
從網路工程師到滲透測試工程師,我一路累積了多年的技術經驗,也考過多張技術型證照。但隨著工作年資的增加,我逐漸意識到,光靠產品與技術,並不能真正解決客戶的資安問題。這也是我決定挑戰 CISSP 的原因。三個月的準備過程,不僅幫助我通過考試,更重要的是它徹底改變了我的學習心態與工作思維。這篇文章將完整分享我的準備歷程與收穫,也希望能成為未來挑戰這張證照的你一點參考。
簡介|我的背景#
我最早是從系統整合(SI)起步,擔任網路工程師四年,主要負責企業網路建置與維護。之後擔任資安解決方案工程師五年,協助客戶導入各種資安產品、網路架構檢視等工作。最近一年半則轉任滲透測試工程師,透過模擬攻擊者的角度,檢視企業防禦中的漏洞。
一路走來,我考取了不少技術證照,包括 CCNP、PCNSE、NSE7、CEH、OSCP 等,技術基礎算是比較完整。然而,在乙方單位的工作經驗讓我觀察到:有些客戶購買了昂貴的資安產品,卻沒有真正改善安全性;有些客戶明知道需要,但礙於預算無法導入;還有些則是因為缺乏規劃與管理,使得產品形同擺設。這些觀察讓我深刻體會到,資安不能只靠技術堆疊,管理與制度才能解決根本問題。
準備|備考過程#
因同事們大力推薦,所以報名了 WUSON CISSP 私塾,我給自己設定了三個月的準備期,每天平均投入三個半小時,但根據每個人的背景、家庭狀況不同,所需要的時間會有所不同,我的投入時間僅供參考,可以依據自己的實際狀況進行增減。
我在準備考試時,所使用的資源如下
WUSON WPF 題庫 (WUSON 專用題庫)
CISSP CBK Reference (CISSP 大字典)
QUANTUM EXAMS (Reddit 上大力推薦的題庫)
AI,如 ChatGPT、Gemini、NotebookLM (協助整理筆記與釐清教材中的文言文)
google 搜尋引擎 (實際使用範例搜尋)
如果你覺得這樣買的課本太多了,而後續又有要繼續考 CISM 或其他證照,可以考慮訂閱一年的 O’reilly,但價格真的不便宜,請自行評估適用性
我是一個只要打開課本就容易想睡覺的人,所以我的學習方式比較偏向先做題,再回頭檢視內容。透過題目檢視自己不懂的地方,再反過來補強,這樣效率比較高。
在第一個月(2025/06),我主要是跟著課程上課,並熟悉老師的心智圖、名詞定義,以及各種流程的順序。這個階段比較像是打基礎,先讓自己腦中有一個完整的 CISSP 框架。
進入第二個月(2025/07),我開始密集練習 OPT 題目、每個週末做 WPF 模擬試題、每天練習一題 Think Like AManager。題目練習後,無論答對還是答錯,我都會逐題檢討,並寫下筆記,把知識一一補強。如果遇到說明看不懂的,也會利用 google 尋找範例,例如我沒有管理過資料庫,因此對資料庫正規化不理解,就算看了名詞說明與題目解釋也一樣,這時候我就會網路搜尋相關範例解決疑惑。主動去搜尋或手動實際測試不理解的內容,這對快速學習非常的有效果,只要自己搜尋過案例,或實際動手做之後,忘記的機率會非常低。
第三個月(2025/08),我把重心放在檢視 CISSP 的考試大綱。我會逐一確認自己是否理解大綱中的每一個名詞,如果遇到不熟悉的,就回頭翻 OSG;如果 OSG 的描述不夠清楚,則再翻 CBK 做補充。這段期間,我同時持續練習 OPT 題目,並且不斷檢討錯題,確保自己真正掌握知識點。
到了最後衝刺的階段(2025/09/01–2025/09/13),我把 OPT 題目的正確率刷到九成以上,並把重心放在自己最不熟悉的領域。這個時候已經不再追求大量刷題,而是專注於鞏固知識。

在備考過程中,我也設下了彈性規則。當我覺得累了,就會停下來休息,等有精神時再繼續讀書,確保學習的效率不會下降。同時,每達成一個小里程碑,我都會給自己一些獎勵,比如看 30 到 60 分鐘的電視,這讓我能在長期的準備過程中維持穩定的動力。
不過,整個過程並不是一帆風順。最大的挑戰是記憶反覆卻總覺得沒有進步,特別是在 8 月,雖然每天投入大量時間,但仍然有種停滯不前的感覺。為了突破這個瓶頸,我使用 RemNote 製作閃卡,專門針對不熟悉的內容加強記憶。另一方面,在練習 WPF 的情境題時,我逐漸抓到關鍵字的技巧,學會如何根據題目真正問的重點來回答,分數才又開始提升。

