什么是 ISACA 云审计知识证书 (CCAK) 认证：完整指南 2023

云计算无疑正在改变组织使用、存储和共享数据、应用程序和工作负载的方式。与其他美好的事物不同，它为企业带来了诸多优势，例如可扩展性、灵活性、成本效益和创新性。

然而，云计算也给 IT 审计、安全和风险专业人员带来了新的挑战和风险。

他们如何确保云服务的安全、合规和可靠？他们如何在云环境中为利益相关者提供保障和价值？

ISACA 云审计知识证书 (CCAK) 是首个针对云审计的技术性、厂商中立的认证。它旨在帮助 IT 专业人员掌握有效审计云计算系统和服务所需的知识和技能。

CCAK 认证由 ISACA 和云安全联盟 (CSA) 联合开发，这两个组织是 IT 治理、审计、安全、风险和云计算领域的全球领先机构。

什么是 CCAK 认证？

CCAK 认证项目旨在验证您对云计算系统审计基本原则的理解。它涵盖四个领域：

• 云治理

• 云合规

• 云保障

• 云审计

CCAK 认证考试包含 76 道选择题，您必须在两小时内完成。及格分数为 70%。考试时长为 120 分钟，因此您需要在规定时间内完成考试。

您可以随时通过网络浏览器在线参加考试。考试没有先决条件，但建议您具备 IT 审计、安全、风险或云计算方面的经验。

CCAK 认证基于两个重要资源：CSA 云控制矩阵 (CCM) 和 ISACA IT 审计与保障框架。CCM 是一个全面的云特定安全控制框架，符合各种标准和法规。

