CCSP Certified Cloud Security Professional All-in-One Exam Guide, Third Edition
By Daniel Carter
Contents:
Acknowledgments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvii
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xix
Chapter 1 How to Obtain the CCSP and Introduction to Security . . . . . . . . . 1
Why Get Certified? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
How to Get Certified . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
CCSP Domains . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Domain 1: Cloud Concepts, Architecture, and Design . . . . . 3
Domain 2: Cloud Data Security . . . . . . . . . . . . . . . . . . . . . . 5
Domain 3: Cloud Platform and Infrastructure Security . . . . . 6
Domain 4: Cloud Application Security . . . . . . . . . . . . . . . . . 7
Domain 5: Cloud Security Operations . . . . . . . . . . . . . . . . . 8
Domain 6: Legal, Risk, and Compliance . . . . . . . . . . . . . . . . 10
Introduction to If Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Basic Security Concepts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Risk Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Business Continuity and Disaster Recovery . . . . . . . . . . . . . . 16
Chapter Review . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Chapter 2 Cloud Concepts, Architecture, and Design . . . . . . . . . . . . . . . . . . . . 17
Understand Cloud Computing Concepts . . . . . . . . . . . . . . . . . . . . 18
Cloud Computing Deinitions . . . . . . . . . . . . . . . . . . . . . . . 18
Cloud Computing Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Key Cloud Computing Characteristics . . . . . . . . . . . . . . . . . 20
Building-Block technologies . . . . . . . . . . . . . . . . . . . . . . . . . 23
Describe a Cloud Reerence Architecture . . . . . . . . . . . . . . . . . . . . 23
Cloud Computing Activities . . . . . . . . . . . . . . . . . . . . . . . . . 23
Cloud Service Capabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Cloud Service Categories . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Cloud Deployment Models . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Cloud Shared Considerations . . . . . . . . . . . . . . . . . . . . . . . . 34
Impact o Related echnologies . . . . . . . . . . . . . . . . . . . . . . . 38
Understand Security Concepts Relevant to Cloud Computing . . . . 43
Cryptography . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Identity and Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Data and Media Sanitation . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Network Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Virtualization Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Common hreats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Security Hygiene . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Understand Design Principles o Secure Cloud Computing . . . . . . 58
Cloud Secure Data Liecycle . . . . . . . . . . . . . . . . . . . . . . . . . 58
Cloud-Based Business Continuity/Disaster Recovery
Planning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Business Impact Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Functional Security Requirements . . . . . . . . . . . . . . . . . . . . . 62
Security Considerations or the Dierent Cloud Categories . . . 63
Cloud Design Patterns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
DevOps Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Evaluate Cloud Service Providers . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Veriication Against Criteria . . . . . . . . . . . . . . . . . . . . . . . . . 71
System/Subsystem Product Certiications . . . . . . . . . . . . . . . 76
Exercise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Chapter Review . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Questions and Answers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Chapter 3 Cloud Data Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Describe Cloud Data Concepts . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Cloud Data Liecycle Phases . . . . . . . . . . . . . . . . . . . . . . . . . 89
Data Dispersion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
Data Flows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Design and Implement Cloud Data Storage Architectures . . . . . . . . 93
Storage ypes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
hreats to Storage ypes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Design and Apply Data Security echnologies and Strategies . . . . . 96
Encryption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Hashing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Key Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
okenization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
Data Loss Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Data De-Identiication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Application o echnologies . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Emerging echnologies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
Implement Data Discovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
Structured Data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Unstructured Data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Privacy Roles and Responsibilities . . . . . . . . . . . . . . . . . . . . . 107
Implementation o Data Discovery . . . . . . . . . . . . . . . . . . . . 107
Classiication o Discovered Sensitive Data . . . . . . . . . . . . . . 108
Mapping and Deinition o Controls . . . . . . . . . . . . . . . . . . . 108
Application o Deined Controls . . . . . . . . . . . . . . . . . . . . . . 109
Implement Data Classiication . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
Mapping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
Labeling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
Sensitive Data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
Design and Implement Inormation Rights Management (IRM) . . . 112
Data Rights Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
ools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
Plan and Implement Data Retention, Deletion,
and Archiving Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
Data Retention Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
Data Deletion Procedures and Mechanisms . . . . . . . . . . . . . . 115
Data Archiving Procedures and Mechanisms . . . . . . . . . . . . . 115
Legal Hold . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
Design and Implement Auditability,
raceability, and Accountability o Data Events . . . . . . . . . . . . . 118
Deinition o Event Sources . . . . . . . . . . . . . . . . . . . . . . . . . . 118
