# CISSP證照考試常見問題 [TOC]  > 資料來源：版主自己考過證照 --- --- ## Q1：CISSP 考試怎麼進行？ **1. 報名時程** | 考場語言 | 可預約和考試月份 | | -------- | ------------------------------- | | **簡體中文** | 每年 **3、6、9、12 月** 四梯次 | | **英文** | **全年皆可** （依 Pearson VUE 考場時段） | - 選擇簡體中文考試的考生可以隨時切回英文 > **報名流程（Step‑by‑Step）** > > 1. 登入／註冊 ISC2 帳號 → 2. 購買考試 → 3. Dashboard「Courses and Exams」點 Schedule → 4. 填 ISC2 考生資料 → 5. 系統 SSO 跳轉 Pearson VUE 完成預約 → 6. 收信確認（建議提前 30 分鐘到場） **2. 費用方案** | 方案 | 費用 (USD) | 說明 | | ---- | --------- | --------------------------- | | 單次應試 | **\$749** | 僅含一次考試機會 | | 保險方案 | **\$998** | 若首考未通過，可在 **180 天內** 免費重考一次 |  > \* **費用以官網公告為準**；ISC2 近年曾調整考費與年費，請報名前再確認。 **3. 考試地點** * **台北考場**：Pearson Professional Test Center Taipei, Taiwan，地址：[台北市信義區基隆路一段163號12樓之3](https://maps.app.goo.gl/s8qMF9nSG9BjokFL9) 聯合世紀大樓，電話：(02)27567808 * **恆逸高雄考試中心**：[高雄市苓雅區新光路38號4樓之1](https://maps.app.goo.gl/RUbhsznaYsY3cyje7)，電話：(07)5361199 **4. 考試形式** * **題型**：3 小時 **CAT**（電腦適性測驗），題數 **100–150** * **及格標準**：滿分 **1000 分**，需達 **700 分** * [**重考原則**](https://www.isc2.org/Exams/After-Your-Exam)：第一次失敗後需要30天，第二次失敗後需要60天，第三次失敗後需要90天才能繼續嘗試，一年最多考四次。 * 不允許回頭寫題目，即送出該題便不能再修改 * 系統會即時評估，你可能在回答完 100 題就被判定通過／未通過而結束考試 * 考試時隨時可以舉手出來，吃自己準備的食物或上廁所，但是時間照算 **5. 資格條件** * **專業年資**：至少 **5 年** 資安全職經驗，涵蓋 8 大 CBK 領域中的 **≥ 2 個** * 持 **大學學位** 或 ISC2 認可證書，可減免 **1 年** 年資 * **年資不足**：可先取得 **Associate of ISC2** 身分，於 **6 年內** 補足年資並完成背書後轉為正式 CISSP **6. 背書** * 通過考試後，須於 **9 個月內** 向 ISC2 送交背書申請 * 需由一位有效 CISSP 為你背書；若獨行俠無人可背書，可選擇協會代背書 **7. 證書維護** 1. **年費 (AMF)**：**USD 135／年**（以官網公告為準） 2. **持續教育 (CPE)**：每 3 年累積 **120 小時** 3. 準時繳交年費並完成 CPE 方可續證 --- ## Q2：為什麼常常有人會覺得都不會寫，但最後考過的錯覺？ **每場 CISSP CAT 考試都會隨機混入 25 題「預試題」**，這些題目專供統計分析之用，**不計入最終分數**；然而考生並不知道哪些題目是預試題，因此仍應對 **所有題目** 全力作答。 > **官方來源** > > * [**CISSP CAT FAQ**](https://www.isc2.org/certifications/cissp/cissp-cat)： — 在 *How many items will a candidate receive on the CISSP CAT exam?* 段落明確寫道：每份考卷含 **25 pre‑test, or unscored items**。 --- ## Q3：這個證照有考古題嗎？ * **沒有「真」考古題**。CISSP 受 ISC2 **保密協定 (NDA)** 約束，考生不得洩漏或販售試題；網路上所謂「記憶題／全真題」與正式考題重複率趨近於 0。 * 違反 NDA 之外，散布真題亦觸犯 **ISC2 Code of Ethics – Canon IV「Advance and protect the profession」**，可能被撤銷證照。