ISACA 和 CSA(Cloud Security Alliance)联合推出的云审计认证,适合 IT 审计师拓展云安全审计能力。纯安全技术岗位不需要,CCSK 或 CCSP 更实用。
这张认证到底考什么
先把考试形式、适合人群、备考时长和学习范围讲清楚,再决定要不要投入时间。
CCAK(Certificate of Cloud Auditing Knowledge)是 ISACA 与 Cloud Security Alliance(CSA)在 2020 年联合推出的认证,定位于云环境下的审计和治理。考试 75 题 / 120 分钟 / $575 USD(ISACA 会员 $475),及格线约 70%,有效期 3 年。
CCAK 是目前市场上唯一专门针对云审计的认证 — CCSP(ISC2)侧重云安全架构,CCSK(CSA)侧重云安全知识,而 CCAK 侧重于如何审计云服务提供商和云环境的安全控制。考纲覆盖:CSA Cloud Controls Matrix (CCM) v4、STAR(Security Trust Assurance and Risk)认证评估流程、SOC 2 云服务审计、CCM 控制域映射到 ISO 27001/NIST 800-53 的方法、DevSecOps 持续审计、云治理中的共享责任模型审计。
作为参考,CCM v4 包含 17 个控制域(如 Application & Interface Security、Audit & Assurance、Identity & Access Management 等)和 197 个控制目标。CCAK 不要求你背所有 197 个控制 — 但需要理解 17 个域的覆盖范围和审计方法。
你会反复碰到的核心服务
学完以后你能带走什么
- 获得 ISACA CCAK 官方认证
- 掌握 CCAK 考试核心知识和技能
- 提升专业领域竞争力
考试详情
适合谁考
适合人群
- 希望获得 ISACA CCAK 认证的 IT 专业人员
- 网络工程师和系统管理员
- 希望提升专业技能的 IT 从业者
- 计算机科学/网络工程专业学生
开始前最好先有
- 了解基本的网络安全概念
- 有相关领域的工作经验
- 建议先通过相关入门级认证
值不值得考?职业价值
ISACA CCAK 持证人的薪资区间、对应岗位、以及真实的职业影响。
CCAK 是 2020 年才推出的新认证,市场渗透率还很低。LinkedIn 全球搜 "CCAK" 的岗位不到 100 个,大多数云审计岗位 JD 写的是 "CISA + cloud experience" 或 "CCSP preferred"。
这张证最大的价值是给已有 CISA 的审计师提供云审计的结构化知识 — CSA CCM 框架、STAR 评估流程、SOC 2 Type II 云报告解读这些在传统 CISA 考纲里覆盖不够。Big 4 的 Technology Risk/Cloud Assurance 团队会看重这个组合(CISA + CCAK)。
不适合的人:做云安全工程/架构的人(考 CCSP 或 AWS SCS-C02)、没有审计背景想进安全领域的人(先考 CISA 或 Security+)、只需要云安全基础知识的人(考 CCSK,免费且更轻量)。
备考节奏
有 AWS 实操经验
零基础切入
建议日投入
学习路径预览
6 章分阶段备考路径
过来人总结的分阶段备考节奏,按周拆分,不是空话。
第一阶段:CSA CCM v4 框架(1-2 周)
下载 CSA 官网的 CCM v4 Excel 文件(免费),过一遍 17 个控制域。重点理解每个域的审计目标 — 比如 A&A(Audit & Assurance)域关注审计权限和审计频率,IAM(Identity & Access Management)域关注特权访问控制和联合身份管理。
第二阶段:STAR 评估 + SOC 2 审计(2 周)
STAR 认证的三个等级必须掌握:Level 1(Self-Assessment,免费公开)、Level 2(第三方审计,基于 ISO 27001 或 SOC 2)、Level 3(Continuous Auditing,持续评估)。SOC 2 Type I vs Type II 的区别是固定考点 — Type I 是 point-in-time 设计评估,Type II 是 period-of-time 运行有效性评估(通常覆盖 6-12 个月)。
第三阶段:共享责任模型 + 持续审计(1-2 周)
考试会考 IaaS/PaaS/SaaS 下云服务提供商和客户的审计责任边界。比如 IaaS 模式下物理安全和虚拟化层由 CSP 审计,OS 以上由客户审计。DevSecOps 持续审计(Continuous Auditing/Monitoring)的概念和工具(Cloud-native SIEM、CSPM 合规扫描)也会考。
第四阶段:模考(1 周)
ISACA 官方有 CCAK 模拟题。考试场景题比例高 — 给一个云迁移/云审计场景让你选择正确的审计方法或适用的 CCM 控制域。重点回顾 CCM 域的映射关系和 STAR 评估流程。
通过者的真实经验
过来人的备考时长、分数、以及踩过的坑。
已有 CISA,考 CCAK 是因为团队越来越多 SOC 2 Type II 云审计项目。**CCM v4 的 17 个控制域不需要背编号**,但需要知道每个域的审计重点。STAR Level 2 和 SOC 2 的关系是高频考点 — 要理解 STAR Level 2 可以基于 SOC 2 审计结果颁发。
非审计背景,做合规分析。考试比预期难 — 不是记住框架就行,场景题要求你根据具体情况判断用哪种审计方法(Attestation vs Examination vs Review)。建议没有审计经验的人先看 ISACA 的 IT Audit Fundamentals 课程打个底。
同赛道认证对比
| ISACA CCAK | ISACA CISA | CCSP | |
|---|---|---|---|
| 机构 | 其他 | 其他 | 其他 |
| 级别 | 助理级 | 专业级 | 专业级 |
| 考试费 | $575 | $575 | $599 |
| 时长 | 120 min | 120 min | 180 min |
| 题量 | 75 | 150 | 150 |
| 有效期 | 3 年 | 3 年 | 3 年 |
备考技巧与常见失误
**CCM 控制域不用背编号但要知道范围** — 考试给场景让你选"这属于哪个 CCM 域",记住 17 个域名和 1 句话描述即可。
**STAR 三个等级的区别必考** — Level 1 = 自评(CSA CAIQ 问卷)、Level 2 = 第三方审计、Level 3 = 持续监控。每年至少出 3-4 道。
**审计术语精确理解** — Attestation(鉴证)、Assurance(保证)、Compliance(合规)在审计语境中有严格定义,不能混用。
**混淆 CCAK、CCSK 和 CCSP** — CCAK = 云审计(审计师用)、CCSK = 云安全知识(入门级,免费)、CCSP = 云安全专业(架构师/工程师用)。三者目标人群完全不同。
**不了解 SOC 2 报告结构** — 考试会考 SOC 2 报告的 5 个 Trust Service Criteria(Security/Availability/Processing Integrity/Confidentiality/Privacy),以及 Type I 和 Type II 的审计范围区别。
**忽略共享责任模型的审计视角** — 不是"谁负责安全"而是"谁负责审计什么"。IaaS 下客户审计应用层和数据层,CSP 审计基础设施层,这个边界在 PaaS 和 SaaS 下不同。