
動機|為什麼 CISSP 之後還想考 CCSP?#
老實說,我想考 CCSP 的初衷非常簡單,單純只是想拿 ISC2 台北分會的 Duo Power 徽章跟貼紙。

身為一個收集控,看到 CISSP + CCSP 的 Duo Power 徽章時,內心還是會有一種莫名想蒐集的興奮感。而且在準備之前,也一直聽到很多人說:CCSP 大概有 70% 跟 CISSP 重複,剩下只是多了 30% 的 Cloud 內容。就因為以上兩個原因,我在今年農曆年後,很臨時地決定開始準備 4 月底的簡中 CCSP 考試。
但真正開始閱讀之後才發現,CCSP 並不是單純把傳統 Security 搬到 Cloud 上而已。更像在思考「當系統不再完全屬於你時,資料應該如何被保護。」
簡介|CCSP 是一張什麼樣的證照?#
CCSP 跟 AWS、Azure 或 Google Cloud 的技術型證照非常不一樣。它不會要求你要知道某個服務怎麼設定、某個功能怎麼操作、某個產品怎麼部署。CCSP 不綁定任何特定雲端產品,比起 Cloud Engineer 證照,CCSP 更像是一張專注於雲端治理、資料保護的證照。

考前小問題|沒有雲端經驗如何準備 CCSP#
我本身是一個滲透測試工程師,完全沒有雲端技術經驗、沒有任何 Cloud Migration 經驗、也沒有設計過 Multi-Cloud Architecture、更沒有實際管理過雲端環境。
但沒有雲端經驗,不代表我完全沒有基礎雲端知識,畢竟我已經通過 CISSP 與 AWS CCP,因此對於 IaaS / PaaS / SaaS、共同責任模型,以及一些基本雲端概念至少還算熟悉。不過在準備 CCSP 的過程中,我還是有一種很明顯「自己安全思維被不斷重新調整」的感覺。

在地端世界裡,很多事情都很直覺,因為 Server、Network、Hypervisor 都是你的,所以很多安全思維自然會建立在「我要怎麼保護系統。」

但進到 Cloud 世界後,很多事情開始不一樣了,Infrastructure 不一定是你的、硬碟不是你的、有些 Logging 甚至看不到。
很多地端理所當然的安全做法,在 Cloud 上都不成立,因此安全思維開始被迫改變,而在思維轉換的過程中,意識到這些被以為只是補充的 Cloud 內容,才是決定你能不能建立 Cloud Security 思維、CCSP 考試是否能通關的門檻。
例如資料刪除這件事情:
在傳統地端環境中,如果進行高安全性的資料銷毀,可以透過硬碟消磁等方式處理。
在 Cloud 環境裡,硬碟本身是雲端供應商的,你不可能真的拿到那顆硬碟,更不可能自己進行消磁,所以 Cloud 世界中的資料刪除使用加密式消除的做法。
所以 Cloud Security 並不是把傳統安全機制原封不動搬到雲端而已,而是責任分配後重新定義各自負責的安全。
準備|用 AI 對自己提開放式問題#
這次準備 CCSP,我其實沒有大量刷題。一方面是因為官方的 OPT 題庫內容感覺沒有更新,另一方面則是我在做題的過程中,發現有些題目的設計重點,感覺跟 Exam Outline 想考的方向不一樣。
所以我後來改變讀書方式,不再是刷題、對答案,而是改成閱讀某一章節後,用 AI 不斷丟開放式情境,逼自己去思考背後的邏輯,這個做法很硬,但我認為是一個滿有效的學習。
AI 提問的範例情境1:
假設你的雲端伺服器每天下午 2 點都會準時自動重啟一次。維運小組反應非常快,每次重啟後 5 分鐘內就能恢復服務,因此他們的 MTTR (平均修復時間) 指標表現得非常漂亮,看起來「事故管理」做得很好。然而,從問題管理 (Problem Management) 的角度來看,這顯然是一個巨大的失敗。請問為什麼?
「問題管理」在這個場景中應該追求的目標是什麼?它跟「事故管理」追求的目標有什麼本質上的不同?
AI 提問的範例情境2:
你在進行稽核時發現,某公司的 IRM (資訊權利管理) 系統雖然設定了「禁止列印」和「兩週後過期」,但員工抱怨在出差搭飛機(離線狀態)時,完全打不開這些已經下載到筆電裡的機密文件。
為什麼 IRM 系統通常會要求「必須連線」才能執行這些權限控制?如果不強制連線,可能會發生什麼樣的「控制失效」?
結語|考後感想與總結#
一開始我只是為了 Duo Power 徽章與貼紙開始準備 CCSP。但在準備的過程中,讓我開始用不同的方式看待安全。CCSP 最有價值的地方,是它強迫你把安全思維,從「系統中心」轉向「資料中心」、從「保護系統」變成「管理資料與責任邊界之間的關係」。