ISC2 CCSP - Certified Cloud Security Professional

- Definitioner af cloud computing
- Roller i cloud computing (f.eks. cloud service-kunde, cloud service-udbyder, cloud service-partner, cloud service-broker)
- Nøgleegenskaber ved cloud computing (f.eks. selvbetjening på forespørgsel, bred netværksadgang, multi-lejemål, hurtig elasticitet og skalering, ressource pooling, målt service)
- Byggeklods-teknologier (f.eks. virtualisering, lagring, netværk, databaser, orkestrering)
- 1.2 Beskriv Cloud Reference Architecture Aktiviteter med cloud computing
- Cloud service-funktionaliteter (f.eks. applikationsfunktionstyper, platformfunktionstyper, infrastrukturfunktionstyper)
- Cloud service-kategorier (f.eks. software som en service (SaaS), infrastruktur som en service (IaaS), platform som en service (PaaS))
- Cloud deployment-modeller (f.eks. offentlig, privat, hybrid, fællesskab)
- Fælles overvejelser ved cloud (f.eks. interoperabilitet, portabilitet, reversibilitet, tilgængelighed, sikkerhed, privatliv, robusthed, ydeevne, governance, vedligeholdelse og versionering, serviceniveauer og serviceniveauaftaler (SLA), auditering, regulering)
- Påvirkning af relaterede teknologier (f.eks. maskinlæring, kunstig intelligens, blockchain, internet of things (IoT), containere, kvantecomputing)
- 1.3 Forstå sikkerhedskoncept, der er relevante for cloud computing
- Kryptografi og nøglehåndtering
- Adgangskontrol
- Sanering af data og medier (f.eks. overskrivning, kryptografisk sletning)
- Netværkssikkerhed (f.eks. netværkssikkerhedsgrupper)
- Virtualisering sikkerhed (f.eks. hypervisor sikkerhed, container sikkerhed)
- Fælles trusler
- 1.4 Forstå designprincipper for sikker cloud computing
- Cloud Secure Data Lifecycle
- Cloud baseret Disaster Recovery (DR) og Business Continuity (BC) planlægning
- Cost/benefit-vurdering
- Funktionelle sikkerhedskrav (f.eks. portabilitet, interoperabilitet, vendor lock-in)
- Sikkerhedshensyn for forskellige cloud-kategorier (f.eks. Software som en service (SaaS), Infrastructure som en service (IaaS), Platform som en service (PaaS))
- 1.5 Evaluer cloud service-udbydere
- Verificering mod kriterier (f.eks. International Organization for Standardization/International Electrotechnical Commission (ISO/IEC) 27017, Payment Card Industry Data Security Standard (PCI DSS))
- System/under-systemprodukter

- Faser af cloud data livscyklusfaser
- Dataspredning
- 2.1 Design og implementer arkitekturer for cloud data-lagring
- Lagringstyper (f.eks. langvarig, ephemeral, raw-disk)
- Trusler mod lagringstyper
- 2.2 Design og anvend data-sikkerhedsteknolog og strategier
- Kryptering og nøglehåndtering
- Hashing
- Maske
- Tokenization
- Datatabsprevention (DLP)
- Data Obfuscation
- Datadeidentifikation (f.eks anonymisering)
- 2.3 Implementer dataopdagelse > Struktureret data
- Struktureret data
- Ustruktureret data
- 2.4 Implementer dataklassificering
- Mapping
- Mærkning
- Følsomme data (f.eks. Beskyttede helbredsoplysninger (PHI), Personligt identificerbare oplysninger (PII), kortindehaverens data)
- 2.5 Design og information rettighedsstyring (IRM)
- Mål (f.eks. data rettigheder, provisionering, adgangsmodeller)
- Passende værktøjer (f.eks. udstedelse og tilbagekaldelse af certifikater)
- 2.6 Planlæg og implementer politikker for dataopbevaring, sletning og arkivering
- Dataopbevaringspolitikker
- Datasletningsprocedurer og -mekanismer
- Dataarkiveringsprocedurer og -mekanismer
- Lovlig hold
- 2.7 Definer og implementer auditbarhed, sporbarhed og ansvarlighed for dataevents
- Definition af event kilder og krav om identitetsattribution
- Logning, opbevaring og analyse af dataevents
- Kædekontrol og ikke-fradømmelighed