[https://www.isc2.org/ethics](https://www.isc2.org/ethics) * **練習題的目的** 在於培養手感、理解「為何其他選項錯」，而非死背答案。建議使用官方題庫書籍，並使用線上練習序號。  [ISC2 CISSP Official Practice Tests, 4/e](https://www.tenlong.com.tw/products/9781394255078)  建議註冊官網網頁練習 > **小提醒**：若要分享筆記或經驗，請避免引用題目內容，並以自己的話描述概念，以免觸犯 NDA 與 Canon IV。 --- ## Q4：有推薦的參考書嗎？ * 官方指定教材其中一本 OSG，**但一本精讀勝過多本翻閱**；第二本 CBK 也可以，只是 2021 年出版，並沒有更新到最新的考試大綱：  [ISC2 CISSP Official Study Guide, 10/e](https://www.tenlong.com.tw/products/9781394254699)  [The Official (ISC)2 CISSP CBK Reference, 6/e](https://www.tenlong.com.tw/products/9781119789994) > **備註**:如果發現多本書講的定義不太相同，也可以參考[cissp-student-glossary](https://www.isc2.org/certifications/cissp/cissp-student-glossary) --- ## Q5：有推薦的考試準備策略嗎？ 1. **先看[考試大綱](https://www.isc2.org/certifications/cissp/cissp-certification-exam-outline)** → 逐條列出自己不熟的名詞 2. 利用官方書、AI、[**白皮書(NIST、OWASP、ISO等)**](https://www.isc2.org/certifications/references)查資料，**確保每條大綱都說得出來「在做什麼」** 3. 練習官方題庫，重點放在「為何其他選項不對」 4. 建立自己的筆記（別人整理的終究是別人的） * 如果想上課的話，也可以參考[ **ISC2官方授權培訓機構**](https://www.isc2.org/training/partners) * [AI Network Ltd(全智網)](https://ainetwork-training.com/courses/cissp/) * [Network Security Intelligence Technology Co., Ltd.(網安智慧)](https://www.nsit.com.tw/course_detail/13) * [Systex | UCOM (恆逸教育訓練中心)](https://www.uuu.com.tw/Course/Partner/isc2) * [**每周讀書會筆記，慢慢更新，CISSP重點複習**](https://docs.google.com/document/d/1kbO0gIIPiK_j2UK53jCApjytCIXxVCE0n_BeMUo4-SE/edit?usp=sharing) --- ## Q6：為何常說考 CISSP 要「戴上管理者的帽子」？ CISSP 題目強調 **Best Answer**（最合適的做法），而非單純技術正確性。若只用工程師思維，容易忽略： * **法規／合規要求**（PCI‑DSS、隱私法） * **商業影響與成本**（機會損失、罰鍰） * **風險處置策略**（避免、移轉、減輕、接受） > **管理者視角**＝站在 **CISO／高階管理層** 角色、兼顧「企業全局」後再選最佳方案。 **範例題（AI 產生的模擬練習題）** ```text 一家全球電商準備在兩週後發表全新行動支付 API • 行銷估計若延後上線，將損失約 500 萬美元市場檔期 • 內部滲透測試剛發現此 API 存在高風險 SQL Injection • 開發團隊表示最少需要 4 週才能完全重構並修補程式碼 • 公司必須符合 PCI DSS 與各地隱私法 身為資訊安全主管 (CISO)，在目前時程與合規壓力下，你應採取下列何種最合適的風險處置？ A. 延後發表會，直到漏洞完全修補並通過再測 B. 購買含資料外洩條款的網路保險，以轉嫁潛在損失 C. 立即部署 Web Application Firewall (WAF) 以攔截注入攻擊，並要求團隊在上線後 4 週內完成修補 D. 照原計畫上線，並在網站隱私權聲明加入免責條款以「接受風險」 ``` 在此案例中，**C** 同時兼顧合規（降低高風險以符 PCI‑DSS）、時程與商業需求，因此最貼合「最佳答案」的思維。 