ISO 27001 资产台账:审计方真正想看什么
ISO 27001:2022 附录 A 控制措施 5.9 要求维护一份信息及相关资产的清单。本文给出实践性解读:需要哪些字段、能经得起审查的分类方案,以及认证机构会索取的证据包。
如果你正在推进 ISO 27001 认证或再认证,资产台账是最基础的审计证据之一。几乎所有其他控制措施——访问控制(5.15)、分类(5.12)、备份(8.13)、安全处置(7.14)、供应商管理(5.20)——都会引用它。做对了,其余不过是填写文件;做错了,审计中会出现遍及各处的发现项。
ISO 27001:2022 的原文表述
控制措施 5.9(信息及其他相关资产清单):
应编制并维护信息及其他相关资产的清单,包括所有者信息。
ISO 27002:2022 的实施指南对此作了扩展。清单应当:
- 涵盖信息资产、软件、硬件、服务以及持有或处理信息的人员。
- 定期审查和更新。
- 每项资产识别一位具名负责人。
- 反映整个资产生命周期的变化(采购、变更、处置)。
- 被其他控制措施引用——风险评估、分类、访问管理。
每项资产的最低字段要求
| 字段 | 重要性 |
|---|---|
| 资产 ID | 从风险处置和其他控制措施中引用的稳定标识符 |
| 资产名称/描述 | 清晰易读,无歧义 |
| 资产类型 | 信息、软件、硬件、服务、人员 |
| 负责人 | 具名的真实人员,而非共享邮箱或"IT 部门" |
| 保管人 | 日常运营负责人(可与负责人不同) |
| 分类级别 | 公开/内部/机密/限制(或你的自定义方案) |
| 位置 | 物理或逻辑位置(区域、数据中心、供应商) |
| 生命周期阶段 | 采购中/使用中/停用中/已报废 |
| 关联风险 | 风险台账中对应条目的引用 |
| 最近审查日期 | 日期和审查人 |
分类方案
无需使用我们的方案,但请选择一个明确的方案。一个经得起考验的四级方案:
| 级别 | 定义 | 示例 |
|---|---|---|
| 公开 | 对外公开无害 | 营销材料、公开网站内容 |
| 内部 | 仅限员工和承包商 | 内部文档、项目计划、组织架构图 |
| 机密 | 敏感;限知情必要原则 | 客户数据、财务记录、员工数据 |
| 限制 | 最高敏感度;极少数授权人员可访问 | 含密钥的源代码、并购文件、法律特权信息 |
每个分类级别都应映射到处理规则:如何传输、存储、共享、保留和销毁。分类方案文档本身就是审计证据。
需要纳入的资产类别
信息资产
客户数据库、员工记录、财务数据、知识产权、源代码、文档。关联到其存储位置(S3 存储桶、Postgres 数据库、Salesforce 实例)。
软件资产
SaaS 订阅、许可证软件、内部开发的应用程序、库、操作系统。每项附版本号、许可证和负责人。
硬件资产
笔记本电脑、服务器、移动设备、网络设备。与已存在的财务/生命周期 IT 资产台账交叉引用——相同的数据,面向不同的受众。
服务资产
Cloud 服务、第三方处理方、支付处理商、邮件服务提供商。许多与软件资产重叠,但视角不同(服务可用性、供应商风险)。
人员资产
拥有特权访问的角色、关键知识持有者、敏感数据保管人。不列出所有员工——只列出其角色本身即为控制点的人员。
审计方会索取的证据包
- 资产台账本身,字段已填写完整,最近审查日期符合政策要求。
- 分类政策文件。
- 风险台账中引用了资产台账 ID 的条目样本。
- 定期审查的证据——邮件、会议纪要、版本控制记录,显示台账已更新。
- 入职/调岗/离职证据,将人员变更与资产记录更新相关联。
- 处置证据——报告期内任何已报废资产的处置证书及对应台账更新。
- 资产负责人确认记录——显示每位负责人已接受问责的邮件或系统记录。
发现项从何而来
针对控制措施 5.9 最常见的 ISO 27001 发现项是:(a)台账存在但从未审查;(b)负责人是泛化的("IT 部门"而非具名人员);(c)台账存在但未被风险台账或其他控制措施引用。解决这三点,你就能消除大多数观察事项。
实践建议
- 一个台账,多个视图。不要单独维护一个"ISO 台账"和一个"IT 台账"。使用相同的数据模型,按受众过滤视图。
- 审查频率:至少每季度一次。有些公司每月审查;频率更低也可以,前提是变化不频繁。写下政策并遵守它。
- 自动化入职/离职触发。手动更新会腐化台账。能存活下来的台账,是作为正常运营的副产品自动更新的——身份提供商变更、采购事件、硬件入库。
- 保持负责人信息最新。每次组织架构调整都会打破负责人关系。建立 90 天检查机制,标记角色已变更的负责人。
- 不要过度设计分类方案。四个级别已经足够。设有八级方案的公司发现没有人能记住,导致资产分类不一致。
InventorIA 如何提供支持
InventorIA 的数据模型直接映射到 ISO 27001 资产台账要求。负责人关联到身份记录(确保是真实人员而非邮箱)。分类字段可配置。生命周期阶段被追踪。每次变更写入审计日志。认证机构导出是一键下载,包含审计方所需的风险和负责人关联信息。