属于我们的Compliance & Regulation系列
阅读完整指南ISO 27001 实施:信息安全管理体系
ISO 27001 是全球最广泛认可的信息安全管理标准,全球已有超过 70,000 个组织获得了认证。与 GDPR 或 PCI DSS 等规定性法规不同,ISO 27001 为系统信息安全管理提供基于风险的框架,适用于任何规模、行业或地理位置的组织。有效的 ISO 27001 认证向客户、合作伙伴、监管机构和保险公司发出信号,表明您的组织通过结构化、经过审核且持续改进的管理体系来管理信息安全风险。
当前版本是 ISO/IEC 27001:2022,于 2022 年 10 月发布,取代了 ISO/IEC 27001:2013。获得 2013 年认证的组织必须在 2025 年 10 月 31 日之前过渡到 2022 年版本。所有新认证均于 2022 年颁发。
要点
- ISO 27001:2022 将附件 A 控制措施从 114 项减少到 93 项,重组为四个主题:组织 (37)、人员 (8)、物理 (14)、技术 (34)
- 新的 2022 年控制措施包括:威胁情报、业务连续性的 ICT 准备、物理安全监控、安全编码、Web 过滤、DLP 和数据脱敏
- ISMS(信息安全管理体系)必须由经认可的认证机构界定范围、记录、风险评估和认证
- 认证要求:第 1 阶段(文件审查)和第 2 阶段(实施审核)——从准备就绪到获得认证通常需要 3-6 个月
- 持续改进是强制性的:季度内部审核、年度管理审查、三年认证周期和年度监督审核
- 适用性声明 (SoA) 是将您的风险处理决策与附件 A 控制措施联系起来的关键文件
- 欧盟公共采购、企业销售和保险承保越来越需要 ISO 27001 认证
ISO 27001 框架结构
ISO 27001:2022 遵循高层结构 (HLS) — 所有 ISO 管理体系标准(ISO 9001、ISO 14001、ISO 22301 等)共享的通用框架。这使得组织能够同时实施多个 ISO 标准的集成管理系统。
主要条款 (4-10) — 强制性要求:
| 条款 | 主题 |
|---|---|
| 4. 组织背景 | 了解内部/外部背景、利益相关方、范围 |
| 5.领导力 | 高层管理人员承诺、ISMS 政策、角色和职责 |
| 6. 规划 | 风险评估、风险处理、适用性声明、目标 |
| 7. 支持 | 资源、能力、意识、沟通、文件化信息 |
| 8. 操作 | 风险处理实施、运营规划和控制 |
| 9.绩效评估 | 监控、测量、内部审计、管理评审 |
| 10. 改进 | 不合格、纠正措施、持续改进 |
附件 A — 参考控制目标: 跨越四个主题的 93 项控制措施代表了最佳实践安全控制措施。 SoA 确定哪些附件 A 控制措施适用于您的 ISMS 范围。
步骤 1 — 定义 ISMS 范围
范围定义了 ISMS 的边界——包含什么和排除什么。范围决策从根本上影响认证的成本和复杂性。
范围定义注意事项:
- 地理边界:特定办公室、数据中心、远程工作人员
- 组织边界:特定业务单位、部门或子公司
- 范围内的信息资产:特定系统、数据集、流程
- 与范围外系统和第三方的接口
常见的范围界定方法:
范围狭窄:仅涵盖与特定客户群或产品直接相关的系统和流程。认证速度更快、成本更低,但对客户的保证价值有限。
广泛范围:覆盖整个组织。保证最大,但实施成本最高。
云托管服务范围:对于 SaaS 公司,范围通常涵盖支持服务的云基础设施、应用程序代码和操作流程 - 利用云提供商 SOC 2/ISO 27001 认证进行物理和基础设施控制。
范围必须记录并包含在认证文件中。审核员将测试范围边界内的控制,并验证与范围外元素的接口。
步骤 2 — 信息安全风险评估
风险评估(第 6.1.2 条)是 ISO 27001 的方法基础。该标准要求记录风险评估流程:
- 建立并应用信息安全风险评估流程
- 识别与 ISMS 范围内信息的机密性、完整性和可用性丧失相关的风险
- 风险分析与评估
基于资产的风险评估方法:
- 资产清单:列出范围内的所有信息资产(系统、数据库、物理文档、人员、流程、第三方服务)
- 威胁识别:针对每项资产,识别潜在威胁(外部攻击、内部威胁、意外删除、硬件故障、自然灾害等)
- 漏洞识别:识别可能被威胁利用的漏洞(未修补的软件、弱密码、缺乏访问控制等)
