ISO/IEC 27018

借助 ISO/IEC 27018，展示在云端对个人数据的稳健治理。

对照 27018 的云 PII 处理者控制措施

在 ISO 27001 审核中一并评估

在云端稳健治理个人数据的证明

云端个人数据方面的专家

它是什么

ISO/IEC 27018 是一套实践准则，用于保护作为 PII 处理者在公有云中处理的个人身份信息（PII）。它在 ISO/IEC 27002 的基础上扩展了隐私控制措施，涵盖同意、透明度、数据返还与删除以及违规通报，并直接支撑 GDPR 第 28 条规定的处理者义务。

处理客户或最终用户个人数据、为客户提供处理服务的公有云提供商与 SaaS 厂商，尤其是当这些客户自身受 GDPR 约束时。

对照 27018 的 PII 处理者控制措施进行差距评估

使云端隐私实践与 ISMS 保持一致

修复与审核支持（ISO 27001 的扩展）

与 GDPR 第 28 条处理者义务的映射

关于客户 PII 治理的透明度与同意文档

差距评估ISMS 设计内部审计阶段 1 与阶段 2 支持整改指导认证就绪

不能。27018 展示在云端对 PII 的良好治理，并有力支撑 GDPR 的处理者义务，但 GDPR 合规属于法律判断。我们会将 27018 的控制措施与 GDPR 第 28 条进行映射。

如果您在云端处理个人数据，需要。27017 保护云本身；27018 治理其中的个人数据。我们经常并行推进这两个扩展。

可以。两者都是在您 ISO 27001 审核范围内评估的扩展，因此当您在云端处理个人数据时，我们通常会将它们一并推进，共享证据并进行单次审核：27017 保护云环境，27018 治理其中的个人数据。