一、条款理解:第8章在ISO 27001:2022中的定位
ISO 27001:2022第8章”运行”是整个信息安全管理体系(ISMS)的核心执行章节,它连接着第6章”策划”(含风险评估与处置策划)和第9章”绩效评价”。在PDCA循环中,第8章对应”Do”阶段——将策划阶段确定的信息安全风险处置方案真正落地执行。
很多初次接触ISO 27001的审核员容易混淆第6.1条与第8.1条的关系。第6.1条要求组织制定信息安全风险评估和处置的过程与方法,而第8.1条要求组织按计划执行这些过程,并控制运行过程中的变更。简单说:第6章是”怎么写”,第8章是”怎么做”。
在GB/T 22080-2025(等同采用ISO 27001:2022)中,第8章包含三个子条款:
– 8.1 运行策划和控制
– 8.2 信息安全风险评估
– 8.3 信息安全风险处置
二、8.1 运行策划和控制——审核要点
8.1条款的核心要求是:组织应策划、实施和控制满足信息安全要求所需的过程,并保持成文信息以确保这些过程按策划执行。
审核要点清单:
① 过程策划文件化
– 被审核方是否针对ISMS运行制定了详细的策划文件?
– 这些文件是否与第6章确定的策略一致?
– 审核重点:查看《ISMS运行策划书》或类似文件,确认其包含目标、资源、职责分工、时间节点。
② 过程控制措施
– 是否建立了关键信息安全过程的运行准则?
– 这些准则是否可测量、可验证?
– 审核重点:抽取3-5个关键过程(如漏洞管理、补丁管理、账号审批),检查其运行准则的明确性。
③ 变更控制
– 组织是否有计划外的变更需要管理?
– 变更是否评审了非预期后果?
– 审核重点:查看近3个月的变更申请记录,验证是否有信息安全影响评估环节。
④ 外包过程控制
– 信息安全相关的外包过程(如云服务、SOC运维)是否纳入ISMS范围?
– 外包方的信息安全能力是否得到评估?
– 审核重点:检查外包合同中的信息安全条款和服务水平协议。
常见不符合项:
– 运行策划只有年度计划,缺乏阶段性的细化执行计划
– 变更管理未考虑安全影响评估,或评估流于形式
– 外包方安全能力评估缺失,特别是小型外包商
审核提问示例:
“请展示贵公司最近一次IT系统变更的全流程记录,从申请→评审→批准→实施→验证,说明其中信息安全影响评估是如何进行的?”
三、8.2 信息安全风险评估——审核要点
8.2条款要求组织按照6.1.2确定的方法,定期执行信息安全风险评估,并在重大变更时触发追加评估。
审核要点清单:
① 评估方法一致性
– 实际使用的评估方法与6.1.2确定的评估方法是否一致?
– 评估标准(资产价值、威胁可能性、影响程度等级)是否统一?
– 审核重点:对比风险评估方法论文件和实际的风险评估记录,检查等级定义是否一致。
② 评估覆盖范围
– 评估是否覆盖了ISMS范围内的所有资产和业务过程?
– 是否有遗漏的关键资产?
– 审核重点:检查风险评估台账,与信息资产清单进行交叉比对,确认覆盖率达100%。
③ 评估周期与频次
– 组织是否按策划的周期执行了评估?
– 重大变更后是否触发了追加评估?
– 审核重点:查看评估时间表,比对实际执行记录,查找评估间隔是否超过规定周期。
④ 评估记录完整性
– 每项风险的描述、赋值、关联资产/威胁/脆弱性是否完整?
– 风险接受准则是否明确?
– 审核重点:抽取10个风险项,检查其记录完整性(风险描述、可能性、影响、风险值、处置方式、责任人)。
⑤ 再评估有效性
– 处置措施实施后是否进行了再评估?
– 残余风险是否可接受?
– 审核重点:跟踪3-5个已处置风险,查看再评估记录,确认残余风险被正式接受。
常见不符合项:
– 风险评估目标与范围未明确定义,导致评估遗漏关键业务系统
– 风险等级判定缺乏一致性,同类风险在不同时期评级不同
– 风险评估人员未经培训,对评估标准理解不一致
– 再评估流于形式,仅复制上次结果未反映真实变化
审核提问示例:
“请抽取一个已实施处置措施的信息安全风险,展示其从初次评估→处置方案→实施→再评估→接受残余风险的完整闭环记录。”
四、8.3 信息安全风险处置——审核要点
8.3条款要求组织根据风险评估结果制定并实施风险处置计划,保留必要的成文信息。
审核要点清单:
① 处置方案合理性
– 处置措施是否匹配风险等级?
– 是否合理选择了”规避、转移、缓解、接受”等策略?
– 审核重点:针对高风险项,处置方案是否充分(不只选择”接受”);应对”接受”策略是否有明确的管理层审批。
② 处置计划执行
– 风险处置计划是否设定明确的完成时限和责任人?
– 处置进度是否得到跟踪?
– 审核重点:查看风险处置台账或跟踪表,检查逾期未完成项的占比及原因说明。
③ 控制措施选择
– 是否参考了附录A的控制措施?
– 选择控制措施时是否考虑了组织的特定场景?
– 审核重点:核对附录A中的”适用性声明”(SoA),确认标注为”适用”的控制措施都已完成选择和实施。
④ 处置记录保存
– 每项处置的决策依据和实施证据是否保留?
– 处置记录是否便于追溯和验证?
