ISO/IEC27017&ISO/IEC27018认证

ISO/IEC27017:2015是基于ISO/IEC27002的云服务信息安全控制的实施规范，ISO/IEC27018:2014是公共云作为个人信息(PII)处理者的信息安全控制规范，这两个标准则是联合技术ISO/IECJTC 1 SC 27开发小组开发的，其小组也开发过ISO/IEC27001标准。

标准概述

ISO/IEC27017:2015针对特定于云服务的信息安全控制提供了实施指导：

1.特定于ISO/IEC27002中相关的控制的额外执行指南；

2.对与云服务特别相关的执行指导进行额外的控制。

该标准提供了对云服务客户和云服务提供商实施信息安全控制的指导方针。云服务提供商本身也可能是一个云服务的客户（选择下游的云服务提供商如IaaS提供商）。

ISO/IEC27018:2014提供了普遍接受的控制目标、实施措施保护个人可识别信息(PII)的控制和指导，使其与ISO/IEC29100的隐私原则和世界各地的个人数据隐私法规一致。通常，当一个组织实施ISO/IEC27001时，它是在保护自己的信息。在SaaS环境中，数据属于SaaS服务提供商的客户，甚至是服务提供商客户的客户。数据保护责任的增加要求对数据进行额外的控制。

本标准通过两个途径提供了针对个人可识别信息(PII)额外的控制：

1.提供如何在PII保护背景下实施特定的ISO/IEC27001控制的指导；

2.提供在现有的ISO/IEC27001下没有提到的，但针对云环境下个人可识别信息(PII)的控制。

认证益处

一、ISO/IEC27017和ISO/IEC27018实施和认证的好处

1. 提高顾客信心。这两个标准提供的额外控制提供了额外的，解决了云特定的技术和合同问题，并提供了。

2. 加强治理和风险管理。证书证明了该组织的、技术能力和对云架构中继承的适用风险和附加风险的信心。

3. 减少客户审核。许多客户通过频繁的审核将他们的管理权分配给供应商。该认证提供了一个立的第三方的证据，证明该组织的云操作不仅受控，而且是按照国际实践基准标准进行控制的。

二、云服务供应商实施ISO/IEC27017和ISO/IEC27018的益处

ISO/IEC27017和ISO/IEC27018不是立的管理体系标准，需要与ISO/IEC27001管理体系审核一起进行。为了达到成功的认证，需要有效地实施ISO/IEC27001、ISO/IEC27017和（或）ISO/IEC27018中的所有适用的控制点。

我们的优势

1.凭借在信息安全管理领域的服务和丰富经验，SGS能将ISO/IEC27017和ISO/IEC27018规范要求与ISO/IEC27001认证要求进行有效结合，帮你向客户展示你自身的服务水平和能力，增强客户信心。

2.在范围内，SGS拥有庞大的审核团队，其中大多数审核员拥有多标准资质。这一庞大的多技能审核员队伍意味着SGS能够同时在世界不同的地点，处理多标准审核。这能够加快合规过程，使您的项目无忧管理。

3.SGS在IT信息安全领域解决方案范围广泛，并致力于为各行业机构提供管理提升服务。服务内容包括：ISO/IEC27701、ISO/IEC29151、ISO/IEC27001、ISO/IEC20000、CSA STAR、ISO/IEC27017、ISO/IEC27018、ISO22301、GDPR等培训、认证和审核相关服务。