1. Domain 6 核心概念
Domain 6 主要在考:
法律、風險、合規、稽核、隱私、合約責任。
重點不是技術怎麼做,而是問:
「誰負責?」
「哪個規範管這件事?」
「證據怎麼保護?」
「風險怎麼評估?」
「雲服務合約要看什麼?」
2. 常錯名詞整理
Law 法律
政府制定,有法律強制力。
例子:
GDPR、HIPAA、SOX、PCI DSS 有些是法規或合規要求,考題常混在一起。
你要問自己:
「這是政府要求?還是產業標準?」
Regulation 法規
通常是法律下的具體要求。
重點:
不遵守可能被罰。
Standard 標準
通常是最佳實務或產業要求。
例子:
ISO 27001、NIST、CSA CCM。
重點:
標準本身不一定是法律,但可能被合約或法規要求採用。
Policy 政策
公司內部規則。
例子:
資料保留政策、密碼政策、存取控制政策。
重點:
政策通常是「公司自己訂的」。
Contract 合約
客戶和雲服務商之間的法律文件。
常考文件:
| 名詞 | 意思 |
|---|---|
| SLA | 服務等級協議,例如 uptime、回應時間 |
| MSA | 主服務合約,大框架 |
| DPA | 資料處理協議,常和隱私法有關 |
| BAA | HIPAA 下的商業夥伴協議 |
| Right to audit | 客戶是否有權稽核雲服務商 |
3. Cloud 責任分工
CCSP 很愛考:
雲客戶不是把責任全部丟給 CSP。
通常:
CSP 負責:
雲基礎設施、實體機房、底層平台安全。
客戶負責:
資料分類、存取權限、合規需求、資料保留、使用者管理。
共同負責:
事件回應、日誌、加密、監控、合規證明。
可以用這句話記:
You can outsource work, but not accountability.
你可以外包工作,但不能外包最終責任。
4. 隱私 Privacy 常考點
隱私考的是:
「個人資料怎麼被收集、使用、保存、刪除。」
常見名詞:
| 名詞 | 意思 |
|---|---|
| PII | 可識別個人的資料 |
| PHI | 醫療個資 |
| Data subject | 資料本人 |
| Data controller | 決定資料用途的人/組織 |
| Data processor | 幫忙處理資料的人/組織 |
| Data residency | 資料實際存在哪個國家 |
| Data sovereignty | 資料受哪個國家的法律管 |
| Subprocessor | processor 再找來幫忙處理資料的人/組織 |
很常錯的是:
Data residency ≠ Data sovereignty
residency 是「資料在哪裡」。
sovereignty 是「資料受誰的法律管」。
5. eDiscovery 與 Forensics
eDiscovery
法律程序中找出電子證據。
重點:
資料要能搜尋、保留、提交。
Legal hold
法律保全。
意思是:
一旦有訴訟可能,就不能刪掉相關資料。
Chain of custody
證據保管鏈。
意思是:
誰拿過證據、什麼時候拿、做了什麼,都要記錄。
重點:
目的是讓證據在法庭上可信。
6. Risk 風險管理
風險公式常見:
Risk = Threat × Vulnerability × Impact
你不用只背公式,要會分:
| 名詞 | 意思 |
|---|---|
| Threat | 威脅,例如駭客、火災 |
| Vulnerability | 弱點,例如未修補漏洞 |
| Impact | 影響,例如資料外洩損失 |
| Likelihood | 發生可能性 |
| Inherent risk | 沒控制前的風險 |
| Residual risk | 控制後剩下的風險 |
風險處理方式:
| 方法 | 意思 |
|---|---|
| Avoid | 避免,不做這件事 |
| Mitigate | 降低風險 |
| Transfer | 轉移,例如買保險 |
| Accept | 接受風險 |
7. Audit 稽核
稽核常考:
「如何證明你有做到?」
重點不是口頭說安全,而是要有證據。
常見證據:
日誌、報告、政策、控制測試、第三方認證。
常見報告:
SOC 1、SOC 2、ISO 27001、CSA STAR。
8. 小心這些陷阱
最常見陷阱:
- 把 CSP 當成負全部責任的人
- 把標準當成法律
- 把 data residency 和 sovereignty 混淆
- 忘記 legal hold 時不能刪資料
- 忘記 chain of custody 是保護證據可信度
- 忘記合規最終責任通常還在客戶身上
- 看到「best」題目時,要選治理、合約、風險導向的答案,不只是技術答案
1. SOX 是什麼?
SOX = Sarbanes-Oxley Act
這是美國法律,主要管:
上市公司的財務報告和內部控制。
在 CCSP 裡,你可以這樣記:
SOX 跟「財務資料、稽核、內部控制」有關。
例如:
公司把財務系統放到雲端,還是要確保資料正確、可稽核、不可亂改。
2. CSA CCM 是什麼?
CSA = Cloud Security Alliance
雲端安全聯盟。
CCM = Cloud Controls Matrix
所以:
CSA CCM = 雲端控制矩陣
它是一套雲端安全控制清單。
你可以把它想成:
雲端安全檢查表。
它會問像這些問題:
資料有沒有加密?
存取控制有沒有做好?
日誌有沒有保存?
供應商風險有沒有管理?
3. CSA STAR 是什麼?
STAR = Security, Trust, Assurance, and Risk
CSA STAR 是雲端服務商的安全透明度/認證計畫。
你可以把它想成:
雲端服務商把自己的安全控制公開給客戶看。
常見用途:
客戶想知道某個 CSP 安不安全。
CSP 可以用 CSA STAR 來展示安全成熟度。
小整理
| 名詞 | 是什麼 | 關鍵字 |
|---|---|---|
| SOX | 美國財務法規 | 財務、上市公司、內部控制 |
| CSA CCM | 雲端安全控制框架 | 控制清單、雲端安全 |
| CSA STAR | 雲端安全保證/登錄計畫 | 信任、透明、認證 |