Identity Attribution Requirements . . . . . . . . . . . . . . . . . . . . 120
Data Event Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
Storage and Analysis o Data Events . . . . . . . . . . . . . . . . . . . 123
Continuous Optimizations . . . . . . . . . . . . . . . . . . . . . . . . . . 126
Chain o Custody and Nonrepudiation . . . . . . . . . . . . . . . . . 127
Exercise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Chapter Review . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
Questions and Answers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
Chapter 4 Cloud Platorm and Inrastructure Security . . . . . . . . . . . . . . . . . . . 137
Comprehend Cloud Inrastructure and Platorm Components . . . . 137
Physical Hardware and Environment . . . . . . . . . . . . . . . . . . . 137
Networking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
Computing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
Storage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
Virtualization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
Management Plane . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
Design a Secure Data Center . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
Logical Design . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
Physical Design . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
Environmental Design . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
Design Resilient . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
Analyze Risks Associated with Cloud Inrastructure and Platorms . . . 150
Risk Assessment and Analysis . . . . . . . . . . . . . . . . . . . . . . . . 151
Virtualization Risks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
Risk Mitigation Strategies . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
Plan and Implementation o Security Controls . . . . . . . . . . . . . . . . 153
Physical and Environmental Protection . . . . . . . . . . . . . . . . . 154
System, Storage, and Communication Protection . . . . . . . . . 155
Virtualization Systems Protection . . . . . . . . . . . . . . . . . . . . . 155
Identiication, Authentication,
and Authorization in a Cloud Inrastructure . . . . . . . . . . . 157
Audit Mechanisms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
Plan Business Continuity (BC) and Disaster Recovery (DR) . . . . . . 162
Understanding the Cloud Environment . . . . . . . . . . . . . . . . 162
Understanding Business Requirements . . . . . . . . . . . . . . . . . 163
Understanding Risks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
Disaster Recovery/Business Continuity Strategy . . . . . . . . . . 165
Exercise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
Chapter Review . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
Questions and Answers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
Chapter 5 Cloud Application Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
Advocate raining and Awareness or Application Security . . . . . . . 179
Cloud Development Basics . . . . . . . . . . . . . . . . . . . . . . . . . . 180
Common Pitalls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180
Common Cloud Vulnerabilities . . . . . . . . . . . . . . . . . . . . . . . 182
Describe the Secure Sotware Development Liecycle
(SDLC) Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
Business Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
Phases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
Methodologies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
Apply the Secure Sotware Development Liecycle . . . . . . . . . . . . . 192
Cloud-Speciic Risks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
hreat Modeling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
Secure Coding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Sotware Coniguration Management and Versioning . . . . . . 198
Apply Cloud Sotware Assurance and Validation . . . . . . . . . . . . . . . 199
Cloud-Based Functional esting . . . . . . . . . . . . . . . . . . . . . . 199
Cloud Secure Development Liecycle (CSDLC) . . . . . . . . . . 199
Security esting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
Quality o Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
Use Veriied Secure Sotware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
Approved API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
Supply Chain Management . . . . . . . . . . . . . . . . . . . . . . . . . . 202
Community Knowledge . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
Comprehend the Speciics o Cloud Application Architecture . . . . . 203
Supplemental Security Devices . . . . . . . . . . . . . . . . . . . . . . . 204
Cryptography . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
Sandboxing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
Application Virtualization . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
Design Appropriate Identity and Access Management
(IAM) Solutions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
Federated Identity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
Identity Providers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
Single Sign-On . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
Multiactor Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . 211
Cloud Access Security Broker . . . . . . . . . . . . . . . . . . . . . . . . 211
Exercise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
Chapter Review . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
Questions and Answers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214
Chapter 6 Cloud Security Operations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
Implement and Build the Physical and Logical Inrastructure
or the Cloud Environment . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
Hardware-Speciic Security Coniguration Requirements . . . 221
Installation and Coniguration o Management ools . . . . . . 222
Virtual Hardware Speciic
Security Coniguration Requirements . . . . . . . . . . . . . . . . 223
Installation o Guest Operating System Virtualization
oolsets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
Operate the Physical and Logical Inrastructure
or the Cloud Environment . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
Access Controls or Local and Remote Access . . . . . . . . . . . . 228
Secure Network Coniguration . . . . . . . . . . . . . . . . . . . . . . . 231
Network Security Controls . . . . . . . . . . . . . . . . . . . . . . . . . . 235
OS Hardening via Application o Baselines . . . . . . . . . . . . . . 239
Patch Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
Inrastructure as Code Strategy . . . . . . . . . . . . . . . . . . . . . . . 243
