今天要來介紹ISO 27017跟ISO 27018兩個都是關於雲端的標準，只是內容有些不一樣

ISO27017
雲端服務的國際標準，幫助雲端服務提供者和使用者實現並維持雲端服務中的安全控制。它建立在 ISO/IEC 27002（資訊安全管理的實務準則）的基礎上，專門擴展到雲端環境，針對雲端服務的特殊需求進行了定制化。
下面是ISO27017的一些關鍵內容
1.責任劃分：這是ISO 27017的核心，幫助明確界定雲端服務提供者和使用者在資訊安全管理方面的責任。比如，誰負責加密資料，誰負責資料備份等
2.雲端特定的控制措施：提供了一些專門針對雲端的控制措施，例如虛擬化環境的管理、安全配置、使用者存取權限的管理等
3.強化的安全措施：除了 ISO 27002 的一般安全措施外，ISO 27017 也提供了額外的安全控制，用於應對雲端中的特殊風險，比如多租戶環境中的隔離性和資源分配的透明度
4.支援合規性：幫助企業確保其雲端服務符合國際資訊安全法律和法規的要求，尤其是涉及到資料隱私、合規等方面

雲端服務提供者通過符合 ISO/IEC 27017 標準，可以向其客戶證明其雲端服務具有高水準的安全控制，特別是在敏感資料和業務關鍵應用的保護方面。

ISO 27018
是專門針對雲端環境中個人資料保護的國際標準，特別是關注公有雲服務提供者如何處理個人資料。它建立在 ISO/IEC 27001 和 ISO/IEC 27002 的基礎上，為雲端服務中的個人資料保護提供了額外的指導和控制措施。
以下是ISO 27018的關鍵內容
1.個人資料保護：針對雲端服務中涉及個人資料處理的風險，提出了專門的控制措施，以確保公有雲服務中的資料隱私和保護。這適用於處理個人身份信息的雲端服務提供者
2.透明度：要求雲端服務提供者向其使用者明確告知其個人資料的處理方式，並提供明確的數據處理流程，有助於提高數據處理的透明性，讓使用者了解其數據如何被收集、存儲和使用
3.同意管理：ISO 27018 強調取得資料當事人的同意，並確保個人資料的使用範圍與最初同意的一致。雲端服務提供者在處理個人資料之前，必須先獲得適當的授權
4.數據主權與隱私權：該標準規範了如何處理涉及跨國界的數據傳輸，並要求雲端服務提供者遵守資料主權法規，確保資料的處理符合當地的隱私法
5.安全事件與違規通知：要求雲端服務提供者在發生數據洩漏或違規情況時，必須立即通知其客戶並提供相關的恢復計劃
6.第三方管理：要求雲端服務提供者確保他們所聘用的第三方服務提供者，也遵循相同的個人資料保護規範，以避免資料洩漏風險

SO/IEC 27018 的目標是提高公有雲服務的個人資料保護水準，為使用者提供更好的隱私和數據安全保障，特別是針對那些依賴雲端來處理敏感個人資料的企業和組織。