一、ISO/IEC 27001:2022 附录A.5.14 控制原文
附录A.5.14 信息传输
控制要求:组织应建立并实施与信息传输有关的规则、程序和技术措施,以保护通过内部、外部和跨边界渠道传输的信息。
信息传输是信息离开原始控制边界的关键环节,也是最容易因方便性而放松控制的场景之一。
控制要求:组织应建立并实施与信息传输有关的规则、程序和技术措施,以保护通过内部、外部和跨边界渠道传输的信息。
信息传输是信息离开原始控制边界的关键环节,也是最容易因方便性而放松控制的场景之一。
引用:很多高影响泄露并不是复杂攻击,而是信息在传输过程中被错误发送、未经授权共享或缺少保护地传递出去。
二、条款解读说明
2.1 为什么A.5.14必须覆盖多种传输方式
现代组织的信息传输方式非常多样:邮件、企业IM、共享链接、API接口、文件传输平台、移动介质、打印件寄送、视频会议共享甚至即时截图转发。许多组织的控制只关注邮件外发,但现实风险早已跨越单一渠道。A.5.14要求的是“信息传输控制”,而不是“邮箱管理控制”。
不同传输方式的风险特征也不同。邮件容易误发和抄送过度,云盘共享容易因权限配置不当而扩大暴露面,API接口容易因认证和加密不足而被截取或滥用,移动介质则有遗失和脱离审计的问题。组织必须根据不同渠道设计不同规则,而不是用一条抽象规定统一覆盖所有传输场景。
2.2 关键要点拆解
| 关键点 | 控制含义 | 常见问题 | 建议做法 |
|---|---|---|---|
| 渠道识别 | 识别主要信息传输路径 | 只管邮件不管共享链接和接口 | 按渠道分类建立规则 |
| 差异化保护 | 根据信息等级和渠道风险施加保护 | 所有信息都走同一规则 | 分级绑定加密、审批和限制 |
| 授权与审批 | 高风险外发应有批准 | 敏感信息外发无审批留痕 | 设审批和例外机制 |
| 记录与可追溯 | 关键传输行为可追踪 | 传出去后无记录 | 保留日志、工单和共享记录 |
2.3 传输控制必须和分级及可接受使用联动
如果信息分级已经识别出高敏感资料,那么A.5.14就应明确这些信息能否外发、通过什么渠道外发、是否必须加密、是否需要审批和是否需要留存回执。换句话说,传输控制不能孤立设计,它应承接A.5.12和A.5.13的成果,并与A.5.10的使用规则协同工作。只有这样,传输边界才真正清晰。
注意:A.5.14的成熟度不体现在规则写得多严厉,而体现在组织能否在不同渠道下做到看得见、管得住、追得回。
三、实施要点
3.1 梳理主要传输渠道
- 识别组织内最常见的内部、外部、跨域和自动化传输方式。
- 重点覆盖邮件、共享链接、IM、API、文件传输平台和移动介质。
- 不要忽略“临时方便使用”的灰色渠道。
3.2 按信息等级设计传输规则
- 不同等级信息应对应不同加密、审批、接收方验证和留痕要求。
- 高敏信息原则上使用受控渠道,并限制转发和再分享。
- 规则应明确“不允许通过哪些渠道传输”。
3.3 建立外发审批和例外机制
- 对高风险外发场景要求业务所有者或管理者批准。
- 对临时例外场景保留原因和补偿措施。
- 审批不应只看形式,还应判断必要性和最小化原则。
3.4 增加技术控制和日志留痕
- 在邮件网关、DLP、共享平台和传输系统中配置相应限制和审计。
- 对下载、外发、接口调用和介质写入等关键动作保留日志。
- 尽量减少完全依赖人为自觉的高风险传输行为。
3.5 对外部接收方做基本校验
- 重要信息传输前应确认接收对象、接收环境和权限边界。
- 对长期合作方可通过协议和技术方式约束后续处理。
- 对误发和误共享场景建立快速纠偏机制。
成功:成熟的A.5.14控制会让组织在面对“要把资料发出去”这件事时,有明确规则、明确渠道和明确责任,不再依赖个人经验判断。
四、常用工具与实施方法
| 工具/方法 | 应用目的 | 实施建议 | 输出成果 |
|---|---|---|---|
| 传输渠道清单 | 识别和分类渠道 | 按内部、外部、自动化接口和介质分类 | 渠道台账 |
| 分级-传输规则矩阵 | 设计差异化要求 | 映射渠道、审批、加密和日志要求 | 规则矩阵 |
| DLP/邮件策略 | 固化高风险限制 | 对高敏信息增加检测和阻断 | 技术策略 |
| 外发审批记录 | 控制高风险对外传输 | 记录理由、对象、范围和批准人 | 审批台账 |
五、典型案例
案例一:共享链接过度开放导致文件暴露
- 背景:员工常用共享链接传输资料。
- 问题:默认任何获得链接的人都可访问。
- A.5.14动作:限制高敏资料只能对指定账号共享,并设置到期时间。
- 结果:外部暴露面显著收缩。
- 启示:共享链接本质上也是传输渠道,应纳入同等治理。
案例二:邮件误发暴露高敏附件
- 背景:员工频繁通过邮件发文件。
- 问题:缺少接收方校验和高敏提示,误发偶发但影响大。
- A.5.14动作:对高敏附件增加审批、收件人校验和发送前提醒。
- 结果:误发率下降。
- 启示:高频渠道需要更细的流程化保护。
案例三:接口传输未纳入信息传输视角
- 背景:系统间通过API交换数据。
- 问题:组织只把“人工发送”视为传输,忽略接口数据流。
- A.5.14动作:将接口传输纳入传输渠道管理,增加认证、加密和日志要求。
- 结果:自动化数据交换风险可见性提升。
- 启示:传输控制应覆盖自动化路径。
六、成文信息管理要求
A.5.14审核重点通常包括传输规则、渠道识别、审批痕迹和技术留痕。组织应能证明关键传输场景已被纳入控制,不只是靠员工自觉。
| 建议文件或记录 | 关键内容 | 责任部门 | 审核价值 |
|---|---|---|---|
| 信息传输规则 | 渠道、适用对象、审批和保护要求 | 安全部/IT/业务 | 证明规则已建立 |
| 渠道和系统配置记录 | 邮件策略、共享策略、接口控制配置 | IT/安全 | 证明控制已落实 |
| 外发审批和例外记录 | 对象、理由、审批和补偿措施 | 业务/安全/管理层 | 证明高风险传输受控 |
| 日志和抽查记录 | 共享日志、外发日志、异常排查结果 | IT/安全 | 证明传输活动可追溯 |
七、常见误区及踩坑提醒
| 误区 | 问题表现 | 正确做法 |
|---|---|---|
| 只把邮件当作传输控制对象 | 共享链接、接口和介质成盲区 | 覆盖所有主要传输渠道 |
| 规则不区分信息等级 | 高敏信息保护不足或低敏信息限制过度 | 按分级差异化设计要求 |
| 高风险外发无审批 | 信息对外流转边界失控 | 建立正式审批和例外机制 |
| 传输了但无留痕 | 事后无法追溯和复盘 | 保留关键日志和记录 |
警告:避免把A.5.14理解成“提醒员工注意外发”即可。真正的风险是组织缺少基于渠道和分级的传输控制体系。
小结:A.5.14要求组织对信息传输建立清晰的规则、审批和技术保护。传输控制越贴近实际渠道,信息外泄和误发风险就越容易收敛。