最近有位在乌兰巴托做SaaS本地化的朋友发消息问我:“JingJing,我们刚签了蒙古国一家银行的系统运维合同,客户突然问‘你们有没有ISO/IEC 27001认证’——这是硬性门槛吗?还是他们自己加的条件?”
我立刻翻出蒙古国政府官网、国家通信技术局(National Communications Regulatory Commission, NCRC)最新通告,又查了乌兰巴托几家律所2025年发布的合规简报,还跟一位常驻乌市的本地IT合规顾问通了语音——结果发现:蒙古国目前没有全国性、强制性的信息安全管理体系(Information Security Management System, ISMS)认证法律,但“不需要”不等于“没影响”。

这就像去超市买牛奶,包装上没写“必须冷藏”,可你放暖气片上三天,它照样会坏。真实的风险,藏在合同里、采购流程中、甚至银行尽调的Excel表格最后一栏。

🌐 背景很朴素:蒙古国的信息安全监管,还在“建章立制”的路上

蒙古国于2022年颁布《个人信息保护法》(Personal Data Protection Law),2024年1月起正式实施;同年,NCRC发布《关键信息基础设施(CII)识别指南(试行)》,首次将金融、能源、通信、医疗四类行业纳入重点监管视野。但截至目前(2026年3月),该国尚未出台任何关于ISO/IEC 27001或类似标准的强制认证法令,也没有设立国家级ISMS认证认可机构。

换句话说:
✅ 没有法律说“不做ISMS认证就不能注册公司”;
✅ 没有法规规定“所有IT服务商必须持证上岗”;
❌ 但——银行、保险公司、政府招标平台,在供应商准入条款中,普遍把ISO/IEC 27001证书列为“优先级条件”甚至“否决项”

我翻过蒙古国财政部2025年Q4发布的《电子政务项目供应商评估细则》,第7.2条白纸黑字写着:“具备经国际认可机构颁发的ISO/IEC 27001:2022认证者,技术评分加3分;无认证但能提供等效安全管理框架说明及内部审计报告者,可酌情赋分。”——注意这个“酌情”。

再举个真实例子:去年底,一家中国网络安全公司投标乌兰巴托智慧城市安防平台二期项目,因未提供ISMS认证,虽技术方案得分第一,仍被评标委员会以“风险控制能力未达基准线”为由落选。后来他们补做了认证,今年初已进入三期预审名单。

所以你看,不是法律逼你考,是市场和甲方,用采购规则悄悄划了一条线。

🔍 真实场景拆解:什么情况下,“要不要认证”根本不是选择题?

很多创业者一上来就问“需要吗”,其实更该先问:“我的业务正处在哪个环节?对接的是谁?签的是哪类合同?

我帮你列了三个高频场景,附上实际操作路径:

✅ 场景1:给蒙古国银行/保险公司做系统开发或运维

实质影响:高

  • 路径:需通过客户采购部的《第三方供应商信息安全尽职调查表》(通常含32项检查点,如访问权限管理、日志留存周期、漏洞响应SLA)
  • 要点清单:
    • 提供近6个月的渗透测试报告(须由蒙古国NCRC备案机构出具);
    • 出具书面承诺函,明确数据不出境(即使服务器在新加坡,也需签署本地数据托管补充协议);
    • 若已有ISO/IEC 27001证书,可直接提交;若无,则需逐项回应尽调表,并由蒙古国合作律所出具合规意见书(约$1,200–$2,500)。

✅ 场景2:向蒙古国中小企业卖标准化SaaS工具(如HR系统、进销存软件)

实质影响:中低,但正在快速上升

  • 路径:客户决策链短,CEO或IT主管拍板为主;但2025年起,乌兰巴托部分创业园区(如“Startup Valley”)已将ISMS作为入驻企业推荐资质。
  • 要点清单:
    • 可先提供《基础安全白皮书》(含加密方式、账号锁定策略、备份频率);
    • 在官网显著位置标注“符合GDPR原则”,比空谈“我们很安全”更有说服力;
    • 若客户反复追问认证,建议坦诚说明:“我们正按ISO/IEC 27001:2022框架搭建体系,预计Q3完成内审”,并附上时间表截图——真诚比证书更早建立信任。

✅ 场景3:仅在蒙古国租赁办公室、雇佣1–2名本地员工处理行政事务

实质影响:极低,暂无需认证

  • 路径:常规工商注册+劳动局备案即可;NCRC不要求小微实体提交ISMS材料。
  • 但请注意:若员工使用公司邮箱处理客户数据(哪怕只是Excel名单),即触发《个人信息保护法》第15条——你需制定内部数据处理规程,并向员工培训签字留痕。

❓ FAQ|跨境创业者最常问的3个硬核问题

Q1:蒙古国认哪些ISMS认证?只认ISO/IEC 27001吗?
A:目前官方未指定认证机构名录,但实践中接受以下三类:
① 由IAF(国际认可论坛)成员机构颁发的ISO/IEC 27001:2022证书(如SGS、TÜV Rheinland、BSI);
② 同等效力的国家级认证(如中国CNAS认可的CCRC信息安全服务资质,需附英文翻译及公证件);
③ 蒙古国本土认证试点——2025年11月起,NCRC联合乌兰巴托科技大学启动“本地ISMS评估员培养计划”,首批获颁资质的3家机构(MongolCert、InfoGuard MN、CyberTrust MN)所发证书,已在部分政府采购中试用。
📌 官方路径:登录NCRC官网 → “Regulations & Guidelines”栏目 → 下载《Third-Party Certification Acceptance Policy (v2.1, 2025)》PDF。

