标准简介
ISO/IEC 27001 是全球最知名的信息安全管理体系(ISMS)标准。由国际标准化组织(ISO)和国际电工委员会(IEC)发布,定义了 ISMS 必须满足的保护敏感信息的要求。
采用此标准表明组织致力于有效管理信息安全风险。它有助于保护资产,确保遵守法律义务,并在全球范围内与利益相关者和客户建立信任。
附录 A 控制措施
提供 93 项参考控制措施,涵盖组织、人员、物理和技术 4 大主题,系统地降低信息安全风险。
风险评估
强制要求正式的风险评估流程,用于识别威胁、脆弱性和影响,然后选择相称的控制措施。
持续监控
要求通过内部审计和管理评审对 ISMS 的绩效进行持续测量、分析和评价。
list_alt 关键控制主题
- 组织控制(策略、角色、资产管理)
- 人员控制(背景审查、意识培养、培训)
- 物理控制(边界、设备、介质)
- 技术控制(访问、密码学、日志记录)
- 风险评估与处置方法
- 适用性声明(SoA)
- 事件管理与业务连续性
谁需要合规?
任何处理敏感信息的组织,无论规模大小——尤其是技术公司、金融服务机构、医疗服务提供者和政府承包商。
关键要求
信息安全方针
建立并保持由最高管理者批准的信息安全方针,向所有员工传达,并向相关方公开。
风险评估与处置
实施可重复的风险评估流程。制定风险处置计划,并编制适用性声明,将选定的附录 A 控制措施映射到已识别的风险上。
访问控制
确保只有授权用户才能访问信息和系统。实施与业务需求相一致的身份管理、认证和访问权限分配。
事件响应
建立检测、报告、评估和响应信息安全事件的程序。从事件中吸取教训以防止再次发生。
内部审计计划
按计划的时间间隔开展内部审计,以验证 ISMS 是否符合要求并得到有效实施和保持。
实施路线图
准备工作、界定范围并获得领导层承诺
取得高层管理者的支持并任命 ISMS 负责人,随后通过识别涉及的业务部门、场所、信息资产以及法律或合同义务来界定 ISMS 范围。制定信息安全方针、目标以及运行该项目所需的资源。
开展风险评估与处置并编制 SoA
选择一套文档化的风险方法,识别并评价对保密性、完整性和可用性的风险,然后选择处置方案以及用于缓解风险的 Annex A 控制措施。编制适用性声明(SoA),说明为何纳入或排除 93 项控制措施中的每一项,并记录风险处置计划。
实施控制措施与 ISMS 文档
落实所选的组织、人员、物理和技术控制措施,并编写标准所要求的相关方针、程序和记录。开展意识培训,使员工理解其职责,让 ISMS 在实践中开始运行。
开展内部审核与管理评审
对照 ISO 27001 要求以及自身控制措施开展内部审核以发现不符合项,随后记录纠正措施。召开正式的管理评审,让领导层在外部评估之前评价 ISMS 绩效、资源和改进机会。
完成 Stage 1 与 Stage 2 认证并保持监督
由获得认可的认证机构先进行 Stage 1 文档评审,随后进行 Stage 2 现场评估以核查 ISMS 的有效性,在主要不符合项清除后即可获得认证。通过每年一次的监督审核以及每三年一次的完整再认证来维持证书。
合规检查清单
checklist Organizational controls
checklist People controls
checklist Physical controls
checklist Technological controls
ISO 27001 与 SOC 2 对比
两者都能向客户证明强健的信息安全,但在形式、治理和地域覆盖方面有所不同。
| Aspect | ISO 27001 | SOC 2 |
|---|---|---|
| 类型 | 针对正式标准的认证 | 针对控制措施的鉴证报告 |
| 管理机构 | ISO 及获得认可的认证机构 | AICPA,由持牌 CPA 事务所出具 |
| 地域覆盖 | 全球公认 | 以北美为中心,在美国客户中广泛使用 |
| 范围 | 涵盖风险管理和 Annex A 控制措施的完整 ISMS | 由组织选择的 Trust Services Criteria |
| 有效性 | 三年周期并每年进行监督审核 | 时点型(Type I)或时段型(Type II)报告 |
| 最适合 | 希望获得全球认可证书和结构化 ISMS 的组织 | 主要向美国企业客户提供保证的 SaaS 与服务提供商 |
| 如何重叠 | 控制措施高度映射,共享证据可同时支持两者 | 许多 SOC 2 准则与 Annex A 控制措施及 ISMS 实践相一致 |
常见误区
获得 ISO 27001 认证意味着我们的系统永远不会被攻破。
认证表明你拥有基于风险的管理体系和已就位的控制措施,而非免疫的保证。该标准旨在将风险管理到可接受的水平并持续改进,因此事件仍可能发生,并必须通过你的 ISMS 加以处理。
ISO 27001 纯粹是由安全团队负责的 IT 项目。
ISO 27001 是一套管理体系,需要领导层承诺、业务背景和全组织参与。有关领导、资源和意识的条款清楚表明,人力资源、法务、后勤和高层管理都有各自明确的角色。
必须实施 Annex A 中的每一项控制措施才能获得认证。
Annex A 是一个参考集,控制措施依据你的风险评估进行选择并记录在 SoA 中。无关的控制措施可在给出理由后排除,因此认证反映的是你的风险,而非固定的清单。
一旦认证,三年内就无需再做任何工作。
认证是一个持续循环的开始,而非终点。每年的监督审核、持续改进以及第三年的再认证都要求 ISMS 持续运行并随新风险不断演进。
处罚与执行
未通过认证不会带来直接法律处罚。但许多采购流程和法规(如 GDPR、NIS2)实际上要求 ISO 27001 或同等控制措施。失去认证可能导致组织无法参与合同竞标。
常见问题解答
什么是 Annex A,93 项控制措施在 2022 版中如何分组?
