ISO 27001/27002/27017/27018之間的關(guān)系與區(qū)別

時間：2020-08-24作者：廣匯聯(lián)合（北京）認(rèn)證服務(wù)有限公司瀏覽：194

通常，如果通過ISO 27001、ISO 27017、ISO 27018認(rèn)證，那么審核的時候（復(fù)審），這三個認(rèn)證是放在一塊審核的。
另外，是沒有通過ISO 27002認(rèn)證這一說法的，通過ISO 27001認(rèn)證也將意味著符合ISO 27002要求。

ISO 27001 信息安全管理體系—要求
ISO 27002 信息技術(shù)—安全技術(shù)—信息安全管理實踐規(guī)范
ISO 27017 針對云服務(wù)的信息安全控制提供了實施指導(dǎo)。
ISO 27018 是一個專注于云中個人數(shù)據(jù)保護(hù)的**行為準(zhǔn)則。

ISO 27017和ISO 27018都是基于ISO 27002標(biāo)準(zhǔn)，并針對適用于公有云個人可識別信息(PII)的ISO27002控制體系提供了實施指南。
兩個標(biāo)準(zhǔn)都是基于ISO 27001延伸。
ISO 27017 提出比較多的改變安全控制。
ISO 27018 則是提出比較多新增安全控制。

一、什么是 ISO 27017？
ISO 27017是基于ISO 27002延伸的標(biāo)準(zhǔn)。 主要目的在于提供云端服務(wù)廠商一個云端建置與維運的安全規(guī)范。
ISO 27017與ISO 27002主要的差異在于：ISO 27017額外規(guī)范云端安全的建置與維護(hù)。
ISO 27017于2015-12-15官方正式公布。
ISO 27017認(rèn)證的方式有可能會與ISO 27001認(rèn)證審核一并進(jìn)行。

二、ISO 27001/ISO 27002與ISO 27017 標(biāo)準(zhǔn)的差異部分：

ISO 27001 / ISO 27002 標(biāo)準(zhǔn) ISO 27017 標(biāo)準(zhǔn)額外增加的差異



三、什么是 ISO 27018?
ISO 27018較著重于個人隱私數(shù)據(jù)保護(hù)，基于ISO 27002的基礎(chǔ)上，延伸定義新增個人資料的隱私保護(hù)。
ISO 27018于2014-8-1正式公布。

四、ISO 27001/ISO 27002與ISO 27018 標(biāo)準(zhǔn)的差異部分：


五、ISO 27001 or ISO 27017 or ISO 27018？
ISO 27001因為是較基礎(chǔ)的規(guī)范，所以在進(jìn)行 ISO 27017 or ISO 27018之前，必須先經(jīng)過基本的ISO 27001認(rèn)證。
基于ISO 27001 認(rèn)證基礎(chǔ)下，可以思考額外包含：
ISO 27017: 云端對于個人隱私數(shù)據(jù)的產(chǎn)生、儲存、管理、通知、消除、加密、傳輸?shù)忍幚怼?
ISO 27018 : 如果公司預(yù)計提供云端服務(wù)，相關(guān)云端維運的安全控制措施
從市場營銷的觀點來看，ISO 27001是可以獲得一個認(rèn)證，因此*得到客戶的認(rèn)可。
從信息安全來看，ISO 27017 or ISO 27018 較偏重于信息安全管制措施。

以上，就是他們的區(qū)別！

如您想較詳細(xì)的了解更多認(rèn)證資訊，請您網(wǎng)絡(luò)搜索廣匯聯(lián)合，快人一步，成就管理者風(fēng)范。
廣匯聯(lián)合：壹 叁 陸 捌 壹 零 陸 肆 貳 貳 捌

如您想較詳細(xì)的了解更多認(rèn)證資訊，請您網(wǎng)絡(luò)搜索廣匯聯(lián)合，快人一步，成就管理者風(fēng)范。
廣匯聯(lián)合：壹 叁 陸 捌 壹 零 陸 肆 貳 貳 捌

如您想較詳細(xì)的了解更多認(rèn)證資訊，請您網(wǎng)絡(luò)搜索廣匯聯(lián)合，快人一步，成就管理者風(fēng)范。
廣匯聯(lián)合：壹 叁 陸 捌 壹 零 陸 肆 貳 貳 捌


廣匯聯(lián)合（北京）認(rèn)證服務(wù)有限公司專注于服務(wù)認(rèn)證,IT信息管理認(rèn)證 ,三體系認(rèn)證等

• 詞條

  詞條說明

• ISO20000-確定服務(wù)管理系統(tǒng)的范圍

  1、所需活動 組織確定信息服務(wù)管理體系的邊界和適用性，以確定其范圍。 2、說明 此必要活動的目的是使用收集到的內(nèi)外部因素和相關(guān)方的要求，以明確界定那些組織部分和那些服務(wù)將包括在信息服務(wù)管理體系中。因此，建立范圍是決定實施信息服務(wù)管理體系的所有其他活動的必要基礎(chǔ)的關(guān)鍵活動。 組織在確定信息服務(wù)管理體系范圍時考慮以下輸入： a） 內(nèi)部和外部因素； b） 相關(guān)方的需求和期望； c） 向客戶提供的服務(wù)或服

• 信息安全體系認(rèn)證-ISO27001

  ISO27001體系認(rèn)證，對于眾多信息服務(wù)提供商來說，意義并不僅**于信息服務(wù)符合規(guī)程和提高服務(wù)質(zhì)量。信息安全管理體系認(rèn)證作為檢驗一個企業(yè)在信息安全方面的一個標(biāo)準(zhǔn)，是能夠幫助公司形成一個約束員工、規(guī)范信息交流活動、推動公司業(yè)務(wù)發(fā)展越具系統(tǒng)化和管理化。 任何一家企業(yè)都是離不開體系認(rèn)證的，就如ISO27001就是其一，特別是ISO20000信息技術(shù)管理體系作為世界上**部針對信息技術(shù)服務(wù)管理領(lǐng)域的國

• ISO20000認(rèn)證好處

  解決問題 企業(yè)建立IT服務(wù)管理體系的目標(biāo)是為了企業(yè)建立起一套行之有效的以客戶為中心的自我完善的體系。在實施認(rèn)證ISO20000管理體系后，在各個流程中，各個工作崗位上都建立了一個自我完善的循環(huán)，工作的策劃、執(zhí)行、檢查，以及持續(xù)的發(fā)現(xiàn)問題改善問題的體系建立起來，使每個員工都擁有問題意識，自覺的發(fā)現(xiàn)自己工作當(dāng)中的問題，并通過系統(tǒng)的解決問題的方法，將問題一個一個的解決。IT服務(wù)提供商通過實施IT服務(wù)管理

• 信息安全體系認(rèn)證-ISO20000

  信息安全體系認(rèn)證-ISO20000 **的IT服務(wù)業(yè)日趨龐大，在印度、韓國等其他國家，也興起了認(rèn)證風(fēng)潮，因為這些企業(yè)明白， 一旦擁有了ISO20000認(rèn)證，就象征著企業(yè)具有較可靠的IT服務(wù)后盾。那么當(dāng)一個企業(yè)通過了ISO20000的認(rèn)證，堅持實施較佳實踐后，高效的lT服務(wù)管理究竟可以給企業(yè)帶來哪些效益呢？ 1、建立緊密的跨部門協(xié)件關(guān)系和完善的員工考核制度 ISO20000的實施首先帶來的是IT 管