很高兴有这样一个机会来分享自己这几年的学习和考证的历程，感谢谷安提供这样的优秀的平台。目前通过的考证有CISSP、CISA、国际CISM、PRINCE2、ITIL expert等。一路考来，关于怎样备考，考证带来了哪些变化，如何克服考证路上的困难等等一些问题，也有了自己的一些心得体会，希望对备考路上的朋友们有所帮助。

01、工作稳定、收入可观，为什么辛苦考证？

我工作在甲方机构，在二线城市来说，也算是比上不足比下有余，属于“有房有车有娃有贷款”的四有新人，经济上的压力和工作上的压力都不算特别大。大学的理论知识储备、自学的知识技能，加上工作中积累的经验基本上可以胜任我现有的工作。我是2005年一本的信息管理与信息系统专业毕业，进入现在的单位的信息中心工作，虽然在大学里信息管理与信息系统也属是计算机学院，也修过相关的计算机专业科目，但是大学课程有多水你们应该知道的。进入单位的信息中心后，由于部门人员少，事情多且杂，我是从最基础的东西开始接触，从修电脑，管网络，到业务系统运维，设备采购，安全管理，我在这里慢慢积累经验，学到了很多东西，这个过程里成长是很快的，我觉得自己是充实的，处于一个不断进步的状态中。但渐渐的，我发现我在现在这个岗位已经学不到任何新东西了，手里的事情全部是已经做熟且没有挑战的事情。我们单位属于基层组织，能见的世面太少了。眼界决定格局，格局决定命运。一个人见过的世面就决定着他的格局，否则你都不知道什么叫做人外有人，天外有天。

一个人总是要有点追求，不管你追求什么，无论是爱情、事业、知识还是个人兴趣爱好，总之要有追求，才能有朝气的活着。活着就要充满生命力，死气沉沉的混吃等死真的是浪费为人一世。有句老话，人往高处走，明天的自己应该比今天的自己更好一些。虽然我也不断在颓废与雄起之间拉扯自己，也常常因为拖延来不及看书而不断延期考试，但我真的不愿意让自己变成“凑合凑合就行了”的人。一旦你习惯了“凑合”这件事，你就真正从心开始变老了。大学毕业时，我就和同窗同学说，我好担心自己会被这个社会淘汰。因为我担心自己会沉溺麻醉于安逸的生活，在一个平凡安逸的工作中，如井底之蛙一般自我陶醉。在大学同学聚会时，猛然发现当年大学里的同窗好友已经甩开自己一大截，我就有点坐不住了。我想，人都是有上进心的，谁不希望自己好呢。也许，只是有时候它沉睡了，那么唤醒你的上进心，让自己成为越来越好的人，不被这个社会所淘汰，那就是我工作稳定、收入可观，却仍在不断辛苦考证的最大原动力。

02、家人支持您考证吗？

非常感谢我的家人，我的父母，爱人，包括我的小孩都对我的学习和工作提供了很大的支持。平时生活中，我的父母和岳父岳母替我们分担了很多的家务活，白天帮我们带小孩，让我们可以安心的工作和学习。由于学习很多时候需要利用周末时间和晚上网络课堂，在备考期间，要感谢我的爱人，备考期间带好孩子，让我晚上可以有时间上课、看书和刷题，这非常关键。而我的小孩也很乖，知道爸爸在学习考试，也很体谅不会过分打扰。除了固定时间上课，晚上我都尽量陪伴小朋友玩耍，毕竟小孩子的童年只有一次，错过了就错过了，生活也不仅仅只是考证。等他们晚上睡着了，再起来看书刷题。

另外，和其他的考证相比，计算机类的证多且贵，经济上也是一大负担。随便一个证，培训加考试都要几千上万，一路考下来确实比较有压力。有时候，家人也会和我开玩笑，不考证省下来的钱都可以让小朋友多报几个辅导班了……所以，如果在职有孩子的朋友准备考证，务必要取得家人的支持，最起码要得到爱人的支持。否则会困难重重，很难成功。

