上周參加了CISSP的培訓，也準備著考CISSP，自己覺得收獲挺多的，也認識很多不同業界但同是信安領域的牛人們。很多人都問到底要不要參加培訓，我個人認為，CISSP的考試本來的目的就是為了讓一個從事安全領域的人能夠理論與實踐相結合的工作。當然只靠5天的培訓時間，自己不花時間是不可能幫你通過CISSP的。培訓最大的收獲就是能夠讓你認識到許多志同道合的人，大家一起交流安全問題，互相探討各自領域中存在的問題與困難。一起備考CISSP。老師也會告訴你一些考試方式，技巧等。CBK10個域，很少人能是全才對這些領域非常熟悉，通過交流與授課，彌補自己的不足，我覺得非常不錯。總的一句，理論與實際相結合，互相交流非常必要[/size]
我為多家CISSP培訓機構擔任培訓講師，我談談我對CISSP培訓目的的認識。我參與的培訓項目包括內訓和公開課，這兩種培訓項目中都有學員準備參加CISSP認證考試，也都有不準備參加的。對于前者來講，通過考試顯然是參加培訓的重要目標。
那么怎樣才能順利地通過CISSP認證考試呢？我覺得應該具備以下條件：
1、在信息安全領域有適當的工作經驗，這是理解相關知識并將其轉換為自身能力的先決條件，是通過CISSP認證考試的必要條件，是無可替代的，其它任何手段，包括培訓都無法幫你獲得實際的工作經驗；
2、對信息安全領域的相關知識有廣泛的了解，包括技術和管理方面的，這是通過CISSP認證考試的基礎，技術方面的主要靠平時積累，比如各種IT技術、威脅方式、攻擊手段以及故障排除技巧，這些內容很難在幾天的培訓中全面灌輸，即使在培訓中提到，也很難轉化為學員在解決安全問題時的個人能力，所以一次培訓不能幫你積累考試所需的所有知識；
3、對信息安全基本原則和規律的正確認識，這是通過CISSP認證考試的關鍵，CISSP認證的學習和考察目的就是幫助信息安全專業人員樹立全面、正確的信息安全觀念和思路，這個條件可以通過信息安全領域相關知識的學習、思考以及在工作中的實踐和體會逐漸建立起來，也可以在具有適當工作經驗和相關知識的基礎上，通過培訓過程加以梳理，了解有經驗的培訓講師以及其他學員的理解和看法，通過課堂和課后的答疑解惑，較快地建立起來；
4、正確的考試技巧，例如能夠快速理解題目并抓住題目的核心問題等，這是通過考試的竅門，也是很難從培訓以外的渠道獲得的。
綜上所述，我認為，培訓的主要目的是幫助有準備的人獲得一個信息安全認識上的提升，使其在CISSP考試中有更多勝算，更重要的是使其在以后的工作中，在處理各種信息安全問題中采取更全面和適當的方法。培訓不是變魔術，也不是工業化生產的流水線，它不能將沒有經驗的新手和信息安全的外行變成這個領域有水準的專業人員。
以上是我個人的一點不成熟的體會，請各位批評指正。