符合ISO/IEC 27001:2022的ISMS实施指南。范围、风险评估、附录A控制措施和内部审计。
ISO 27001规定了信息安全管理体系(ISMS)的要求。本指南将流程分解为具体步骤,帮助您的组织有序地实现合规。
确定哪些流程、地点和信息资产属于ISMS范围。范围定义不当是第一阶段审计中最常见的发现。
识别范围内资产的威胁和漏洞。使用可量化标准评估可能性和影响,并记录每个风险的处理方式。
列出附录A的93项控制措施,说明哪些适用、哪些不适用。SoA是认证审计中审查最多的文件。
部署选定的技术和组织控制措施。记录强制性政策(信息安全、可接受使用、访问控制)并附管理层批准证据。
至少完成一个完整的内部审计周期,覆盖所有条款(4-10)和适用控制措施。管理评审必须评估结果、指标和改进机会。
取决于范围和组织成熟度。对于流程部分文档化的中型组织,平均需要6到12个月。
不是。附录A是参考目录。只需实施风险分析和SoA确定为适用的控制措施。
2022版将附录A控制措施重组为4个类别(之前为14个),并新增11项控制措施,包括威胁情报和云安全。