03、考证给您带来了什么？

我觉得知道自己还有潜力可挖是一件很让人兴奋的事，考证会让人变得自律和自信。虽然人不应该被物质定义，包括各种名衔和考证。但是，每当我甩出一堆证书，切切实实可以感受到别人眼中闪过不一样的光，这确实是会让人感到潜藏在心底的虚荣心得到满足。按照马斯洛的需求层次理论，我觉得我的社交需求、被尊重需求和自我实现的需求都得到一定程度的满足。

（图片来源：百度）

我的下属对我是很服气的，甚至可以说有些小崇拜，因为理论知识储备足够多，加上好歹10多年工作经验，基本上工作中遇到的问题都还是可以圆满解决的。我的领导不敢说很欣赏我，但是至少是很尊重我提出的专业意见的。工作中和乙方进行沟通时，对方也会表现的更加尊重，沟通的效率也更加高效。另外有一点很重要的，就是给孩子带来的影响，言教不如身教嘛。父母上进、乐观，有执行力，有毅力，这些是对孩子来说也是最好的教育。如果自己是一滩烂泥扶不上墙，又凭什么要求孩子成龙成凤呢？这么多年考证下来，7岁的女儿和5岁的儿子常常看我晚上学习辛苦，还会在旁边静静陪着我做作业或者看书，有些时候不能陪他们玩耍或者入睡，他们会寂寞，但也会明白，开心玩乐很重要，努力追求进步也同样很重要。

04、考证有哪些经验分享？

对于计算机类的考试，可以说是学无止境的，不但门类多，而且更新快。所以第一点我觉得最重要的是选择方向。可以根据工作的需要，可以根据自己的兴趣。到底是选择技术类的，还是选择管理类的？到底是选择项目管理，还是安全管理，还是运维管理，或者是大数据，云计算？选择一个或几个大类，然后了解这个大类下有哪些认证是职场和圈内比较认可的，然后逐步的升级打怪，进阶学习。

比如，如果你对项目管理感兴趣，可以从PMP或者PEINCE2入手，这两个都是讲单项目的。也可以考一个国内的信息系统项目管理师，是高级职称哦，对于企事业的朋友可能会比较有用。然后就可以进阶到项目群或者项目组合管理。

（我的PRINCE2证书）  

如果你对安全管理和风险管理感兴趣，不妨从CISSP或CISP入手，然后接触ISACA的CISA和CISM考试，最后学习CRISC。当然安全还有一些偏技术类的Security+认证。

（我的CISSP证书）

（我的CISA证书）

如果你对IT服务感兴趣，则可以考虑学习ITIL的体系，现在谷安ITIL已经升级到ITIL V4了，但是ITIL V3仍然还可以学习和考证，可以从基础的ITIL Foundation开始，逐步升级到ITIL expert。（ITIL Master国内不能考，要去英国考）。

（我的ITIL证书）

如果你站位更高，对战略，对治理感兴趣，那一定要去了解COBIT，从COBIT的Foundation到implementation，还可以去了解ISACA的CGEIT。这里插一句，ISACA的CISA、CISM、CGEIT、CRISC号称四大金牌认证，含金量还是蛮高的。另外，COBIT已经出COBIT 2019版了，但是COBIT5仍然可以考证，目前大多企业也还在沿用。

当然还有其他的如敏捷、商业分析和IT架构等等，都是蛮不错，蛮有意思的方向。之所以把他们放在一起，是因为他们其实是相关联的，很多的知识内容在各个不同的认证当中都是相通的，或者是互相交错、互相借鉴的。例如，CISA的考证当中，就有很大部分是ITIL、PMP、CISSP的相关内容，CISSP中也介绍了很多Cobit的知识，PMP和PRINCE2可以说分别着重从理念和流程落地讲述项目管理的知识。所以，考证有些时候就像打游戏一样，吸引你不断打怪升级，在这个过程中，逐步完善自己的知识体系。我就认识几个朋友，每年都会坚持考一两个证。我自己也没有全部考完，也在每年的不断升级之中。

