ISO 27001的控制措施：关于附录A的完整指南

信息安全是所有处理机密数据的组织的核心业务目标。由国际标准化组织制定的ISO 27001标准，是全球在保护信息、防止数据泄露方面的最权威标准。

ISO 27001标准基于一系列技术、程序以及管理方面的控制措施来运作。本文将介绍ISO 27001标准中的各项控制措施。请解释ISO框架所涵盖的各种控制类型。最后，探讨企业如何运用附录A中的控制措施来满足其安全需求。

总共有93项附录A中的控制措施。根据ISO 27001标准，这些控制措施被划分为14个领域或主题。 需要进行的检查次数会定期发生变化。 企业必须了解《附件A》的内容，以便实施符合要求的安保措施。

ISO 27001附录A中所规定的控制措施是什么？

附录A中的控制措施，是ISO 27001在构建信息安全管理体系时推荐采用的措施。总共有93项控制措施，而ISO 27001将这些控制措施分为14个领域或主题。这些控制措施的数量会定期发生变化。因此，企业必须及时了解附录A中的各项控制措施，以便能够实施符合要求的安保措施。

主要要点/核心内容

• ISO 27001是一个能够有效降低信息安全风险的动态框架。最新版本为ISO 27001:2022，该版本在2013年的版本基础上进行了多项改进。
• ISO 27001:2022的核心主题包括人员控制、组织控制、技术控制和物理控制。2022版版本更加注重对计划流程的关注，同时也更关注相关方的参与情况。此外，该标准还简化了推荐的控制措施清单。不过，这些控制措施仍然具有实用性，能够指导企业实现ISO标准的要求。
• 附件A是ISO控制体系的核心登记册。这份控制清单涵盖了14个领域。这些领域涵盖了重要的信息安全主题，包括技术安全、物理安全、环境安全、人员安全和操作安全等方面。此外，该清单还涉及了与供应商的关系处理、事件响应以及变更管理等内容。
• 各组织在实施ISO 27001标准时，应采取基于风险的方法。规划人员需要考虑企业的实际情况。他们应选择能够降低现实中的安全风险的控制措施，并对ISO 27001标准的实施情况进行审核，以确保其符合标准要求。

由ISO/IEC 27001:2022所引发的变更

在更深入地了解ISO 27001的控制措施之前，有必要先讨论一下附录A中最新版本的控制措施。ISO 27001:2022取代了ISO 27001:2013，因此，与ISO标准相关的要求也发生了一些细微的变化。

ISO 27001的2022版本并没有进行重大的修改。ISO 27001:2013中的许多内容仍然具有相关性。不过，即使只是轻微违反该标准的规定，也可能导致审核失败。下表列出了企业需要了解的主要变更内容：

控制次数

ISO 27001:2022将原有的56种控制措施整合为24种，同时增加了11种新的控制措施。这样一来，整体的控制措施数量从114种减少到了93种。

新的控制方式/机制

ISO 27001:2022增加了11种新的控制措施，符合该标准的组织必须实施这些控制措施。新增的管控领域包括：

• 威胁情报与持续的风险管理
• 云中的信息安全问题
• 通信系统的业务连续性保障
• 物理安全监控
• 管理配置
• 删除敏感数据
• 适当的数据掩蔽/匿名化处理
• 网络与内容过滤
• 采用安全的编码原则

领域或主题

ISO 27001:2022所涉及的“主题”与“领域”是不同的。现在共有四个主题，而不是之前的14个领域。这四个新主题是：人员管理、组织控制、技术控制以及物理控制。

感兴趣的相关方

第4.2条要求必须考虑“相关方”的需求。管理层在审查过程中，还必须考虑业务变化对相关方的期望产生的影响。

规划

新版ISO 27001标准更注重信息安全管理系统的规划工作。各组织必须记录并监控其“安全目标”。此外，他们还需要提供证据证明自己已经系统地规划了信息安全管理系统的相关变更。

沟通

当公司分配信息安全相关的职责时，必须向组织的所有部门传达这些决定。

ISO 27001中有多少项控制措施呢？

ISO 27001:2013包含了114项附录A中的控制措施。而ISO 27001:2022则列出了93项控制措施。

在2013版的ISO 27001标准中，控制措施被划分为14个类别。这些类别包括：

• 信息安全政策
• 组织信息安全工作
• 人力资源保障
• 管理资产
• 访问控制
• 密码学
• 环境与物理安全
• 运营安全
• 安全的通信方式
• 系统获取、开发与维护
• 第三方关系
• 处理信息安全事件
• 业务连续性管理
• 遵守相关法规
  
  