- 影响评估:对于每种威胁/漏洞组合,使用定义的等级(例如 1-5)评估对机密性、完整性和可用性的潜在影响
- 可能性评估:使用定义的范围评估威胁利用漏洞的概率
- 风险评级:计算风险=影响×可能性。建立风险接受标准(例如,超过一定分数的风险需要治疗)
风险登记册格式:
| 资产 | 威胁 | 漏洞 | 影响 | 可能性 | 风险评分 | 治疗 |
|---|---|---|---|---|---|---|
| 客户数据库 | SQL注入 | 未经验证的输入 | 5 | 3 | 15 | 15缓解(WAF + 输入验证) |
| 员工笔记本电脑 | 盗窃 | 无磁盘加密 | 4 | 2 | 8 | 缓解(全盘加密) |
| 生产服务器 | 勒索软件 | 没有离线备份 | 5 | 2 | 10 | 10缓解(离线备份+EDR) |
步骤 3 — 风险处理计划和适用性声明
对于高于可接受阈值的每个风险,选择一个风险处理选项:
- 缓解:实施安全控制以降低风险
- 接受:记录风险接受情况(通常针对低影响、低可能性的风险)
- 转移:将风险转移给第三方(保险、外包)
- 避免:停止产生风险的活动
适用性声明 (SoA):中央合规性文件。对于 93 项附件 A 控制中的每一项,SoA 记录:
- 控制措施是否适用于您的范围
- 目前是否已实施
- 纳入或排除的理由
SoA 是审计师最仔细审查的内容。每一项排除都必须有正当理由——而且有令人信服的正当理由。常见的合法排除:纯云组织的物理安全控制(由云提供商管理的数据中心)、供应商管理控制(如果不存在重要的第三方关系)。
步骤 4 — 实施附录 A 控制措施
ISO 27001:2022 附录 A 将 93 项控制措施分为四个主题。技术导向型组织的关键控制:
组织控制(37 个控制)
主要控制包括:
- 5.1 信息安全政策:记录、批准、传达的安全政策和特定主题的政策
- 5.2 信息安全角色和职责:定义 CISO/安全官角色;记录的安全责任
- 5.7 威胁情报(2022 年新增):收集和分析与组织相关的威胁情报
- 5.9 信息和其他相关资产清单:拥有所有权的维护资产清单
- 5.15访问控制:访问控制策略;最低特权;正式的访问管理程序
- 5.16 身份管理:完整的身份生命周期管理(配置、修改、取消配置)
- 5.17 认证信息:密码/认证凭证管理政策和程序
- 5.20 解决供应商协议中的安全问题:与供应商和合作伙伴签订的合同中的安全要求
- 5.23 使用云服务的信息安全(2022 年新增):云安全策略、云服务选择、监控
人员控制(8 个控制)
- 6.1 筛选:就业前和就业期间的背景调查
- 6.2 雇佣条款和条件:雇佣合同中与安全相关的条款
- 6.3 信息安全意识、教育和培训:年度培训计划、针对特定角色的培训、网络钓鱼模拟
- 6.4 纪律程序:违反安全政策的正式程序
- 6.6 保密或保密协议:与员工和承包商的保密协议
物理控制(14 个控制)
- 7.1 物理安全边界:定义的安全边界;安全区域的访问控制
- 7.4 物理安全监控(2022 年新增):CCTV、入侵检测、访问日志
- 7.7 干净的桌面和清晰的屏幕:政策和实施;屏幕锁;一天结束时清理办公桌
- 7.10存储介质:可移动介质的管理;安全处置
技术控制(34 个控制)
- 8.2 特权访问权限:特权帐户管理;即时访问;特权会话监控
- 8.4 访问源代码:限制访问源代码;代码审查要求
- 8.5 安全身份验证:MFA;安全认证协议
- 8.7 防范恶意软件:所有端点上的反恶意软件;邮件和网页过滤
- 8.8技术漏洞管理:漏洞扫描;修补 SLA;渗透测试
- 8.9 配置管理(2022 年新增):记录的安全基线;配置管理流程
- 8.10 信息删除(2022 年新增):不再需要时安全删除
- 8.11 数据屏蔽(2022 年新增):在非生产环境中屏蔽敏感数据
- 8.12 数据泄露防护(2022 年新增):用于防止未经授权的数据泄露的 DLP 工具
- 8.15 日志记录:全面的审计日志记录;日志保护;日志审核
- 8.16 监控活动(2022 年新增):网络和系统监控; SIEM
- 8.23 Web 过滤(2022 年新增):Web 内容过滤以防止恶意内容
- 8.25 安全开发生命周期:安全 SDLC 政策;开发中的安全需求;代码审查; SAST/DAST
