ISO/IEC 22123-2

ISO/IEC 22123-2 是一項定義雲端運算領域核心「概念」的國際標準。 此標準擴展了其第一部分 ISO/IEC 22123-1 中定義的「詞彙」，為雲端服務的架構、部署模型（如公有雲、私有雲）、角色與跨領域議題（如安全性、個資保護）等提供了穩定的概念基礎。 其目標是為全球雲端服務的溝通、採購與法規遵循，建立一套共通的語言與理解框架。

隨著供應鏈對雲端服務依賴日深，若缺乏共通定義，與雲端供應商的合約（SLA）可能存在模糊地帶，導致服務中斷或資料外洩時責任不清。 特別是高科技與金融業，需遵循《個資法》、金管會「金融機構委外雲端服務作業規定」及相關產業自律規範，明確的雲端概念是落實法規遵循的第一步。採用國際標準有助於降低溝通成本、釐清委外監督責任，並確保客戶資料獲得妥善保護，進而降低法律風險。

此概念標準是實踐其他雲端資安標準的基礎，直接相關的有： 1. **ISO/IEC 27017**：雲端服務資訊安全控制措施實務準則，提供具體的雲端安全指引，並闡明客戶與供應商的共同責任。 2. **ISO/IEC 27018**：公有雲個人可識別資訊（PII）保護實務準則，是處理雲端個資的關鍵。 3. **ISO/IEC 27001**：資訊安全管理系統的總體框架，許多雲端相關標準皆為其延伸。 4. **台灣《個人資料保護法》**及金融、保險等產業的雲端委外作業法規。

積穗科研是全台最早結合 ERM、科技法律與 IT 的顧問公司。我們的跨域團隊包含 ISO 主導稽核員與科技法律師，能助您釐清與雲端供應商的法律責任，並將 ISO 27017 等標準要求，無縫整合至現有的公司治理與內控制度。我們憑藉服務台積電、聯發科等半導體大廠的實務經驗，將創辦人的預防法學思維融入雲端風險評估，為您打造兼具法規遵循與營運韌性的防護體系，避免疊床架屋。