- Fysisk miljø
- Netværk og kommunikationer
- Beregninger
- Virtualisering
- Lagring
- Ledelsesplan
- 3.1 Design et sikkert datacenter
- Logisk design (f.eks. lejerpartitionering, adgangskontrol)
- Fysisk design (f.eks. placering, køb eller bygge)
- Miljødesign (f.eks. opvarmning, ventilering og aircondition (HVAC), forbindelse med multivendorer)
- 3.2 Analyser risici forbundet med cloud-infrastruktur
- Risikovurdering og analyse
- Cloud sårbarheder, trusler og angreb
- Virtualisering risici
- Modstrategier
- 3.3 Design og planlæg sikkerhedskontroller
- Fysisk og miljøbeskyttelse (f.eks. on-site)
- System- og kommunikationsbeskyttelse
- Beskyttelse af virtualiseringssystemer
- Identifikation, autentificering og autorisation i cloud-infrastruktur
- Auditmekanismer (f.eks. logindsamling, pakkeopsamling)
- 3.4 Planlæg nødsituationsplaner (DR) og forretningskontinuitet (BC)
- Risici relateret til cloudmiljøet
- Forretningskrav (f.eks. gendan tidsobjektiv (RTO), gendan punktobjektiv (RPO), gendan serviceniveau (RSL))
- Forretningskontinuitet/katastrofeplanstrategi
- Oprettelse, implementering og testning af plan

- Grundlæggende i cloududvikling
- Almindelige faldgruber
- Almindelige cloud sårbarheder
- 4.1 Beskriv den sikre softwareudviklingslivscyklus (SDLC) proces
- Forretningskrav
- Faser og metoder
- 4.2 Anvend den sikre softwareudviklingslivscyklus (SDLC)
- Undgå almindelige sårbarheder under udvikling
- Risici specifikke for skyen
- Kvalitetssikring
- Trusselsmodellering
- Software konfigurationsstyring og versionering
- 4.3 Anvend software sikkerhed og validering
- Funktionstest
- Sikkerhedstestmetoder
- 4.4 Brug verificeret sikker software
- Godkendte applikationsprogrammeringsgrænseflader (API)
- Supply chain-styring
- Tredjepartssoftwarestyring
- Valideret open source software
- 4.5 Forstå specifikke for cloud-applikationsarkitektur
- Supplerende sikkerhedskomponenter (f.eks. Web Application Firewall (WAF), Database Activity Monitoring (DAM), Extensible Markup Language (XML) firewall, Application Programming Interface (API) gateway)
- Kryptering
- Sandkasse
- Applikationsvirtualisering og orkestrering
- 4.6 Design passende identitets- og adgangshåndteringsløsninger (IAM)
- Føderal identitet
- Identitetsudbydere
- Enkelt log-on (SSO)
- Multi-faktor autentificering
- Cloud Access Security Broker (CASB)

- Hardware specifikke sikkerhedskonfigurationskrav (f.eks. Basic Input Output System (BIOS), indstillinger til virtualisering og Trusted Platform Module (TPM), lagerstyring, netværksstyring)
- Installation og konfiguration af virtualiseringsmanagementværktøjer
- Specifikke sikkerhedskonfigurationskrav for virtuel hardware (f.eks. netværk, lagring, hukommelse, centralprocesenhed (CPU))
- Installation af gæstoperativsystem (OS) virtualiseringsværktøjssæt
- 5.1 Drift fysisk og logisk infrastruktur for cloud-miljø
- Konfigurer adgangskontrol for lokal og fjernadgang (f.eks. Secure Keyboard Video Mouse (KVM), konsolbaseret adgangsmekanisme, Remote Desktop Protocol (RDP))
- Sikker netværkskonfiguration (f.eks. Virtual Local Area Networks (VLAN), Transport Layer Security (TLS), Dynamic Host Configuration Protocol (DHCP), Domain Name System (DNS), Virtual Private Network (VPN))
- Udrustning af gæstoperativsystem (OS) gennem anvendelse af baser (f.eks. Windows, Linux, VMware)
- Tilgængelighed af stå-alene værter
- Tilgængelighed af klusterværter (f.eks. Distributed Resource Scheduling (DRS), Dynamic Optimization (DO), lagringskluster, vedligeholdelsestilstand, High Availability)
- Tilgængelighed af gæstoperativsystem (OS)
- 5.2 Administrer fysisk og logisk infrastruktur for cloud-miljø
- Adgangskontrol for fjernadgang (f.eks. Remote Desktop Protocol (RDP), sikker terminaladgang, Secure Shell (SSH))
- Kontrol af basiskonformitet for operativsystem (OS) og rettelser
- Patch Management
- Overvågning af ydelse og kapacitet (f.eks. netværk, beregne, lagring, svartid)
- Hardwareovervågning (f.eks. disk, centralprocesenhed (CPU), blæserhastighed, temperatur)
- Konfiguration af vært og gæstoperativsystem (OS) backup og gendan funktioner
- Netværkssikkerhedskontroller (f.eks. firewaller, Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS), honningkrukker, sårbarhedsvurderinger, netværkssikkerhedsgrupper)
- Ledelsesplan (f.eks. planlægning, orkestrering, vedligeholdelse)
- 5.3 Implementer operatørkontroller og standarder (f.eks. information technology infrastructure library (ITIL), International organization for standardization/International electrotechnical commission (ISO/IEC) 2000-1)
- Ændringsstyring
- Kontinuitetsstyring
- Informationssikkerhedsstyring
- Løbende serviceforbedringsstyring
- Incidentstyring
- Problemsstyring
- Udsendelsesstyring
- Konfigurationsstyring
- Service niveau styring
- Tilgængelighedsstyring
- Kapacitetsstyring
- 5.4 Støt digital retorik
- Forensiske dataindsamlingsmetoder
- Bevisstyring
- Indsamling, erhverv og bevarelse af digitale beviser
- 5.5 Administrer kommunikation med relevante parter
- Leverandører
- Kunder
- Partnere
- Regulatorer
- Andre interessenter
- 5.6 Administrer sikkerhedsoperationer
- Sikkerhedsoperationscenter (SOC)
- Overvågning af sikkerhedskontroller (fx brandvægge, indtrængningsdetekteringssystemer (IDS), indtrængningsforebyggelsessystemer (IPS), honningkrukker, sårbarhedsvurderinger, netværkssikkerhedsgrupper)
- Logoptagelse og analyse (fx Security Information og Event Management (SIEM), logføringsstyring)
- Håndtering af hændelser