2022版的ISO 27001标准将这一列表简化为四个核心子组。这些子组包括：

• 人们
• 组织控制
• 技术控制措施
• 物理控制措施
  
  

这些新的分类群体比ISO 27001:2013中使用的分类范围要大。为了便于用户理解控制列表的内容，ISO规定了五种用于描述控制的“属性”。这些属性包括：

• 控制类型包括预防性控制、检测性控制以及纠正性控制。
• 信息安全方面的职责。包括确保数据的保密性、完整性以及可用性。
• 网络安全方面的角色。这包括识别并消除威胁、应对这些威胁，以及恢复数据。
• 操作功能包括资产管理和治理等相关问题。
• 安全领域包含诸如治理、信息安全管理体系防御以及提升系统韧性等核心主题。

ISO 27001附录A中规定的14种控制措施

大多数符合ISO标准的组织都遵循ISO:27001:2013所推荐的结构。这种结构仍然具有实用性，且将持续有效，直到2024年4月30日。新的框架同样遵循了之前所使用的领域划分方式。这14个核心领域仍然是识别合规要求的重要工具。

信息安全政策

附件A.5的目的是为企业在制定信息安全政策时提供指导。该指南包含了关于如何制定、实施以及审核信息安全政策的建议。

ISO 27001的该部分控制条款，有助于组织明确如何保护信息资产免受网络威胁的侵害。

信息安全的管理与组织

附件A.6中包含了关于在组织内部分配信息安全责任方面的七项控制措施。该部分内容属于27001框架的一部分，它确保了有具备相应能力的人来负责实施信息安全管理体系。

2013版的ISO 27001标准中包含两个与角色与职责相关的子章节。A.6.1节主要介绍了如何建立一个能够持续管理信息安全的框架。而A.6.2节则涉及远程工作以及移动设备的相关内容。

人力资源安全

附件A.7中的六项控制措施旨在促进安全管理的有效实施。这一子部分的核心目标是确保所有员工都清楚自己的安全责任。

附件A.7中的主题包括：

• 对新员工进行评估，以降低安全风险，并帮助他们了解相关的安全政策。
• 为新员工和现有员工提供安全意识培训。同时，明确告知员工应履行的职责。
• 不遵守安全政策的后果。
• 员工离职后的信息安全政策（确保离职时的信息安全）。

资产管理

附件A.8中包含了10种用于保护信息资产的安全措施。这一领域可以细分为三个子类别。

首先，A.8.1部分涉及信息的识别与整理。这些信息有助于组织在定位和追踪资产状态时做出决策。

A.8.2部分涉及对信息资产进行分类。分类方式是根据资产的潜在风险程度以及可能造成的危害来进行的。当资产具有合适的风险等级时，就更容易实施相应的控制措施了。

最后，A.8.3部分介绍了如何实施控制措施以保护信息资产。该部分还包含了关于确定谁有权访问数据以及信息共享政策的相关指导。

本小节中的指导内容还包括技术层面的漏洞管理。各组织必须确保数据传输的安全性，保护资产免受网络威胁的侵害，同时确保信息的妥善处理与安全性。

访问控制

附件A.9涉及对数据及其他资源的访问进行控制。本部分提供了关于如何确保授权用户能够合法访问这些资源的具体指导。同时，它还提出了如何拒绝其他人的访问请求的建议。

访问控制是一个包含14项措施的复杂体系。这些控制措施涉及到关键性的访问控制流程，具体包括：

• 为用户分配合适的认证信息/权限
• 尽量减少用户不需要的资源的使用机会。
• 确保访问凭据的安全存储
• 为所有应用程序制定正式的访问流程
• 记录访问管理系统的情况

密码学

A.10部分包含了两项与密码学相关的控制措施。这些控制措施有助于指导读者在将加密技术整合到信息安全管理系统中时的操作方式。

本部分的要求包括制定和维护加密相关政策。加密政策的制定应明确选择特定加密方式的原因。此外，这些政策还应包含对员工使用加密技术的安全使用指南。

管理加密密钥是A.10节中的另一个重要方面。这里的控制措施包括要求将密钥管理纳入事件恢复流程中。

物理安全与环境安全

附录A.11中的15项控制措施涉及物理信息的安全风险。ISO 27001建议，企业应当确保物理信息处理设施的安全性。所谓“安全”，指的是防止未经授权的访问。此外，还包括应对灾害风险、损坏以及物理盗窃等问题的措施。

在这一领域，物理安全和环境安全控制包括：

• 物理场所的访问政策
• 办公室及其他信息处理设施的安全性
• 防范自然灾害的防护措施（环境方面）