而在準備 CISSP 的過程中聽到一些不管成功或失敗的分享,其中一個就是建議 CISSP 揪團一起念,一個人不容易發現自己不會在哪裡,查找資訊也會花比較多時間,而一群人一起念,就可以互相討論,獲取不同面向或不會的想法與知識。因此當真的遇到困難,不要自己悶著背,而是主動尋求幫助。當我遇到不理解的概念時,我會去查 OSG 或 CBK,如果還是無法完全理解,就會與同班的戰友們(Bruce、Fungi、Allen、宏銘、Steven、長均、Jeremy、Ken)討論、詢問 AI、網路上找說明,甚至直接向教練或已經考過的同事請教。這樣的方式才能透過「理解」取代「死背」,準備 CISSP 從來不是要把所有知識一字不漏地背下來,而是要學會用正確的方式去思考與判斷。
另外值得一提的是,我選擇報考簡體中文版的 CISSP,而簡體字與不同的語法一定會有不適應的狀況,為了克服這點,我在平時做題目時會搭配沉浸式翻譯工具,把題目轉換成簡體字,讓大腦逐漸習慣。這個做法效果非常好,讓我在正式考試時不會因為語言而額外緊張。

考試心得|考試當天#
正式考試的那一天(9/15),我提早了三十分鐘到考場。因為很清楚情緒會影響表現,我特意提醒自己保持愉快的心情,並在心裡默默告訴自己:「再過三個小時,我就會通過 CISSP 了!」這樣的心靈雞湯,讓我在進場考試時是充滿自信的。
在面對不會的題目時,我告訴自己不用慌張,ISC2 官方曾經提到,考題裡會有二十五題是不計分的,所以我乾脆假設這些難題就是那二十五題,保持冷靜繼續往下答題。至於答題的節奏,因為題目有長有短,所以我抓的原則是三十分鐘至少完成四十題,確保時間不會不夠。
這裡我想特別提醒,**不管你刷了多少題,都要提前有一個認知 — — 正式考試的題目幾乎不會和練習題一模一樣。**與其期待靠「運氣」遇到刷題看過的題目,不如預設所有題目都是全新的,這樣一來,你在考場上就能把心態放在「理解與判斷」上,而不是焦慮地回想「這題是不是看過」。
有一點小細節也值得提醒:考試是按照報到順序進場的,所以提早到很重要。還有一點是,聽說 NDA 簽署畫面有時間限制,進入後不要停留太久,避免因為超時而造成考試 Fail。
考後感想與總結#
學習 CISSP 的過程中,我在工作上的思維方式有了很大轉變。過去在發現漏洞時,我會著眼於技術層面的修補;現在則會先優先選擇與客戶討論漏洞對業務的實際影響,再提供最適合的修補建議。這樣的方式不僅更貼近客戶需求,也更容易被客戶接受,因為它真正解決了客戶所在乎的問題。
特別是 CISSP,內容涵蓋面向廣、邏輯清晰,如果只是為了「通過考試」而快速帶過,實在有些可惜。花了這麼多時間準備,若沒有從中吸收精隨,等於錯失了最寶貴的部分。我真心推薦不要只把 CISSP 當作一張證照,而要認真去理解其中的知識,因為它不僅能幫助考試,更能在實際工作與決策上發揮長遠的價值。
在學習心態上,我也有很大的改變。從前考證照,我多半只是為了「拿到那張紙」,靠背考古題過關。但在準備 OSCP 和 CISSP 之後,我開始真正享受學習的過程,甚至會因為理解了一個原本不會的知識點而感到開心。這讓我意識到,證照只是過程中的副產品,真正的價值來自於持續成長的累積。
另一個收穫是,我在這兩張證照的準備過程中,找到了適合自己的學習方法,這讓我在考試結束後,即使面對新的知識領域,也能更快速地進入狀況。換句話說,這些證照不只是頭銜上的標籤,而是一套能持續陪伴我學習與成長的模式。
對於未來準備 CISSP 的人,提供以下四個建議參考:
找志同道合的好夥伴一起努力
先建立整體知識框架,再逐步深入細節,因為 CISSP 考試的廣度大於深度
練題固然重要,但不要陷入盲目刷題,而是要透過題目來加深對概念的理解與建立思考邏輯
記住這是一個強調情境判斷的考試,最適合的答案往往不是技術上最完美的那個,而是最符合題目情境需求的選項
一路走來,我更加相信 — — 累積就是凡走過必留下痕跡,每一分努力都不會白費。期望未來挑戰這張證照的你能夠持續累積並學習正確思考後,順利通過 CISSP 考試!
最後請記得,考完 CISSP 並不代表你已取得這張證照,還有一段背書流程要執行。