ISO27001里，威胁情报不是“锦上添花”，而是“安全底线”

你有没有发现，现在企业过ISO27001认证时，审核老师翻到A.8.2（信息安全事件管理）和A.5.7（威胁情报管理）条款时，问得越来越细了？不是简单看有没有收集漏洞信息，而是会盯着你问：“你们的情报来源是哪几个？怎么验证可信度？谁在分析？多久更新一次？有没有进风险处置闭环？”——这说明，ISO27001:2022版早已把威胁情报从“可选项”悄悄升级为“必答题”。

威胁情报，在标准里早有“实名登记”

新版标准虽没单独设“威胁情报”章节，但在A.5.7条款中明确要求：组织应“建立、实施和维护威胁情报的获取、分析、共享与应用机制”，重点落在“应用”二字上。换句话说，光订阅几份报告、群里转发个APT预警，不算数；必须能回答：这条情报触发了哪条控制措施？推动了哪次策略调整？比如某金融客户通过我们梳理的情报流，发现钓鱼邮件TTPs与本地员工行为日志匹配后，立刻优化了邮件网关规则——这才叫“落地”。

别让情报躺在邮箱里“吃灰”

很多企业买了威胁情报平台，结果数据堆成山，却没人看、没人判、没人跟。ISO27001真正想卡住的，是这个断点。它要的是“闭环思维”：情报→风险评估→控制措施调整→效果验证。九蚂蚁陪上百家企业走过认证路，最常帮客户补的，就是把零散的IOC（IP、域名、哈希值）和TTPs（攻击手法）嵌进资产清单、漏洞台账和应急响应预案里——让情报真正长出“牙齿”。

小公司也得有“轻量级情报引擎”

有人觉得威胁情报是大厂专利？其实不然。哪怕只有20人IT团队，用好开源情报（如MISP+VirusTotal+本地日志关联），再搭配定期红蓝对抗输出的战术情报，完全能满足A.5.7要求。关键不在工具多贵，而在“有没有专人盯、有没有流程转、有没有证据留”。我们在帮一家医疗器械企业做认证准备时，就用Excel+轻量API搭了个情报跟踪表，审核老师当场点头：“逻辑清、痕迹全、可追溯。”

说到底，ISO27001从不考核你有多“高精尖”，只看你是否真把威胁当成日常呼吸的一部分。情报不是报告，是动作；不是输入，是驱动。
——在九蚂蚁，我们不做PPT合规，只陪客户把标准“种”进每天的安全节奏里。