複選題

2. 貴公司是大型銀行的供應商之一,主要負責銀行客戶個資處理及利用;而最近因應數位轉型計劃,打算將相關基礎建設遷移至雲服務,試問為滿足客戶需求及服務品質保證,公司導入下 列何種標準最「不」適當?
(A) ISO 27006
(B) ISO 27001
(C) ISO 27701
(D) ISO 27018

答案:登入後查看
統計: A(93), B(14), C(38), D(67), E(0) #3671688

詳解 (共 1 筆)

#7149481

這確實是 iPAS 或各類資安考試中常見的爭議題型,官方後來判定 (A) 與 (D) 皆給分,其爭議點主要在於對 ISO 27018 適用對象的嚴格定義。

以下為您解析為什麼這兩個選項都被視為「不適當」(即正確答案):

 

1. 為何 (A) ISO 27006 絕對不適當?(鐵板釘釘的答案)

 

  • 理由:對象完全錯誤。

  • 解析: 如同前述,ISO 27006 是規範「第三方驗證機構」(如 BSI、SGS)如何進行稽核的標準。

  • 情境: 題目中的公司是「銀行供應商」(受稽核方/導入方),公司內部需要建立制度,而不是去考一個「如何稽核別人」的資格。因此選 (A) 是最直觀的邏輯。

 

2. 為何 (D) ISO 27018 也被認定為不適當?(爭議點所在)

 

這個選項會被認為「不適當」並送分,主要有兩個關鍵原因:

 

原因一:角色定位問題(使用者 vs. 提供者)

 

  • ISO 27018 的定義: 這是針對「公有雲個人資料處理者(Public Cloud PII Processors)」的實務作業規範。也就是說,這主要是給 AWS、Azure、Google Cloud 這些「賣雲端服務的人」遵守的。

  • 題目情境: 公司打算將基礎建設「遷移至雲服務」。

    • 這意味著該公司是「雲端客戶(Cloud Customer)」或「雲端租戶」。

    • 關鍵邏輯: 作為一個租用雲端的客戶,你不需要(也無法)去「導入」ISO 27018 來規範你的雲端底層架構,因為那不是你管的。你應該做的是「要求你的雲端供應商通過 ISO 27018 驗證」。

    • 因此,要求這家公司「導入」ISO 27018 在邏輯上是不通的。

 

原因二:標準性質(規範 vs. 驗證標準)

 

  • 嚴格來說,ISO 27018 是一套「作業規範(Code of Practice)」,通常是依附在 ISO 27001 的架構下進行擴充驗證,而不是一個可以像 ISO 27001 那樣獨立運作的管理系統(雖然後來實務上可以單獨針對此項目發證,但它本質是控制措施的集合)。

  • 相比之下,ISO 27001(資安管理)和 ISO 27701(隱私管理)是更完整的管理系統,更適合描述企業整體的導入行為。

 

總結

 

  • 選 (A) 的人認為: 我是公司,不需要考稽核員的標準(角色錯最離譜)。

  • 選 (D) 的人認為: 我是雲端客戶,ISO 27018 是雲端供應商(AWS/Azure)該做的,不是我該做的。

因為兩個理由在邏輯上都成立(都是「不適合該公司導入」),所以最後考題委員會判定 A、D 皆給分
這是一個非常犀利且切中核心的問題!這正是為什麼這題會有爭議,最後甚至導致 (D) 也變成正確答案(不適當)的原因。

您的直覺是對的:「銀行有客戶,資料放上雲端,當然要保護雲端個資。」但魔鬼藏在 ISO 27018 的「適用主體」定義裡。

讓我們用**「房客 vs. 房東」**的關係來釐清這個觀念:

 

1. 關鍵區分:你是「用雲的人」還是「賣雲的人」?

 

ISO 27018 的全名包含「Acting as PII Processors」(作為個資處理者)。在雲端架構的標準裡,角色分得很清楚:

  • 雲端服務客戶 (Cloud Service Customer):

    • 角色: 您題目中的公司(銀行供應商)。你們把基礎建設搬去雲端,你們是房客

    • 責任: 確保你們蒐集的資料合法(ISO 27701)、確保內部管理嚴謹(ISO 27001)。

    • 對 ISO 27018 的態度: 你們不需要「導入」 ISO 27018,而是要**「要求」**你們的雲端供應商(例如 AWS、Azure、GCP)有通過 ISO 27018 認證。

  • 雲端服務供應商 (Cloud Service Provider):

    • 角色: AWS、Microsoft Azure、Google Cloud。他們是房東

    • 責任: 他們提供基礎設施給你們放資料,他們必須證明「我不會偷看房客的資料」、「我不會把房客A的資料跟房客B搞混」。

    • 對 ISO 27018 的態度: 他們**必須「導入」**並通過 ISO 27018 驗證,以取信於客戶。

 

2. 為什麼題目說「導入」是不適當的?

 

題目問的是**「公司導入下列何種標準」**。

  • 如果你是把系統搬去 AWS,你自己去考 ISO 27018 是沒有意義的,因為你沒辦法控制雲端的底層架構(那是 AWS 管的)。

  • 你該做的是:導入 ISO 27001 (資安) + ISO 27701 (隱私) 來管理你「如何使用」這些雲端資源。

  • 至於 ISO 27018?那是寫在你們跟 AWS 簽的合約裡,要求 AWS 要做到的事,而不是你們公司自己要考的證照。

 

3. 既然如此,為什麼這題會有爭議?(導致送分)

 

這題會送分,是因為在某些特殊情境下,(D) 其實是可以適用的,這也是您感到困惑的原因:

  • 情境:SaaS 服務提供商

    如果貴公司不只是把「基礎建設」搬上雲,而是開發了一個 SaaS (軟體即服務) 平台 給銀行用。此時,對銀行來說,貴公司就變成了「雲端服務供應商」。

    • 在這種情況下,貴公司導入 ISO 27018 就是適當的!因為你們在雲端上處理銀行的資料,你們需要證明自己符合雲端個資保護規範。

爭議點總結:

  • 如果題目將公司視為純粹的**「雲端租戶(IaaS Client)」** → 不需導入 ISO 27018 (選 D 是對的)。

  • 如果題目將公司視為**「SaaS 服務商」** → 需要導入 ISO 27018 (選 D 變成錯的)。

由於題目描述「將相關基礎建設遷移至雲服務」,比較像是「租戶」行為,但因為界線模糊,加上 (A) ISO 27006 是絕對錯誤,考選單位為了避免爭議,通常判定 (A) 正確,但 (D) 若有人選也給分(承認題目在角色定義上不夠嚴謹)。

1
0