expand_more
Annex A 是组织用来处置风险时可参考的信息安全控制措施集合。2022 版修订将 Annex A 重构为 93 项控制措施,归入四大主题:组织(37)、人员(8)、物理(14)和技术(34)。这取代了 2013 版中使用的 14 个控制域,并对相互重叠的控制措施进行了整合。
什么是适用性声明(SoA),其中应包含哪些内容?
expand_more
SoA 是一份强制性文件,列出所有 Annex A 控制措施,并说明每一项是否适用,同时给出纳入或排除的理由。对于适用的控制措施,它记录其实施状态,并将其与风险处置计划关联起来。审核员将 SoA 视为 ISMS 的核心地图,并在认证过程中对其进行细致审查。
我应采用哪种风险评估方法:基于资产还是基于场景?
expand_more
ISO 27001 并未规定特定方法,只要求该方法文档化、一致且可重复。基于资产的方法枚举资产及针对每项资产的威胁,适合拥有清晰清单的组织;而基于场景的方法对可能的风险事件进行建模,可以更快且更贴近业务。许多组织将两者结合,只要结果能随时间进行比较,二者皆可接受。
与 2013 版相比,2022 版修订有哪些变化?
expand_more
2022 版修订将 Annex A 从 14 个域中的 114 项控制措施重构为 4 大主题下的 93 项控制措施,并新增了 11 项控制措施。新控制措施包括威胁情报、云服务的信息安全、数据泄露防护和安全编码,反映了现代云与威胁现状。控制措施还增加了属性以便标记和筛选,不过核心条款 4 至 10 仅有细微改动。
认证需要多长时间,大致成本如何?
expand_more
对许多中小型组织而言,从启动到获得认证大约需要六到十二个月,具体取决于范围、成熟度和资源投入。成本因组织规模和地区差异很大,通常包括内部投入、可选的咨询以及认证机构的审核费用。范围更大或更复杂会延长周期,并增加审核人日和成本。
ISO 27001 与 ISO 27002 有何区别?
expand_more
ISO 27001 是可认证的标准,规定了 ISMS 的要求,包括风险管理和强制性条款。ISO 27002 是一份指南文件,为 Annex A 控制措施提供详细的实施建议,但其本身不可认证。实践中,你依据 ISO 27001 获得认证,并将 ISO 27002 作为控制措施的操作参考。
我需要实施全部 93 项控制措施吗?
expand_more
不需要。Annex A 是一个参考集,你所采用的控制措施由风险评估和处置决策驱动。你可以排除与范围和风险无关的控制措施,但需在 SoA 中为每一项排除给出理由。你不能做的是忽视相关风险,审核员会对留下真实风险未处置的排除提出质疑。
Stage 1 和 Stage 2 审核是什么?
expand_more
Stage 1 是就绪性或文档评审,认证机构检查你的 ISMS 文档、范围和 SoA 是否到位以及是否已准备好继续。Stage 2 是主要评估,审核员通过证据和访谈评价控制措施是否已实施并有效运行。在清除任何主要不符合项后通过这两个阶段,即可获得认证。
监督审核和再认证审核多久进行一次?
expand_more
ISO 27001 认证以三年为一个周期运行。认证机构每年开展监督审核,通常在第一年和第二年进行,以确认 ISMS 持续有效。在证书于三年期末到期之前,会进行一次完整的再认证审核。
小公司能获得认证吗?
expand_more
可以。ISO 27001 是可伸缩的,初创公司和小团队经常成功获得认证,因为要求会按组织的规模、复杂度和风险相称地适用。小公司可以界定一个精简的范围,实施一套精简且相关的控制措施,并务实地记录其 ISMS。工作量较小,但相同的条款和审核阶段依然适用。
ISO 27001 与 SOC 2、GDPR 和 NIS2 有何关系?
expand_more
ISO 27001 是国际公认的 ISMS 认证,而 SOC 2 是北美的针对 Trust Services Criteria 的鉴证报告;两者有大量重叠,控制措施可以相互映射以减少重复工作。GDPR 是数据保护法律,NIS2 是网络安全指令,而运行良好的 ISMS 能提供它们所期望的大量治理和控制证据。不过,ISO 27001 认证本身并不能证明对 GDPR 或 NIS2 的法律合规。
什么是 ISMS 范围?
expand_more
ISMS 范围界定了管理体系所覆盖的边界,包括纳入其中的业务流程、场所、资产、人员和技术。它通过考虑内外部议题、相关方以及与其他组织的接口来确定。清晰且界限明确的范围能使项目保持可管理,并直接决定审核员将评估的内容。