研究 · INV-03

ISO 27001 + ISO 42001融合：37个共享控制措施和40%的实施成本节约

Fernando Arrieta·2026年1月31日

ISO 27001ISO 42001集成融合

概述

关于本研究

对ISO 27001:2022附录A的93个控制措施与ISO 42001:2023附录A控制措施进行的完整交叉映射，识别出37个具有直接或功能重叠的控制措施，18个专用于AI管理的ISO 42001控制措施（无ISO 27001对应项），以及56个无需扩展即可覆盖AI风险的ISO 27001控制措施。已在ISO 27001下运行成熟SGSI的组织实施ISO 42001，与独立实施两个系统相比，预计可节省40%的文档工时、35%的内部审计工时和28%的外部认证成本。SGSI未覆盖的18个AI专有控制措施包括：AI系统清单（A.6.2.2）、AI影响评估（完整附录B）、自动化决策的人工监督（A.10.3）和模型生命周期管理（A.6.2.5）。提议的增量路线图将集成通过每个为期3个月的4个阶段进行划分，每个阶段都有可验证的里程碑和最低所需证据。

关键发现

研究发现

以研究中可验证的数据回答的核心问题。

有多少控制措施重叠？— 37个控制措施有直接或功能重叠。18个ISO 42001控制措施为AI专有。56个ISO 27001控制措施无需扩展。

集会产生什么节省？— 与单独实施两个系统相比，文档节省40%，内部审计节省35%，外部认证成本节省28%。

ISO 27001未覆盖哪些AI风险？— 18个专有控制措施，包括AI清单（A.6.2.2）、影响评估（附录B）、人工监督（A.10.3）和模型生命周期（A.6.2.5）。

方法论

研究方法

研究过程中执行的步骤、咨询的来源和收集的证据。

规范和理论框架: ISO/IEC 27001:2022（93个控制措施，附录A）；ISO/IEC 42001:2023（AIMS控制措施，附录A–D）；ISO 27005:2022（信息安全风险管理）；NIST AI RMF 1.0；ISO高层协调结构（HLS，附录SL）。

01两个附录A的逐项交叉映射：37个重叠，18个AI专有，56个无需扩展

0212家整合两个系统的试点组织的节省测量（文档40%，审计35%，认证28%）

03单一矩阵中的集成风险评估：信息安全威胁 + AI风险

04在3个不同部门的组织中验证4阶段路线图

可交付成果

可用的交付成果

包含本研究完整结果的文档，可适用于每个组织的具体情况。

ISO 27001 ↔ ISO 42001交叉映射矩阵 — 93 + 39个比较控制措施

集成路线图 — 4个阶段，12个月，每阶段证据

访问机密白皮书

申请获取研究 [INV-03] 的完整方法论包。仅供机构使用。

Tratamiento de datos confidencial según ISO/IEC 27001

补充研究

扩展或对比本研究发现的相关研究。

拉美地区的影子AI：73%的认证组织在无监管情况下运行AIINV-01 ISO 42001实践：仅28%的认证组织有效管理AIINV-02 拉美地区的ISO 27001：认证增长34%但实际成熟度仍然较低INV-05 ISO 27001认证系统 ISO 42001认证系统 AI 审计系统 AI 治理系统信息安全系统

传播

分享研究

帮助传播可验证的治理证据。

分享到 LinkedIn 分享到 X 通过邮件分享

这项研究适用于您的组织吗？

如果咨询具有机构性质并有相关背景，我们可以指导后续步骤。

开始对话查看所有研究

Cargando

Preparando la información solicitada…