一、ISO/IEC 27001:2022 附录A.5.9 控制原文

二、条款解读说明

2.1 为什么A.5.9是许多控制的前置条件

信息安全管理中的大量工作，本质上都依赖“知道有什么、归谁管、在哪儿、有什么价值”。如果连关键数据、关键系统、关键账号、关键设备和关键云资源都识别不清，就很难谈分级、加固、备份、审计和应急。很多组织并不是没有做资产台账，而是台账长期停留在IT设备管理层面，无法覆盖云资源、SaaS账号、API接口、外包托管环境、测试环境、数据集和纸质载体等“其他相关资产”。

A.5.9特别提到“信息和其他相关资产”，正是在提醒组织，不要把资产清单狭义理解为硬件列表。真正成熟的资产清单，至少应覆盖信息、软件、硬件、服务、账号凭据、存储介质、场所设施和关键外部依赖，并能与资产所有者、业务价值和安全要求建立关系。

2.2 关键要点拆解

2.3 “资产很多”不等于“资产可管”

资产清单做得差的常见表现，是信息量很多但不可用。例如，台账中只有名称没有用途，只有IP没有业务归属，只有设备编号没有所有者，只有采购信息没有当前状态。这样的台账即使看起来完整，也无法支撑风险评估和控制实施。A.5.9真正需要的是“足以支持管理决策的资产信息”，而不是为盘点而盘点。

三、实施要点

3.1 明确资产分类框架

• 按信息、应用系统、基础设施、云资源、服务、介质、账号和设施等类别建立资产模型。
• 对不同类别定义必要属性，如所有者、位置、用途、重要性和状态。
• 不要把所有对象混在一张表里难以维护。

3.2 给关键资产指定责任方

• 资产所有者不一定是技术管理员，更应是对业务价值和风险负责的人。
• 对共享平台、集团资产和外包资产要明确责任边界。
• 没有所有者的资产，通常很难被稳定保护。

3.3 把台账纳入生命周期管理

• 让采购、上线、迁移、变更、退役和外包引入流程都能触发资产台账更新。
• 新增资产、状态变化和停用资产都应及时反映。
• 避免“系统早变了，台账还停在旧状态”。

3.4 与其他控制联动

• 资产清单应服务于信息分级、访问控制、漏洞管理、备份恢复和风险评估。
• 对高价值或高敏感资产可增加更细的控制属性。
• 台账必须成为其他流程的输入，而不是孤立文件。

3.5 定期核对和抽查

• 通过自动发现、人工抽查和流程对账相结合，验证台账准确性。
• 重点关注云环境、测试环境、第三方托管和影子IT。
• 对偏差较大的领域应专项整改。

四、常用工具与实施方法

五、典型案例

案例一：云资源未纳入资产清单导致监控盲区

1. 背景：企业大量使用云服务。
2. 问题：资产台账仍主要覆盖本地服务器，云资源缺乏统一记录。
3. A.5.9动作：将云账户、存储桶、数据库实例和关键配置纳入资产主清单。
4. 结果：监控和权限治理有了清晰对象。
5. 启示：资产可见性必须跟上技术环境变化。

案例二：数据集无人负责导致分级和权限长期混乱

1. 背景：企业保存大量客户和运营数据。
2. 问题：台账有数据集名称，但没有明确业务所有者。
3. A.5.9动作：补充数据集所有者字段，并在权限和分级流程中强制引用。
4. 结果：责任边界更清楚。
5. 启示：资产清单要服务于治理责任，而不仅是盘点。

案例三：测试环境长期游离在台账之外

1. 背景：研发团队频繁创建测试实例。
2. 问题：测试环境未纳入正式清单，成为漏洞和数据残留高发区。
3. A.5.9动作：将测试环境纳入生命周期管理并定期清理核对。
4. 结果：影子资产显著减少。
5. 启示：资产清单要覆盖临时环境和灰色区域。

六、成文信息管理要求

A.5.9的审核证据重点是：资产台账是否覆盖关键对象、是否有责任归属、是否保持更新以及是否与其他控制联动。组织应保留足以支持这些判断的记录。

七、常见误区及踩坑提醒