ISO/IEC 27001:2022是信息安全管理体系的国际标准,为组织建立、实施、维护和持续改进信息安全管理提供系统化框架。2022版更新了附录A的控制措施,与ISO/IEC 27002:2022保持一致,采用更加结构化的控制分类(组织、人员、物理、技术四大类)。标准要求组织基于风险评估方法,识别信息安全风险,选择适当的控制措施,形成信息安全风险处置计划。核心内容包括信息安全方针、组织角色职责、风险评估、风险处置、安全控制实施、运行管理、绩效评价及持续改进。该标准适用于所有类型和规模的组织,通过认证可证明组织具备保护信息资产的系统能力,有效应对网络威胁和数据泄露风险,满足客户、合作伙伴和监管机构的信息安全要求,增强利益相关方信心。
ISO/IEC 27001:2022 信息安全管理体系
ISO/IEC 27001:2022是信息安全管理体系的国际标准,为组织建立、实施、维护和持续改进信息安全管理提供系统化框架。2022版更新了附录A的控制措施,与ISO/IEC 27002:2022保持一致,采用更加结构化的控制分类(组织、人员、物理、技术四大类)。标准要求组织基于风险评估方法,识别信息安全风险,选择适用的信息安全控制措施。
标准信息
国际标准
ISO/IEC 27001:2022
国家标准
GB/T 22080-2025
标准名称
Information security, cybersecurity and privacy protection — Information security management systems — Requirements
标准名称
信息安全管理体系 要求
发布机构
ISO/IEC 国际标准化组织与国际电工委员会
发布机构
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会
发布日期
2022 年 10 月
发布日期
2025 年 6 月 30 日
标准简介
标准目的
- 保护信息资产识别并保护组织各类信息资产(数据、系统、硬件、文档),防止信息泄露、篡改、丢失,保障信息资产的保密性、完整性和可用性
- 合规信息要求确保组织信息安全管理活动符合国家网络安全、数据安全相关法律法规及行业规范,规避信息合规风险
- 防范安全威胁建立信息安全风险管控机制,防范网络攻击、恶意入侵、内部泄露等各类信息安全威胁,降低安全事件发生率
- 提升信任水平通过体系认证彰显组织信息安全管理能力,提升客户、合作伙伴及利益相关方对组织信息安全的信任度
- 规范安全管理统一信息安全管理流程与标准,明确各部门信息安全职责,提升全员信息安全意识,实现信息安全标准化管理
适用范围
- 行业覆盖适用于所有类型和规模的组织,涵盖互联网、金融、医疗、教育、制造业、政府机构等需保护信息资产的全行业
- 规模覆盖适配小微企业、中小企业、大型集团、跨国企业等不同规模组织,可根据信息资产重要程度灵活调整管控措施
- 场景覆盖涵盖信息系统运维、数据采集与存储、网络通信、员工办公、客户信息管理、应急响应等全信息活动场景
- 管理覆盖覆盖信息安全方针制定、风险评估、控制措施实施、绩效监测、内部审核、持续改进等全管理环节
- 认证覆盖支持单一站点、多站点、集团化等不同组织架构的认证模式,满足总部与分支机构信息安全一体化管理需求
核心要素
管理控制
核心维度覆盖占比
人工智能(AI)定义
人工智能(AI)定义
人工智能的三大核心要素
三大要素能力图
信息安全核心:CIA 三要素
核心概念定义
IT服务管理三要素
IT服务管理过程
CS能力评估等级体系
服务类型细分
部署模式细分
全等级综合对比
能力维度雷达对比
ITSS咨询设计核心说明
标准内容
- 0 引言
- 1 范围
- 2 规范性引用文件
- 3 术语和定义
-
- 5.1 领导作用与承诺
- 5.2 信息安全方针
- 5.3 组织的岗位、职责和权限
-
-
- 6.1.1 总则
- 6.1.2 信息安全风险评估
- 6.1.3 信息安全风险处置
- 6.2 信息安全目标及其实现的策划
-
-
- 7.1 资源
- 7.2 能力
- 7.3 意识
- 7.4 沟通
- 7.5 形成文件的信息
-
- 8.1 运行的策划和控制
- 8.2 信息安全风险评估
- 8.3 信息安全风险处置
-
- 9.1 监视、测量、分析和评价
- 9.2 内部审核
- 9.3 管理评审
-
- 10.1 总则
- 10.2 不符合和纠正措施
- 10.3 持续改进
-
-
- 附录A.5.1 信息安全策略
- 附录A.5.2 信息安全角色和职责
- 附录A.5.3 职责分离
- 附录A.5.4 管理职责
- 附录A.5.5 与职能机构的联系
- 附录A.5.6 与特殊利益集团的联系
