参加CISSP认证培训有感

上周参加了CISSP的培训，也准备着考CISSP，自己觉得收获挺多的，也认识很多不同业界但同是信安领域的牛人们。很多人都问到底要不要参加培训，我个人认为，CISSP的考试本来的目的就是为了让一个从事安全领域的人能够理论与实践相结合的工作。当然只靠5天的培训时间，自己不花时间是不可能帮你通过CISSP的。培训最大的收获就是能够让你认识到许多志同道合的人，大家一起交流安全问题，互相探讨各自领域中存在的问题与困难。一起备考CISSP。老师也会告诉你一些考试方式，技巧等。CBK10个域，很少人能是全才对这些领域非常熟悉，通过交流与授课，弥补自己的不足，我觉得非常不错。总的一句，理论与实际相结合，互相交流非常必要[/size]

我为多家CISSP培训机构担任培训讲师，我谈谈我对CISSP培训目的的认识。我参与的培训项目包括内训和公开课，这两种培训项目中都有学员准备参加CISSP认证考试，也都有不准备参加的。对于前者来讲，通过考试显然是参加培训的重要目标。

那么怎样才能顺利地通过CISSP认证考试呢？我觉得应该具备以下条件：

1、在信息安全领域有适当的工作经验，这是理解相关知识并将其转换为自身能力的先决条件，是通过CISSP认证考试的必要条件，是无可替代的，其它任何手段，包括培训都无法帮你获得实际的工作经验；

2、对信息安全领域的相关知识有广泛的了解，包括技术和管理方面的，这是通过CISSP认证考试的基础，技术方面的主要靠平时积累，比如各种IT技术、威胁方式、攻击手段以及故障排除技巧，这些内容很难在几天的培训中全面灌输，即使在培训中提到，也很难转化为学员在解决安全问题时的个人能力，所以一次培训不能帮你积累考试所需的所有知识；

3、对信息安全基本原则和规律的正确认识，这是通过CISSP认证考试的关键，CISSP认证的学习和考察目的就是帮助信息安全专业人员树立全面、正确的信息安全观念和思路，这个条件可以通过信息安全领域相关知识的学习、思考以及在工作中的实践和体会逐渐建立起来，也可以在具有适当工作经验和相关知识的基础上，通过培训过程加以梳理，了解有经验的培训讲师以及其他学员的理解和看法，通过课堂和课后的答疑解惑，较快地建立起来；

4、正确的考试技巧，例如能够快速理解题目并抓住题目的核心问题等，这是通过考试的窍门，也是很难从培训以外的渠道获得的。

综上所述，我认为，培训的主要目的是帮助有准备的人获得一个信息安全认识上的提升，使其在CISSP考试中有更多胜算，更重要的是使其在以后的工作中，在处理各种信息安全问题中采取更全面和适当的方法。培训不是变魔术，也不是工业化生产的流水线，它不能将没有经验的新手和信息安全的外行变成这个领域有水准的专业人员。

以上是我个人的一点不成熟的体会，请各位批评指正。