北京老李总结-原创

北京老李：首批CSA CCSK、CCPTP、DevSecOps、CBP、AI安全CAISP、CDSP讲师以及ACSE系列课程讲师，EXIN DevOps Master（大师级）讲师(首批全国十名)、国内首批EXIN Product Owner讲师（首批全国十名）、EXIN授权EXIN Agile ScrumMaster讲师、首批ITIL Expert讲师、PMI-ACP讲师中国“黄埔一期”TTT、LeanIT认证讲师、PMP、Prince2专家级、EXIN云安全管理、EXIN云服务管理、国内首批APMG信息安全官（CISO）TTT、ISO27001LA、ISO20000 LA以及Cobit、CISI等多项认证讲师。先后在北京、上海、广州等地主导软件开发、系统集成、咨询服务等工作，主要研究方向云安全管理、敏捷与DevSecOps落地实施.   

一：什么是CCSK

CSA CCSK（Certificateof Cloud Security Knowledge）是云安全联盟（Cloud SecurityAlliance，CSA）颁发的国际认证，被誉为“云计算安全认证之母”CCSK认证旨在帮助安全专员深入了解云安全，解决云安全问题。通过该认证，可以确保与云计算相关的从业人员对云安全架构、云安全威胁和云安全最佳实践有一个全面的了解和广泛的认知。CCSK认证是云计算安全领域的中立权威的国际云安全知识证书，持有该认证可以提升个人在职场中的竞争力。

二：什么是CCSK V5

          CCSK v5建立在CCSK v4的坚实基础之上，提供了大量更新，详细介绍了基于云原生组件的云安全管理和最先进的安全最佳实践。CCSKv5反映了最新的最佳实践，并集成了AI/GenAI、ZeroTrust、DevSecOps和高级数据安全措施等新兴主题。CCSKv5新增功能包括组织安全、人工智能（AI） 和生成式AI的集成、零信任策略以及对数据湖的明确引用。

三：CCSK V5与CCSKv4特性对比

四：CCSK V5 12个治理与管理领域包括

1．云计算概念与架构：涵盖云计算的定义、服务模型、部署模型、参考架构模型、逻辑模型、CSA企业架构模式以及云安全范围、责任和模型等基础概念，是理解云计算安全的基石，帮助学员建立对云计算体系的基本认知。

2．云治理：聚焦于云计算环境下的治理策略、框架和流程，包括如何制定云安全策略、如何确保云服务的合规性以及如何管理云服务提供商等方面，以实现对云计算的有效治理和监督。

3．风险、审计与合规：强调对云计算风险的识别、评估和管理，以及如何进行云安全审计以确保合规性。涉及到法律法规、行业标准等方面的合规要求，帮助学员掌握在云计算环境下应对风险和满足合规的方法。

4．组织管理：关注云计算对组织架构、人员管理和文化等方面的影响，包括如何建立适应云计算的组织架构、如何培训和管理云安全人员以及如何营造良好的云安全文化等，以确保组织能够有效地管理和运营云计算环境。

5．身份与访问管理：涉及云计算环境下的用户身份认证、授权和访问控制等方面，确保只有合法的用户能够访问云资源，防止未经授权的访问和数据泄露。

6．安全监控：包括对云计算环境的实时监测、日志管理和安全事件响应等，以便及时发现和应对安全威胁，保障云服务的安全运行。

7．基础设施与网络：探讨云计算的基础设施和网络安全，如云计算数据中心的物理安全、网络架构的安全设计以及网络通信的加密等，确保云计算的底层基础设施和网络环境的安全可靠。

8．云工作负载安全：关注云计算环境中工作负载的安全保护，包括虚拟机、容器、无服务器函数等工作负载的安全配置和管理，防止工作负载受到攻击和破坏。

9．数据安全：这是云计算安全的核心领域之一，涉及云数据的存储、传输、处理等环节的安全保护，包括数据加密、数据备份、数据销毁等措施，以保障云数据的机密性、完整性和可用性。

10．应用安全：涵盖云计算环境下应用程序的安全开发、部署和运行，包括应用程序的漏洞管理、安全测试以及应用层的访问控制等，确保云应用的安全可靠。

11．事件响应与韧性：强调在云计算环境下应对安全事件的能力，包括制定事件响应计划、建立应急响应团队以及如何在事件发生后快速恢复云服务的正常运行，提高云计算的韧性和抗风险能力。

12相关技术与策略：涉及与云计算安全相关的新兴技术和策略，如人工智能在云安全中的应用、零信任架构、云安全分析等，帮助学员了解云计算安全的前沿技术和发展趋势。

CCSKv5新增主题包括

CCSKv5新增主题包括

[if !supportLists]§ [endif]生成式AI&AI安全

[if !supportLists]§ [endif]零信任

[if !supportLists]§ [endif]云遥测与分析

[if !supportLists]§ [endif]数据湖

[if !supportLists]§ [endif]无服务器/FaaS

[if !supportLists]§ [endif]CI/CD

[if !supportLists]§ [endif]开发安全运营（DevSecOps）

[if !supportLists]§ [endif]相关新兴技术

五：CCSK V5与CCSK  V4体系图对比

[if !vml]

[endif]

北京老李总结：

1．CCSK由V4版本的14个治理与管理领域整合为CCSK v5版本的12个治理与管理领域是一次重要的整合与重组，表明了云安全新的治理与管理方向。

2.CCSKv5重点突出了组织管理就如同ISO/IEC重点突出领导力一样，想要做好云安全，就需要在首先解决人员与组织的问题

3.相关技术与战略加入了必要的新兴技术也是云组合应用的发展趋势，可以更好地迎接人工智能时代以及WEB3.0和WEB4.0的数字世界时代。

4．随着DevOps以及DevSecOps的普及安全即服务已成为一种常态，进行去掉是表明了安全左移的核心价值，而不必要再次提出安全服务。

5.虚拟化和容器已变成新兴基础设施及不可变基础设施，进行去掉是一种进步，可以更好地迎接无服务器时代以及云原生时代的发展。

六：CCSK V5与CCSK  V4详细领域对比表

CCSK v4域CCSK v5域

七：CCSK V5与CCSK  V4考试对比