# 2026 年 CCSP 闪卡：按 8 月 1 日版考试大纲备考

*2026-07-18*

7 月 31 日的 CCSP 考试与 8 月 1 日的考试，适用不同的备考大纲。截至 2026 年 7 月 18 日，修订版尚未生效：7 月 31 日及之前使用 2025 年 10 月版，8 月 1 日及之后的考试使用修订版。实用的 **2026 年 CCSP 闪卡**应覆盖角色、相近概念辨析、控制措施选择、顺序，以及反复出现的练习错题。把稳定概念留在一个主卡组中，再补充一组精简的 8 月变更内容；完整场景判断则应通过获授权使用的练习题来训练。

![一只手在暖色木桌上，将八月更新卡片加入六张 CCSP 云安全领域卡片中](/blog/ccsp-flashcards.png)

## 根据考试日期选择 CCSP 考试大纲

ISC2 的 [CCSP 考试大纲页面](https://www.isc2.org/certifications/ccsp/ccsp-certification-exam-outline)目前同时链接了两个版本，并说明新大纲将于 2026 年 8 月 1 日生效。

| 计划考试日期 | 应使用的大纲 |
| --- | --- |
| 2026 年 7 月 31 日及之前 | [2025 年 10 月 1 日版 CCSP 考试大纲](https://edge.sitecorecloud.io/internationf173-xmc4e73-prodbc0f-9660/media/Project/ISC2/Main/Media/documents/exam-outlines/MAR-EXAMS-CCSP-Exam_Outline-English-10012025---FINAL.pdf) |
| 2026 年 8 月 1 日及之后 | [2026 年 8 月 1 日版 CCSP 考试大纲](https://edge.sitecorecloud.io/internationf173-xmc4e73-prodbc0f-9660/media/Project/ISC2/Main/Media/documents/exam-outlines/EXAMS-CCSP-Exam-Outline-English-01-2026-V2.pdf) |

应以考试日期为准，而不是购买课程或开始学习的日期。如果改期后跨过了 8 月 1 日，应先全面检查所有依赖大纲的卡片，再继续学习。RTO 与 RPO 的区别等稳定概念可能无需调整；涉及领域权重、点名示例或子领域覆盖范围的卡片，则需要重新核对来源。

## 用 2026 年 8 月版的 6 个平均权重检查覆盖范围

ISC2 在 [6 月 30 日的更新公告](https://www.isc2.org/Insights/2026/06/isc2-ccsp-exam-outline-revised)中说明，领域、权重和子领域均有修订。官方大纲将以下百分比称为平均权重：

| 领域 | 2026 年 8 月版平均权重 | 适合闪卡重点覆盖的内容 |
| --- | ---: | --- |
| 1. 云概念、架构与设计 | 17% | 角色、服务模型、设计原则、服务提供商评估、AI/ML 概念 |
| 2. 云数据安全 | 20% | 数据生命周期、存储、保护方法、分类、保留、AI/ML 数据 |
| 3. 云平台与基础设施安全 | 17% | 组件、韧性、控制措施、风险处置、BC/DR |
| 4. 云应用安全 | 16% | SDLC、威胁建模、测试、供应链、API、IAM、LLM 应用风险 |
| 5. 云安全运营 | 17% | 加固、监控、运营控制、取证、事件响应 |
| 6. 法律、风险与合规 | 13% | 隐私、审计、数据角色、风险处置、合同、司法管辖 |

前三个领域和领域 6 保持原来的平均权重。领域 4 从 17% 降至 16%，领域 5 则从 16% 升至 17%。这些百分比适合用于规划，但并不表示每个领域会出现固定数量的考题。

如果卡组大约有 100 张高价值卡片，按 17/20/17/16/17/13 快速看一遍，就能发现明显失衡。不过，这只是第一轮检查，不是配额。薄弱的领域 6 可能需要比熟悉的领域 2 更多卡片；一张清晰的辨析卡，也可能比五张照抄定义的卡覆盖更多实用内容。