- 8.26 应用程序安全要求:新的和增强的应用程序的安全要求定义
- 8.27 安全系统架构和工程原理(2022 年新增):设计安全;纵深防御
- 8.28 安全编码(2022 年新增):安全编码标准;代码审查;静态分析
- 8.29 开发和验收中的安全测试:安全测试作为 SDLC 的一部分;上线前渗透测试
- 8.34 审计测试期间保护信息系统:协调审计活动以尽量减少干扰
步骤 5 — 文件和记录
ISO 27001 需要特定的文件化信息(政策和记录)。最小文档集:
强制性文件:
- ISMS 范围文件
- 信息安全政策
- 信息安全风险评估方法
- 风险登记册和风险处理计划
- 适用性声明
- 内部审计计划和报告
- 管理评审记录
- 培训和意识记录
推荐的特定主题政策:
- 访问控制策略
- 可接受的使用政策
- 资产管理政策
- 业务连续性和灾难恢复政策
- 改变管理政策
- 密码学和密钥管理政策
- 事件响应政策
- 远程工作政策
- 供应商安全政策
- 漏洞管理政策
步骤 6 — 内部审计计划
第 9.2 条要求按计划的时间间隔进行内部审核计划,涵盖所有 ISMS 要求和附件 A 控制措施。内部审计师必须有能力且客观(不审计自己的工作)。
内部审计方法:
- 年度内部审计计划,涵盖规定周期内的所有 ISMS 条款和所有适用的附录 A 控制措施
- 基于风险的抽样:在高风险区域更频繁地进行测试
- 文件证据收集和不合格记录
- 向管理层报告;跟踪纠正措施直至关闭
内部审核员应获得可信度认证(ISO 27001 首席审核员或内部审核员培训)。许多组织使用第二部门方法(IT 审计安全、安全审计 IT)或聘请外部公司以保持客观性。
步骤 7 — 管理审查
第 9.3 条要求最高管理层按计划的时间间隔(通常每年)审查 ISMS。管理评审必须涵盖:
- 先前审查的行动状态
- 与 ISMS 相关的外部和内部问题的变化
- ISMS 绩效反馈(安全事件、审计结果、监控、KPI)
- 相关方的反馈
- 风险评估结果和风险处理计划状态
- 持续改进的机会
管理评审输出:关于持续改进机会、ISMS 变更、资源需求的决策。
认证流程
选择认证机构:必须获得国家认证机构的认可(英国UKAS、德国DAkkS、美国ANAB、澳大利亚/新西兰JAS-ANZ)。查看 IAF 认可情况以获取全球认可。
第 1 阶段审核(文档审核):审核员审核您的 ISMS 文档 - 范围、SoA、风险评估、策略 - 以确认第 2 阶段的准备情况。通常需要 1-2 天。输出:第二阶段之前需要解决的发现/差距列表。
差距补救:解决第一阶段的调查结果。可能需要 4-8 周,具体取决于发现的差距。
第二阶段审核(实施审核):对实际 ISMS 实施情况进行现场(或远程)审核。审核员测试控制、采访员工、审查证据记录。通常需要 3-10 个审核日,具体取决于范围和组织规模。必须解决不符合项(主要或次要)。
认证决定:认证机构颁发ISO 27001:2022证书,有效期3年。证书包括范围声明。
监督审核:证书周期第一年和第二年的年度监督审核(比认证审核更轻松)。第 3 年的重新认证审核涵盖完整的 ISMS。
ISO 27001 实施清单
- ISMS 范围已定义并记录
- 信息安全政策经最高管理层批准
- 记录并应用风险评估方法
- 风险登记册包含所有重大风险的风险评级
- 针对所有不可接受的风险制定风险处理计划
- 完成所有 93 项附件 A 控制措施的适用性声明
- 实施所有适用的附录 A 控制措施
- 完整的文件集(政策、程序、记录)
- 制定内部审计计划并完成第一次审计
- 从内部审计跟踪到结束的纠正措施
- 管理评审已完成并有记录
- 员工安全意识培训已完成并记录在案
- 选择认可的认证机构并安排第一阶段审核
- 解决第一阶段的调查结果
- 第二阶段认证审核已完成
常见问题
ISO 27001 实施需要多长时间?
对于从合理的安全基线开始的中型科技公司来说,实施从启动到获得认证通常需要 6-12 个月的时间。具有成熟安全实践的组织可能会在 4-6 个月内获得认证。范围复杂、地点多个或大量遗留文档的大型企业可能需要 12-18 个月的时间。时间表的关键驱动因素:范围复杂性、现有文档成熟度、资源可用性和认证机构调度。
ISO 27001 和 ISO 27002 有什么区别?
