3. 下列何種標準是針對雲端服務個人隱私資料的保護？
(A) ISO/IEC 27001
(B) ISO/IEC 27002
(C) ISO/IEC 27017
(D) ISO/IEC 27018

ISO/IEC 27002 是由國際標準化組織（ISO）及國際電工委員會（IEC）所發表的一個資訊安全標準，其標題為《資訊科技 - 安全技術 - 資訊安全管理作業法規》（Information technology – Security techniques – Code of practice for information security controls）。ISO/IEC 27002:2005 是由發表於西元 1990 年代中期的英國標準 BS7799 所延續發展而來。這個英國標準被 ISO/IEC 所採用，成為 ISO/IEC 17799:2000，並在西元 2005 年的時候有過更新。西元 2007 年時被重新編號以便與其他ISO/IEC 27000系列一致。ISO/IEC 27002 提供了一種最佳實踐方式用來初始化、實作、及管理的一套資訊安全系統。資訊安全的定義在C-I-A 三原則可找到。

“    所謂的 C-I-A 三原則是指必須保護C-機密性（確保只有被授權存取的使用者能存取資訊）、I-完整性（保護資訊與處理程序的準確性與完整性）、及A-可用性（確保被授權的使用者在他需要存取資訊的時候一定能存取得到）

這個標準包含以下十二個主要章節:

1.風險管理
2.安全政策 - 管理方向
3.資訊安全組織 - 資訊安全的管理
4.資產管理 - 資訊資產的清單與分類
5.人力資源安全 - 以安全的角度來看員工對於組織的任用、調職、及離職
6.實體於環境安全 - 電腦設備的保護
7.通訊與作業管理 - 安全控管技術於系統與網路的管理
8.存取控制 - 限制網路、系統、應用程式、功能、及資料的存取權限
9.資訊系統的取得、開發、與維護 - 將安全內建到應用程式中
10.資訊安全事故管理- 對於資訊危安的預防與反應對策
11.事業營運計畫 - 保護、管理、及復元企業重要的流程及系統
12.相容性 - 確保對於資訊安全的政策、標準、法律及規範的遵守

ISO/IEC 27018 概觀
國際標準組織 (ISO) 是獨立的非政府組織，以及全球最大的自願性國際標準開發者。 ISO/IEC 27000 標準系列可幫助各類型跟大小的組織保持資訊資產安全。

ISO 在 2014 年採用 ISO/IEC 27018:2014，此為 ISO/IEC 27001 的增補合約，並為雲端隱私權的第一個國際工作條例規定。 根據歐盟資料保護規定，它對作為個人識別資訊 (PII) 處理者的雲端服務提供者 (CSP) 提供特定指引，為保護 PII 評估風險和實作最先進的控制措施。

Microsoft 和 ISO/IEC 27018
Microsoft Azure 和 Azure 德國每年至少會稽核一次是否符合 ISO/IEC 27001 和 ISO/IEC 27018 的認證第三方認證機構。 此稽核會提供獨立的驗證，以確認適用的安全性控制措施已就緒且可有效運作。 稽核者身為合規性驗證程序之一部分，在適用聲明中確認 Microsoft 範圍內雲端服務和商業技術支援服務已合併 ISO/IEC 27018 控制，用來保護 Azure 中的 PII。 若要維持合規性，Microsoft 雲端服務必須每年接受第三方檢閱。

遵循 ISO/IEC 27001 的標準和 ISO/IEC 27018 中所含的實務程式代碼，Microsoft 示範其隱私策略和程式的健全性，並符合其高標準。

Microsoft 雲端服務的客戶知道其資料儲存的位置。 由於 ISO/IEC 27018 要求經認證的 CSP 通知客戶其資料可能儲存的國家/地區，因此 Microsoft 雲端服務客戶具有所需的可見度以遵循任何適用的資訊安全規則。
客戶資料不會沒有明確許可前即用來行銷或廣告。 某些 CSP 使用客戶資料做為其個別的商業目的，包括目標廣告。 由於 Microsoft 已針對其範圍內的企業雲端服務採用 ISO/IEC 27018，因此客戶可以放心地確保其數據在未經明確同意的情況下永遠不會用於這類用途，而且該同意不能是使用雲端服務的條件。
Microsoft 客戶知道其 PII 的現行狀況。 ISO/IEC 27018 需要允許在合理的期間內傳回、轉移和安全處置個人資訊的原則。 如果 Microsoft 與其他需要存取客戶資料的公司合作，Microsoft 會主動地公開這些子處理者的身分識別。
Microsoft 僅遵循具有法律約束力之客戶資料公開的要求。 如果 Microsoft 必須遵守這類要求， (如) 的犯罪調查案例，除非法律禁止客戶這麼做，否則一律會通知客戶。