## AI 早已出现在 CCSP 考试大纲中

把 8 月版称作“加入 AI 的更新”并不准确。[2025 年 10 月版大纲](https://edge.sitecorecloud.io/internationf173-xmc4e73-prodbc0f-9660/media/Project/ISC2/Main/Media/documents/exam-outlines/MAR-EXAMS-CCSP-Exam_Outline-English-10012025---FINAL.pdf)已经在领域 1 中列出机器学习和 AI，也在领域 5 中列出 AI 辅助监控。[2026 年 8 月版大纲](https://edge.sitecorecloud.io/internationf173-xmc4e73-prodbc0f-9660/media/Project/ISC2/Main/Media/documents/exam-outlines/EXAMS-CCSP-Exam-Outline-English-01-2026-V2.pdf)将 AI/ML 提升为领域 1 的独立子领域，在领域 2 中加入专门的数据集与模型保护内容，并修订全部六个领域的材料：

- 领域 1 新增一个独立的 AI/ML 子领域，涵盖云威胁检测与分析、源数据验证与核验、SOAR、伦理和监管要求。相关示例也更明确地写出安全设计、隔离、不可变架构和加固。
- 领域 2 新增一个关于 AI/ML 数据集和模型隐私与安全的子领域。存储示例、数据标记、哈希用途和诉讼保全（legal hold）的细节也有所扩充。
- 领域 3 细化了韧性方面的示例，并使用范围更广的“风险处置”，而不再只谈“风险缓解”。
- 领域 4 现在点名列出 OWASP 针对应用、API 和 LLM 风险的资源；同时明确写出 SAST、DAST、CI/CD、供应链完整性、Docker、Kubernetes 和证书管理；平均权重降至 16%。
- 领域 5 升至 17%，并新增或扩充默认安全配置、分段隔离、运维标准、威胁情报、事件响应和渗透测试。
- 领域 6 对隐私法、云取证、审计、数据角色、数据所有权和合同安全给出了更具体的示例。

这些变化反映了公开备考范围的调整。有些条目是新增的，有些变得更具体，也有些只是改了名称。某个示例没有再出现，并不能证明相关概念已从考试中删除。

对 LLM 的引用也需要同样谨慎。修订后的领域 4 只提到“Top 10 for Large Language Model Applications”，但 ISC2 既未指定版本，也未列出具体的 LLM 风险。与之不同，[OWASP《面向 LLM 与生成式 AI 应用的 Top 10（2025）》](https://genai.owasp.org/llm-top-10/)是 2025 版，其中列出了提示词注入、敏感信息泄露、供应链弱点、数据与模型投毒，以及输出处理不当。“2025 版”和这些风险名称均来自 OWASP，ISC2 大纲本身并未作出这两项说明。应使用它们学习风险与控制边界，而不是把整个应用安全领域变成一场 Top 10 背诵练习。

## 不要抄写大纲，只建一个精简卡组

官方权重适合用来组织内容，却不适合作为从上到下复制粘贴的队列。像“云共享注意事项”这样的一行，如果把附近每个词都做成定义卡，可能会产生几十张含糊卡片。

保留一个主卡组，再使用能回答实际问题的标签：

- 领域：`d1` 到 `d6`
- 卡片用途：`角色`、`辨析`、`控制选择`、`顺序`、`练习错题`
- 来源状态：`2025年10月`、`2026年8月`、`稳定`
- 复核状态：`待核对来源`、`待改写`、`高价值`

当你无法解释大纲中的某个概念、会混淆两个看似合理的选项、记不住流程顺序，或在获授权练习中反复犯同一类错误时，再添加卡片。已经能够主动回忆并应用的内容可以跳过。[Security+ 闪卡指南](/zh/blog/how-to-use-flashcards-for-security-plus/)也采用了同样的精简卡组原则；[AWS Solutions Architect 指南](/zh/blog/how-to-use-flashcards-for-aws-solutions-architect-associate/)则提供了更多把技术权衡转成卡片的示例。

