ISO/IEC 27018是对ISO 27001和ISO 27002标准的扩展，为云服务供应商如何安全处理个人身份信息（PII）提供了指南。此标准的主要作用是为云服务商告知其现有及潜在客户——“您所提交的个人数据得到了安全保护及处理，不会被用于任何其未明确同意的用途”提供了有力证明。通过实施本标准，可以让使用云服务的客户和利益相关者，对其个人数据和信息的安全更加放心。

实施ISO27018标准的意义

对于云提供商，确保消费者信息的安全性是第一要务。鉴于最近发生的破坏用户数据的违规行为，通过国际标准获得认证可以为组织提供全球公认的安全控制。它还向云提供商的客户展示了他们在保护消费者数据方面的重要性。这为能够宣称自己有能力确保客户信息安全的公司提供了独特的营销优势。

虽然某些组织寻求认证以符合其独特的法规需求或客户的需求，但其他组织应考虑ISO 27017或ISO 27018，以最大程度地减少云服务组织固有的风险和潜在的破坏成本。遵循严格的ISO 27017和27018准则，您的组织可以放心地运作，并在客户中建立信任的声誉。

1、 增强信任——为客户和利益相关者提供更大的保证，即个人数据和信息受到保护。

2、 竞争优势——通过最大限度地保护个人信息，在竞争对手中脱颖而出

3、 保护品牌——减少由于数据泄露而引起的不利宣传的风险

4、降低风险——确保识别风险，并采取控制措施来管理或降低风险

5、防止罚款——确保遵守当地法规，减少数据泄露的罚款风险

6、发展业务——提供不同国家/地区的通用准则，使在全球开展业务变得更容易，并可以作为首选供应商

ISO27018认证的适用范围

ISO27018认证适用于各个行业类别，只要从事信息领域服务的任何大型或小型组织都可以申请认证。不一定非要从事互联网，其他行业也可以适用。

由上表看出，ISO27018认证适用于大多数行业。

ISO27018认证的申报条件

1、ISO27018认证是在ISO27001信息安全管理体系的基础上建立、实施和扩展的，ISO27001是ISO27018认证的基础和前提条件。申请ISO27018认证的组织应已经建立信息安全管理体系，且通过了ISO27001认证或准备同时申请ISO27001认证。

2、申请的ISO27018认证范围不能大于组织的ISO27001覆盖范围，超出的认证范围必须先安排对其ISO27001实施专项扩大审核后，再安排ISO27018的审核。