1. CCSP简介

(ISC)2与云安全联盟Cloud Security Alliance (CSA)合作，于2015年针对云安全推出了一项专业认证项目，即Certified Cloud Security Professional（CCSP），该认证秉承了(ISC)2系列认证的诸多优点，包括供应商无关性（Vendor Agnostic），“英亩之宽、英尺之深”，ISO/IEC 17024认证，等等。CCSP认证特别适合的组织角色如下（包括但不限于）：

企业架构师/云架构师
安全架构师/安全管理员/安全工程师/安全顾问
首席信息官CIO/首席信息安全官CISO
安全主管/IT主管/IT经理

CCSP认证与另一云安全热门认证CCSK相比，前者侧重于更深入、更前言和基于实际经验的云安全知识体系，后者则强调广泛的、实践的和作为基线的云安全知识，二者的关系如下图所示：

值得注意的是，(ISC)2此前发布了新的CCSP考试大纲，并已于2019年8月1日开始生效，但就目前笔者掌握的各类备考资料，包括官方Common Base Knowledge（CBK），尚未对新版考试大纲进行适应性更新，新旧考试大纲的比较将在第3章解读。

就CCSP新大纲而言，获取CCSP认证需要通过的考试形式为多项选择题（4个选项中选择1个最佳答案），以及排序题、连线题等新题型，考试时长为3个小时，共计125道题。考试大纲将云安全知识体系分为6个知识域，每个知识域在考试中的占比如下：

CCSP认证考试由(ISC)2委托Pearson VUE全球授权考试中心进行，考试方式为Computer Based Test（CBT），即在考试中心提供的计算机上答题，考试结束后一般会立即输出是否通过的结果。由于CCSP认证考试目前在中国大陆尚无考点，因此获取该认证需要赴境外参加考试。

根据(ISC)2提供的持证人员统计，截止2020年1月1日，CCSP全球持证人员为6916名，其中43名来自中国大陆。预计随着业务驱动下的云计算的快速增长，全球CCSP持证人员的数量将进一步增长。

2. CCSP与CISSP的关系

作为(ISC)2和CSA的合作项目，CCSP认证既融合了CSA在云安全领域的持续研究和最佳实践，同时也保持与(ISC)2的安全认证知识体系的一脉相承。相信许多同行与笔者一样此前已持有CISSP认证，而CCSP可以认为是CISSP安全知识体系在云上的应用和拓展，因此，笔者总结了CISSP的8个安全知识域与CCSP的映射关系，如下图所示：

D1-Cloud Concepts, Architecture and Design

CISSP无对应知识域。

D2-Cloud Data Security

CISSP-D2：数据安全生命周期在云中的应用，关注云环境下的多租户数据机密性、数据销毁、数据保留、数据发现问题。

D3-Cloud Platform & Infrastructure Security

CISSP-D3：数据中心物理安全，关注云数据中心的冗余策略、访问控制、安全审计问题；

CISSP-D3：基础设施安全，关注云数据中心的电力/通信冗余、业务连续性/灾难恢复（BC/DR）设计问题。

D4-Cloud Application Security

CISSP-D5：身份与访问管理（IAM）的应用，关注云应用程序特别是SaaS的身份认证和授权问题，以及云访问安全代理CASB的应用；

CISSP-D6：安全测试技术如漏洞测试、渗透测试、静态应用程序安全测试（SAST）、动态应用程序安全测试（DAST）等在云环境下的应用；

CISSP-D8：软件安全开发生命周期在云应用程序安全开发中的应用。

D5-Cloud Security Operations

CISSP-D7：事件管理、问题管理、变更管理、配置管理、补丁管理等运营安全管理在云环境下的应用；

CISSP-D7：BC/DR在云环境下的策略和过程；

CISSP-D7：电子取证技术在云环境下的应用，特别是对多租户的影响考虑。

D6-Legal, Risk and Compliance

CISSP-D1：企业架构、安全架构在云环境下的应用；

CISSP-D1：云环境下对于知识产权如版权、商标、专利、商业秘密的特定考虑；

CISSP-D1：各国信息安全/隐私法律法规对于云数据中心的合规性要求，特别是跨越多个司法管辖区的云环境的合规性难题。

3. 新考纲变化解读

(ISC)2此前发布了新版考试大纲Exam Outline并已于2019年8月1日生效，相比较上一个版本的考试大纲（2015年4月生效），新版考试大纲依据云计算的发展现状，以及知识体系的完备性和一致性，做了一些调整。从总体上看，笔者认为变化不大，使用现有的学习材料足够通过考试。

