政府與大型企業在採購雲端服務時,常參考 ISO/IEC 27001:2022、ISO/IEC 27017 及 ISO/IEC 27018。但「是否強制」、「需要準備什麼」往往令人容易混淆。本文整理了相關資訊、判斷基準、RFP 對應表及必備文件清單,讓採購、IT 和資安人員看同一套規格與證明,評估更一致,有效降低後續稽核風險。
▌什麼是 ISO/IEC 27017 與 27018?為何與雲端服務相關?
- ISO/IEC 27017:專注於雲端環境的資訊安全作法,強調共享責任、多租戶隔離、權限管理與稽核要求。
- ISO/IEC 27018:針對公有雲中個人資料(PII)保護的準則,強調目的限制、資料刪除或返還、事件通報及跨境資料控管。
- 與 ISO/IEC 27001:2022 的關係:27001 是資訊安全管理系統(ISMS)的基礎,27017、27018 則為雲端運作和個資保護的延伸控管標準。
▌政府與企業標案如何看待 ISO/IEC 27017、27018(實務觀察)
- 目前沒有「一體適用的強制條文」,但常被列為 RFP 的合規條件或等同證明要求。
- 是否必須具備,取決於專案的資料敏感度、法遵需求(如個資、跨境及稽核),以及營運風險。
- 建議:即使 RFP 未明列相關標準,參照 ISO/IEC 27017、27018 仍可有效降低後續審查及稽核不確定性。
▌三步檢核:我需不需要 ISO/IEC 27017、27018 ?
- 資料敏感度:是否涉及大量個人識別資料(PII)或敏感資料?
- 法遵邊界:是否需遵守跨境規範、監管要求或第三方稽核?
- 營運風險:資安事件若發生,是否可能嚴重影響營運、信任或造成罰則?
若回答多數為「是」,建議積極取得相關認證及文件支持。
▌RFP 條文 × ISO 控制對應實用表
| 常見 RFP 條文內容 | 對應標準 | 實務證明方式 | 等同證明案例 |
|---|---|---|---|
| 雲端服務需明確共享責任與稽核機制 | ISO/IEC 27017 | 共享責任說明、稽核軌跡範例、權限覆核流程 | SOC 2、C5 認證 |
| 個資處理需有刪除/返還、跨境與事件通報 | ISO/IEC 27018 | DPA 片段(資料處理附錄)、刪除/返還記錄、事件通報流程摘要 | GDPR 合規文件 |
| 建置於資安管理系統底座 | ISO/IEC 27001:2022 | 有效期內證書與適用範圍(Scope) | ISO 27001 其他版本舊證書 |
備註:等同證明可搭配使用,但需與標案需求及審查單位確認。
▌投標與稽核必備文件清單(依優先順序區分)
- 【必備】認證證明(ISO/IEC 27001:2022、27017、27018)含有效期與適用範圍說明
- 【必備】適用範圍摘要及系統邊界說明
- 【必備】DPA(資料處理附錄)樣板與資料流向及跨境說明(「Data Processing Addendum」)
- 【加分】事件管理與通報時效流程摘要
- 【加分】權限管理紀錄、稽核軌跡與定期覆核證據
提醒:證書失效或版次不符往往是標案審查失敗的主要原因,請特別留意。
▌Cloudmax 匯智的加值幫助
我們協助企業在投標或自我檢核時,快速補齊常見的文件落差,例如:
– 提供認證證明文件、適用範圍摘要
– 製作標案需求 × ISO 對應矩陣,便於快速比對
– 提供事件管理與權限稽核的示例文件,減少準備成本
此外,Cloudmax 匯智的 OfficeMail 與 OSecure 產品已通過資安標準規格,可直接強化郵件系統的合規與防護
- 了解郵件系統:→ https://www.cloudmax.com.tw/product/officemail
- 強化郵件安全:→ https://www.cloudmax.com.tw/product/osecure
▌您的疑問,Cloudmax 匯智來解答
1. ISO/IEC 27017 與 27018 是否一定要同時具備?
不一定,但兩者常會一起被要求,特別是公有雲下處理個資的情境。27017 偏資安控制,27018 偏隱私保護,通常配合27001基底使用。
2. 證書需要注意哪些重點?
有效期、適用範圍(Scope)、發證機構與標準版本(例如 27001:2022),避免使用過期或舊版證書。
3. RFP 未明寫 ISO/IEC 27017、27018,該怎麼辦?
可依資料敏感度、法遵要求及營運風險自行檢核,並參考兩標準的控管項目進行補強,以降低後續稽核風險。
4. ISO/IEC 27017 與 ISO/IEC 27018 差異?
27017 聚焦於雲端安全作法與共享責任;27018 聚焦公有雲中個人資料處理與隱私保護,兩者通常搭配使用。
5. 公有雲 vs 私有雲/混合雲,要求有差別?
公有雲多需符合 27018 規範以保護 PII;私有或混合雲則依資料性質及委外模式調整證明與流程。關鍵在資料流向與責任界定。
6. ISO/IEC 27018 與 GDPR 或臺灣個資法的關係?
27018 提供公有雲資料處理的控制框架,可參考作為符合 GDPR/個資法的基礎,但實際遵循仍須依據當地法規及合約(如 DPA、SCC)補強。
7. 適用範圍(Scope)代表什麼?
指認證涵蓋的服務、流程和地理區域,超出範圍的系統或整合元件需補強控管或以合約明確責任。
8. 證書版本與年度差異該注意?
目前最新版本為 27001:2022,27017 為 2015 版本,27018 為 2019 版本。建議使用最新認證並定期通過再認證與監督稽核,避免證書過期。
歡迎轉載!請見:轉載原則。
Image by AI-generated via ChatGPT / DALL·E
