什么是 ISACA 云审计知识证书 (CCAK) 认证：完整指南 2023

云计算无疑正在改变组织使用、存储和共享数据、应用程序和工作负载的方式。与其他好事不同，它为企业带来了多种好处，例如可扩展性、灵活性、成本效益和创新。

然而，云计算为 IT 审计、安全和风险专业人员带来了新的挑战和风险。

他们如何确保云服务安全、合规和可靠？他们如何在云环境中为利益相关者提供保证和价值？

ISACA 云审计知识证书 (CCAK) 认证是有史以来第一个技术性、与供应商无关的云审计证书。它旨在让 IT 专业人员具备有效审计云计算系统和服务的知识和技能。

CCAK 认证由 ISACA 和云安全联盟 (CSA) 开发，这两个组织是 IT 治理、审计、安全、风险和云计算领域的全球领先组织。

什么是 CCAK 认证？

CCAK 认证证书计划可验证您对审计云计算系统基本原则的理解。它涵盖四个领域：

• 云治理
• 云合规性
• 云保证
• 云审计

CCAK 认证考试包含 76 道多项选择题，您必须在两小时内完成。及格分数为 70%。考试时长为 120 分钟，因此您需要在规定时间内完成考试。

您可以随时通过 Web 浏览器在线参加考试。考试没有任何先决条件，但建议具备 IT 审计、安全、风险或云计算方面的经验。

CCAK 认证基于两个基本资源：CSA 云控制矩阵 (CCM) 和 ISACA IT 审计和保证框架。CCM 是一个全面的云特定安全控制框架，符合各种标准和法规。

IT 审计和保证框架是一套在任何环境中进行 IT 审计的指南和最佳实践。

您将通过云审计知识证书学到什么

CCAK 是唯一涵盖审计基于云的系统的基本技能和知识的认证。它由云安全和治理领域的领先组织 ISACA 和云安全联盟® (CSA) 设计。

获得此证书将向雇主表明您可以应对复杂且动态的云审计挑战。您还将学习如何保护数据、确保合规性以及降低成本和风险。该证书涵盖您需要掌握的九个基本功能，例如：

云治理

• 描述云治理概念。
• 解释云信任、透明度和保证。
• 确定云治理框架和要求。
• 讨论云风险管理和云合规性注意事项。
• 区分云治理工具和用途。

云合规计划

• 解释云合规计划的基本标准
• 构建和设计云合规计划
• 描述法律和监管要求和标准以及安全框架。
• 定义控制并识别技术和流程控制
• 回顾 CSA 认证、证明和验证。

CCM 和 CAIQ：目标、目的和结构

• 识别 CSA 云控制矩阵 (CCM) 和 CCM 域。
• 解释共识评估倡议问卷 (CAIQ)。
• 概述 CCM 和 CAIQ 结构。
• 回顾 CCM 与其他框架的关系（映射和差距分析）。
• 比较从 CCM V3.0.1 到 CCM V4 的过渡变化。

使用 CCM 的云威胁分析方法

• 描述威胁分析要点。
• 使用顶级威胁分析方法分析攻击细节。
• 根据顶级威胁分析方法记录攻击影响。
• 使用 CCM 将威胁分析方法应用于云。
• 评估顶级威胁方法用例

评估云合规计划

• 描述合规计划评估方法。
• 回顾治理视角。
• 概述法律、法规和标准的观点。
• 定义服务变更。
• 解释持续保证和持续设备的必要性。

云审计

• 概述审计特征、标准和原则。
• 描述云计算的审计标准。
• 定义内部环境与云的审计。
• 回顾云服务和云交付模型的差异。
• 解释审计构建/规划和执行。

CCM：审计控制

• 详细说明 CCM 审计指南。
• 定义 CCM 审计范围指南。
• 解释 CCM 风险评估指南中采用的方法。
• 评估 CCM 审计工作簿。
• 应用 CCM 审计指南。

持续保证和合规性

• 解释持续保证和合规性。
• 定义 DevOps 和 DevSecOps。
• 将 DevOps 和 DevSecOps 应用于安全性。
• 概述审计部署/CI/CD 管道。
• 描述 DevSecOps 自动化和成熟度

