AWS 和 Azure 已通過 ISO 27001 認證--但這並不意味著您的公司也通過了認證

共同责任模式的实际含义

每個主要雲提供商都發布了共享責任模式。AWS 的描述如下：AWS 負責雲的安全；客戶負責雲的安全。Microsoft Azure 使用了幾乎相同的語言。這不是一個技術問題，而是一個基本的架構原則，對 ISO 27001 合規性有直接影響。

可以這樣想。當貴公司在香港的甲級商業大廈租賃辦公空間時，大廈管理公司負責結構完整性、滅火系統、電梯維護和大堂安全。這些系統可能擁有有效的安全認證。但是，您辦公室的門鎖、辦公桌上文件的分類、誰有權進入服務器機房、員工辭職後會發生什麽，這些都不屬於樓宇管理公司的認證範圍。這完全是您的責任。

雲就是大樓。您的 ISMS 就是辦公室。

下表列出了具體技術術語的責任邊界：

AWS 自己的 ISO 27001 常見問題明確指出，其認證「涵蓋指定服務和數據中心範圍內的 AWS 安全管理流程」。這個範圍就是 AWS 的基礎設施。您的工作負載、數據和組織流程不在此範圍內。

這種誤解在香港造成實際業務風險的五種情況

1. 企業和政府採購需要您的證書，而不是 AWS 的證書 香港的銀行、上市公司或政府部門在供應商安全問卷中，要求的是貴公司的 ISO 27001 證書，而非 AWS 的。若回答「我們使用 AWS，它通過了 ISO 27001 認證」，將被視為未能證明內部控制，可能導致交易延遲三至六個月甚至直接拒絕。 尤其在 2026 年 1 月 1 日《保護關鍵基礎設施（電腦系統）條例》生效後，八個指定行業（能源、銀行、運輸、醫療保健）供應商將更頻繁被要求展示自己的 ISO 27001 認證。

2. 數據管理政策不能外包給 AWS ISO 27001 要求企業建立完整的 ISMS，包括數據分類、保留與處置政策、員工培訓記錄及風險評估。這些文件必須由貴公司提供，AWS 的認證不涵蓋。

3. 身份與存取管理配置完全是您的責任 AWS 提供 IAM 工具，但配置與治理流程屬於貴公司責任。ISO 27001 稽核員會檢查最小權限原則、多因素驗證、存取審查及離職員工帳號撤銷等。雲端數據外洩最常見原因是客戶端配置錯誤，而非 AWS 基礎設施故障。

4. 事件響應與業務持續性是貴公司獨有的 AWS 保護其基礎設施，但貴公司必須制定事件響應計劃與業務持續性計劃，包括 RTO、責任人、通知程序等。ISO 27001 要求這些計劃有文件、測試與更新。

5. 香港監管機構評估的是企業控制措施，而非供應商控制措施 香港金管局的 C-RAF 2.0、私隱專員公署的指引及《關鍵基礎設施條例》都直接審查貴公司的安全狀況。監管人員要求風險評估、安全政策、內部稽核報告等，AWS 的認證文件不能替代。

雲提供商認證能為您提供什麼

雲提供商的 ISO 27001 認證仍有價值，可作為供應商安全評估的一部分，減輕基礎設施層的盡職調查負擔。 此外，AWS 與 Azure 提供的安全工具（如 CloudTrail、Azure Activity Log、GuardDuty、Defender for Cloud、KMS、Key Vault、Config、Policy）能支持 ISO 27001 技術控制，加快 ISMS 的落地。

如何在雲環境中實現 ISO 27001 認證：四個實用步驟

1. 步驟 1 - 精確定義 ISMS 範圍 明確列出 AWS 帳號、Azure 訂閱、使用區域與服務、數據類別及監管要求。
2. 步驟 2 - 進行雲特定風險評估 涵蓋配置錯誤、存取控制過寬、日誌不足、第三方整合風險及數據主權問題。
3. 步驟 3 - 使用雲原生工具實施技術控制 映射至 ISO 27001 附件 A 控制措施，執行 MFA、加密、最小權限網路存取、異常警報，並記錄控制措施。
4. 步驟 4 - 建立管理與文件層 包括資訊安全政策、資產清單（涵蓋所有雲資源）、員工培訓記錄、供應商管理程序、變更管理流程與內部稽核計劃。

結論

雲計算改變了技術經濟性，但資訊安全責任仍在企業自身。AWS 與 Azure 的 ISO 27001 認證代表其基礎設施安全承諾，而貴公司的 ISO 27001 認證則代表對客戶、合作夥伴及監管機構的承諾。在香港市場，兩者不可互換。

DQS HK 的相关服务

• ISO 27001 认证
• 渗透测试
• 安全风险评估和审计 (SRAA)
• ISO 42001 认证
• 隐私影响评估 (PIA)
• 安全意识培训