新版考试的变化如下：

D1-Cloud Concepts, Architecture and Design

1.2 Impact of Related Technologies (e.g., machine learning, artificial intelligence, blockchain, Internet of Things (IoT), containers, quantum computing) – 新增

1.3 Virtualization Security (e.g., container security) – 新增

D2-Cloud Data Security

2.1 Data Dispersion – 新增

2.4 Implement Data Discovery Structured Data, Unstructured Data – 新增

2.7 Legal Hold – 新增

D3-Cloud Platform & Infrastructure Security

3.2 Design a Secure Data Center – 调整，包含在旧大纲的D5中

D4-Cloud Application Security

4.5 Third Party Software Management, Validated Open Source Software – 新增

4.7 Cloud Access Security Broker (CASB) – 新增

D5-Cloud Security Operations

5.5 Collect, Acquire and Preserve Digital Evidence – 新增

5.7 Manage Security Operations – 新增

D6-Legal, Risk and Compliance

6.2 Standard Privacy Requirements (e.g., International Organization for Standardization/International Electrotechnical Commission (ISO/IEC) 27018, Generally Accepted Privacy Principles (GAPP), General Data Protection Regulation (GDPR)) – 新增

4. 备考实践（个人经验）

4.1. 教材选择

截止目前，CCSP认证考试可供参考的资料有6册，分别是：

其中：

“CCSP Official Study Guide”已于2019年12月发布了第二版，与新版考试大纲完全匹配；
“CCSP CBK”将于2020年4月发布第三版，预计与新版考试大纲匹配。

4.2. 学习建议

尽管CCSP认证要求具有云相关的工作经验，以理解云安全知识体系，但是仅从通过CCSP认证考试的角度，笔者建议按照如下3个阶段学习备考：

阶段1：阅读教材，建议有云相关专业背景或实际经验的同行阅读“CCSP Official Study Guide”，这本教材的优点是按照云安全体系的逻辑结构重新组织CCSP考试大纲的6个知识域，字里行间中无不体现作者对云安全实践的深刻理解；然而，建议具有较少云相关专业背景的同行阅读“CCSP CBK”，这本教材以教科书式的语言详细描述了考试大纲的所有知识点，是一本不可多得的云安全零基础读本。

阶段2：模拟练习，完成“CCSP Practice Tests”和“CCSP Practice Exams”两本习题集，笔者认为本阶段关注的不是正确率，而是通过完成这两本习题集掌握CCSP认证考试的出题思路和方法，更重要的是，对于错题需要重新回到教材中的相关章节进行研读，甚至需要查询网络资料和相关标准。

阶段3：冲刺，在阶段2的基础上查缺补漏，如果精力允许可以阅读CBK列出的相关标准（尽管笔者认为Official Study Guide和CBK的内容足够通过考试），最后按照考试时间和题量完成1-2套模拟题，保持最佳心理状态直至完成考试。

4.3. 考点选择

目前，由于中国大陆的Pearson VUE考试中心尚未开考CCSP认证，因此中国大陆周边相对交通便利的考试地点有：中国香港、中国台湾、韩国、日本、新加坡。笔者选择距离中国首都最近的考点：韩国首尔考试中心。该中心位于韩国首尔中区的首尔交易所（The Exchange Seoul），附近酒店林立，住宿条件优越；有地铁和首尔火车站，交通便利；也有闻名遐迩的明洞购物街区和南大门市场，可以在考试后适当放松休憩，是比较理想的考点。此外，笔者赴韩考试期间，无论酒店食宿，还是参加考试，使用简单的英文都是可以正常交流的。

4.4. 关于语言

关于CCSP认证考试的语言，是许多同行比较关注的，由于采用全球统一的英文考试，因此需要掌握一些IT特别是安全相关的英文词汇。笔者在学习备考中，收集记录不认识的英文词汇大于200余个，这些词汇很多都与笔者不太熟悉的领域如机房物理环境和IT基础设施相关。总的来看，英文不会是通过CCSP考试的根本障碍。

5. 后记

通过CCSP认证一方面使得持证者获得高水平的认证和认可，展现自己的卓越和专业；另一方面，由于CCSP有着良好的知识体系，这将指导持证人在组织中审视和洞察云迁移和云运营的安全问题，为组织目标服务，从这个角度看，CCSP只是一个起点。

祝愿同行顺利通过CCSP考试获得认证，共同维护职业声誉，推动行业发展。

6. 参考资料

1. 云安全专家（CCSP）认证Pearson VUE香港考试攻略

https://www.freebuf.com/articles/others-articles/194023.html

2. 认证云安全专家（CCSP）考试攻略

https://www.freebuf.com/articles/others-articles/156324.html