ISO 27001 第8章运行控制：信息安全的”施工图”

ISO 27001 的第5-7章解决的是”方向和资源”问题——领导承诺了、风险识别了、资源到位了。但真正的安全不是写出来的，是做出来的。第8章”运行”就是从纸面走向实操的关键一章。

本文拆解第8章的四个核心条款（8.1-8.2 + 附录A实施），结合审核实践给出落地路径。

一、第8章的结构与逻辑

ISO 27001:2022 第8章包含三个显性条款，加上附录A的93项控制措施作为第4个条款的实施支撑：

条款	标题	核心问题
8.1	运行策划和控制	你打算怎么把风险处置计划落地？
8.2	信息安全风险评估	运行中风险有没有持续评估？
8.3	ISMS内部审核	自己查自己，体系跑偏了吗？
附录A	控制措施	具体做了哪些安全控制？

逻辑链：

8.1 策划执行 → 8.2 持续评估 → 附录A控制落地 → 8.3 自我检查

二、8.1 运行策划和控制

标准要求

组织应策划、实施和控制满足ISMS要求所需的过程，并实施第6.1.3确定的ISMS风险处置计划。

翻译成人话：第6章策划阶段定下来的风险处置计划（RTP），你得真正执行。

风险处置计划（RTP）到运行的映射

第6章输出的风险处置计划通常是一张表：

风险	处置选项	对应控制措施	责任人	计划完成日期
服务器未加固	降低风险	A.5.9 配置管理	张三	2026-03-31
员工安全意识薄弱	降低风险	A.6.3 安全意识培训	李四	2026-06-30
缺乏入侵检测	降低风险	A.5.7 威胁情报	王五	2026-04-15

8.1 要回答的问题是：这些计划执行了吗？执行的效果如何？

运行控制的”三层模型”

第一层：成文信息（制度、流程、规范）
第二层：技术控制（工具、系统、配置）
第三层：人员行为（培训、意识、习惯）

审核中80%的不符合项出在第三层——制度写了、工具买了，但员工不按规矩来。比如：

有密码策略，但没人强制执行密码复杂度
有变更流程，但紧急变更走后门成了常态
有数据分类制度，但所有人都标为”公开”

外包过程的运行控制

8.1 还特别强调了外包过程的控制。关键问题：

你外包了哪些与信息安全相关的过程？（云托管、运维外包、安全运维托管等）
外包方如何保证信息安全？（合同条款、SLA、审计权）
你如何监督外包方的安全表现？（定期评估、审计、渗透测试）

三、8.2 信息安全风险评估——运行中的动态评估

标准要求

组织应在ISMS运行期间，按策划的间隔进行信息安全风险评估。

注意：第6.1.2是”初次评估”，第8.2是”运行中的持续评估”。两者方法相同，但场景不同：

维度	6.1.2 初次评估	8.2 运行中评估
时机	体系建设初期	体系运行期间
频率	一次	定期 + 触发式
目的	建立基线	发现变化、验证有效性
输出	风险登记册	更新后的风险登记册

什么时候需要重新评估？

除了定期评估（建议至少每年一次），以下事件应触发重新评估：

触发事件	示例
重大变更	上线新系统、迁移云平台、组织架构调整
安全事件	发生数据泄露、遭受勒索攻击
新威胁	出现新的零日漏洞、新型攻击手法
法律法规变化	《数据安全法》实施细则发布
业务变化	开拓新市场、合并收购
审核发现	内审或外审发现重大不符合

风险评估的”轻量化”实践

很多组织觉得风险评估太重，做一次就要几个月。实际操作中可以分层次：

层次	频率	方法	工作量
全面评估	年度	资产-威胁-脆弱性矩阵	2-4周
专项评估	按需	针对特定系统/场景	1-3天
快速扫描	月度	基于威胁情报的增量评估	数小时

核心原则：风险评估不必每次推倒重来，增量更新比全量重做更实际。

四、附录A控制措施的实施——93项的落地策略

ISO 27001:2022 附录A 包含93项控制措施，分为4个主题域：

主题域	控制项数量	核心关注
5 组织控制	37项	治理、策略、人员、供应链
6 人员控制	8项	任前、任中、任后
7 物理控制	14项	办公场所、设备、环境
8 技术控制	34项	密码学、访问控制、日志、开发

