1、 認我行檢測·認證：一站式檢測認證服務(wù)商ISO 27001 信息安全管理體系要求ISO 27002 信息技術(shù)安全技術(shù)信息安全管理實踐規(guī)范ISO 27017 針對云服務(wù)的信息安全控制提供了實施指導(dǎo)。ISO 27018 是首個專注于云中個人數(shù)據(jù)保護的國際行為準則。 ISO 27017和ISO 27018都是基于ISO 27002標準，并針對適用于公有云個人可識別信息(PII)的ISO27002控制體系提供了實施指南。兩個標準都是基于ISO 27001延伸。ISO 27017 提出比較多的改變安全控制。ISO 27018 則是提出比較多新增安全控制。什么是 ISO 27

2、017？ISO 27017是基于ISO 27002延伸的標準。 主要目的在于提供云端服務(wù)廠商一個云端建置與維運的安全規(guī)范。ISO 27017與ISO27002主要的差異在于：ISO27017額外規(guī)范云端安全的建置與維護。ISO 27017于2015-12-15官方正式公布。ISO 27017認證的方式有可能會與ISO 27001認證審核一并進行。 ISO 27001/ISO 27002與ISO 27017 標準的差異部分：ISO 27001/ISO 27002 標準ISO 27017 標準額外增加的差異A5 信息安全方針中A6 信息安全組織中A7 人力資源安全中低A8 資產(chǎn)管理中低A

3、9 訪問控制高A10 密碼學(xué)中A11 物理和環(huán)境安全中低A12 操作安全中高A13 通信安全中高A14 信息系統(tǒng)獲取、開發(fā)和維護中A15 供應(yīng)商關(guān)系中高A16 信息安全事件管理中A17 信息安全方面業(yè)務(wù)連續(xù)性管理低A18 符合性中高什么是 ISO 27018?ISO 27018更著重于個人隱私數(shù)據(jù)保護，基于ISO 27002的基礎(chǔ)上，延伸定義新增個人資料的隱私保護。ISO 27018于2014-8-1正式公布。ISO 27001/ISO 27002與ISO 27018 標準的差異部分：ISO 27001/ISO 27002 標準ISO 27018 標準額外增加的差異A5 信息安全方針中A6 信

4、息安全組織低A7 人力資源安全低A8 資產(chǎn)管理低A9 訪問控制低A10 密碼學(xué)低A11 物理和環(huán)境安全低A12 操作安全高A13 通信安全低A14 信息系統(tǒng)獲取、開發(fā)和維護低A15 供應(yīng)商關(guān)系低A16 信息安全事件管理中A17 信息安全方面業(yè)務(wù)連續(xù)性管理低A18 符合性中ISO 27001 or ISO 27018 or ISO 27017？ISO 27001因為是最基礎(chǔ)的規(guī)范，所以在進行 ISO 27018 or ISO 27017之前，必須先經(jīng)過基本的ISO 27001認證。基于ISO 27001 認證基礎(chǔ)下，可以思考額外包含：ISO 27018 : 如果公司預(yù)計提供云端服務(wù)，相關(guān)云端維運的安全控制措施ISO 27017: 云端對于個人隱私數(shù)據(jù)的產(chǎn)生、儲存、管理、通知、消除、加密、傳輸?shù)忍幚怼氖袌鰻I銷的觀點來看，ISO 27001是可以獲得一個認證，因此容易得到客戶的認可。從信息安全來看，ISO 27018 or ISO 27017