雲端服務是一種趨勢，很多企業或是組織在考量使用雲端前，對雲端相關的安全性有很大的疑慮，資料放在雲端到底安不安全，雲端服務的業者能不能看到我的資料，雲端的可用性是不是如同他們宣稱的永不墜落，近期有些公務機關在招標文件內加入需要通過ISO 27017及ISO 27018的認證，這樣的認證是否能夠符合對雲端資訊安全的要求，我想藉由以下的說明可以讓大家更清楚瞭解這兩項標準。
首先要理解雲端服務相關的保證要素，才能判斷雲端服務到底要注意甚麼?下圖可以讓我們知道雲端服務的各項因素，看來資訊安全只是其中一項而已。

從這些因素來看雲端服務跟一般資訊委外會有一些差異，所造成在選擇雲端服務時可能需要不同的認驗證機制，確保所選擇的雲端服務符合我們的需要

下圖是目前市場上現有的雲端驗證機制的比較

ISO 組織並未針對雲端服務整體的要求訂定相關標準，僅有對資訊安全部分訂定ISO27017及ISO27018，這兩項標準是基於ISO27002相關控制措施所延伸出來的指引，並不是一個完整的管理系統，所以要導入ISO27017及ISO27018必須要有ISO27001的資訊安全管理系統作為基礎，在內外部議題及風險的部分去對應所延伸或附加的控制措施，現在的問題是ISO27001及ISO27002在2022年已經改版，ISO27017及ISO27018正在修訂中，預計是2025或2026年才有可能完成修訂，所以目前想要導入的組織，只能利用新舊版的對照來指引相關控制措施。
ISO 27017提供基於 ISO/IEC 27002 的額外雲端特定實作指導方針，並提供額外的控制來處理雲端特定資訊安全性威脅和風險，相關控制措施以雲端服務客戶及雲端服務提供者進行敘述，例如資訊安全政策。
當然也會針對原先ISO/IEC 27002控制措施不足的部份去設計新的控制措施，例如：CLD 6.3.1雲端運算環境中共享的角色和責任。
實務上在導入時，應利用原先的適用性聲明書去做延伸及設計，如下圖

ISO 27018根據 ISO/IEC 29100 中針對公共雲服務環境的隱私原則，為實施保護個人身份資訊 (PII) 的措施建立了普遍接受的控制目標、控制和指南，特別是，指定基於 ISO/IEC 27002 的指引，並考慮了保護 PII 的監管要求，這些要求可適用於公共雲服務提供商的資訊安全風險環境，例如：資訊安全政策。
值得一提的是ISO 27018除了延伸ISO/IEC 27002外，另外構成擴充控制措施，以滿足適用於公共雲的 PII 保護要求的服務提供商，這些擴充控制根據 ISO/IEC 29100 的 隱私原則進行分類，例如：A.5.1安全移除臨時檔案。
導入ISO 27018時應注意相關控制措施區分政策、合約、組織、訓練、技術實施、程式控制、通信傳輸等，如下圖

關於如何導入，請參考下列資訊
https://ingsafe.tw/