ISO 27001 是组织获得认证所依据的管理体系标准,它规定了建立、实施、维护和改进 ISMS 的要求。 ISO 27002 是一份指导文件,提供有关实施 93 项附录 A 控制措施的最佳实践建议。 ISO 27001 附录 A 包含控制措施(规范); ISO 27002 解释了如何实施它们(提供信息)。要求获得 ISO 27001 认证; ISO 27002 是实施手册。您无法获得“ISO 27002 认证”——仅存在 ISO 27001 认证。
我们能否仅让我们组织的一部分获得 ISO 27001 认证?
是的 — ISO 27001 允许将范围限定到特定服务、产品线、部门或地点。 SaaS 公司可能会将其 ISO 27001 认证范围涵盖其云托管产品平台,不包括后台人力资源和财务系统。认证证书将指定范围,客户和审核员了解控制措施适用于规定的范围边界。范围狭窄意味着认证速度更快、成本更低,但对于希望整个组织充满信心的客户来说,提供的保证较少。
ISO 27001 与 SOC 2 有何不同?
两者都解决信息安全问题,但来自不同的框架和受众。 ISO 27001 是一项国际管理体系标准,可颁发三年期证书;审核由认可的认证机构进行;在欧洲、亚太、中东采购中得到广泛认可。 SOC 2 是源自美国的认证框架,可生成由客户审核员审核的报告(I 类或 II 类);它侧重于信任服务标准;它主要是美国企业买家的需求。这些控制措施大量重叠。许多组织同时追求这两种标准:针对美国企业销售的 SOC 2,针对国际和政府采购的 ISO 27001。
与 2013 年相比,ISO 27001:2022 有哪些主要变化?
主要变化:(1)附件A从14个类别/114个控制项重组为4个主题/93个控制项; (2)新增11项控制措施:威胁情报、业务连续性ICT准备、物理安全监控、配置管理、信息删除、数据脱敏、数据泄露防护、监控活动、网页过滤、安全编码、云服务信息安全; (3) 未删除任何控制——对现有控制进行了合并和重组; (4) 第 6.3 条添加了针对托管 ISMS 变更的“变更计划”; (5) 为了清晰起见,全文更新了措辞。基本管理体系结构(第 4-10 条)基本没有变化。
ISO 27001 认证费用是多少?
总成本因组织规模和范围而异: 认证机构审核费用:8,000 美元至 50,000 美元以上,具体取决于范围和审核天数;咨询(可选):30,000 美元至 150,000 美元用于协助实施;内部员工时间:200-1,000+小时用于实施和文档编制;工具(GRC 平台、漏洞扫描、SIEM):10,000 美元至 100,000 美元/年;年度监督审核:大约为第二阶段成本的 30-50%。范围狭窄的小型组织可以获得总计 40,000 至 80,000 美元的认证。中型组织通常在第一个认证周期投资 100,000 至 300,000 美元。
后续步骤
ISO 27001 认证是一项战略投资,可通过增强客户信任、加速企业销售、降低网络保险费和结构化安全改进来获得回报。对于科技公司来说,实施 ISO 27001 和 SOC 2 可以全面覆盖全球企业买家的安全要求。
ECOSIRE 的团队在跨云环境、应用程序安全和托管服务交付方面拥有技术控制实施方面的专业知识,帮助技术公司实施符合 ISO 27001 的安全管理计划。
开始使用:ECOSIRE 服务
免责声明:本指南仅供参考。 ISO 27001 认证要求应由认可的认证机构确认。具体实施要求因组织规模、范围和行业而异。
作者
ECOSIRE Research and Development Team
在 ECOSIRE 构建企业级数字产品。分享关于 Odoo 集成、电商自动化和 AI 驱动商业解决方案的洞见。
相关文章
Case Study: Manufacturing ERP Implementation with Odoo 19
How a Pakistani auto-parts manufacturer cut order processing time by 68% and reduced inventory variance to under 2% with ECOSIRE's Odoo 19 implementation.
Agricultural ERP Implementation: Field to Market Integration
Step-by-step agricultural ERP implementation guide covering field management setup, precision agriculture integration, food safety compliance, and harvest logistics.
Automotive ERP Implementation: Dealer, OEM, and Aftermarket
Step-by-step automotive ERP implementation guide covering dealer operations, OEM manufacturing integration, aftermarket distribution, and parts management configuration.
更多来自Compliance & Regulation
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Healthcare Accounting: Compliance and Financial Management
Complete guide to healthcare accounting covering HIPAA financial compliance, contractual adjustments, charity care, cost report preparation, and revenue cycle management.
India GST Compliance for Digital Businesses
Complete India GST compliance guide for digital businesses covering registration, GSTIN, rates, input tax credits, e-invoicing, GSTR returns, and TDS/TCS provisions.
Fund Accounting for Nonprofits: Best Practices
Master nonprofit fund accounting with net asset classifications, grant tracking, Form 990 preparation, functional expense allocation, and audit readiness best practices.