## 为 CCSP 的全部六个领域制作实用卡片

下面的每个提示都是根据公开主题范围原创的学习示例，既未复制自实际考试，也不是对实际考试内容的回忆。

### 领域 1：追问谁拥有决策权

角色与责任卡适合“云概念、架构与设计”领域。题面应保留服务模型和影响判断的线索。

- 正面：在接受云服务提供商的安全声明之前，哪两项检查能让评估落到实处？
- 背面：先明确该声明对应的具体要求，再依据这些要求核验相关服务提供商或产品的证据。

如果在 8 月参加考试，再添加只考一个目标的 AI/ML 提示：

- 正面：在信任 ML 系统的威胁检测输出之前，应检查什么？
- 背面：验证并核验该分析所用的数据源。

这个提示直接来自修订后明确列出的主题范围，无需把五个 AI 要点塞进一张难以评分的清单卡。

### 领域 2：区分相近的保护方法

云数据安全中有很多相近术语。辨析卡能检验你是否真正掌握了选择依据。

- 正面：保护敏感值时，令牌化与加密的区别是什么？
- 背面：令牌化用引用令牌替换敏感值，原始值仍保存在受保护的映射系统中。加密则转换值本身，恢复时需要适当的密钥。

8 月版差异也值得做一张聚焦模型的卡：

- 正面：修订后的领域 2.9 针对 AI/ML 数据集和模型都强调了哪两个方面？
- 背面：隐私与安全。就安全而言，大纲将验证与核验列为示例。

### 领域 3：回忆会改变设计选择的约束

如果卡片让你必须先明确一项运营约束，基础设施题会更容易处理。

- 正面：某服务必须在四小时内恢复，最多只能丢失 15 分钟的数据。哪个值是 RTO，哪个是 RPO？
- 背面：四小时的恢复目标是 RTO；15 分钟的数据丢失窗口是 RPO。

后续可以制作一张控制措施选择卡，询问哪种架构能够降低题目所述的中断或数据丢失风险。答案应绑定具体要求，而不是声称某一种设计永远最好。

### 领域 4：把漏洞与控制边界联系起来

应用安全卡片应覆盖 SDLC 选择、测试方法、API、IAM、软件供应链，以及大纲中新明确提到的 LLM 风险资源。

- 正面：为什么不能把未经处理的 LLM 输出直接传给命令、查询或浏览器操作？
- 背面：对下一个组件而言，这些输出是不可信输入。该组件应验证并净化输入、限制可执行的操作，并对下游操作进行授权校验。

这是从控制措施角度学习 OWASP“输出处理不当”类别的方法。如果你确实会混淆提示词注入、数据投毒、过度代理（Excessive Agency）等 LLM 风险的边界，就把它们拆成不同卡片。

### 领域 5：学习运营顺序和证据处理

云安全运营很适合使用顺序卡，因为技术上合理的操作，如果执行顺序不对，仍可能是错误选择。

- 正面：事件响应人员在更改可能含有证据的云资源之前，必须协调什么？
- 背面：按照批准流程协调遏制与证据保全。记录当前状态，保全相关证据，维护证据保管链，并记录经授权的变更。

另一个实用辨析点，是事件响应与普通事件管理之间的区别。8 月版大纲在安全运营下明确列出事件响应、威胁情报和渗透测试，因此值得快速检查旧的领域 5 卡片。

### 领域 6：把法律答案绑定到司法管辖与合同

如果法律、风险与合规卡片给出一个放之四海而皆准的法律答案，就会产生误导。应在题面中写明适用背景。

- 正面：当云客户需要访问证据并有序退出时，哪些合同条款很重要？
- 背面：根据适用合同与法律，检查审计权、云数据访问权、衡量指标与保证机制、终止条款、数据所有权和安全要求。

制作数据角色卡时，不要把 owner（所有者）、controller（控制者）、custodian（保管者）、processor（处理者）和 steward（数据治理者）合并成两组可以互换的角色。8 月版大纲现在将这些角色分别列出。应了解在所学框架中，每个角色负责决定什么或执行什么。