- Modsigelser i international lovgivning
- Evaluering af juridiske risici specifikke for cloud computing
- Jura- og vejledningsrammer
- eDiscovery (fx International Organization for Standardization / International Electrotechnical Commission (ISO / IEC) 27050, Cloud Security Alliance (CSA) vejledning)
- Forensiske krav
- 6.1 Forstå personoplysningsproblemer
- Forskel mellem kontraktuel og regulering af private data (fx beskyttede helbredsoplysninger (PHI), personligt identificerbare oplysninger (PII)) - Landespecifik lovgivning om privat data (fx beskyttede helbredsoplysninger (PHI), personligt identificerbare oplysninger (PII))
- Juridiske forskelle i databeskyttelse
- Standardkrav til privatlivets fred (fx International Organization for Standardization / International Electrotechnical Commission (ISO / IEC) 27018, generelt accepterede privatlivsprincipper (GAPP), General Data Protection Regulation (GDPR))
- 6.2 Forstå revisionsprocessen, metoderne og den krævede tilpasning til et cloud-miljø
- Interne og eksterne revisionskontroller
- Virkninger af revisionskrav
- Identificering af støttespørgsmål vedrørende virtualisering og cloud
- Typer af revisionsrapporter (fx Statement on Standards for Attestation Engagements (SSAE), Security Operations Center (SOC), International Standard on Assurance Engagements (ISAE))
- Begrænsninger af revisionsscopudtalelser (fx Statement on Standards for Attestation Engagements (SSAE), International Standard on Assurance Engagements (ISAE))
- Lønkløbsanalyse
- Planlægning af revision
- Intern informationssikkerhedsstyring (ISMS)
- Intern informationssikkerhedskontrolsystem
- Politikker (fx organisation, funktion, cloudcomputing)
- Identificering og involveres af relevante interessenter
- Specielle compliancekrav til højt reguleringsindustrier (fx North American Electric Reliability Corporation / Critical Infrastructure Protection (NERC / CIP), Health Insurance Portability og Accountability Act (HIPAA), Payment Card Industry (PCI))
- Virkning af distributionsmodel for informations- og teknologi (IT) (fx forskellige geografiske placeringer og overskridelse af juridiske jurisdiktioner)
- 6.3 Forstå implikationer af cloud til virksomhedens risikostyring
- Vurder leverandørers risikostyringsprogrammer (fx kontroller, metoder, politikker)
- Forskel mellem dataejer / kontroller vs. dataopbevarer / processor (fx risikoprofil, risikotærskel, ansvar)
- Reguleringsgennemsigtighedskrav (fx meddelelse om brud, Sarbanes-Oxley (SOX), General Data Protection Regulation (GDPR))
- Risikobehandling (dvs. undgå, ændre, dele, beholde)
- Forskellige risikorammer
- Metrikker til risikostyring
- Vurdering af risikomiljø (fx service, leverandør, infrastruktur)
- 6.4 Forstå outsourcing og cloud-kontraktdesign
- Forretningskrav (fx serviceaftale (SLA), hovedserviceaftale (MSA), arbejdsbeskrivelse (SOW))
- Leverandørstyring
- Kontraktstyring (fx ret til revision, metrikker, definitioner, ophør, retssag, sikkerhed, overholdelse, adgang til cloud / data, cyberrisikoforsikring)
- Supply-chain-styring (fx International Organization for Standardization / International Electrotechnical Commission (ISO / IEC) 27036)