– 审核重点:抽查处置记录中的证据材料(审批单、验收记录、配置截图等)。
⑤ 适用性声明(SoA)完整性
– SoA是否完整对照了附录A的93项控制措施?
– “不适用”的理由是否充分、合理?
– 审核重点:检查SoA中标注为”不适用”的条款,验证其排除理由是否合理(如组织未使用移动设备编码,则A.8.14可不适用)。
常见不符合项:
– 风险处置计划制定后未有效执行,存在大量逾期待办
– SoA中”不适用”的理由缺乏实质性论证,仅写”不相关”
– 重复风险未根治——同一风险在多个评估周期反复出现
– 处置后的监控措施缺失,无法验证处置效果持续有效
审核提问示例:
“贵公司的适用性声明(SoA)中标注A.8.14(信息删除)为不适用,能否说明判断依据?是否存在含有敏感信息的过期数据和设备?”
五、第8章审核实战——综合方法论
审核路径设计:
作为一个完整的第8章审核,建议审核员按以下路径设计审核任务:
Step 1 文件审查阶段:收集ISMS运行策划文件、风险评估方法论、适用性声明,评估文件的完整性和一致性。
Step 2 现场审核阶段:选择2-3个关键业务领域,按”风险识别→评估→处置→监控”的闭环逐个验证。
Step 3 证据查验阶段:抽取风险评估样本(建议覆盖高、中、低各等级),跟踪处置全流程。
Step 4 人员访谈阶段:对话信息安全负责人了解风险处置的决策机制;对话IT运维人员核实日常运行的控制措施执行情况。
审核记录编写示例:
【发现】审核员抽查了2026年第一季度Q1风险评估报告,发现风险编号R-2026-012″财务系统数据库未启用审计日志”被评为中风险(可能性3×影响2=6分),处置计划显示于2026年2月底前启用审计日志。经现场查验DBA维护记录,该操作已于2026年2月20日完成,再评估得分为低风险(可能性1×影响2=2分),产生残余风险经信息安全经理签字接受。
【证据】《2026Q1风险评估报告》(编号ISMS-RA-2026-001)、《数据库审计日志启用变更记录》(编号CHG-2026-023)、《残余风险接受单》(编号ISMS-RAR-2026-008)。
【判定】符合ISO 27001:2022第8.2条和第8.3条要求。建议持续关注审计日志的日常监控机制落实。
六、第8章与其他管理体系条款的协同审核
在ISO 27001:2022的第三方审核中,第8章不是孤立存在的。审核员需要关注它与其他章节以及相关管理体系条款之间的关联关系。
与ISO 9001的整合审核要点:
ISO 9001第8章(运行)同样强调运行策划和控制,两个标准在变更管理、外包控制等环节高度重合。整合审核时可以:
① 同一份变更管理制度覆盖两个体系的信息安全影响评审和质量影响评审,各自的条款要求都在同一份记录中体现。
② 外包方评估将信息安全管理能力作为供应商准入的评分维度之一,而非单独再做一次信息安全评估。
③ 风险评估体系衔接:ISO 9001关注业务风险和机遇,ISO 27001关注信息安全风险,两个体系的风险矩阵可以在企业风险总账中进行统一管理。
与ISO 20000-1的整合审核要点:
ISO 20000-1第8章(服务交付与支持)涉及事件管理、问题管理、变更管理等IT服务管理流程,与ISO 27001第8章的信息安全事件管理、变更管理高度关联。在组织同时运行两个体系时,信息安全事件应和服务台事件在同一平台上处理,但信息安全事故需要单独的分类和升级通道。
七、远程审核环境下的第8章审核技巧
随着远程审核模式的普及,第8章涉及的运行类证据(如系统截图、日志记录、实时演示)需要特别注意:
① 提前要求被审核方准备远程桌面演示系统,用于展示风险评估工具、变更管理平台的实际操作。
② 对于风险评估记录的抽样,要求提供带时间戳的系统截图而非本地文档,避免用事后补录的文件替代实际运行记录。
③ 变更管理的审核可以要求审核员现场远程查看变更管理系统的操作记录,包括历史审批流程的时间线。
④ 要求被审核方在远程审核前录制一段标准操作流程(如账号申请审批流程)的完整操作视频作为补充证据。
八、常见审核误区提醒
误区一:”只查结果不查过程”。很多审核员只看是否有风险评估报告,不关心评估过程是否规范。正确的做法是:验证评估过程的合规性,包括评估参与人员、方法一致性、覆盖完整性。
误区二:”SoA签字就行”。适用性声明不能只满足于签字盖章,审核员需要实质性验证每项”适用”控制措施的实施情况,以及每项”不适用”的理由论证。
误区三:”风险处置=整改完成”。处置不是一次性活动,需要持续监控处置效果的可持续性。审核时要关注处置后的监控机制。
结语
ISO 27001:2022第8章是ISMS从”纸面体系”走向”运行体系”的关键。作为审核员,第8章的审核既需要宏观把握——理解组织的信息安全运行模式,也需要微观验证——追查具体风险的处置闭环。只有将条款要求与组织实际业务流程深度融合,才能真正判断ISMS的运行有效性,而非停留在文件表面的合规性检查。
信息安全审核不仅仅是检查问题的过程,更是帮助组织发现安全运行改进机会的过程。做一个有思考深度的审核员,让每一次第8章的审核都成为组织安全能力提升的助推器。
—— 云宝,2026年6月5日