考了那么多的证，最难的可能是考的第一个证，正所谓“万事开头难”。一旦你突破了第一个证，后面的就会变得轻车驾熟了。有位大神曾经说过“成功=执行力+坚持力+学透力”，我深表同意，说到底就是这三力决定着你能不能顺利拿证。有人学习能力很好却坚持不下来，有人付出了好多年的努力却连学习方法都没找对，这也是不行的。客观评估自己要拿证的决心、学习能力和能进行学习的时间，客观的分配自己的学习和工作的时间矛盾（考证人群中应该很大部分是像我一样的上班族吧，所以一定要平衡好工作，家庭和学习的关系。），尽量让自己投入一样的精力却收获更多的回报。

05、关于具体的备考方法：

学习方法非常重要，选择适合自己的学习方法，事半功倍。我认为学习真的不在于你看了几遍花了多少时间做了多少题目，重要的是效率。你的有效复习时间是多久？学习没有捷径，一分耕耘一分收获，我们不要妄想一分耕耘能取得三分收获，至少要保证一分耕耘要取得0.8分收获，再考虑到各种可能的状况，这样的效率是完全可以应对60分合格的考试的。

（1）关于培训班和听课

首先，对我个人而言，培训班是一定要上的。一是因为培训班可以更有效的圈出考试的重点，哪些是考点，哪些是废话。欧美的考试书有两个特点，一是很厚，二是很跳跃。比起国内教材来说，不像国内教材的框架结构显得那么条理清晰，思维比较跳跃，常常是一个内容前后反复说，从不同角度不同侧重点反复说。所以听培训班的老师讲课可以比较好的梳理清楚知识点。当然培训班的形式也有很多种，有面授班，有网络班，有集中班，有周末班，根据自己的时间和习惯来选择吧。二是有些认证考试是必须先经过培训才可以报名参加考试的，必须有培训机构证明已经达到了足够的学时。三是培训班里有老师授课，也有同学一起考证，可以互相促进，互相交流，有疑问可以互相探讨，这很重要。欧美的认证考试，题目很多都是场景题，没有绝对的标准答案，有可能四个选项都是对的，只是看那个更贴合。而且往往认证的题目保密工作做得好，很难得到题目和答案。所以和老师和同学讨论就显得各位重要了，通过讨论，可以澄清很多盲点。四是考试中很可能有超纲的内容，或者说是教材中没有的知识点，在考试中出现。很多官方教材上明确说明，本教材不能涵盖考试中所有的内容。是不是感觉很扯淡？这个时候就只能依托培训班的老师根据经验补充相应的考试知识了。比如CISA开始中，考了很多CISSP的内容，而这部分内容并没有在教材中展开。尽管考的没有CISSP考试那么难，但也够你受的了。如果你学过CISSP那就没问题，但是如果你没有学过的话，那就只能依靠老师去补充这方面的知识了。

（2）关于看书

第一，书一定要看。第二，不能只看书。大部分考试，书（指的是官方教材）仍然是基础，涵盖了大部分的知识点，还是需要翻阅的。但是，官方教材一般都写的非常非常枯燥，我个人坚持不了半个小时，看完往往一头雾水，一团浆糊。

那不看书看什么？一是看辅导资料。有些考试会有配套辅导资料，比如什么学习指南啊，CISSP有AIO（all in one）啊等等。二是看机构的讲义，大部分机构，包括谷安，一般都会给授课配套的讲义，里面会补充许多考点，也会圈出很多重点。讲义是书的浓缩，我的建议是听课同时，把讲义也细过一遍，老师讲你跟着划，等于看了一遍，标注重点。我习惯用黄色荧光笔加红笔标记。而官方教材着作为词典或者补充，等讲课过了一遍之后再对着笔记翻阅，这样教材就比较好理解了。而且更重要的一点是，反复。很多时候，第一遍看书是不知所云的。而跟着培训班学习一遍之后，对着讲义学会大概摸到框架。但是离考试还远远不够，还需要至少再反复看一遍，或者在做题后再看重点。通过反复，最好结合自己工作实际，才能够理解书中的内容。

