ISO27017和ISO/IEC 27018？不，你可能搞混了——先厘清“ISO10028”根本不存在！

最近不少企业老板拿着“ISO10028”来问我们：“这个和ISO27017哪个更该做？”
我们一查标准号，心里咯噔一下：ISO/IEC 10028压根不是国际标准化组织发布的现行标准——它既不在ISO官网目录里，也不在IEC数据库中。大概率是口误、笔误，或是把ISO/IEC 27018（云隐私保护）、ISO/IEC 27017（云安全控制）或甚至ISO 9001的编号记串了。

别急，这事儿特别常见。咱们九蚂蚁服务过300+家做认证的企业，八成以上第一次咨询时都带着类似的“记忆偏差”。今天不绕弯子，直接帮你理清楚两个真正关键的标准：ISO/IEC 27017 和 ISO/IEC 27018，以及——企业质量手册到底该以谁为底座？

先说清楚：27017是“云环境下的安全操作指南”

ISO/IEC 27017 是ISO/IEC 27001在云计算场景的专项延伸，聚焦的是云服务提供商和云客户双方怎么协作管好安全——比如虚拟机隔离怎么验、共享责任模型怎么落地、API接口访问怎么审计。它不替代27001，而是给27001“加云插件”。

而27018，才是真正的“数据隐私守门员”

如果你业务涉及处理个人身份信息（比如SaaS平台存用户手机号、医疗云存病历），那ISO/IEC 27018就绕不开。它专门约束云服务商不得擅自使用、披露、跨境传输个人数据，连日志留存周期、匿名化要求都写得明明白白——GDPR合规的实操抓手，就藏在这里。

质量手册不是“选A or B”，而是“搭骨架+装模块”

很多老板以为质量手册要“二选一”，其实错了。主干一定是ISO 9001（质量管理体系）或ISO/IEC 27001（信息安全体系），它们是地基；27017/27018只是按需加载的功能模块。就像盖楼，先打混凝土框架（27001），再根据业务装智能安防（27017）或隐私加密门禁（27018）。

在九蚂蚁，我们帮客户做的从来不是套模板，而是先蹲点看你们用不用云、有没有处理个人信息、客户合同里有没有明确要求某项认证……再一起把手册“长”出来——有血有肉，拿去审核不卡壳，日常运行不打架。

真要办，别纠结编号，先想清楚：你的数据，正在哪片云上跑？