## 创建临时的 8 月版变更卡组

8 月 1 日及之后参加考试的人，可以保留稳定卡片，再添加一个小型的 `CCSP 2026年8月变更` 卡组。请根据两份官方 PDF 制作，不要依赖第三方摘要。

1. 为所有答案依赖权重、明确点名的框架、子领域或示例列表的卡片打标签。
2. 为新的子领域 1.6 和 2.9 添加聚焦卡片。
3. 检查领域 4 中明确写出的 API、LLM、测试、供应链和编排细节。
4. 检查领域 5 的 17% 权重和修订后的运营示例。
5. 检查领域 3 和 6 中有关风险、韧性、隐私、取证、数据角色和合同的措辞变化。
6. 在学习笔记中记录来源 URL 与核验日期，并在考试后把长期适用的卡片合并到主卡组。

在 7 月 31 日及之前参加考试的人，不必用这组变更内容替换最后阶段的复习计划。除非这些内容也有助于理解现行大纲中的概念，否则可以留到日后的专业学习中再看。

## 把获授权练习中的错题变成决策卡

练习错题之所以有用，是因为它能暴露你在压力下漏掉了哪条线索，或没有正确运用哪项原则。复制整道题、全部选项和完整解析，不仅会让卡片变得臃肿，还可能违反材料的使用条款。

使用你已获许可或以其他方式有权使用的练习材料，并保留一份简短错题日志：

1. 记录领域以及自己当时作出的判断。
2. 根据你有权使用的解析和可信来源，核验更正内容。
3. 写下错误选项为什么看似合理。
4. 提炼一个可复用的线索、区别或顺序。
5. 用自己的话起草卡片。
6. 用另一道获授权使用的场景题检验这个知识点。

假设某道练习场景题暴露出：你还没确认责任归属，就先选择了控制措施。由此可以制作下面这张卡：

- 正面：在共享责任场景中选择控制措施前，应先确定哪些事实？
- 背面：服务模型、涉及的资产与数据、分配给各方的责任，以及控制措施必须满足的要求。

这张卡保留了决策模式，却没有复现受保护的试题内容。ISC2 的[考试保密协议](https://www.isc2.org/exams/non-disclosure-agreement)规定，未经书面批准，考生不得披露或讨论考试试题、题项或答案。只有在材料许可条款允许你做此类笔记时，才能使用 `授权练习集-2` 之类的私有来源标签。不要使用泄题资料、回忆题，也不要使用任何声称来自实际考试的题目。

详细的[练习题转闪卡流程](/zh/blog/how-to-turn-practice-questions-into-flashcards/)进一步介绍了事实缺口、概念辨析、顺序和陷阱模式。

## 将主动回忆卡与完整场景练习分开

修订后的大纲显示，CCSP 仍是三小时的 CAT 考试，共 100–150 道题，包含选择题和高级题型。这些信息来自[2026 年 8 月版官方大纲](https://edge.sitecorecloud.io/internationf173-xmc4e73-prodbc0f-9660/media/Project/ISC2/Main/Media/documents/exam-outlines/EXAMS-CCSP-Exam-Outline-English-01-2026-V2.pdf)。

闪卡可以帮助你更容易回忆起角色、控制边界、法律术语或恢复指标，却无法重现完整场景：信息并不完整，多项控制措施都有合理性，业务优先级会变化，还存在时间限制。

两种层次都要使用：

- 用闪卡练习单一知识点和反复出现的判断线索
- 用获授权使用的练习题训练完整的场景判断
- 用动手实践或工作实例补充运营背景
- 用官方大纲确认覆盖范围和当前术语

卡片能检验你在需要时能否回忆起相关原则。新的场景则能检验你是否会选择并应用它。

## 使用 FSRS，但不要让复习安排本身变成另一场考试

在你决定哪些卡片值得反复练习主动回忆之后，FSRS 负责安排复习时间。它既不理解 CCSP 各领域的权重，也不会验证技术准确性，更不知道你的考试日期。

一份实用的 **2026 年 CCSP 学习计划**可以这样安排：

1. 从新资料中添加下一批卡片之前，先复习已到期的卡片。
2. 每次只从一个领域或一套练习题中添加少量卡片。
3. 按照自己实际回忆出的答案评分。
4. 改写含糊或反复难以评分的卡片。
5. 随着考试临近减少新卡，把更多时间用于混合场景。
6. 在 8 月版新内容进入常规复习之前，把变更卡组留在显眼位置。

