一、ISO/IEC 27001:2022 附录A.5.10 控制原文
附录A.5.10 信息和其他相关资产的可接受使用
控制要求:组织应制定并实施与信息及其他相关资产可接受使用有关的规则,明确允许行为、禁止行为、责任边界和违规后果。
这项控制的核心,是把“资产可以怎么用、不能怎么用”说清楚,并让使用者真正知道边界。
控制要求:组织应制定并实施与信息及其他相关资产可接受使用有关的规则,明确允许行为、禁止行为、责任边界和违规后果。
这项控制的核心,是把“资产可以怎么用、不能怎么用”说清楚,并让使用者真正知道边界。
引用:很多安全事件并非恶意攻击,而是资产使用边界不清导致的日常违规或误用。
二、条款解读说明
2.1 为什么可接受使用是基础行为控制
组织资产的实际风险,往往发生在日常使用环节。员工是否可以把公司文件同步到个人网盘?是否可以在未授权设备上处理敏感数据?是否可以共享账号、转借设备、私装软件、把工作文档带离办公环境?这些问题如果没有被明确表达,组织就会把风险暴露给每个人的个人判断。
A.5.10的价值在于用清晰规则减少“我以为可以”的灰区。尤其在远程办公、BYOD、移动办公、外包协作和云文档广泛使用的环境下,资产使用边界越来越复杂。组织必须基于资产类型、信息分级和使用场景,定义允许、限制和禁止的行为边界,而不能只说“员工应妥善使用设备”。
2.2 关键要点拆解
| 关键点 | 控制含义 | 常见问题 | 建议做法 |
|---|---|---|---|
| 规则明确 | 定义允许和禁止的行为 | 规则笼统难执行 | 按场景和资产类型细化要求 |
| 适用对象 | 明确哪些人受约束 | 只针对正式员工 | 覆盖外包、访客、合作方等 |
| 场景覆盖 | 涵盖远程、移动、共享和离线场景 | 只考虑办公室使用 | 覆盖现代办公场景 |
| 违规后果 | 明确偏差处理和责任 | 违规无统一处理方式 | 与纪律和纠正机制联动 |
2.3 可接受使用不应只针对终端
许多组织把这项控制等同于“电脑和手机使用规定”。实际上,它应覆盖信息和其他相关资产,包括文档、数据、账号、存储介质、软件许可、打印输出、会议资料和共享平台等。不同资产的使用方式和风险不同,规则也应相应分层,而不是试图用一页笼统通知解决所有问题。
注意:A.5.10的关键不在于规则多,而在于规则是否足够具体、可理解、可执行、可检查。
三、实施要点
3.1 按场景设计使用规则
- 区分办公终端、移动设备、云文档、外部共享、打印输出、远程访问等场景。
- 对不同场景定义允许、限制和禁止行为。
- 避免把规则写成大而空的行为倡议。
3.2 让规则与分级和权限联动
- 高敏感信息应有更严格的使用、复制、传输和存储要求。
- 资产使用要求应与信息分级、账号权限和数据处理场景保持一致。
- 规则不能脱离资产价值独立存在。
3.3 将规则纳入人员管理
- 在入职、入组、外包准入和离岗环节明确宣导使用规则。
- 必要时通过签收确认、短测验或场景化培训强化理解。
- 对高风险岗位可设更严格要求。
3.4 用技术和管理双重手段落地
- 对关键规则尽量配置技术控制,如限制外接存储、限制未授权同步、限制私装软件。
- 管理要求与技术限制配合,通常比单靠制度更稳定。
- 对暂无法技术控制的场景,增加抽查和日志监控。
3.5 违规处理要统一
- 对违反可接受使用规则的行为设统一处理路径,包括提醒、整改、升级和纪律处理。
- 对重复违规行为既处理个人,也复盘规则是否不清或缺乏技术支撑。
- 避免违规处理完全依赖主管个人判断。
成功:做得好的A.5.10,会让组织在日常办公中明显减少“灰色用法”和“顺手违规”,行为边界更稳定。
四、常用工具与实施方法
| 工具/方法 | 应用目的 | 实施建议 | 输出成果 |
|---|---|---|---|
| 可接受使用规则清单 | 统一行为边界 | 按资产和场景分类编写 | 规则文件 |
| 场景化提示卡 | 提升理解度 | 对远程、共享、导出等高频场景提供简版指引 | 提示材料 |
| 技术限制策略 | 将规则固化 | 对高风险行为配置系统限制 | 技术控制清单 |
| 违规处理机制 | 统一管理偏差 | 与HR、法务和安全机制联动 | 处理流程 |
五、典型案例
案例一:个人网盘同步导致文件外泄风险
- 背景:员工习惯使用个人云盘处理文件。
- 问题:组织没有明确规定哪些资料可同步、哪些不行。
- A.5.10动作:明确禁止将高敏感文件同步到个人存储,并通过终端策略限制相关行为。
- 结果:高风险外传行为明显减少。
- 启示:行为规则需要技术支撑。
案例二:远程办公期间共享账号和设备混用
- 背景:团队在远程场景下频繁借用设备和账号。
- 问题:边界不清,审计追溯困难。
- A.5.10动作:明确禁止共享账号和未经批准转借设备,并加入主管检查要求。
- 结果:追溯性和责任清晰度提升。
- 启示:远程环境更需要清晰的使用规则。
案例三:外包人员使用规则未覆盖
- 背景:外包团队可访问内部系统和文档。
- 问题:使用规则仅面向正式员工。
- A.5.10动作:将外包人员纳入统一可接受使用规则,并在准入时签收确认。
- 结果:边界更一致,风险更可控。
- 启示:适用范围不完整,控制就会留空白。
六、成文信息管理要求
A.5.10通常需要通过规则文件、适用范围说明、宣导记录、技术配置和违规处理痕迹来证明。审核员尤其会关注规则是否能被现场人员说清并在系统中体现。
| 建议文件或记录 | 关键内容 | 责任部门 | 审核价值 |
|---|---|---|---|
| 可接受使用规则 | 资产类型、允许行为、限制行为、禁止行为 | 安全部/HR/IT | 证明边界已定义 |
| 宣导和确认记录 | 对象、时间、签收或理解确认 | HR/安全部 | 证明规则已传达 |
| 技术实施记录 | 限制策略、配置和例外控制 | IT/安全 | 证明规则已落地 |
| 违规处理记录 | 违规类型、纠正动作、升级结果 | HR/安全/部门 | 证明规则被执行 |
七、常见误区及踩坑提醒
| 误区 | 问题表现 | 正确做法 |
|---|---|---|
| 规则只写“妥善使用” | 员工无法判断边界 | 按场景给出明确行为要求 |
| 只覆盖正式员工 | 外包和合作方成为盲区 | 覆盖所有实际使用者 |
| 全靠制度不靠技术 | 高风险行为易被绕开 | 对关键场景增加技术限制 |
| 违规处理不统一 | 执行尺度混乱 | 建立标准处理路径 |
警告:避免把A.5.10写成一份泛泛的员工守则。真正的风险是资产使用边界模糊,日常违规被当成“习惯动作”。
小结:A.5.10要求组织把信息和相关资产的使用边界说清楚、传达到位并落实到控制中。规则越具体、越贴近场景,日常误用和违规风险就越低。