Availability o Standalone Hosts . . . . . . . . . . . . . . . . . . . . . . 243
Availability o Clustered Hosts . . . . . . . . . . . . . . . . . . . . . . . . 244
Availability o the Guest Operating System . . . . . . . . . . . . . . 245
Perormance Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
Hardware Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
Backup and Restore Functions . . . . . . . . . . . . . . . . . . . . . . . . 247
Management Plane . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247
Implement Operational Controls and Standards . . . . . . . . . . . . . . . 249
Change Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
Continuity Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
Inormation Security Management . . . . . . . . . . . . . . . . . . . . 251
Continual Service Improvement Management . . . . . . . . . . . . 252
Incident Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
Problem Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
Release and Deployment Management . . . . . . . . . . . . . . . . . 253
Coniguration Management . . . . . . . . . . . . . . . . . . . . . . . . . 253
Service Level Management . . . . . . . . . . . . . . . . . . . . . . . . . . 254
Availability Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254
Capacity Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254
Support Digital Forensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
Forensic Data Collection Methodologies . . . . . . . . . . . . . . . . 255
Evidence Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256
Manage Communication with Relevant Parties . . . . . . . . . . . . . . . . 257
Vendors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
Customers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
Partners . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
Regulators . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
Other Stakeholders . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
Manage Security Operations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
Security Operations Center . . . . . . . . . . . . . . . . . . . . . . . . . . 258
Monitoring o Security Controls . . . . . . . . . . . . . . . . . . . . . . 259
Log Capture and Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . 259
Exercise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261
Chapter Review . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261
Questions and Answers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
Chapter 7 Legal, Risk, and Compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
Articulate Legal Requirements and Unique Risks Within
the Cloud Environment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
Conlicting International Legislation . . . . . . . . . . . . . . . . . . . 269
Evaluation o Legal Risks Speciic to Cloud Computing . . . . 270
Legal Framework and Guidelines . . . . . . . . . . . . . . . . . . . . . . 270
eDiscovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271
Forensics Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275
Understand Privacy Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276
Dierence Between Contractual
and Regulated Personally Identiiable Inormation . . . . . . 276
Country-Speciic Legislation Related to PII and Data Privacy . . . 277
Dierences Among Conidentiality,
Integrity, Availability, and Privacy . . . . . . . . . . . . . . . . . . . 279
Standard Privacy Requirements . . . . . . . . . . . . . . . . . . . . . . . 282
Privacy Impact Assessments . . . . . . . . . . . . . . . . . . . . . . . . . . 284
Understand Audit Processes, Methodologies, and Required Adaptations
or a Cloud Environment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284
Internal and External Audit Controls . . . . . . . . . . . . . . . . . . . 284
Impact o Audit Requirements . . . . . . . . . . . . . . . . . . . . . . . . 285
Identiy Assurance Challenges o Virtualization and Cloud . . . 285
ypes o Audit Reports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286
Restrictions o Audit Scope Statements . . . . . . . . . . . . . . . . . 289
Gap Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291
Audit Planning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291
Internal Inormation Security Management System . . . . . . . . 296
Internal Inormation Security Controls System . . . . . . . . . . . 297
Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298
Identiication and Involvement o Relevant Stakeholders . . . . 298
Specialized Compliance Requirements
or Highly Regulated Industries . . . . . . . . . . . . . . . . . . . . 299
Impact o Distributed I Model . . . . . . . . . . . . . . . . . . . . . . 301
Understand Implications o Cloud to Enterprise Risk Management . . . 302
Assess Provider’s Risk Management . . . . . . . . . . . . . . . . . . . . 302
Dierence Between Data Owner/Controller vs.
Data Custodian/Processor . . . . . . . . . . . . . . . . . . . . . . . . . 302
Risk reatment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303
Dierent Risk Frameworks . . . . . . . . . . . . . . . . . . . . . . . . . . 307
Metrics or Risk Management . . . . . . . . . . . . . . . . . . . . . . . . 308
Assessment o the Risk Environment . . . . . . . . . . . . . . . . . . . 309
Understand Outsourcing and Cloud Contract Design . . . . . . . . . . 309
Business Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
Vendor Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310
Contract Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312
Executive Vendor Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314
Supply Chain Management . . . . . . . . . . . . . . . . . . . . . . . . . . 314
Exercise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
Chapter Review . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
Questions and Answers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318
Appendix A Exam Review Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323
Quick Answers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343
Questions and Comprehensive Answer Explanations . . . . . . . . . . . 344
Appendix B About the Online Content . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423
System Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423
Your total Seminars training Hub Account . . . . . . . . . . . . . . . . . . 423
Privacy Notice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423
Single User License terms and Conditions . . . . . . . . . . . . . . . . . . . 423
total tester Online . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425
technical Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425
Glossary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427
Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443