ISO27001新版来了！云计算安全不能再“凭感觉”过关

最近不少客户一进咨询窗口就问：“我们刚上完阿里云/天翼云，ISO27001还能不能做？”“等保+ISO双认证，现在到底要补哪些云上动作？”——别急，不是标准变严了，而是它终于“看懂”云计算了。

不再是“套模板”，云环境被单独拎出来考

2022版ISO/IEC 27001明确把云计算列为高风险场景，在附录A的控制项里新增了A.8.23（云服务安全） 和强化了A.5.24（供应链安全）。简单说：以前你把机房门锁好、日志导出来、做个年度内审，可能就过了；现在审核员第一句就问：“你们和云服务商签的SLA里，有没有明确数据主权归属？快照备份谁触发？密钥谁托管？”——这些，全得落在纸面、嵌进流程、能随时调阅。

“责任共担模型”不是挡箭牌，而是检查清单

很多人以为“用了合规云厂商=自动合规”，这是最大误区。新版标准反复强调：租户责任不因上云而转移。比如，云平台负责底层虚拟化安全（IaaS层），但你得自己管好账号权限策略、API密钥轮换、SaaS应用的数据分级（像用钉钉存合同，就得定义“敏感字段是否加密落库”）。九蚂蚁帮客户做差距分析时，80%卡点都在这一块——不是不会做，而是根本没意识到“这个也算我的ISMS范围”。

真正的落地抓手：从“文档堆砌”转向“配置即证据”

现在过审最有效的做法，是把安全控制“代码化”“自动化”。比如：

• 用Terraform脚本固化云上安全组规则（而非截图贴进制度文件）；
• 把密钥轮换周期写进云平台定时任务，并对接审计日志；
• 用CASB工具自动识别OSS桶是否误设为public-read。
  这些不是炫技，而是让审核员打开后台就能看到“活证据”——比翻十页《云安全管理制度》管用十倍。

如果你还在用三年前的老版检查表准备上云项目，真该重新盘一盘了。九蚂蚁最近帮17家科技公司完成云原生ISMS重构，平均缩短取证周期40%。需要一份适配你当前云架构的《27001云控项自查速查表》，留言“云合规”我们直接发你。