CCSP,即云安全专家认证,是由 (ISC)² 推出的,旨在确保云安全专业人员在云安全设计、实现、架构、运营、控制和遵守监管要求方面拥有所需的知识、技能和能力。CCSP 认证将信息安全专业知识应用到云计算环境中,展示了云安全专业人员在云安全架构、设计、运营和服务编排方面的能力。这种专业能力是根据全球公认的知识体系来衡量的。
CCSP 的公共知识体系(CBK)中包含的议题确保了云安全领域中所有原理的相关性。通过认证的考生展示了在
以下六大知识领域的能力:
申请者应具备至少五年的累积 IT 行业有偿工作经验,其中必须要有三年信息安全相关经验和 CCSP CBK 六大知识领域中一个或多个领域的一年经验。获得云安全联盟的 CCSK 证书可以替代在 CCSP CBK 六大知识领域中一个或多个领域的一年经验。获得 (ISC)² 的 CISSP 证书,可替代 CCSP 认证申请的工作经验要求。
没有满足 CCSP 所需工作经验的考生,如果能够通过 CCSP 考试则可以成为 (ISC)² 的准会员(即 Associate)。
(ISC)² 的准会员可以用接下来的 6 年时间积累所需的五年工作经验。欲了解更多关于 CCSP 工作经验要
求以及如何计算兼职工作和实习经验的信息,请访问 www.isc2.org/Certifications/CCSP/experience-requirements。
CCSP 认证符合 ANSI/ISO/IEC 17024 标准的严格要求。
(ISC)² 有义务保持其会员所持 CCSP 认证的相关性。定期进行工作任务分析(JTA)是一项系统而关键的过程,用以确定从事 CCSP 所定义的专业领域的安全专业人士所执行的任务。JTA 的分析结果会用来更新考试。此过程确保了考生的测试题目与目前从业的专注于云技术的信息安全专业人士的角色和职责密切相关。
考试时长: 4小时
考题数量: 150
考试形式: 单选题
及格线: 1000分中得到700分
考试语言: 英语 、中文
认证云安全专家 (CCSP) 考试涵盖以下领域
云概念、架构和设计 (17%)
云数据安全 (20%)
云平台和基础设施安全 (17%)
云应用安全 (17%)
云安全运营 (16%)
法律、风险和合规 (13%)
更多信息参考2022/8/1 CCSP认证考试大纲
» 云数据生命周期阶段
» 数据分散
» 数据流
» 存储类型(例如,长期、临时、原始存储)
» 对存储类型的威胁
» 结构化数据
» 非结构化数据
» 半结构化数据
» 数据位置
» 目标(例如,数据权限、访问、访问模型)
» 适当的工具(例如,颁发和撤销证书)
» 加密和密钥管理
» 散列
» 数据混淆(例如,屏蔽、匿名化)
» 令牌化
» 数据丢失防护 (DLP)
» 密钥、机密和证书管理
» 数据分类策略
» 数据映射
» 数据标记
» 数据保留策略
» 数据删除程序和机制
» 数据归档程序和机制
» 依法保留
» 事件源的定义和事件属性的要求(例如,身份、互联网协议 (IP) 地址、地理位置)
» 数据事件的日志记录、存储和分析
» 监管链和不可抵赖性
更多信息参考2022/8/1 CCSP认证考试大纲
» 物理环境
» 网络与通信
» 计算
» 虚拟化
» 存储
» 管理平面
» 逻辑设计(例如,租户分区、访问控制)
» 物理设计(例如,位置、购买或建造)
» 环境设计(例如,供暖、通风与空调 (HVAC)、多供应商通路连接)
» 设计弹性
» 风险评估(例如,识别、分析)
» 云漏洞、威胁和攻击
» 风险缓解策略
» 物理和环境保护(例如,内部部署)
» 系统、存储和通信保护
» 云环境中的识别、认证和授权
» 审计机制(例如,日志收集、关联、数据包捕获)
» 业务连续性 (BC) / 灾难恢复 (DR) 策略
» 业务需求(例如,恢复时间目标 (RTO)、恢复点目标 (RPO)、恢复服务级别)
» 计划的创建、实施和测试
» 云开发基础
» 常见陷阱
» 常见云漏洞(例如,开放网端应用安全项目 (OWASP) 10 大风险、SANS 前 25 个最危险的软件错误)
» 业务需求
» 阶段和方法(例如,设计、编码、测试、维护、瀑布式与敏捷)
» 云特定风险
» 威胁建模(例如,欺骗、篡改、抵赖、信息泄露、拒绝服务和特权提升 (STRIDE);灾难、可重现性、可利用性、受影响用户与可发现性 (DREAD);架构、威胁、攻击面和缓解措施(ATASM);攻击模拟和威胁分析过程 (PASTA))
» 避免开发过程中的常见漏洞
» 安全编码(例如,开放web应用安全项目 (OWASP) 应用安全检验标准 (ASVS)、卓越代码软件保障论坛 (SAFECode))
