Academy Central
----
Weather

CCSP Domain 6 核心概念速查 / Core Concepts Reference

Domain 6 定位: 本領域測驗範疇為 法律、風險、合規、稽核、隱私與合約責任。考題重心不在技術實作,而在責任歸屬、法規識別、證據保存與風險處理。


1. Domain 6 考試定位 / Exam Focus

Domain 6 核心提問:

  • 誰對資料安全負責(責任歸屬)?
  • 哪個規範或法律管轄這件事(法規識別)?
  • 訴訟或調查時,資料如何保存(證據保全)?
  • 風險如何評估與處理(風險管理)?
  • 雲服務合約中哪些條款至關重要(合約審查)?

核心原則:雲端服務可以外包,合規責任不能完全外包。
Cloud services can be outsourced; compliance accountability cannot.


2. 法律層級識別 / Legal Hierarchy

層級名稱特性典型例子
Law(法律)政府制定,具強制力違法可能導致罰款、刑事責任GDPR、HIPAA、SOX、GLBA
Regulation(法規)法律下的具體執行要求由監管機關執行,不遵守即罰HIPAA Privacy Rule、PCI DSS(被法規引用時)
Standard(標準)業界最佳實務框架本身非法律,但可被合約或法規引用ISO 27001、NIST CSF、CSA CCM
Policy(政策)組織內部規則由組織自行訂定,可自主更改資料保留政策、存取控制政策

常見混淆點: PCI DSS 是產業標準,不是聯邦法律;GLBA 才是美國聯邦財務隱私法律。


3. 關鍵法規速查 / Key Regulations

法規 / 標準管轄範圍考試記憶點
GDPR歐盟,個人資料保護資料主體權利、72 小時通報義務
HIPAA美國,醫療個資(PHI)需簽 BAA;醫療機構及商業夥伴均適用
SOX美國,上市公司財務報告財務資料稽核、內部控制、不可竄改
GLBA美國,金融機構客戶隱私保護非公開個人財務資訊
PCI DSS全球,支付卡資料安全產業標準,非聯邦法律;信用卡資料保護
ISO 27001全球,資訊安全管理系統認證標準;可作為稽核依據
CSA CCM雲端安全控制矩陣Assessment-oriented;可對應 ISO、NIST、PCI
CSA STAR雲端安全透明認證CSP 公開安全控制;分 Level 1–3

4. 雲端責任分工 / Shared Responsibility

負責方責任範疇
CSP雲端基礎設施、實體機房、底層平台安全
客戶(Cloud Customer)資料分類、存取管理、合規需求定義、使用者管理
雙方共同事件回應、日誌稽核、加密策略、監控、合規證明

You can outsource work, but not accountability.
服務可以委外,最終責任仍由客戶承擔。


5. 合約關鍵條款 / Key Contract Terms

文件全名用途
SLAService Level Agreement服務等級協議:uptime、RTO/RPO、回應時間
MSAMaster Service Agreement主服務合約:合作總框架
DPAData Processing Agreement資料處理協議:隱私法合規(如 GDPR)
BAABusiness Associate AgreementHIPAA 適用:醫療相關商業夥伴必須簽署
Right to Audit稽核權客戶是否有權對 CSP 執行第三方稽核

6. 隱私核心概念 / Privacy Fundamentals

術語說明
PII (Personally Identifiable Information)可識別個人身分的資料
PHI (Protected Health Information)醫療個資,受 HIPAA 保護
Data Subject資料本人(如 GDPR 中的被收集者)
Data Controller決定資料收集目的與用途的組織
Data Processor受 Controller 委託處理資料的組織
SubprocessorProcessor 再委託的下游處理方
Data Residency資料實際儲存的地理位置
Data Sovereignty資料依據哪個國家法律受管轄

高頻混淆: Data Residency ≠ Data Sovereignty

  • Residency = 資料在哪裡(物理位置)
  • Sovereignty = 哪個法律管(司法管轄)

7. 電子蒐證與數位鑑識 / eDiscovery & Forensics

eDiscovery(電子蒐證)

法律程序中搜尋、保留並提交電子證據。
雲端環境中,資料必須能被搜尋、保全與呈堂。

Legal Hold(法律保全)

一旦有訴訟可能,即使到期也不可刪除相關資料。
雲端自動刪除策略(如生命週期管理)必須在 Legal Hold 期間暫停。

Chain of Custody(證據保管鏈)

記錄誰在何時持有、處理過證據,確保其在法庭上的可信度與完整性。


8. 風險管理 / Risk Management

風險評估公式:

$$\text{Risk} = \text{Threat} \times \text{Vulnerability} \times \text{Impact}$$

術語說明
Threat(威脅)可能造成損害的來源(如駭客、天災)
Vulnerability(弱點)可被利用的缺陷(如未修補漏洞)
Impact(影響)事件發生後的損失程度
Likelihood(可能性)威脅發生的機率
Inherent Risk(固有風險)未施行任何控制措施前的風險
Residual Risk(殘餘風險)實施控制後仍存在的剩餘風險

風險處理策略(AMAT):

策略說明典型場景
Avoid(避免)不執行該活動放棄高風險業務擴展計畫
Mitigate(降低)實施控制措施降低風險部署加密、MFA、WAF
Accept(接受)接受殘餘風險低影響、低可能性的已知風險
Transfer(轉移)將風險移轉第三方購買網路安全保險

9. 稽核 / Audit

稽核的目的是以可驗證的證據證明安全控制有效執行。

常見稽核報告:

報告說明
SOC 1財務報告相關的內部控制(SSAE 18 標準)
SOC 2安全性、可用性、隱私等信任服務原則
ISO 27001資訊安全管理系統認證
CSA STAR雲端服務商安全透明度認證

考試易錯: SSAE 18 是 attestation 標準(認證方法論),SOC 1/2 是報告類型,兩者不可混淆。


10. 高頻考試陷阱 / Common Exam Traps

  1. 誤認 CSP 承擔全部責任:共享責任模型下,資料分類與存取管理仍由客戶負責。
  2. 將標準與法律混淆:PCI DSS 是產業標準,不是聯邦法律;GLBA 才是。
  3. Data Residency 與 Sovereignty 混用:位置 ≠ 司法管轄。
  4. Legal Hold 時刪除資料:訴訟保全期間,任何刪除操作均可能構成證據毀滅。
  5. Chain of Custody 的目的:保護證據可信度,不只是追蹤資料位置。
  6. 把 SSAE 18 當成報告類型:SSAE 18 是標準,SOC 1/2 才是報告。
  7. 模糊題優先選治理導向答案:「best」、「most important」等題幹,通常答案指向責任、合約或風險管理,而非單一技術控制。