m o c . 认证考试大纲 5 b u h t i g 生效日期：2022 年 8 月 1 日 关于 CCSP 认证 CCSP，即云安全专家认证，是由 (ISC)² 推出的，旨在确保云安全专业人员在云安全设计、实现、架构、运营、 控制和遵守监管要求方面拥有所需的知识、技能和能力。CCSP 认证将信息安全专业知识应用到云计算环境中， 展示了云安全专业人员在云安全架构、设计、运营和服务编排方面的能力。这种专业能力是根据全球公认的知识 体系来衡量的。 CCSP 的公共知识体系（CBK）中包含的议题确保了云安全领域中所有原理的相关性。通过认证的考生展示了在 以下六大知识领域的能力： • 云概念、架构和设计 • 云数据安全 • 云平台和基础架构安全 • 云应用安全 • 云安全运营 • 法律、风险和合规 m o 经验要求 c . 5 b u 申请者应具备至少五年的累积 IT 行业有偿工作经验，其中必须要有三年信息安全相关经验和 CCSP CBK 六大知 识领域中一个或多个领域的一年经验。获得云安全联盟的 CCSK 证书可以替代在 CCSP CBK 六大知识领域中一 个或多个领域的一年经验。获得 (ISC)² 的 CISSP 证书，可替代 CCSP 认证申请的工作经验要求。 h t i g 没有满足 CCSP 所需工作经验的考生，如果能够通过 CCSP 考试则可以成为 (ISC)² 的准会员（即 Associate）。 (ISC)² 的准会员可以用接下来的 6 年时间积累所需的五年工作经验。欲了解更多关于 CCSP 工作经验要 求以及如何计算兼职工作和实习经验的信息，请访问 www.isc2.org/Certifications/CCSP/experiencerequirements。 认证 CCSP 认证符合 ANSI/ISO/IEC 17024 标准的严格要求。 工作任务分析 (JTA) (ISC)² 有义务保持其会员所持 CCSP 认证的相关性。定期进行工作任务分析（JTA）是一项系统而关键的过程， 用以确定从事 CCSP 所定义的专业领域的安全专业人士所执行的任务。JTA 的分析结果会用来更新考试。此过程 确保了考生的测试题目与目前从业的专注于云技术的信息安全专业人士的角色和职责密切相关。 CCSP 云安全专家认证考试大纲 2 CCSP 考试信息 考试时长 4 小时 考题数量 150 考题格式 多选题 及格线 1000 分中得到 700 分 考试语言 英语，日语，中文，韩语，德语，西班牙语 考试中心 Pearson VUE Testing Center CCSP 考试的权重 1.云概念、架构和设计 2.云数据安全 g c . 5 b u ti h 领域 m o 权重 17% 20% 3.云平台和基础架构安全 17% 4.云应用安全 17% 5.云安全运营 16% 6.法律、风险和合规 13% 总计： 100% CCSP 云安全专家认证考试大纲 3 领域 1： 云概念、架构和设计 1.1 了解云计算概念 » 云计算定义 » 云计算角色和职责（例如，云服务客户、云服务供应商、云服务合作伙伴、云服务代理、监管机构） » 云计算关键特性（例如，按需自助服务、广泛的网络访问、多租户、快速弹性和可伸缩性、资源池化、可度量服务） » 构建块技术（例如，虚拟化、存储、联网、数据库、编排） m o 1.2 描述云计算参考架构 » 云计算活动 » 云服务能力（如应用能力类型、平台能力类型、基础设 施能力类型） » 云共享考虑因素（例如，互操作性、可移植性、可逆 性、可用性、安全性、隐私、弹性、性能、治理、维护 和版本控制、服务等级和服务等级协议 (SLA)、可审计 性、监管、外包） » 云服务类别（例如，软件即服务 (SaaS)、基础设施即服 务 (IaaS)、平台即服务 (PaaS)） b u » 云部署模型（例如，公共云、私有云、混合云、社区 云、多云） ti h 1.3 了解与云计算相关的安全概念 » 密码学和密钥管理 g » 身份和访问控制（例如，用户访问、特权访问、服务访 问） » 数据和媒介清理（例如，覆盖、加密擦除） c . 5 » 相关技术的影响（例如，数据科学、机器学习、人工智 能 (AI)、区块链、物联网 (IoT)、容器、量子计算、边缘 计算、机密计算、DevSecOps） » 虚拟化安全（例如，hypervisor 安全、容器安全、临时 计算、无服务器技术） » 常见威胁 » 安全卫生（例如，打补丁、基线） » 网络安全（例如，网络安全组、流量检查、地理围栏、 零信任网络） 1.4 了解安全云计算的设计原则 » 云安全数据生命周期 » 基于云的业务连续性 (BC) 和灾难恢复 (DR) 计划 » 业务影响分析 (BIA)（例如，成本效益分析、投资回报率 (ROI)） » 功能安全要求（例如，可移植性、互操作性、供应商锁定） » 不同云类别的安全注意事项和责任（例如，软件即服务 (SaaS)、基础设施即服务 (IaaS)、平台即服务 (PaaS)） » 