Skill

implementing-iso-27001-information-security-management

Guides full-lifecycle ISO 27001:2022 ISMS implementation: scoping, risk assessment, Annex A controls, SoA, audits, and certification.

security

npx claudepluginhub killvxk/cybersecurity-skills-zh

Tool Access

This skill uses the workspace's default tool permissions.

Preview

ISO/IEC 27001:2022 是建立、实施、维护和持续改进信息安全管理体系（ISMS）的国际标准。本技能涵盖从范围界定到认证的完整生命周期，包括附录 A 控制措施选择、风险评估方法论、适用性声明（SoA）的创建和持续改进流程。

Supporting Assets

LICENSEassets/template.mdreferences/api-reference.mdreferences/standards.mdreferences/workflows.mdscripts/agent.pyscripts/process.py

SKILL.md

Similar Skills

implementing-iso-27001-information-security-management

Guides ISO 27001:2022 ISMS implementation from scoping to certification, covering clauses 4-10, Annex A controls, risk assessment, and SoA creation. Useful for compliance and security architecture.

asi

implementing-iso-27001-information-security-management

5.9k

Guides full ISO 27001:2022 ISMS lifecycle: scoping, clauses 4-10, Annex A controls, risk assessment, SoA, audits, and certification.

7 files

cybersecurity-skills

iso-expert

Provides expert guidance on ISO 27001 ISMS clauses 4-10, 93 Annex A controls, certification process, risk assessment, audits, and continual improvement for information security compliance.

4 tools

iso27001

Stats

Stars10

Forks1

Last CommitMar 17, 2026

Actions

View Source View Plugin View on GitHub View README

Help us improve

Share bugs, ideas, or general feedback.

实施 ISO 27001 信息安全管理

概述

前置条件

了解信息安全原则和风险管理概念
熟悉组织治理结构和业务流程
了解 IT 基础设施、网络架构和数据流
可访问 ISO/IEC 27001:2022 和 ISO/IEC 27002:2022 标准文件

核心概念

ISMS 条款（4-10）

管理体系要求定义了必须做什么：

条款 4 — 组织背景：定义范围、相关方和内外部问题
条款 5 — 领导力：高层管理承诺、信息安全政策、角色和职责
条款 6 — 规划：风险评估流程、风险处置计划、信息安全目标
条款 7 — 支持：资源、能力、意识、沟通、文件化信息
条款 8 — 运营：运营规划、风险评估执行、风险处置实施
条款 9 — 绩效评价：监控、测量、内部审计、管理评审
条款 10 — 改进：不符合项、纠正措施、持续改进

附录 A 控制措施（2022 版）

2022 年修订版将 93 项控制措施重新整合为四类：

类别	控制措施数	示例
组织类（A.5）	37 项	政策、角色、威胁情报、云安全
人员类（A.6）	8 项	筛查、意识培训、远程工作、报告
物理类（A.7）	14 项	安全边界、入口控制、设备安全
技术类（A.8）	34 项	访问控制、加密、日志记录、安全开发

2022 版新增控制措施

新增了 11 项控制措施：

A.5.7 — 威胁情报
A.5.23 — 云服务信息安全
A.5.30 — 业务连续性的 ICT 准备
A.7.4 — 物理安全监控
A.8.9 — 配置管理
A.8.10 — 信息删除
A.8.11 — 数据脱敏
A.8.12 — 数据泄漏预防
A.8.16 — 监控活动
A.8.23 — Web 过滤
A.8.28 — 安全编码

实施步骤

第一阶段：差距分析和范围界定（第 1-4 周）

定义 ISMS 范围边界（位置、业务单元、系统）
识别相关方及其要求
对照 ISO 27001:2022 要求进行差距分析
记录内外部背景（PESTLE、SWOT）
获得高层管理承诺并分配预算

第二阶段：风险评估（第 5-10 周）

定义风险评估方法论（基于资产、基于场景或混合）
创建涵盖信息、人员、流程、技术的资产清单
识别每项资产的威胁和漏洞
使用定义的标准评估风险可能性和影响
计算风险等级并确定风险处置选项（缓解、接受、转移、规避）
制定风险处置计划（RTP）

第三阶段：控制措施选择和 SoA（第 11-14 周）

将风险处置映射到附录 A 控制措施
创建适用性声明（SoA），记录：
- 哪些控制措施适用及其理由
- 哪些控制措施被排除及其理由
- 每项控制措施的实施状态
设计带负责人和时间线的控制实施计划

第四阶段：实施（第 15-30 周）

制定并批准信息安全政策
实施所选附录 A 控制措施
创建强制性文件程序：
- 信息安全政策（A.5.1）
- 风险评估流程（条款 6.1.2）
- 风险处置流程（条款 6.1.3）
- 内部审计计划（条款 9.2）
- 管理评审流程（条款 9.3）
- 纠正措施程序（条款 10.1）
部署技术控制措施和安全工具
为所有人员开展安全意识培训

第五阶段：内部审计和管理评审（第 31-36 周）

规划并执行覆盖所有条款和适用控制措施的内部审计计划
记录审计发现和不符合项
实施带根本原因分析的纠正措施
开展管理评审，涵盖：
- 以往措施的状态
- 内外部问题的变化
- 信息安全绩效指标
- 审计结果和风险评估结果
- 改进机会

第六阶段：认证审计（第 37-42 周）

第一阶段审计：文件审查、准备情况评估
处理第一阶段发现的问题
第二阶段审计：ISMS 有效性的现场评估
解决任何不符合项（重大不符合项需要重新审计）
获得 ISO 27001 认证（有效期 3 年）

第七阶段：持续改进（持续进行）

年度监督审计（第 1 年和第 2 年）
再认证审计（第 3 年）
定期风险再评估和控制有效性审查
事件驱动的改进和经验教训整合

关键工件

ISMS 范围文件
信息安全政策
风险评估方法论
风险登记表和风险处置计划
适用性声明（SoA）
内部审计报告
管理评审会议记录
纠正措施登记表
指标和 KPI 仪表板

常见陷阱

范围过宽或过窄，导致审计复杂化
将 ISO 27001 视为检查框练习，而非融入业务流程
高层管理参与和承诺不足
未能维护控制运行的文件证据
威胁环境变化时不进行定期风险再评估
过渡期间忽略 2022 版的 11 项新增控制措施

集成点

ISO 27002:2022：附录 A 控制措施的详细实施指南
ISO 27005：信息安全风险管理方法论
ISO 27017：云安全控制措施
ISO 27018：云服务中个人身份信息（PII）保护
ISO 27701：隐私信息管理体系（PIMS）扩展
NIST CSF 2.0：用于双重合规的交叉映射
SOC 2：重叠的信任服务标准

参考资料

ISO/IEC 27001:2022 信息安全管理体系
ISO/IEC 27002:2022 信息安全控制措施
ISO/IEC 27005:2022 信息安全风险管理
ISMS.online ISO 27001 附录 A 指南：https://www.isms.online/iso-27001/annex-a-2022/
IT Governance ISO 27001 控制指南：https://www.itgovernance.co.uk/blog/iso-27001-the-14-control-sets-of-annex-a-explained