- 附录A.5.7 威胁情报
- 附录A.5.8 项目管理中的信息安全
- 附录A.5.9 信息和其他相关资产清单
- 附录A.5.10 信息和其他相关资产的可接受使用
- 附录A.5.11 资产归还
- 附录A.5.12 信息分级
- 附录A.5.13 信息的标记
- 附录A.5.14 信息传输
- 附录A.5.15 访问控制
- 附录A.5.16 身份管理
- 附录A.5.17 身份验证信息
- 附录A.5.18 访问权限
- 附录A.5.19 供应商关系中的信息安全
- 附录A.5.20 用供应商协议应对信息安全控制
- 附录A.5.21 在ICT供应链中管理信息安全
- 附录A.5.22 供应商服务的监视、评审和变更管理
- 附录A.5.23 云服务使用中的信息安全
- 附录A.5.24 信息安全事件管理的策划和准备
- 附录A.5.25 信息安全事态的评估和决策
- 附录A.5.26 信息安全事件的响应
- 附录A.5.27 从信息安全事件中学习
- 附录A.5.28 证据的收集
- 附录A.5.29 中断期间的信息安全
- 附录A.5.30 业务连续性的ICT准备
- 附录A.5.31 法律、法规、监管和合同的要求
- 附录A.5.32 知识产权
- 附录A.5.33 记录的保护
- 附录A.5.34 个人可识别信息(PII)的隐私与保护
- 附录A.5.35 信息安全的独立评审
- 附录A.5.36 信息安全策略、规则和标准的符合性
- 附录A.5.37 形成文件的操作程序
-
- 附录A.6.1 筛选
- 附录A.6.2 任用条款及条件
- 附录A.6.3 信息安全意识、教育和培训
- 附录A.6.4 违规处理过程
- 附录A.6.5 任用终止或变更后的责任
- 附录A.6.6 保密或不披露协议
- 附录A.6.7 远程工作
- 附录A.6.8 信息安全事态的报告
-
- 附录A.7.1 物理安全边界
- 附录A.7.2 物理入口
- 附录A.7.3 办公室、房间和设施的保护
- 附录A.7.4 物理安全的监视
- 附录A.7.5 物理和环境威胁的防护
- 附录A.7.6 在安全区域工作
- 附录A.7.7 清理桌面和屏幕
- 附录A.7.8 设备安置和保护
- 附录A.7.9 场所外资产的安全
- 附录A.7.10 存储介质
- 附录A.7.11 支持性设施
- 附录A.7.12 布缆安全
- 附录A.7.13 设备维护
- 附录A.7.14 设备的安全处置或再利用
-
- 附录A.8.1 用户终端设备
- 附录A.8.2 特许访问权
- 附录A.8.3 信息访问限制
- 附录A.8.4 源代码的访问
- 附录A.8.5 安全身份验证
- 附录A.8.6 容量管理
- 附录A.8.7 恶意软件的防范
- 附录A.8.8 技术脆弱性的管理
- 附录A.8.9 配置管理
- 附录A.8.10 信息删除
- 附录A.8.11 数据屏蔽
- 附录A.8.12 数据泄漏的预防
- 附录A.8.13 信息备份
- 附录A.8.14 信息处理设施的冗余
- 附录A.8.15 日志
- 附录A.8.16 监视活动
- 附录A.8.17 时钟同步
- 附录A.8.18 特权实用程序的使用
- 附录A.8.19 运行系统上的软件安装
- 附录A.8.20 网络安全
- 附录A.8.21 网络服务的安全
- 附录A.8.22 网络隔离
- 附录A.8.23 Web过滤
- 附录A.8.24 密码技术的使用
- 附录A.8.25 安全的开发生命周期
- 附录A.8.26 应用的安全要求
- 附录A.8.27 安全系统架构和工程原则
- 附录A.8.28 安全编码
- 附录A.8.29 开发和验收中的安全测试
- 附录A.8.30 外包开发
- 附录A.8.31 开发、测试和生产环境的分离
- 附录A.8.32 变更管理
- 附录A.8.33 测试信息
- 附录A.8.34 审计测试期间的信息系统保护
-
体系运行过程模型
| 阶段 | ISO27001中的定义 | 在标准中的核心映射 |
|---|---|---|
| P (策划) | 识别信息资产和风险,明确安全目标、适用控制和治理策略。 | 第4章、5章、6章(上下文、领导作用、风险策划) |
| D (实施) | 落地安全控制、职责分工、运行流程与监控机制。 | 第7章、8章(支持与运行)及控制域实施 |
| C (检查) | 通过监控、审计、评审验证控制有效性并识别差距。 | 第9章(监视测量、内审、管理评审) |
| A (处置) | 处理安全事件和不符合,更新风险评估与控制措施。 | 第10章(不符合、纠正和持续改进) |
ISO27001 标准解读