若只看技術，可能會選 **A**（完全修補）；若只看商業利益，又可能偏向 **D**——這正體現「管理者 vs. 工程師」視角的差異。 --- ## Q7：除了考完考試，還能做什麼？ * 考照不是終點。別以為補習五天、K 書三個月後考過就一勞永逸；資安日新月異，持續學習與交流才是關鍵。 * 推薦加入 [**ISC2 Taipei Chapter ‑ 台灣國際認證 資安專家協會**](https://www.isc2chapter.tw/)——與資安前輩分享經驗、參加講座並累積 CPE。 --- ## Q8：學了名詞還是不會用？先問「它怎麼幫公司賺錢／省錢」 > **企業導入資安的根本目的：在可接受的風險內持續賺錢、守住合法與商譽。** > 所有專有名詞、框架與流程，都應該對齊這條主線──否則就只是背考題。 --- **1. 企業為何投資資安：目標與痛點** - **增加收入**：確保服務不中斷，才能持續接單、完成結帳。 - **降低支出**：避免攻擊、勒索、法規罰款一次吞掉年度獲利。 - **穩定營運**：防止供應鏈或關鍵核心系統（如 ERP、CRM）被打垮。 - **法規合規**：守住營業執照與品牌信譽，免於高額罰款。 **2. 公司的主要風險來源** - **外部攻擊**：來自駭客的系統入侵、勒索病毒、網路釣魚與詐騙。 - **內部風險**：員工的無心誤操作、惡意內鬼行為、來自第三方供應鏈的風險。 - **法律／市場**：因資安事件遭受主管機關裁罰、被撤銷執照、失去客戶信任。 **3. 資安團隊的核心任務** - **降低營運風險**：將資安事故發生的機率與造成的損失，控制在企業可接受的範圍內。 - **避免違法／罰款**：確保企業營運滿足該產業與地區的法規要求（如 GDPR、上市櫃公司資安規範等）。 - **維護客戶信任**：透過保護客戶資料與確保服務品質，來鞏固品牌信譽。 **4. 分層治理：將 CISSP 八大領域對應到商業場景** - **戰略層 (董事會／CxO)**：定義企業的「風險胃納」（Risk Appetite）、核定資安總預算、監督整體成效，決定為何 (Why) 而戰。 - **戰術層 (管理層)**：規劃如何 (How) 達成戰略目標。 - *Domain 1 安全暨風險管理*：透過風險評估、購買保險、制定政策，把每一筆資安投資對齊「商業投報率」。 - *Domain 2 資產安全*：執行資產盤點與分級，將「直接影響營收或會導致高額罰款」的資料與系統標示為最高保護等級。 - **戰鬥層 (執行層)**：具體執行什麼 (What) 防禦工作。 - *Domain 3 安全架構與工程*：在系統設計階段就導入安全措施，避免日後花費更高成本停機修補。 - *Domain 4 通訊及網路安全*：確保金流、訂單、客戶個資等重要數據在傳輸過程中全程加密且不中斷。 - *Domain 5 識別暨存取控制*：落實權限最小化原則與自動化管理，杜絕共用帳號與人為誤操作。 - *Domain 6 安全性評估與測試*：透過弱點掃描 (VA)、滲透測試 (PT)、紅隊演練，主動找出漏洞，省下未來一次事件可能造成的百萬損失。 - *Domain 7 安全性作業*：建立資安監控中心 (SOC) 與事件應變 (IR) 流程，將「偵測→應變→恢復」的時間壓到最短，降低損失。 - *Domain 8 軟體開發安全性*：在 CI/CD 流程中內建源碼檢測 (SAST)、軟體物料清單 (SBOM)，確保新功能既安全又能快速上線創造營收。 **5. PDCA 循環：讓資安治理動起來** 1. **Plan**（Dom 1–2）：識別風險、盤點資產、訂立防護的優先順序與衡量指標 (KPI)。 2. **Do**（Dom 3–5）：根據規劃的優先順序，導入具體的防禦架構與控制措施。 3. **Check**（Dom 6–7）：透過測試、監控與事故回顧，用數據衡量防護成效，找出與目標的差距。 4. **Act**（Dom 8 → 再回 1）：將檢討結果應用於改善開發流程與下一輪的資安策略，形成正向的良性循環。 > **總結**：下次遇到新名詞，先問一句：「這個東西，能讓公司多賺多少，或少賠多少？」當答案清楚，你就真正把資安「用」起來了。 --- 歡迎加入「CISSP 證照討論區」LINE 社群，一起交流心得！ [https://line.me/ti/g2/WsfbQzirScd1xTKsCat5Lc5xKG64m9s06nRXSw?utm\_source=invitation\&utm\_medium=link\_copy\&utm\_campaign=default](https://line.me/ti/g2/WsfbQzirScd1xTKsCat5Lc5xKG64m9s06nRXSw?utm_source=invitation&utm_medium=link_copy&utm_campaign=default)