一、ISO/IEC 27001:2022 附录A.5.11 控制原文
附录A.5.11 资产归还
控制要求:员工、外包人员和其他相关方在雇佣、合同或职责结束或变更时,应归还组织拥有或委托其保管的资产。
这项控制的重点不仅是“把设备收回来”,还包括资料、介质、令牌、证件、文档和相关访问能力的完整回收。
控制要求:员工、外包人员和其他相关方在雇佣、合同或职责结束或变更时,应归还组织拥有或委托其保管的资产。
这项控制的重点不仅是“把设备收回来”,还包括资料、介质、令牌、证件、文档和相关访问能力的完整回收。
引用:离岗和变更场景是组织控制最容易松动的时候,资产回收不完整往往会留下长期风险。
二、条款解读说明
2.1 为什么A.5.11不能只看实物归还
很多组织把资产归还简单理解为“电脑和工卡交回来”。但现实风险远不止这些。员工或外包人员离岗时,可能还掌握文档副本、打印资料、移动介质、测试数据、密钥令牌、认证设备、远程访问工具和本地缓存数据。如果只收实物、不联动权限和数据清理,组织很可能形成“设备回来了,访问和信息没回来”的假安全状态。
A.5.11与入离职控制、权限回收、信息分类和可接受使用密切相关。它要解决的是资产和访问交接的完整性问题,尤其在远程办公、外包协作和移动办公普遍存在的环境下,资产可能分布在多个地点和多个载体上,回收难度比传统办公室环境更高。
2.2 关键要点拆解
| 关键点 | 控制含义 | 常见问题 | 建议做法 |
|---|---|---|---|
| 回收范围完整 | 覆盖设备、文件、介质、令牌、证件等 | 只回收电脑和门禁卡 | 建立分类回收清单 |
| 触发场景明确 | 离职、岗位变更、合同结束、借用结束等都应适用 | 只覆盖正式离职 | 定义多种回收触发场景 |
| 权限联动 | 实物回收与账号权限回收同步 | 设备回收了,账号还有效 | 联动入离职和IAM流程 |
| 回收证据 | 保留已归还和未归还状态记录 | 全靠口头确认 | 建立签收和例外记录 |
2.3 岗位变更同样是高风险场景
很多企业非常关注离职,却忽视岗位调整、部门转岗、项目结束和外包合同终止。这些场景中,人员虽然仍在组织内,但其继续持有旧部门资产、旧项目文档或旧环境访问权,往往更隐蔽,也更容易被忽视。因此,A.5.11的适用场景必须覆盖“职责变化”,不能只覆盖“离开组织”。
注意:A.5.11的有效性往往体现在回收流程是否与权限回收、数据清理和责任交接同步,而不是单看设备是否签字归还。
三、实施要点
3.1 建立分场景回收清单
- 针对离职、转岗、项目结束、外包结束和临时借用结束分别定义资产回收要求。
- 按设备、证件、文档、令牌、软件许可和介质分类设计清单。
- 不要依赖管理者个人记忆回收。
3.2 与权限和账号回收联动
- 设备归还应与账号停用、群组权限移除、VPN和令牌回收同时推进。
- 对高权限岗位设置更严格的确认机制。
- 避免“资产回收”和“访问回收”由完全独立流程处理且彼此不核对。
3.3 处理远程和异地回收场景
- 对异地员工和外包人员设计邮寄、上门或委托回收机制。
- 明确物流和临时保管过程中的责任和保护要求。
- 远程办公环境下尤其要重视本地缓存和个人打印资料。
3.4 明确无法立即回收时的补偿措施
- 若实物暂时无法回收,应先停用账号、吊销凭据、远程锁定或擦除设备。
- 对未按时归还资产设追踪和升级机制。
- 不要让“归还延迟”演变为长期失控。
3.5 留存完整回收证据
- 记录已回收、待回收、损坏、遗失和例外情况。
- 回收确认应由发起部门、接收部门和责任人共同留痕。
- 必要时保留数据清理或设备处置记录。
成功:高质量的A.5.11实施,通常能显著降低离岗、转岗和外包交接阶段的遗留风险,让交接更加完整和可追溯。
四、常用工具与实施方法
| 工具/方法 | 应用目的 | 实施建议 | 输出成果 |
|---|---|---|---|
| 资产归还清单 | 统一回收对象 | 按场景和资产类别分类设计 | 回收表单 |
| 离岗联动流程 | 同步资产和权限回收 | 整合HR、IT、行政和部门负责人动作 | 联动流程 |
| 远程锁定与擦除机制 | 处理延迟回收场景 | 对终端和移动设备预置技术能力 | 技术控制记录 |
| 未归还追踪台账 | 跟踪异常和例外 | 设时限和升级门槛 | 跟踪记录 |
五、典型案例
案例一:离职员工设备归还了,但云账号未停用
- 背景:企业重视设备回收。
- 问题:离职员工某些SaaS账户仍处于有效状态。
- A.5.11动作:将资产归还与账号回收流程整合,要求统一关闭确认。
- 结果:交接完整性明显提升。
- 启示:资产归还不能脱离访问回收。
案例二:外包项目结束后令牌未收回
- 背景:外包团队使用硬件令牌和远程访问证书。
- 问题:合同结束后只停用了主账号,令牌未纳入正式回收。
- A.5.11动作:把令牌、证书和开发文档纳入统一回收清单。
- 结果:第三方退出控制更完整。
- 启示:非实物资产同样要进入回收视野。
案例三:转岗后保留旧项目资料
- 背景:员工转岗到新部门。
- 问题:旧项目文件和访问权长期保留,责任边界模糊。
- A.5.11动作:将转岗纳入资产归还和权限调整场景。
- 结果:信息最小持有原则更容易落实。
- 启示:岗位变化和离职一样需要控制。
六、成文信息管理要求
A.5.11的关键证据通常包括资产归还清单、回收确认、例外记录和与账号权限回收的联动痕迹。成熟组织还会保留异地回收和数据清理的专项记录。
| 建议文件或记录 | 关键内容 | 责任部门 | 审核价值 |
|---|---|---|---|
| 资产归还清单 | 资产类别、应回收项、责任人、状态 | HR/行政/IT | 证明范围完整 |
| 回收确认记录 | 归还时间、接收人、未归还说明 | 行政/IT/部门负责人 | 证明回收已执行 |
| 权限联动关闭记录 | 账号、令牌、VPN、证书回收状态 | IT/安全 | 证明资产回收与访问回收同步 |
| 例外和升级记录 | 未及时归还、丢失、损坏和补偿措施 | 管理层/HR/安全 | 证明偏差受控 |
七、常见误区及踩坑提醒
| 误区 | 问题表现 | 正确做法 |
|---|---|---|
| 只回收设备不回收访问权 | 表面离岗,实际仍可访问 | 联动账号和凭据回收 |
| 只覆盖离职不覆盖转岗 | 旧权限和旧资料长期残留 | 把职责变化纳入控制范围 |
| 异地回收无安排 | 远程办公场景下大量例外 | 建立远程回收和锁定机制 |
| 回收无证据 | 事后难以追责和证明 | 保留完整签收和异常记录 |
警告:避免把A.5.11理解成“收回办公电脑”即可。真正的风险是离岗后资产、资料和访问能力没有被完整回收。
小结:A.5.11要求组织在离岗、转岗和合同结束场景下完整回收资产,并与访问回收和数据交接联动。回收越完整,遗留风险越低。