一、引言

ISO 27001:2022 的附录A共93条控制措施，其中第5章"组织控制"（A.5.1~A.5.37）是篇幅最长、覆盖面最广的一章。37条控制措施涵盖了信息安全策略、角色职责、资产管理、访问控制、供应商管理、事件管理、业务连续性等组织层面的核心管控领域。

在审核实践中，第5章是最容易暴露"顶层设计缺陷"的条款群。很多组织在技术控制上投入了大量资源——防火墙、EDR、SIEM系统一应俱全，但在组织控制层面却存在明显短板：信息安全策略从未评审更新、供应商协议中没有安全条款、事件管理只有流程没有演练。这些组织层面的缺失，往往是技术控制无法有效运作的根源。

本文将从审核员视角，按主题分组逐条解析第5章各控制措施的审核要点、常见问题及实操建议。

二、信息安全策略与组织（A.5.1~A.5.6）

A.5.1 信息安全策略

这是整个信息安全管理体系的"宪法"文件。审核时首先要确认策略文件的存在性和完整性。

审核要点：

• 策略是否经管理层批准并发布？
• 是否涵盖信息安全目标、原则和总体方向？
• 是否定期评审（通常每年一次）？
• 评审记录中是否体现了策略的持续改进？

常见问题：
策略文件"十年如一日"，内容与当前业务严重脱节——比如策略中还在提"禁止使用U盘"，但组织早已全面切换至云协作平台。

A.5.2 信息安全角色和责任

审核要点：

• 信息安全组织架构图是否明确？
• 信息安全管理委员会或类似机构是否定期召开会议？
• 各角色的职责是否写入岗位说明书？

A.5.4 管理责任

这条是高层参与的直接体现。审核时关注管理评审输入中是否包含信息安全议题、管理层是否为信息安全工作提供了充足的资源和预算。

A.5.5~A.5.6 与职能机构和特定相关方的联系

审查组织是否建立了与监管机构、执法部门、行业应急响应中心等外部机构的联络机制，以及这些联络信息是否保持更新。

三、资产管理（A.5.9~A.5.14）

A.5.9 资产清单与A.5.12 信息分级

这两条通常合并审核。资产清单是信息安全管理的"底盘"——没有完整的资产清单，后续的访问控制、脆弱性管理、备份策略都无从谈起。

审核实操：

• 抽查IT部门的资产台账，核对网络扫描结果，验证资产清单的准确性
• 检查资产清单是否包含硬件、软件、数据、人员等信息资产
• 查看信息分类标准是否覆盖了机密性、完整性和可用性三个维度

典型不符合：
资产清单中有大量"僵尸资产"——已下线的服务器仍然在清单中，而刚上线半年的云实例却没有登记。

A.5.10 可接受使用

员工是否签署了可接受使用策略？是否有违规使用的处理记录？结合员工离职调查，往往能发现可接受使用策略的执行漏洞。

A.5.13 信息标记与A.5.14 信息传输

信息标记审查：标密制度是否执行到位？绝密文档是否有明确的标记和保护措施？
信息传输审查：组织与外部合作方交换信息时，是否有安全传输协议或加密要求？

四、访问控制（A.5.15~A.5.18）

这四条（访问控制策略、身份管理、鉴别信息、访问权限）是审核中的核心关注点，建议按"策略→身份→凭证→权限"的逻辑链审查。

审核链条：

1. 访问控制策略文档是否覆盖了"最小权限"和"按需授权"原则？
2. 身份管理系统（AD/LDAP/IDaaS）是否统一管理了所有用户的数字身份？
3. 口令策略是否配置到位（长度、复杂度、有效期）？有无共享账号？
4. 权限审批流程是否闭环？离职员工的账号是否及时注销？

高频问题：

• 特权账户（管理员/root权限）没有定期评审
• 测试环境使用了生产环境的账号密码
• 离职员工账号在一周后仍然未被禁用

五、供应商管理（A.5.19~A.5.23）

供应商信息安全是近几年审核中越来越受关注的领域，尤其是在SaaS和云服务广泛应用的背景下。

A.5.19~A.5.21 供应商准入与协议

审核要点：

• 供应商信息安全评估是否纳入采购流程？
• 供应商协议中是否包含信息安全条款？（数据保护、保密责任、审计权利等）
• 供应链安全是否延伸到供应商的供应商（典型如云服务的上游基础设施提供商）？

