cissp

Security+ Security+ 认证是一种中立第三方认证，其发证机构为美国计算机行业协会CompTIA；是和CISSP、CISA等共同包含在内的国际IT业热门认证之一，和CISSP偏重信息安全管理相比，Security+认证更偏重信息安全技术和操作。 考试资料 Security+ Study Guide (英文版) https://www.professormesser.com/security-plus/sy0-401/sy0-401-course-index/ （非常棒，无废话） 淘宝或者谷安可以买到security+习题集，注意有的习题答案是错误的。 学习过程 读完一遍 Security+ Study Guide (SY0-401) 读完一遍 https://www.professormesser.com/security-plus/sy0-401/sy0-401-course-index/ 断断续续一共学习了一个月，做了一大堆笔记，去考试, 然后就过了 考完后当天就能看到电子证书，但是我收到纸质证书是在两个月后。 其他 Security+新版SY0-501书已经出来了，是可以选SY0-401或者SY0-501，但是拿到的证书上面并没有标注是501还是401。貌似501更偏向于技术操作，但是501由于比较新，考试资料可能比较少。 一共70道题目，拖图题3道

信息安全法案 联邦信息安全管理法案： 【FISMA】政府信息安全改革法案是这个法案的前身，适用于政府外包商； 支付卡行业数据安全标准：【PCI DSS】适用于金融信用卡客户身份信息保护[PII]； 健康保险流通和责任法案：【HIPAA】适用于医疗、保险客户健康档案保护[PHI]； 儿童联机隐私保护法案： 【COPPA】关于13岁以下的儿童连接网站的隐私信息保护； 通讯协助执法法案： 【CALEA】要求所有通信运营商配合执法人员的工作； Gramm-Leach-Bliley： 银行、 保险公司和贷款提供商受到对他们所能提供的服务和相互共享的信息的严格限制； 萨斯班法案： 管理上市公司公开的财务报告，包括确保该信息完整性的安全控制要求； 公司信息安全策略 功能：明确必须要实现的主要安全目标和满足业务目标的安全构架； 高级安全策略: 高层管理人员支持资讯安全网的意图的陈述； COBIT 信息及相关技术控制目标 发布： 国际信息系统审计协会(Information System Audit and Control Association ISACA) 功能： 规定了安全控制的目标和要求,鼓励将IT的理想安全目标映射到商业目标中; 原则1：满足利益相关者的需求； 原则2：对企业做到端到端的覆盖: 原则3：使用单一的集成框架; 原则4：使用整合处理法: 原则5： 把治理从管理中分离出来。 标准

拖拉了好几年，去年年底终于决定开始认真学习CISSP准备考试。 11月4号报的汇哲的培训班，截止今天2018.1.19,一共2个半月，顺利通过了。 随便写写经验，分享给大家。 我自身本科学的信息技术，硕士学的网络/通信，工作后一直搞网络以及运营，以及少量项目管理，考了工信部下面的信息系统项目管理师，跟着单位通过了CMMI 3级的评估认证。 以上是我的知识背景，对应下面的CISSP的8个域，有很多覆盖的地方。 后续写我的一些心得的时候，都以我的知识背景为基础，请大家看的时候注意取舍。 第1～4章：安全和风险管理 第5章：资产安全 第6～10章：安全工程 第11～12章：通信和网络安全 第13～14章：身份和访问管理 第15章：安全评估和测试 第16～19章：安全运营 第20～21章：软件开发安全 1.先谈谈是否需要报培训班的问题。 考过后，回顾考题会很明确的感受到，考题基本是贯彻了CISSP所要求的对知识掌握“一英里宽”的理念。题不难，但是范围广。通俗讲，题很简单，你懂/了解/知道这个考点，你就能答对。你不懂就只能技巧的答题了。 多数题型不会直接问什么是A之类，而是套个场景或者其他。但事实上，题干里的那些语言都只是一层包装，你或耐心或粗暴的撕掉他的衣服，会发现他问的还是什么是A。当然，在题目的表述语言里可能会存在很多误导或者混淆的词语，需要注意。 我先写上面一段关于考试的内容