"我們在 AWS 上運行一切。AWS 已獲得 ISO 27001 認證。所以我們應該在保障之列,對吧?
這是香港 IT 經理和企業決策者之間最常見、也是最具影響力的誤解之一。隨著香港的金融服務、物流、醫療保健和專業服務業加速採用雲端技術,越來越多企業將核心系統遷移至 Amazon Web Services (AWS)、Microsoft Azure 或 Google Cloud。隨著這種遷移,出現了一個危險的假設:雲端供應商的 ISO 27001 認證會延伸至客戶本身的營運。
事實並非如此。要準確瞭解原因,就必須清楚掌握「 共同責任模式」(Shared Responsibility Model ),這個基礎架構界定了雲端服務供應商的安全義務從何開始,而貴公司的安全義務則從何開始。
每個主要雲端供應商都會公佈共享責任模式。AWS 描述如下:AWS 負責雲端安全;客戶負責雲端安全。Microsoft Azure 使用幾乎相同的語言。這並非技術性問題,而是對 ISO 27001 合規性有直接影響的基本架構原則。
請這樣想。當您的公司在香港的甲級商業大樓租用辦公空間時,大樓管理公司負責結構完整性、滅火系統、電梯維護和大堂安全。這些系統可能持有有效的安全認證。但您辦公室大門的鎖、桌上文件的分類、誰可以進入您的伺服器機房,以及員工辭職後的情況 - 這些都不屬於大樓管理公司的認證範圍。這完全是您的責任。
雲端就是大樓。您的 ISMS 就是辦公室。
下表以具體的技術用語闡述責任邊界:
| 安全層 | 雲端供應商責任 | 貴公司的責任 |
|---|---|---|
| 實體資料中心 | 設施、電力、冷卻、實體存取 | - |
| 網路基礎架構 | 核心網路硬體和虛擬化 | VPC 配置、安全群組規則、防火牆政策 |
| 管理服務(例如 RDS) | 管理服務的作業系統修補程式 | 設定、存取控制、備份政策 |
| 虛擬機器 (IaaS) | 管理程序層 | 作業系統修補、加固、應用程式安全性 |
| 資料 | - | 分類、加密、保留、刪除政策 |
| 身分與存取管理 | 提供 IAM 工具 | IAM 配置、最低權限強制執行、MFA、存取審查 |
| 日誌與監控 | 提供日誌工具 (CloudTrail、Azure Monitor) | 啟用、配置、保留及檢閱日誌 |
| 事件回應 | 基礎結構層級回應 | 業務層級事件回應計畫與程序 |
| 員工安全性 | - | 安全意識訓練、背景調查、入職/離職 |
| 政策與文件 | - | ISMS 文件、風險評估、內部稽核 |
AWS 自己的 ISO 27001 常見問題明確指出,其認證「涵蓋特定服務和資料中心範圍內的 AWS 安全管理流程」。這個範圍就是 AWS 的基礎架構。您的工作負載、資料和組織流程則不在此範圍內。
當香港的銀行、上市公司或政府部門發出供應商安全問卷時,他們會詢問您的資訊安全管理系統。他們希望看到您的 ISO 27001 證書 - 以您公司的名義發出,並涵蓋您的營運。以「我們使用已通過 ISO 27001 認證的 AWS」回覆是無法滿足問題的。實際上,管制產業的採購團隊會將此回應視為未能證明內部控制,導致交易延遲三至六個月或直接拒絕。
這種風險正在增加。隨著《保護關鍵基礎設施(電腦系統)條例》於 2026 年 1 月 1 日生效,香港八個指定關鍵基礎設施行業(包括能源、銀行、運輸和醫療保健)的營運商將面臨更嚴格的供應鏈安全審查。這些營運商的供應商將越來越多地被要求展示其自身的 ISO 27001 認證。
ISO 27001 要求組織建立並維護全面的資訊安全管理系統 (ISMS)。ISMS 必須包括資料分類政策 (哪些資料屬於機密、哪些屬於公開,以及如何處理各類資料)、資料保留與棄置政策、員工安全意識訓練記錄,以及反映您特定業務環境與威脅狀況的風險評估。
這些文件都不存在於 AWS 的認證中。它們本質上是特定於您的組織 - 您的業務流程、您的資料類型、您的法規義務、您的員工。ISO 27001 稽核人員會要求這些文件作為主要證據。如果您的稽核套件中沒有 AWS 的證書,將不會被注意到;但如果沒有您自己的 ISMS 文件,則會導致重大的不符合。
AWS 提供功能強大的 IAM 工具,但工具的配置以及相關的管理流程則是您的責任。ISO 27001 稽核人員在評估雲端環境時會問您的 IAM 角色是否遵循最少權限原則?是否至少每年審核一次存取權限?特權帳戶是否受到多因素驗證的保護?是否在員工離職的 24 小時內取消存取權限?