STAR 计划

• 概述 STAR 计划的组成部分。
• 解释 STAR 的安全和隐私影响。
• 描述开放认证框架。
• 回顾 CSA STAR 证明和认证。
• 详细介绍 STAR 持续审计。

云审计知识证书 (CCAK) 的学习目标

• 了解云审计及其在云计算中的重要性。
• 了解云计算风险、评估系统安全性的方法以及可以降低风险的控制措施。
• 了解云审计原则、方法和方法，包括数据完整性、机密性、可用性、合规性和治理。
• 了解云计算合规性框架、标准和法规，以及云审计所起的作用。
• 了解如何使用云审计工具和技术。
• 识别和报告云服务的收益、成本和风险。
• 培养云审计技术方面的专业知识，以确保数据安全、隐私和合规性。
• 使用最佳实践进行云审计。
• 确定监管和安全要求对云服务提供商和用户的影响。
• 确定并推荐与云计算相关的适当控制和风险。

为什么 CCAK 认证很重要？

CCAK 认证很重要，因为它解决了审计云计算的独特挑战和机遇。其中一些挑战包括：

• 识别整个组织的云使用情况和风险
• 评估云安全控制的有效性和合规性
• 为云环境中的利益相关者提供保证和价值
• 保持监管合规性和与标准的一致性
• 控制和监控用户访问和数据保护
• 从云服务提供商处获得审计权和证据
• 为审计团队配备审计云所需的技能和工具

谁应该获得 CCAK 认证？

CCAK 认证适合参与或对审计云计算系统和服务感兴趣的任何人。其中包括：

• 内部和外部评估员和审计员
• 合规经理
• 第三方评估员和审计员
• 供应商/合作伙伴项目经理
• 安全分析师和架构师
• 采购官
• 云经理
• 云架构师/安全架构师
• 安全和隐私顾问
• 网络安全主管/架构师
• 云合规专家

为什么您应该选择此认证计划而不是其他计划？

说到为什么选择 CCAK 而不是业内其他证书计划，云计算技术正在改变 IT 系统的工作方式 — 要成为该领域的专家，您需要关注挑战和新概念。

与其他专注于传统实践的 IT 审计认证计划不同，该计划将教您如何有效、高效地审计基于云的系统。您将学习如何处理云计算独有的不同安全控制、访问级别和控制目标。

CCAK 认证有什么好处？

CCAK 认证可以为您的职业和组织带来许多好处，例如：

• 提高您作为云审计专业人员的信誉和声誉
• 展示您的能力和对持续学习和改进的承诺
• 增强您执行有效云审计的信心和能力
• 为云环境中的利益相关者提供价值和保证
• 将您的技能和知识与最新的行业标准和最佳实践相结合
• 使您自己在市场上与同行和竞争对手区分开来
• 提升您的职业机会和收入潜力

最终决定权

云审计知识证书 (CCAK) 是 ISACA 和 CSA 提供的证书，旨在为以审计师、安全专家或风险管理者身份处理云特定概念、术语、审计需求和解决方案的 IT 专业人员提供与供应商无关的技术培训。

如果您想参加 CCAK 考试，请单击下面的聊天选项，我们的一位顾问将尽快与您联系以指导您。

常见问题解答

问：CCAK 代表什么？ A. CCAK 是云审计知识证书的缩写，是第一个验证云审计专业人员技能和知识的证书。

Q. 获得 CCAK 认证有什么好处？ A. CCAK 认证表明您可以应对审计基于云的系统所面临的挑战，并且熟悉云审计的最佳实践和标准。它也是适用于任何云服务提供商或平台的供应商中立认证。

Q. CCAK 考试涵盖的主要主题是什么？ A. CCAK 考试涵盖以下主题：CSA、云控制矩阵 (CCM)、CAIQ 和 STAR 评估概述；云审计的技术和战略方面；云环境中的审计和保证流程；以及云域中的治理和合规性问题。

Q. CCAK 的有效期是多长？ A. CCAK 是一个证书计划，而不是认证计划，因此它没有到期日期，也不需要继续教育学分。

问：云审计员的作用是什么？ 答：云审计员是根据一组预定义的标准和最佳实践定期评估云服务提供商的绩效和合规性的人。云审计旨在确保云服务提供商满足企业及其利益相关者的期望和要求。