- ISO/IEC 27001:2022 认证标准解读 5.1 领导作用与承诺2026-04-17
- ISO/IEC 27001:2022 认证标准解读 4.4 信息安全管理体系2026-04-16
- ISO/IEC 27001:2022 认证标准解读 4.3 确定信息安全管理体系的范围2026-04-15
- ISO/IEC 27001:2022 认证标准解读 4.2 理解相关方的需求和期望2026-04-14
- ISO/IEC 27001:2022 认证标准解读 4.1 理解组织及其环境2026-04-13
信息安全运行控制
云服务信息安全控制措施
核心维度覆盖占比
个人身份信息(PII)保护控制措施
核心维度覆盖占比
个人信息安全规范控制措施
核心维度覆盖占比
公有云隐私控制措施
核心维度数量占比
隐私概念
隐私控制者 vs 隐私处理者 核心区别
| 对比维度 | 隐私控制者 | 隐私处理者 |
|---|
隐私控制措施分类
隐私控制措施分类占比
七项质量管理基本原则
领域控制措施
核心维度覆盖占比
数据安全能力成熟度等级
数据安全过程
认证咨询流程
→→→→→→→→→
初次获证要求
- 合规性证明需持有法律地位证明文件(如营业执照)
- 资质许可特殊认证范围,需提供必要的行政许可、资质证书、强制性认证证书
- 成立周期公司成立超过3个月
- 运行周期体系运行超过3个月
- 体系要求依据ISO27001标准建立符合的信息安全管理体系
- 运行要求有健全的信息安全管理体系运行证据
- 内审管评必须有一次完整的内审和管理评审
- 现场审核通过一二阶段现场审核,并完成不符合整改
证书维护要求
- 证书有效期信息安全管理体系证书是三年有效期
- 监督审核信息安全管理体系证书需每年一次监督审核,与上次审核间隔不超过12个月
- 再认证审核信息安全管理体系证书有效期3年,到期前需进行一次换证审核,审核通过后,换发新三年周期的有效证书
- 变更审核当组织的信息安全管理体系发生变化,比如公司业务调整、办公地址变化、组织机构调整、人员变化等,可申请证书变更,可结合监督审核 / 换证审核一起进行变更,也可以单独申请变更
- 证书暂停当证书超出监督审核周期时,证书进行暂停状态,暂停期间不可以使用证书
- 证书撤销当证书超出三年有效期而没有进行换证审核,或者在暂停截至日期前没有进行有效的监督审核,或发生重大质量安全事故或有严重违法违规行为,或被列入质量信用严重失信企业名单,证书会进行撤销处理
实施 ISO27001 的价值
- 风险可控识别信息资产风险并建立控制措施。
- 合规治理满足数据安全与隐私合规要求。
- 客户信任提升客户对平台与服务的安全信心。
- 业务连续减少安全事件对业务运行的影响。
- 治理能力形成跨部门协同的安全管理机制。
- 持续防护通过监测审计持续提升防护能力。
与其他体系结合
标准名称
推荐率
常见问题及误区
Q1:只有互联网、金融行业才需要ISO27001认证吗?
A:不是,任何涉及信息资产管理(如客户数据、企业文档、系统数据等)的组织均适用,涵盖制造业、服务业、政务机构等所有行业。
Q2:ISO27001就是单纯做网络安全,装防火墙、杀毒软件就够了?
A:不是,体系覆盖全信息资产的管理,包括数据、系统、网络、人员、物理环境等,网络安全只是其中一部分,核心是建立全维度的信息安全管控机制。
Q3:中小企业信息资产少,没必要建立ISO27001体系?
A:不是,中小企业同样存在信息泄露、系统故障等风险,体系可根据组织规模裁剪条款,搭建适配的信息安全管理框架,降低安全风险。
Q4:通过ISO27001认证,组织的信息资产就绝对安全了?
A:不是,认证是对信息安全管理体系的有效性认可,而信息安全风险是动态变化的,体系要求持续识别新风险、更新管控措施,并非一劳永逸的“安全保障”。
Q5:ISO27001体系只需要IT部门负责,其他部门无需参与?
A:不是,信息安全是全员责任,体系要求明确各部门的信息安全职责,包括行政、财务、业务等部门,从人员操作、数据使用等环节落实安全要求。
认证及咨询费用
费用影响因素占比
组织地理位置(及多个办公场所)15%
一线城市或多办公场所会增加差旅与审核组织成本,偏远地区可能有额外服务费用。
组织人员数量20%
人员规模影响审核人日和咨询工作量,人数越多,评估与辅导投入越高。
组织业务范围10%
业务线越多、范围越广,体系边界与过程设计越复杂,实施成本会同步增加。
选择认证机构25%
不同认证机构的品牌影响力、审核规则与项目组织方式不同,费用差异较明显。
咨询质量要求25%
资深顾问、定制化交付与全流程辅导方案,通常较基础辅导投入更高。
认证周期要求10%
加急周期会带来额外资源协调成本,常规周期通常更具费用优势。
最终费用,请联系我们