不要为了强行缩短间隔而把实际回忆情况评得更难。如果复习队列增长得比普通一天能完成的速度还快，就删掉低价值卡片，或降低新卡数量。[如何使用 FSRS 备考](/zh/blog/how-to-study-for-an-exam-with-fsrs/)解释了构建、稳定和最终复习阶段。[每天应添加多少张新闪卡](/zh/blog/how-many-new-flashcards-per-day/)则帮助你按可用时间而不是好看的卡片总数估算负载。

## Flashcards Open Source App 适合用在什么位置

[Flashcards Open Source App 功能](/zh/features/)包括创建正反面卡片、使用工作区数据和受支持文件附件的 AI 聊天，以及通过 Again、Hard、Good、Easy 评分进行 FSRS 复习。

在 CCSP 备考中，应让它承担有限而明确的角色。先根据核对过的来源写一份大纲笔记，或记录获授权练习中的错题；再用 AI 聊天起草几张每次只考一个目标的卡片。随后，把每份草稿与官方来源对照，并亲自编辑。保留下来的卡片用 FSRS 复习；完整场景练习则继续使用你获授权使用的正规提供商材料。

[入门指南](/zh/docs/getting-started/)介绍了托管版应用和其他受支持的设置方式。

## 2026 年 CCSP 闪卡常见问题

### 2026 年 7 月应使用哪一版 CCSP 大纲？

考试日期在 2026 年 7 月 31 日及之前，应使用 2025 年 10 月 1 日版；考试日期在 2026 年 8 月 1 日及之后，应使用修订版。

### ISC2 是否只增加了 AI 主题？

不是。AI/ML 早已出现在领域 1 中，AI 辅助监控也早已出现在领域 5 中。8 月版为领域 1 和 2 中的 AI/ML 设置了独立子领域，在领域 4 中增加了 LLM 引用，调整了领域 4 和 5 的平均权重，并修订了全部六个领域的示例或措辞。

### 是否应该背下官方大纲的每个要点？

把这些要点当作覆盖范围索引。只为无法顺利回忆的知识、容易混淆的区别、解释不清的控制措施选择、容易忘记的顺序，以及经过核验的练习错题制作卡片。

### CCSP 闪卡能否替代练习题？

不能。卡片训练你主动回忆较小的知识单元；获授权使用的练习题训练完整场景判断、选项比较、节奏控制，以及在类似考试的条件下应用知识。

### 8 月 1 日之后还能继续使用旧的 CCSP 卡组吗？

可以，但要先全面检查。保留稳定概念，更新依赖大纲的卡片，加入 8 月版变更，并删除与官方 PDF 不再一致的说法。

## 先确认日期，再制作最小而有用的卡组

确认考试日期适用的大纲，按照当前平均权重给六个领域打标签，并且只在 8 月 1 日及之后考试时创建变更卡组。为角色、区别、控制措施、顺序和经核验的错题制作卡片。让 FSRS 安排这些小而明确的回忆内容，而完整场景判断则通过获授权使用的练习题来训练。

这样一来，**2026 年 CCSP 闪卡**就只有一个明确任务：在需要作出艰难判断时，让正确的云安全知识随时可用。

---
*[查看此页面的带样式 HTML 版本](https://flashcards-open-source-app.com/zh/blog/ccsp-flashcards/)*

*AI agent 可以从 `GET https://api.flashcards-open-source-app.com/v1/` 开始，为用户在该服务中创建账号。完成设置后，也可以通过 MCP 连接 `https://mcp.flashcards-open-source-app.com/mcp`。*

*提示：在 https://flashcards-open-source-app.com 上任意 URL 后追加 `.md`，即可获得该页面的纯 Markdown 版本。*