» 软件配置管理和版本控制
» 功能和非功能测试
» 安全测试方法(例如,黑盒、白盒、静态、动态、软件组成分析 (SCA)、交互式应用程序安全测试 (IAST))
» 质量保证 (QA)
» 滥用案例测试
» 保护应用编程接口 (API)
» 供应链管理(例如,供应商评估)
» 第三方软件管理(例如,许可)
» 经过验证的开源软件
» 补充安全组件(例如,web应用防火墙 (WAF)、数据库活动监控 (DAM)、
可扩展标记语言 (XML) 防火墙、应用编程接口 (API) 网关)
» 密码学
» 沙盒
» 应用程序虚拟化和编排(例如,微服务、容器)
» 联合身份
» 身份提供商 (IdP)
» 单点登录 (SSO)
» 多因子验证 (MFA)
» 云访问安全代理 (CASB)
» 密钥/凭据管理
» 硬件特定的安全配置要求(例如,硬件安全模块 (HSM) 和可信赖平台模块 (TPM))
» 管理工具的安装和配置
» 虚拟硬件特定的安全配置要求(例如,网络、存储、内存、中央处理器 (CPU)、Hypervisor 类型 1 和 2)
» 安装客户操作系统 (OS) 虚拟化工具集
» 本地和远程访问的访问控制(例如,远程桌面协议 (RDP)、安全终端访问、安全外壳 (SSH)、基于控制台的访问机制、跳板机、虚拟客户端)
» 安全网络配置(例如,虚拟局域网 (VLAN)、传输层安全 (TLS)、动态主机配置协议 (DHCP)、域名系统安全扩展 (DNSSEC)、虚拟专用网络 (VPN))
» 网络安全控制(例如防火墙、入侵检测系统 (IDS)、入侵防御系统 (IPS)、蜜罐、漏洞评估、网络安全组、堡垒主机)
» 通过应用基线、监控和修复来强化操作系统 (OS)(例如 Windows、Linux、VMware)
» 补丁管理
» 基础设施即代码 (IaC) 策略
» 集群主机的可用性(如分布式资源调度、动态优化、存储集群、维护模式、高可用性(HA)
» 客户操作系统 (OS) 的可用性
» 性能和容量监控(例如,网络、计算、存储、响应时间)
» 硬件监控(例如,磁盘、中央处理器 (CPU)、风扇速度、温度)
» 主机和客户操作系统 (OS) 备份和恢复功能的配置
» 管理平面(例如,调度、编排、维护
(ISO/IEC) 20000-1)
» 变更管理
» 连续性管理
» 信息安全管理
» 连续的服务改进管理
» 事故管理
» 问题管理
» 供应商
» 客户
» 合作伙伴
» 监管机构
» 其他利益相关者
» 取证数据收集方法
» 证据管理
» 收集、获取和保存数字证据
» 安全运营中心 (SOC)
» 安全控制的智能监控(例如,防火墙、入侵检测系统 (IDS)、入侵防御系统 (IPS)、蜜罐、网络安全组、
人工智能 (AI))
» 日志捕获和分析(例如,安全信息和事件管理 (SIEM)、日志管理)
» 事故管理
» 漏洞评估
» 国际法律冲突
» 云计算特有的法律风险评估
» 法律框架和准则
» eDiscovery(例如,国际标准组织/国际电子技术委员会 (ISO/IEC) 27050、云安全联盟 (CSA) 指引)
» 取证要求
» 内部和外部审计控制
» 审计要求的影响
» 确定虚拟化和云的保障挑战
» 审计报告的类型(例如,关于认证业务标准的声明 (SSAE)、服务组织控制 (SOC)、国际鉴证业务准则 (ISAE))
» 审计范围声明的限制(例如,关于认证业务标准的声明 (SSAE)、国际鉴证业务准则 (ISAE))
» 差距分析(例如,控制分析、基线)
» 审计计划
» 内部信息安全管理系统
» 内部信息安全控制系统
» 策略(例如,组织、功能、云计算)
» 相关利益相关者的识别和参与
» 受到严格监管行业的特殊合规要求(例如,北美电力可靠性公司/关键基础设施保护 (NERC / CIP)、健康保险便捷与责任法案 (HIPAA)、经济与临床医疗保健信息科技 (HITECH) 法案、支付卡行业 (PCI))
» 分布式信息技术 (IT) 模型的影响(例如,不同的地理位置和跨越法律管辖区)
» 业务要求(例如,服务等级协议 (SLA)、主服务协议 (MSA)、工作陈述 (SOW))
» 供应商管理(例如,供应商评估、供应商锁定风险、供应商生存能力、托管)
» 合同管理(例如,审计权、指标、定义、终止、诉讼、保证、合规、访问云/数据、网络风险保险)
» 供应链管理(例如,国际标准组织/国际电子技术委员会 (ISO/IEC) 27036)
更多信息参考2022/8/1 CCSP认证考试大纲