IT 审计与保障框架是一套在任何环境下开展 IT 审计的指南和最佳实践。

云审计知识证书 (CCAK) 课程内容

CCAK 是唯一涵盖云系统审计所需基本技能和知识的认证。该证书由云安全和治理领域的领先组织 ISACA 和云安全联盟® (CSA) 共同设计。

获得此证书将向雇主证明您能够应对云审计中复杂多变的挑战。您还将学习如何保护数据、确保合规性以及降低成本和风险。该证书涵盖您需要掌握的九项基本职能，例如：

云治理

• 描述云治理概念。

• 解释云信任、透明度和保障。

• 识别云治理框架和要求。

• 讨论云风险管理和云合规性注意事项。

• 区分云治理工具及其用途。

云合规计划

• 解释云合规计划的基本标准。

• 构建和设计云合规计划。

• 描述法律法规要求和标准以及安全框架。

• 定义控制措施并识别技术和流程控制措施

• 回顾 CSA 认证、证明和验证。

CCM 和 CAIQ：目标、目的和结构

• 识别 CSA 云控制矩阵 (CCM) 和 CCM 域。

• 解释共识评估倡议问卷 (CAIQ)。

• 概述 CCM 和 CAIQ 的结构。

• 回顾 CCM 与其他框架的关系（映射和差距分析）。

• 比较从 CCM V3.0.1 到 CCM V4 的过渡变化。

使用 CCM 进行云威胁分析的方法

• 描述威胁分析的基本要素。

• 使用顶级威胁分析方法分析攻击细节。

• 基于顶级威胁分析方法记录攻击影响。

• 应用使用 CCM 的云威胁分析方法。

• 评估顶级威胁方法用例

评估云合规性计划

• 描述合规性计划评估方法。

• 回顾治理视角。

• 概述法律、法规和标准的视角。

• 定义服务变更。

• 解释持续保障和持续部署设备的必要性。

云审计

• 概述审计特征、标准和原则。

• 描述云计算的审计标准。

• 定义本地环境与云环境的审计区别。

• 回顾云服务和云交付模型的差异。

• 解释审计的构建/规划和执行。

CCM：审计控制

• 详细说明 CCM 审计指南。

• 定义 CCM 审计范围指南。

• 解释 CCM 风险评估指南中采用的方法。

• 评估 CCM 审计工作簿。

• 应用 CCM 审计指南。

持续保障和合规性

• 解释持续保障和合规性。

• 定义 DevOps 和 DevSecOps。

• 将 DevOps 和 DevSecOps 应用于安全领域。

• 概述部署/CI/CD 流水线审计。

• 描述 DevSecOps 自动化及其成熟度。

STAR 计划

• 概述 STAR 计划的组成部分。

• 解释 STAR 计划的安全性和隐私影响。

• 描述开放认证框架。

• 回顾 CSA STAR 认证和证明。

• 详细介绍 STAR 持续审计。

云审计知识证书 (CCAK) 的学习目标

• 了解云审计及其在云计算中的重要性。

• 理解云计算风险、系统安全评估方法以及可降低风险的控制措施。

• 理解云审计原则、方法和途径，包括数据完整性、机密性、可用性、合规性和治理。

• 了解云计算合规框架、标准和法规，以及云审计的作用。

• 学习如何使用云审计工具和技术。

• 识别并报告云服务的优势、成本和风险。

• 掌握云审计技术，确保数据安全、隐私和合规性。

• 运用最佳实践开展云审计。

• 识别监管和安全要求对云服务提供商和用户的影响。

• 识别并推荐与云计算相关的适当控制措施和风险。

CCAK 认证为何重要？

CCAK 认证之所以重要，是因为它能够应对云计算审计中独特的挑战和机遇。这些挑战包括：

• 识别组织内部的云使用情况和风险

• 评估云安全控制措施的有效性和合规性

• 为云环境中的利益相关者提供保障和价值

• 保持监管合规性并与标准保持一致

• 控制和监控用户访问和数据保护

• 获取云服务提供商的审计权和证据

• 为审计团队配备必要的技能和工具以进行云审计

谁应该获得 CCAK 认证？

CCAK 认证适合任何参与或对云计算系统和服务审计感兴趣的人员。这包括：

• 内部和外部评估员及审计员

• 合规经理

• 第三方评估员及审计员

• 供应商/合作伙伴项目经理

• 安全分析师和架构师

• 采购专员

• 云经理

• 云架构师/安全架构师

• 安全与隐私顾问

• 网络安全主管/架构师

• 云合规专家

为什么选择此认证项目而非其他项目？

说到为何选择 CCAK 而非业内其他认证项目，云计算技术正在改变 IT 系统的运作方式——要成为该领域的专家，您需要密切关注挑战和新概念。

与其他专注于传统实践的 IT 审计认证项目不同，本项目将教您如何高效地审计基于云的系统。您将学习如何处理云计算特有的不同安全控制、访问级别和控制目标。

CCAK 认证有哪些优势？

CCAK认证能为您的职业生涯和组织带来诸多益处，例如：

• 提升您作为云审计专业人士的信誉和声誉

• 展示您的能力以及对持续学习和改进的承诺

• 增强您执行有效云审计的信心和能力

• 为云环境中的利益相关者提供价值和保障

• 使您的技能和知识与最新的行业标准和最佳实践保持一致

• 在市场中脱颖而出

• 提升您的职业发展机会和收入潜力

总结

云审计知识证书 (CCAK) 是由 ISACA 和 CSA 联合颁发的认证，旨在为处理云特定概念、术语、审计需求和解决方案的 IT 专业人员（例如审计师、安全专家或风险经理）提供厂商中立的技术培训。

如果您想参加 CCAK 考试，请点击下方的聊天选项，我们的顾问将尽快与您联系并指导您。

常见问题解答

问：CCAK 代表什么？问：CCAK是什么？答：CCAK是云审计知识证书（Certificate of Cloud Auditing Knowledge）的缩写，是首个验证云审计专业人员技能和知识的认证。

问：获得CCAK认证有什么好处？

答：CCAK认证表明您能够应对云系统审计的挑战，并熟悉云审计的最佳实践和标准。它也是一项厂商中立的认证，适用于任何云服务提供商或平台。

问：CCAK考试的主要内容是什么？

答：CCAK考试涵盖以下主题：CSA、云控制矩阵（CCM）、CAIQ和STAR评估的概述；云审计的技术和战略方面；云环境下的审计和保障流程；以及云领域的治理和合规性问题。

问：CCAK的有效期是多久？

答：CCAK是一项证书项目，而非认证项目，因此没有有效期，也不需要继续教育学分。

问：云审计员的角色是什么？

答：云审计员是根据一套预先设定的标准和最佳实践，定期评估云服务提供商的性能和合规性。云审计旨在确保云服务提供商满足企业及其利益相关者的期望和要求。