云设计模式（例如，SANS 安全原则、架构完善的框架、云安全联盟 (CSA) 企业架构） » DevOps 安全 1.5 评估云服务供应商 » 根据标准进行验证（例如，国际标准组织/国际电子技术委员会 (ISO/IEC) 27017、支付卡行业数据安全标准 (PCI DSS)） » 系统/子系统产品认证（例如，通用标准 (CC)、联邦信息处理标准 (FIPS) 140-2） CCSP 云安全专家认证考试大纲 4 领域 2： 云数据安全 2.1 描述云数据概念 » 云数据生命周期阶段 » 数据分散 » 数据流 m o 2.2 设计和实现云数据存储架构 » 存储类型（例如，长期、临时、原始存储） » 对存储类型的威胁 c . 5 2.3 设计和应用数据安全技术和策略 » 加密和密钥管理 » 令牌化 » 散列 » 数据丢失防护 (DLP) » 数据混淆（例如，屏蔽、匿名化） » 密钥、机密和证书管理 2.4 实现数据发现 » 结构化数据 » 非结构化数据 » 半结构化数据 » 数据位置 h t i g b u 2.5 计划和实现数据分类 » 数据分类策略 » 数据映射 » 数据标记 2.6 设计和实现信息权限管理 (IRM) » 目标（例如，数据权限、访问、访问模型） » 适当的工具（例如，颁发和撤销证书） CCSP 云安全专家认证考试大纲 5 2.7 规划和实施数据保留、删除和归档策略 » 数据保留策略 » 数据删除程序和机制 » 数据归档程序和机制 » 依法保留 2.8 设计和实施数据事件的可审计性、可追溯性和责任性 » 事件源的定义和事件属性的要求（例如，身份、互联网协议 (IP) 地址、地理位置） » 数据事件的日志记录、存储和分析 m o » 监管链和不可抵赖性 c . 5 b u h t i g CCSP 云安全专家认证考试大纲 6 领域 3： 云平台和基础架构 安全 3.1 理解云基础架构和平台组件 » 物理环境 » 虚拟化 » 网络与通信 » 存储 » 计算 » 管理平面 3.2 设计安全的数据中心 c . 5 » 逻辑设计（例如，租户分区、访问控制） » 物理设计（例如，位置、购买或建造） b u » 环境设计（例如，供暖、通风与空调 (HVAC)、多供应商通路连接） » 设计弹性 h t i g 3.3 分析与云基础架构和平台相关的风险 » 风险评估（例如，识别、分析） » 云漏洞、威胁和攻击 » 风险缓解策略 3.4 计划和实现安全控制 » 物理和环境保护（例如，内部部署） » 系统、存储和通信保护 m o » 审计机制（例如，日志收集、关联、数据包捕 获） » 云环境中的识别、认证和授权 3.5 计划业务连续性 (BC) 和灾难恢复 (DR) » 业务连续性 (BC) / 灾难恢复 (DR) 策略 » 业务需求（例如，恢复时间目标 (RTO)、恢复点目标 (RPO)、恢复服务级别） » 计划的创建、实施和测试 CCSP 云安全专家认证考试大纲 7 领域 4： 云应用安全 4.1 倡导应用程序安全性的培训和意识 » 云开发基础 » 常见陷阱 » 常见云漏洞（例如，开放网端应用安全项目 (OWASP) 10 大风险、SANS 前 25 个最危险的软件错误） m o 4.2 描述安全软件开发生命周期 (SDLC) 流程 » 业务需求 c . 5 » 阶段和方法（例如，设计、编码、测试、维护、瀑布式与敏捷） 4.3 应用安全软件开发生命周期 (SDLC) b u » 云特定风险 » 避免开发过程中的常见漏洞 » 威胁建模（例如，欺骗、篡改、抵赖、信息泄露、 h t i g 拒绝服务和特权提升 (STRIDE)；灾难、可重现 性、可利用性、受影响用户与可发现性 (DREAD)； 架构、威胁、攻击面和缓解措施(ATASM)；攻击 » 安全编码（例如，开放web应用安全项目 (OWASP) 应用安全检验标准 (ASVS)、 卓越代码软件保障论坛 (SAFECode)） » 软件配置管理和版本控制 模拟和威胁分析过程 (PASTA)) 4.4 应用云软件保障和验证 » 功能和非功能测试 » 安全测试方法（例如，黑盒、白盒、静态、动态、软件组成分析 (SCA)、交互式应用程序安全测试 (IAST)） » 质量保证 (QA) » 滥用案例测试 4.5 使用经过验证的安全软件 » 保护应用编程接口 (API) » 供应链管理（例如，供应商评估） » 第三方软件管理（例如，许可） » 经过验证的开源软件 CCSP 云安全专家认证考试大纲 8 4.6 了解云应用架构的细节 » 补充安全组件（例如，web应用防火墙 (WAF)、数据库活动监控 (DAM)、 可扩展标记语言 (XML) 防火墙、应用编程接口 (API) 网关） » 密码学 » 沙盒 » 应用程序虚拟化和编排（例如，微服务、容器） 4.7 设计适当的身份和访问管理 (IAM) 解决方案 m o » 联合身份 » 身份提供商 (IdP) c . 5 » 单点登录 (SSO) » 多因子验证 (