2026西湖龙井茶官网DTC发售:茶农直供,政府溯源防伪到农户家
您的信息安全管理体系(ISMS)已通过认证。您的适用性声明涵盖了各项控制措施。审核员抵达后,对您的域名执行了域名系统(DNS)查询。
dig _dmarc.yourdomain.com TXT +short
输出结果显示 p=none。审核员对此做了记录。
这并非假设情景。自 ISO 27001:2022 首次将附录 A.5.14 — 信息传输列为明确的附录 A 控制措施以来,基于邮件的域名认证、报告和一致性(DMARC)策略强制执行已成为信息安全管理体系(ISMS)审计的标准检查项目。如果您的组织此前依据 ISO 27001:2013 标准获得认证,且在过渡到 2022 版标准后未重新审查电子邮件安全控制措施,那么您的适用性声明中存在实质性缺口——无论审核员是否已经发现这一点。
本指南将每项电子邮件和域名系统(DNS)安全控制措施映射到其满足的具体附录 A 条款,解释审核员检查的内容以及他们接受的证据类型,并指出在信息安全管理体系(ISMS)电子邮件安全审查中最常出现的三项发现。
为何 2022 版标准改变了局面
ISO 27001:2013 并未包含针对电子邮件中信息传输安全的明确附录 A 控制措施。组织可以通过对网络安全和通信的一般性控制来满足信息安全要求,而无需在其适用性声明(SoA)中正式解决发件人策略框架(SPF)、域名密钥识别邮件(DKIM)、基于邮件的域名认证、报告和一致性(DMARC)或邮件传输代理严格传输安全(MTA-STS)等问题。
ISO 27001:2022 引入了附录 A.5.14 — 信息传输作为一项新的、具名的控制措施。它明确要求为跨所有渠道(包括电子邮件)的信息传输制定“规则、程序和协议”。邮件传输代理严格传输安全(MTA-STS)和基于邮件的域名认证、报告和一致性(DMARC)作为这些规则的自动化技术强制手段。2022 版修订还重新组织和编号了控制措施;几项与电子邮件相关的控制措施在不同条款间进行了移动。
现有认证的过渡截止日期为 2025 年 10 月 31 日。尚未过渡到 ISO 27001:2022 的认证不再有效。如果您的信息安全管理体系(ISMS)是依据 2013 版标准认证的,那么针对 2022 版标准的审计要求您必须在适用性声明(SoA)中明确添加电子邮件安全控制措施——不能将其视为已被旧的、更广泛的控制措施隐含覆盖。
涵盖电子邮件和域名系统(DNS)安全的附录 A 控制措施
ISO 27001:2022 中有四项附录 A 控制措施直接对应电子邮件和域名系统(DNS)安全。每一项都有特定的范围、特定的技术实现和特定的证据要求。
附录 A.5.14 — 信息传输
范围:确保通过所有渠道(包括电子邮件)传输的信息得到适当保护的规则、程序和协议。
对电子邮件的要求:制定成文的电子邮件安全政策,并由自动应用这些政策的技术强制控制措施提供支持。2022 版指南明确指出,首选自动化强制手段(而非依赖用户的程序)。
满足 A.5.14 的技术控制措施:
设置为 p=quarantine(隔离)或 p=reject(拒绝)的基于邮件的域名认证、报告和一致性(DMARC)是主要控制措施。它自动强制执行您的电子邮件身份验证政策——未能通过发件人策略框架(SPF)和域名密钥识别邮件(DKIM)身份验证的电子邮件将根据您的策略级别被隔离或拒绝。关键词是强制。p=none 仅收集数据而不执行任何强制措施。它不能作为主动保护控制措施满足 A.5.14 的要求。
处于强制模式下的邮件传输代理严格传输安全(MTA-STS)是入站电子邮件传输安全的补充控制措施。它指示发送方邮件服务器在向您的域名投递电子邮件时必须使用传输层安全协议(TLS),并拒绝无法建立安全连接的投递尝试。如果没有它,
免责声明:本文内容来自互联网,该文观点不代表本站观点。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,请到页面底部单击反馈,一经查实,本站将立刻删除。