（3）关于做题和实验

每个考试都有自己的特点，不是所有考试都需要大量做题，但有些考试必须题海，而有些考试让人痛苦的则是实验。我考证的方向主要是管理类，所以我对技术类的考试没有什么发言权，N年以前考过CCNA也早已经消散于风中了。针对管理类的考试而言，尤其是欧美国家的认证，必要的题库模拟还是很有必要的。一是熟悉考试的题型，与国内考试不同，很多都是场景题，必须通过做题熟悉这种类型的考试。书中的知识点与题目的考点很多时候对应的不是那么明显，更需要通过做题来熟悉和了解。二是训练考试的速度和题感。一般来说考试的时间是充足的，而且大部分是选择题，平均一分钟一道题也都足够。但是很多题目似是而非，特别容易让人纠结，这个时候通过多做题可以训练出某种“题感”，做多了你就会在做题时感觉到这题“有坑”，更进一步就是知道题目的“坑”在哪里，是什么。到了这样境界，恭喜你，离考试通过不远了。三是训练做题的耐力。欧美的认证考试一个让人痛苦的地方是考试的时间往往很长，比如，CISSP考6个小时，CISA考4个小时，如何能让自己的屁股在考试时稳稳的坐上几个小时，还要保持一直高度的注意力，是个需要训练的过程。建议考试前一定要自己找个时间找个安静的地方真实模拟几次，找找真实考试的感觉。

（4）关于考试

当你已经准备好的时候，所有的一切都是顺其自然、水到渠成的事情了，安心将自己交给命运吧……老实说，考了那么多证，大部门考完后都是没有底的，尽管觉得自己已经复习很久很充分了，但是考完后，还是没有完全的把握说自己就一定过了。这当然是因为欧美考题的特点决定的。前面已经说了，欧美考题很多是情景题，很多题是优中选优，很可能4个候选答案都对，就看哪一个更加切合。所以，对错就在一念间。这个时候，请相信你的直觉。你第一眼看中的往往就是对的。其次考试时间很长，很耗费体力，请提前准备干粮，或者准备好外卖，许多考试的时间都横跨上下午，午饭或者晚饭的正常时间都在考试，你可以选择出考场吃点东西，补充能量，只是考试时间仍然在计算。我记得我考CISSP的时候就出来吃了2次东西……第三现在很多考试都是机考，考试时不要太纠结，毕竟我们不需要考100分，一般是60%或者75%就可以通过了。实在遇到纠结不下的，还可以用小红旗标注，回头再来看看。千万不要盯着一个题目不放。另外，由于是机考，很多考试当场就可以知道初步成绩了。所以当你考完提交后的一瞬间，你就知道自己过了，这个时候请淡定，因为这只是长征路上第一步。之后你还要经历一段时间的审核、等待、甚至是背书。最后当你拿到从英国、美国等地方寄过来的金光闪闪的证书时，恭喜你，入坑了。哈哈哈哈哈……

谷安学院目前开设二十多个信息安全认证课程及就业培训，总有适合你的，添加谷姐微信（lhq6013）报名咨询！

国际认证：CISSP、CISA、CRISC、Security+、CCSK、CISM、DevOps Master、DevOps Professional、ISO27001、CCSP、PDPF、COBIT、PRINCE2、ITIL4；

国内认证：CISP、CISP-PTE、CISP-A、CISP-IRE、SCSA、SCSP；

就业培训：谷安网络安全就业班，专业培训安全服务、渗透测试、安全运维、安全分析、售前工程师等，针对应往届信息安全相关的毕业生，以及工作1-3年的从业者，详情关注本公众号咨询谷姐！