A.5.22 供应商监视与评审

是否建立了供应商安全绩效监控机制？是否定期评审供应商的安全资质？供应商发生安全事件时，是否有通报机制？

A.5.23 云服务使用安全

这是近年来审核中的"新增热点"。审核时关注：

• 云服务采购是否有安全评估流程？
• 是否明确了云服务方和组织的安全责任边界（共享责任模型）？
• 云上数据是否有备份和可移植性方案？

六、信息安全事件管理（A.5.24~A.5.28）

事件管理是检验ISMS是否"活着"的关键指标。

A.5.24 事件管理规划与准备

审核要点：

• 事件响应计划是否文件化？
• 是否建立了事件响应团队或明确了联系人？
• 是否定期开展事件响应演练？

A.5.25 事态评估与A.5.26 事件响应

审查近一年的安全事件台账，关注：

• 事态分类标准是否清晰？
• 响应时间是否满足SLA？
• 是否每起事件都有完整的处置记录？

A.5.27~A.5.28 事件学习与证据收集

事件复盘是很多组织的弱项——事件处理完了，但根本原因分析做得不够，类似事件反复发生。审核时关注事件复盘报告的质量，以及改进措施的闭环情况。

七、业务连续性与合规（A.5.29~A.5.34）

A.5.29 中断期间信息安全与A.5.30 ICT连续性

这两条与业务连续性管理密切相关。审核时要查看BCP/DRP文档中是否包含了信息安全的考虑，以及演练记录。

A.5.31 法律法规合同要求

审核要点：

• 适用的法律法规清单是否保持更新？
• 个人信息保护（《个人信息保护法》）的合规措施是否到位？
• 出口管制、行业监管等特殊要求是否满足？

A.5.32 知识产权与A.5.33 记录保护

• 软件许可管理是否合规？是否使用盗版软件？
• 日志和记录的保存期限是否满足法规要求？
• 记录的存储和保护措施是否充分？

A.5.34 隐私和个人可识别信息保护

在《个人信息保护法》实施的背景下，这条必须单独审核。审查组织的隐私保护政策、数据处理告知同意机制、个人信息影响评估等。

八、A.5.35~A.5.37 评审、合规与操作规程

A.5.35 信息安全的独立评审

是否定期（通常每年一次）对ISMS进行独立评审？评审团队是否具备足够的独立性？评审报告是否提交管理层？

A.5.36 符合策略、规则和标准

审查组织是否有合规检查机制——如定期检查各系统配置是否符合安全基线、员工行为是否符合安全策略。

A.5.37 文件化的操作规程

关键系统的操作是否有标准操作规程（SOP）？SOP是否保持更新？操作人员是否遵循SOP执行？

九、第5章审核的综合建议

合并审核策略

第5章的37条控制措施可按主题领域合并审核：

• 策略与组织组（A.5.1~A.5.6）：同一份策略文档+组织架构图可覆盖
• 资产与分类组（A.5.9~A.5.14）：资产台账一次审查全流程
• 访问控制组（A.5.15~A.5.18）：权限管理制度+AD系统可涵盖
• 供应商组（A.5.19~A.5.23）：供应商全生命周期管理
• 事件管理组（A.5.24~A.5.28）：事件台账一次审查覆盖全部
• 合规与BCM组（A.5.29~A.5.34）：合规清单+BCP文档

最常见的不符合项

1. 信息安全策略过期未评审
2. 资产清单不完整（遗漏云资源、边缘设备）
3. 离职账号未及时注销
4. 供应商协议无安全条款
5. 事件复盘流于形式
6. 个人信息保护措施不充分

审核口诀

策略先行定基调，资产清点打地基；
权限管控守大门，供应商里藏风险；
事件管理验实效，合规审查托底线；
组织控制若松散，技术再强也枉然。

十、结语

附录A第5章"组织控制"看似庞杂，但内核逻辑清晰——它在回答一个根本问题：组织有没有从治理层面保障信息安全？策略是否被遵循？资产是否被管理？供应商是否被控制？事件是否被处置？合规是否被验证？

审核第5章时，切忌陷入"逐条走查、蜻蜓点水"的陷阱。按主题分组合并审核，关注证据链的逻辑闭环，才能发现真正影响体系有效性的深层问题。