ISO/IEC 27018公有云個人信息管理體系認證

ISO/IEC27017:2015是基于ISO/IEC27002的云服務信息安全控制的實施規范，ISO/IEC27018:2014是公共云作為個人信息(PII)處理者的信息安全控制規范，這兩個標準則是聯合技術委員會ISO/IECJTC 1 SC 27開發小組開發的，其小組也開發過ISO/IEC27001標準。

需要更多信息？

我們最快2小時內聯系您

手機號碼電子郵箱

*自動注冊會員，在線查看咨詢進度

立即咨詢

我已閱讀并同意隱私政策

發送成功

您的咨詢信息已收到，我們將盡快與您聯系！

用戶賬號：{{ form.phone || form.email }}

已為您注冊SGS在線商城會員
可使用賬號快捷登陸

到“我的咨詢”查看咨詢進度

{{countdownTime}}秒后自動跳轉

掃碼關注SGS官方微信公眾號，回復“0”贏驚喜禮品！

關閉

ISO/IEC27018認證

云服務信息安全控制規范 & 公共云作為個人信息（PII）處理者的信息安全控制規范

業務背景

ISO/IEC27017和ISO/IEC27018的由來

最近幾乎每一項市場調查都預測云服務的快速擴張。著名的信息和通信技術市場研究公司加特納(Gartner)預測，云計算市場從2012年的1100億美元增長到2017年的1310億美元，整體增長了18.6%【1】。思科全球云指數【2】預測IaaS和SaaS服務正分別以13%的復合年增長率和33%的復合年增長率快速成長。

現在差不多所有的個人和消費層面的應用均為云端應用。但是，在企業、政府和公共服務環境中云服務的采用依然不高。根據Ciphercloud研究，合規性（64%）和數據安全（32%）是云應用最大的兩個挑戰。

對用戶而言，如果一個云服務提供商能提供安心和信心給到其用戶，證明其云服務是可靠的、符合適用法規和合同要求的，并對其能采用最好的行業實踐，那么該云服務提供商將成為用戶的選擇。在這種實際需求存在的背景下，ISO/IEC27017和ISO/IEC27018應運而生。

對云營運來講，ISO/IEC27001:2013則是一個很好的標準，但云服務提供商希望看到更多的針對云的控制規范來幫助他們解決云的具體問題。ISO/IEC27017和ISO/IEC27018標準正是工業界在產生這些要求后結果的體現。

云服務提供商提供的傳統服務級別協議(SLA)主要側重于數據中心的績效，如服務器和網絡可用性、環境和物理安全問題，以及傳統的服務，如備份和監控。云服務有其特定的關注點，它們通常不在服務級別和合同協議中提到。

標準概述

作為PII處理者的公共云中的個人身份信息(PII)保護-要求-基于ISO/IEC 27018: 2025，基于ISO/IEC 27018:2025制定。ISO/IEC 27018根據ISO/IEC 29100中的隱私原則，為實施保護個人身份信息（PII）的措施制定了普遍接受的控制目標、控制措施和指南，用于公共云計算環境。ISO/IEC 27018規定了基于ISO/IEC 27002:2022的指南，考慮了保護PII的監管要求，這些要求可以適用于公共云服務提供商的信息安全風險環境。

本標準適用于所有類型和規模的組織，包括公共和私營公司、政府實體和非營利組織，這些組織根據合同通過云計算作為PII處理器向其他組織提供信息處理服務。

認證益處

? 增強信任：通過作為PII處理者的公共云中的個人身份信息(PII)保護-要求-基于ISO/IEC 27018: 2025認證，企業可以向客戶和利益相關者證明其在保護個人數據方面的承諾。
? 競爭優勢：獲得認證的企業在市場中更具競爭力，能夠吸引更多客戶。
? 合規性：幫助企業遵守相關法律法規，降低因數據泄露而導致的罰款風險。
? 風險管理：通過實施標準化的控制措施，企業能夠更有效地識別和管理風險。

認證規則

CNLPQP_PIIC_01公有云個人信息保護管理體系認證版本1.1

發布單位	發布日期	規則來源
通標標準技術服務有限公司	2025年12月28日	自行制定

適用范圍

認證對象通過 ISO/IEC 27001 認證，提供 IaaS、PaaS、SaaS 或云解決方案服務。

認證依據

CNLPQB_PIIC_01 作為PII處理者的公共云中的個人身份信息(PII)保護-要求-基于ISO/IEC 27018: 2025

發布單位	發布日期	實施日期
通標標準技術服務有限公司	2025年12月28日	2025年12月28日

ISO/IEC 27018:2025 信息安全、網絡安全和隱私保護-公有云中作為PII處理者的個人身份信息保護指南

發布單位	發布日期	實施日期
國際標準化組織	2025年8月26日	2025年8月26日

認證流程

一、具體內容

步驟1 – 簽訂合同：SGS根據組織的規模及業務類型提供定制化的審核計劃。

步驟2 – 預審核：SGS提供可選擇的針對準備情況與薄弱環節的“預審”服務。

步驟3 – 正審第一階段：對組織建立的文件化體系及其他重要體系進行評估，提出不符合項。

步驟4 – 正審第二階段：現場審核，提出審核發現，審核合格后會簽發證書。

步驟5 – 監督審核：根據合同，每半年或一年對體系和整改計劃的實施進行監督審核。

步驟6 – 再認證：證書簽發3年期滿后，實施再認證審核。

二、圖示

如需獲得認證規則全文，請聯系：010-58352655 BA.China@sgs.com

查看SGS實施守則、認證標志使用管理規則等通用條款與條件，請點擊條款與條件

證書模板

我們的優勢

1. 憑借在信息安全管理領域的專業服務和豐富經驗，SGS能將ISO/IEC27017和ISO/IEC27018規范要求與ISO/IEC27001認證要求進行有效結合，幫你向客戶展示你自身的服務水平和能力，增強客戶信心。

2. 在全球范圍內，SGS擁有龐大的審核團隊，其中大多數審核員擁有多標準資質。這一龐大的多技能審核員隊伍意味著SGS能夠同時在世界不同的地點，處理多標準審核。這能夠加快合規保證過程，使您的項目無憂管理。

3. 作為國際公認的檢驗、鑒定、測試和認證機構，SGS在IT信息安全領域解決方案范圍廣泛，并致力于為各行業機構提供全方位管理提升服務。服務內容包括：ISO/IEC27701、ISO/IEC29151、ISO/IEC27001、ISO/IEC20000、CSA STAR、ISO/IEC27017、ISO/IEC27018、ISO22301、GDPR等培訓、認證和審核相關服務。