落地四步法

第一步：适用性声明（SoA）

为每一项控制措施回答三个问题：

问题	选项	说明
是否适用？	适用/不适用	不适用必须有理由
实施状态？	已实施/计划中	计划中需有日期
实施证据？	文件/截图/记录	可追溯

第二步：按优先级实施

根据风险等级决定实施顺序：

优先级	条件	示例
P0 立即	已发生安全事件或法规强制	A.5.10 可接受使用、A.8.5 认证
P1 3个月内	高风险且实施成本低	A.5.7 威胁情报、A.8.4 访问控制
P2 6个月内	中等风险	A.5.8 项目安全、A.8.25 安全开发生命周期
P3 12个月内	低风险或实施成本高	A.7.7 清空桌面和屏幕

第三步：技术控制优先自动化

34项技术控制中，能用工具自动化的绝不依赖人：

控制项	自动化方案
A.8.5 安全认证	SSO + MFA（Okta/Azure AD）
A.8.8 日志管理	SIEM（Splunk/ELK）
A.8.9 恶意软件防护	EDR（CrowdStrike/Carbon Black）
A.8.15 日志记录	自动采集 + 集中存储
A.8.16 监控活动	SIEM 告警规则
A.8.20 网络安全	防火墙 + 微隔离
A.8.24 密码使用	密码策略强制执行

第四步：持续有效性验证

实施了不等于有效。验证方法：

验证类型	频率	方法
自动化合规检查	持续	CIS Benchmark 扫描
渗透测试	年度	第三方红队评估
钓鱼演练	季度	模拟钓鱼邮件
访问权限审计	半年	权限回收检查

五、8.3 ISMS内部审核——自查的闭环

标准要求

组织应按策划的间隔实施内部审核，以提供ISMS是否符合组织自身要求和国际标准要求的信息。

内审不是走过场，它是管理评审（9.3）的输入，直接影响ISMS的改进方向。

内审实操要点

审核方案设计：

要素	建议
频率	至少每年一次全覆盖
审核员	不能审自己的工作
抽样	每个条款至少2-3个样本
依据	ISO 27001条款 + 组织内部制度

审核检查表示例（第8章）：

审核项	检查方法	证据
RTP执行情况	抽查5项风险处置措施	实施记录、配置截图
风险评估更新	查最近一次评估报告	风险登记册更新日期
控制措施有效性	查访问日志+告警记录	SIEM截图
外包过程管控	抽查2个供应商	合同条款、评估记录
内审不符合整改	查上次内审发现	纠正措施记录

六、常见审核发现与应对

不符合项	根因	纠正措施
RTP中的措施未执行	策划与执行脱节	建立措施跟踪机制，设里程碑
风险评估从未更新	评估做完就归档	建立触发式评估机制
SoA中”不适用”无理由	照搬模板	逐条论证不适用原因
技术控制依赖人工	预算不足或意识不够	优先自动化高风险控制
内审流于形式	审核员能力不足	培训内审员或引入外部支持

七、第8章与PDCA循环

第8章完整覆盖了PDCA的”DO”阶段：

Plan (6)  →  Do (8)  →  Check (9)  →  Act (10)
              ↑
        ┌─────┴──────┐
        │ 8.1 执行RTP │
        │ 8.2 持续评估 │
        │ 附录A 控制落地│
        │ 8.3 内部审核 │
        └────────────┘

第8章做不好，第9章的绩效评价就是空中楼阁，第10章的改进也无从谈起。运行是管理体系的心脏，其他章节都是为它服务的。

总结

ISO 27001 第8章的核心逻辑：

把策划变成行动（8.1），在行动中持续评估风险（8.2），用93项控制措施把安全做实（附录A），用内审检查自己（8.3）。

最关键的认知转变是：安全不是一次性工程，是持续运营。 附录A的93项不是”做一次就完了”，而是”做了还要验证，验证了还要持续有效”。

参考资源

ISO/IEC 27001:2022 第8章原文
ISO/IEC 27002:2022 控制措施实施指南
ISO/IEC 27005:2022 信息安全风险管理
NIST Cybersecurity Framework: https://www.nist.gov/cyberframework

ISO 27001 第8章运行控制：信息安全的”施工图”

一、第8章的结构与逻辑

二、8.1 运行策划和控制

标准要求

风险处置计划（RTP）到运行的映射

运行控制的”三层模型”

外包过程的运行控制

三、8.2 信息安全风险评估——运行中的动态评估

标准要求

什么时候需要重新评估？

风险评估的”轻量化”实践

四、附录A控制措施的实施——93项的落地策略

落地四步法

五、8.3 ISMS内部审核——自查的闭环

标准要求

内审实操要点

六、常见审核发现与应对

七、第8章与PDCA循环

总结

参考资源

发送评论 编辑评论

推荐文章

发送评论编辑评论