這些問題反映的是貴公司內部治理的成熟度,而非 AWS 的基礎架構安全性。值得注意的是,雲端資料外洩最常見的原因並非雲端提供商的基礎架構故障,而是客戶端的錯誤設定。公開存取的 S3 資料桶、過度允許的 IAM 政策,以及前員工未撤銷的憑證,一直都是造成雲端安全事件的主要原因。ISO 27001 認證可為您的組織提供管治架構,以防止這些失敗。
當發生安全事故時 - 勒索軟體攻擊、資料外洩或服務中斷 - AWS 會保護自己的基礎架構。但是您的組織如何偵測事件、控制事件、通知受影響的各方,以及恢復作業,則完全由您自己的事件回應計畫和業務持續計畫所定義。ISO 27001 要求將這些計劃記錄在案、進行測試並定期更新。
這些計畫必須針對您的業務。您的核心系統的復原時間目標 (RTO) 是多少?誰是指定的事件回應主管?如果發生資料外洩,根據香港《個人資料(私隱)條例》(PDPO),您的通報程序是什麼?這些答案只能由貴公司提供,ISO 27001 稽核人員會驗證這些答案是否存在,以及在運作上是否可信。
香港金融管理局的「網絡復原能力評估架構」(C-RAF 2.0)、個人資料私隱專員公署根據《個人資料(私隱)條例》發出的指引,以及新的《關鍵基礎設施條例》都會直接評估貴機構的保安狀況。監管審查人員會要求您提供風險評估記錄、安全政策、內部稽核報告,以及管理審查的證據。雲端供應商驗證文件不能取代上述任何一項。
在澄清誤解之後,我們必須承認雲端服務供應商的 ISO 27001 認證並非毫無價值 - 其價值只是特定且有限制。
在建立您自己的 ISMS 時,您可以合法地參考雲端提供商的認證,作為供應商安 全評估的一部分 (ISO 27001 附件 A 第 5.19 項控制項的要求)。這可減少基礎架構層的盡職調查負擔,並讓您的風險評估專注於實際風險所在的應用程式和組織層。
此外,雲端供應商提供豐富的安全工具集,可直接支援 ISO 27001 技術控制:AWS CloudTrail 和 Azure Activity Log 用於稽核記錄、AWS GuardDuty 和 Microsoft Defender for Cloud 用於威脅偵測、AWS KMS 和 Azure Key Vault 用於加密金鑰管理,以及 AWS Config 和 Azure Policy 用於組態合規性監控。利用這些工具可以大幅加速 ISMS 的實施,並縮短取得認證的時間與成本。
在雲端環境中,範圍聲明必須明確指出哪些 AWS 帳戶和 Azure 訂閱屬於範圍、使用哪些區域和服務、處理哪些類別的資料,以及哪些法規要求適用 (例如 PDPO、C-RAF、關鍵基礎架構條例)。範圍定義是整個認證程序的基礎,最好在認可認證機構的指導下進行。
雲端環境的風險有別於傳統的內部基礎架構。您的風險評估必須針對配置錯誤風險、過度放任的存取控制、日誌記錄不足、協力廠商整合風險,以及資料居住地的考量。對於以香港為基地的組織而言,資料主權 - 確保香港居民的個人資料不會轉移到沒有足夠保護的司法管轄區 - 是必須評估和記錄的特定風險。
將雲端提供商的安全工具映射至 ISO 27001 附件 A 中的相關控制。對所有特權帳戶強制執行 MFA。加密靜止和傳輸中的資料。設定安全群組規則,以強制執行最低權限網路存取。設定異常活動的自動警示。記錄每項控制的實施,作為稽核的證據。
這是初次接觸 ISO 27001 的組織最常低估的層級,也是稽核人員最仔細審查的層級。它包括資訊安全政策、資產清單(必須包括所有雲端資源)、員工訓練記錄、供應商管理程序(涵蓋雲端供應商)、變更管理程序,以及內部稽核計畫。這些文件證明安全管理是有系統的組織規範,而不只是一組技術配置。
雲端運算改變了企業技術的經濟效益,但卻沒有轉移資訊安全責任的基本原則。您所持有的資料 - 您客戶的資料、您員工的資料、您的商業智慧 - 無論儲存於何處,都是您的責任。
AWS 和 Azure 的 ISO 27001 認證代表這些供應商對其本身基礎結構安全性的承諾。您公司的 ISO 27001 認證則代表您對客戶、合作夥伴以及監督行業的監管機構的承諾。在保安意識日漸提高的香港市場,兩者不能互相替代。
DQS HK 是全球領先的管理系統認證機構之一 DQS Group 的香港成員。我們的審核團隊在評估 AWS、Azure 和 Google Cloud 等雲原生和混合雲環境中的資訊安全管理系統方面擁有豐富的經驗。
在我們所做的每一項工作中,我們始終堅持最高的質量和專業標準。這不僅使我們的行動成為行業標杆,也成為我們不斷精進和堅守的使命。