Q2:没时间/预算做全套认证,有没有“轻量级替代方案”?
A:有,且越来越主流。关键是“证明你在认真管安全”,而非“有没有一张纸”。建议三步走:
做一次基础差距分析(Gap Analysis):用ISO/IEC 27001 Annex A的93项控制目标自查(免费模板可在ISO官网下载);
落地3项高感知动作:启用双因素认证(2FA)、对客户数据加密存储(AES-256)、每月生成安全运行简报(含登录异常次数、补丁更新状态);
请蒙古国律师出一份《信息安全合规声明》(约$500–$800),说明你已建立符合《个人信息保护法》要求的基本防护机制。

小提醒:某杭州跨境电商服务商靠这套组合拳,去年拿下乌兰巴托一家连锁药房的ERP项目,客户反馈:“比有证但答不出细节的公司更让人放心。”

Q3:如果客户坚持要证书,但我们的认证还在进行中,能签合同吗?
A:可以,但务必注意合同措辞。我们见过太多因一句话埋雷的案例:
⚠️ 错误写法:“乙方保证在签约后6个月内取得ISO/IEC 27001认证。” → 构成单方承诺,逾期即违约;
✅ 正确写法:“乙方已启动ISO/IEC 27001:2022认证流程,预计于2026年Q3完成现场审核;认证期间,乙方将按附件《过渡期安全承诺书》履行全部控制措施。”
📌 关键动作:让蒙古国合作律所帮你起草这份附件,并列明每项措施的验证方式(如:每周导出防火墙日志供客户抽查)。

🧭 结论:别卷“要不要认证”,先理清“为什么需要信任”

在蒙古国做IT相关业务,信息安全不是一道考试题,而是一条信任链:
🔹 你的代码是否可靠?→ 客户要看你如何管权限、修漏洞;
🔹 你的数据是否安全?→ 监管要看你是否履行《个人信息保护法》第12–18条;
🔹 你的承诺是否可信?→ 市场最终会用订单投票。

所以,我的三条务实建议是:

  1. 先查客户类型:如果是金融机构、政府项目、大型国企,预留3–6个月启动认证;如果是中小民企,优先做好文档化安全管理(Policy + Record);
  2. 别孤军奋战:蒙古国NCRC官网提供英文版《ISMS Implementation Starter Kit》,免费下载;另推荐联系乌兰巴托的“Digital Trust Mongolia”非营利组织(官网:digitaltrust.mn),他们为初创企业提供免费1小时合规咨询;
  3. 把“安全”变成沟通语言:下次客户问“你们怎么保障数据安全”,别只说“我们有防火墙”,试试这样说:“我们按ISO/IEC 27001 Annex A第9条管控访问权限——比如您的管理员账号,登录需手机短信+邮箱验证码双因子,操作全程留痕,日志保存180天,您随时可申请导出审计。”

🤝 和我一起慢慢走稳跨境这一步

我是JingJing,在律咖网(Lvga.com)做跨境信息编辑和内容策划,不是律师,但这些年和蒙古国、日本、越南等地的本地律师、会计师、创业者聊过几百次,整理过上百份政策原文和实操案例。
如果你正卡在“蒙古国,信息安全管理体系,需要认证吗”这个问题上,或者已经拿到客户发来的几十页尽调表却不知从哪下手——欢迎加我微信 lvga2015(备注“蒙古国ISMS”),我们可以:
🔸 一起对照你的合同条款,圈出关键安全义务;
🔸 分享乌兰巴托律所常用的《供应商安全承诺书》中英双语模板;
🔸 把你遇到的具体困惑,放进我们的跨境创业交流群(目前487位同行在里头,有做矿产IT系统的、有运营蒙语直播平台的、也有刚租下苏赫巴托广场办公室的),大家碰碰经验。
我们不承诺“包过”“速成”,但保证:诚实、耐心、透明,陪你把复杂信息一点点理清楚。

🔸 泰国宪法法院受理选举选票合法性诉讼
🗞️ 来源: US News – 📅 2026-03-18
🔗 阅读原文

🔸 微软考虑就亚马逊500亿美元OpenAI云协议采取法律行动
🗞️ 来源: Financial Times – 📅 2026-03-18
🔗 阅读原文

📌 免责声明

请知悉:律咖网(Lvga.com)是跨境创业公开信息与内容分享平台,不提供法律、税务、会计或合规服务。 本文内容基于公开资料,并由人工编辑与 AI 工具协助整理,仅供信息参考之用,不构成任何法律、投资、移民或商业决策建议。 政策可能随时间变化,请以官方渠道与当地持牌专业人士意见为准。 如内容有需要修订之处,欢迎随时与我联系。