本土電商，會員數突破百萬、年交易額數十億，董事會要求：**在擴張的同時，資安不能成為破口。** 新上任的資安長接下這個任務，以下是她帶團隊走過的歷程。 --- ### 第一步 ─ 先搞清楚「怕什麼」再決定「做什麼」 **→ 領域一：安全暨風險管理** 資安長做的第一件事不是買設備，而是坐下來和董事會對齊： - 公司最怕什麼？（客戶個資外洩、金流中斷、被主管機關裁罰） - 能承受多大的損失？（定義風險胃納） - 有哪些法規一定要遵守？（個資法、PCI DSS、上市櫃資安規範） 產出：一份**資安政策**和**風險處置計畫**，讓所有後續的投資和行動都有依據。 > 領域一就是整場戰役的「作戰指令」——沒有它，後面七個領域都不知道為誰而戰。 --- ### 第二步 ─ 盤點家當，決定誰該被重點保護 **→ 領域二：資產安全** 有了政策之後，團隊開始盤點： - 我們到底有哪些「值錢的東西」？（客戶個資、信用卡號、交易紀錄、原始碼） - 這些資料分別由誰負責？（指定資料擁有者） - 哪些資料一旦外洩會讓公司上新聞？（依影響程度做資料分級） 產出：一張**資產清冊與分級表**，讓後續的防護資源優先投入在最關鍵的地方。 > 承接關係：領域一說「我們最怕個資外洩」，領域二就回答「那這些是我們的個資，分布在這些地方，這些人負責」。 --- ### 第三步 ─ 蓋房子的時候就把鎖裝好 **→ 領域三：安全架構與工程** 知道要保護什麼之後，全買網開始設計系統架構： - 核心交易系統和辦公網路要隔離 - 資料庫要加密靜態資料 - 新服務上線前都要經過安全設計審查 > 這個階段花的成本最低、效果最好。事後修補永遠比一開始就做對來得貴——這也是考試愛考的觀念。 --- ### 第四步 ─ 資料在路上跑的時候，別被偷看 **→ 領域四：通訊及網路安全** 全買網的客戶遍布全台，訂單、金流、個資每秒都在網路上傳輸： - 全站啟用 TLS 加密 - 內部系統間走 VPN 加密通道 - 建立網路分區，就算一區被打穿，其他區不受影響 > 承接關係：領域三決定了架構怎麼蓋，領域四負責確保資料在這個架構裡「搬運」的過程是安全的。 --- ### 第五步 ─ 確認「你是誰」，只給你「該看的」 **→ 領域五：識別暨存取控制** 系統蓋好、網路通了，下一個問題是：**誰可以進來？進來之後能看到什麼？** - 全面導入多因素驗證（MFA） - 實施最小權限原則：客服只能看訂單，不能看信用卡全碼 - 離職員工帳號在二十四小時內停用 > 前面蓋了堅固的房子（領域三）、裝了安全的門鎖（領域四），這一步是決定鑰匙發給誰。 --- ### 第六步 ─ 蓋完不是結束，要定期來「驗收」 **→ 領域六：安全性評估與測試** 全買網的系統上線半年了，但資安長知道：**沒有測試過的安全，都只是假設。** - 每季做一次弱點掃描 - 每年做一次滲透測試 - 定期執行紅隊演練，模擬真實攻擊者的手法 > 承接關係：領域三到五是「建設」，領域六是「驗收」——找出哪些地方蓋得不夠好、鑰匙發錯了。 --- ### 第七步 ─ 真的出事了，怎麼接招？ **→ 領域七：安全性作業** 某天凌晨三點，資安監控中心值班人員發現異常流量——有人在暴力嘗試後台登入： - **偵測**：SIEM 系統觸發警報 - **應變**：依照事件應變計畫啟動處置，封鎖來源位址、通知相關人員 - **復原**：確認未遭突破後，強制重設受影響帳號密碼 - **事後檢討**：為什麼暴力破解能跑這麼久才被發現？加入速率限制規則 > 前面六個領域都是在「避免出事」，領域七是承認「一定會出事」，然後確保出事的時候不會手忙腳亂。 --- ### 第八步 ─ 開發新功能的同時，別挖新的洞 **→ 領域八：軟體開發安全性** 全買網的產品團隊每兩週上一版新功能，資安長要求把安全內建到開發流程： - 持續整合與部署流程中加入源碼靜態分析（SAST）和第三方元件檢查（SCA） - 維護軟體物料清單（SBOM），隨時知道用了哪些套件、有沒有已知漏洞 - 開發人員每年接受安全程式訓練 > 承接關係：領域七的事件檢討如果發現「這個漏洞是開發階段就埋下的」，就會回饋到領域八改善流程，然後領域八的改善又會影響下一輪的風險評估（回到領域一）。 --- ### 看完整個故事，回頭看這張循環 ``` 領域一（為何而戰） ↓ 定義風險與政策 領域二（保護什麼） ↓ 資產盤點與分級 領域三（怎麼蓋）→ 領域四（怎麼傳）→ 領域五（誰能進） ↓ 建設完成 領域六（驗收測試） ↓ 發現問題 領域七（實戰應變） ↓ 事後檢討 領域八（開發改善） ↓ 回饋到領域一，啟動下一輪循環 ``` > **八個領域不是八個科目，而是一家公司做資安的完整旅程。** 讀的時候隨時問自己：「這個領域在故事裡的哪個階段？它需要前面哪個領域的產出？它又會餵給後面哪個領域？」想通這一層，你讀的就不再是八本各自獨立的書，而是一個連貫的系統。 --- ## 加入社群 歡迎加入「CISSP 證照討論區」LINE 社群，一起交流心得！ [https://line.me/ti/g2/WsfbQzirScd1xTKsCat5Lc5xKG64m9s06nRXSw?utm_source=invitation&utm_medium=link_copy&utm_campaign=default](https://line.me/ti/g2/WsfbQzirScd1xTKsCat5Lc5xKG64m9s06nRXSw?utm_source=invitation&utm_medium=link_copy&utm_campaign=default)