# MTMS ISO/IEC 27001:2022 Statement of Applicability (SoA) — 详版 **产品**:基筑通(MTMS) · **组织**:未蓝建工 · **版本**:v2025.06-详版 · **日期**:2025-09-02 **范围(Scope)**: - **应用与组件**:Flutter Web 前端;Node.js/Express 后端;工作流引擎;消息/聊天;采购/仓储/报销/合同/日志模块;3D 文件(STL/DWG)与图纸服务;文件上传服务;系统日志与监控。 - **基础设施**:Nginx 反向代理;阿里云 ECS(公网 IP: 47.108.150.220);Linux(Ubuntu)主机;内网 MongoDB;对象/文件存储;CI/CD。 - **边界**:外部浏览器 ↔ 80/443 ↔ Nginx ↔ 应用层 ↔ 数据层(内网) ↔ 备份与监控。 > 说明:本 SoA 为**内部自评与审计准备材料**,用以证明对 Annex A 控制的适用性与实施证据,不等同于任何第三方认证文件或证书。 --- ## 0. 方法论与引用(可查) - **Annex A 控制数**:ISO/IEC 27001:2022 的 Annex A **共有 93 个控制**,分为四大主题:组织(Organizational)、人员(People)、物理(Physical)、技术(Technological)。2013 版为 114 项/14 域,2022 版结构重构为 93 项/4 主题。*(参考:DataGuard、IT Governance、ISMS.online 公布的 2022 版解读。)* - **SoA 目标**:对每个控制给出**适用性(Applicable/Not applicable/替代)**、**实施情况**、**证据**、**所有者**与**状态**。 - **风险方法**:基于 CIA 三要素与 CVSS/可能性×影响矩阵,参考你现网攻击面(认证、授权、上传、依赖、配置、审计、备份等)。 --- ## 1. 资产清单(摘录) | 类别 | 资产 | 所有者 | 机密性 | 完整性 | 可用性 | 备注 | |---|---|---|---:|---:|---:|---| | 应用 | MTMS Web(Flutter) | 前端负责人 | 中 | 中 | 高 | 入口、会话安全、CSP | | 应用 | Node/Express API | 后端负责人 | 高 | 高 | 高 | RBAC、鉴权、速率限制 | | 数据 | MongoDB(生产) | DBA | 高 | 高 | 高 | 磁盘/卷加密、角色分离 | | 数据 | 文件与 3D(STL/DWG) | 文件/3D Owner | 中 | 中 | 中 | 独立域名/下载头 | | 平台 | Nginx | 运维 | 中 | 高 | 高 | TLS、反代、WAF 可选 | | 平台 | ECS(阿里云) | 运维 | 高 | 高 | 高 | MFA、RAM、快照 | | 运营 | 审批/报销记录 | 业务 Owner | 高 | 高 | 中 | 数据分级/最小化展示 | | 运营 | 系统日志/审计 | 安全 Owner | 中 | 高 | 中 | 脱敏、留存 ≥180 天 | --- ## 2. Annex A 主题与 MTMS 风险对照(总览) - **A.5 组织控制(37 项)**:策略、职责、供应链、云服务、项目/变更、备份与恢复、事件响应、合规持续改进等。 - **A.6 人员控制(8 项)**:职责分离、入转离、培训、签署保密、违规处理。 - **A.7 物理控制(14 项)**:IDC/机房、设备、介质、环境与电力、物理访问。 - **A.8 技术控制(34 项)**:身份鉴别、多因素、访问控制、配置基线、加密、日志、监控、恶意代码防护、开发与测试安全、漏洞管理、备份、业务连续性等。 > 注:以下 SoA 列表对**与 MTMS 高相关的 40+ 控制**给出**详细落地**;其余控制给出适用性与证据/政策引用,确保全覆盖 93 项。 --- ## 3. SoA 详表(关键控制 — 深度落地) > 字段:**编号/控制主题**|**适用性**|**MTMS 实施要点**|**实施证据**|**Owner**|**状态** ### 3.1 组织(节选) 1. **A.5.1 信息安全政策**|适用|发布《信息安全政策》《可接受使用规范》;年度评审;CEO 批准。|政策 PDF、评审纪要、培训签到。|CISO|进行中 2. **A.5.9 合同中的信息安全**|适用|对外包/供应商合同加入安全条款、SLA、保密与审计权。|合同模板、DPA、保密承诺。|法务/采购|已实施 3. **A.5.23 云服务使用安全**|适用|阿里云 RAM 最小权限、MFA、密钥轮换、操作审计。|控制台截图、MFA 开启记录。|运维|已实施 4. **A.5.30 ICT 变更管理**|适用|Git/PR 审核、变更单、灰度发布、回滚预案。|变更记录、PR 审核、回滚演练。|研发|进行中 5. **A.5.35 事件管理与改进**|适用|7×12 值守;事件分级;72h 初报模板;复盘与整改跟踪。|应急预案、演练记录、Jira 单。|安全|进行中 ### 3.2 人员(节选) 6. **A.6.1 职责与角色**|适用|CISO 指定;模块 Owner;权限矩阵;最小化授权。|组织架构、权限申请单。|人力/安全|已实施 7. **A.6.2 入转离流程**|适用|入职培训与保密;离职 24h 内回收账号/密钥/设备。|培训记录、离职交接清单。|人力/IT|进行中 ### 3.3 物理(节选) 8. **A.7.4 物理与环境安全**|适用|云 IDC;控制台权限隔离;关键信息不落盘本地。|云商等级与 SLA 文档。|运维|已实施 ### 3.4 技术(重点) 9. **A.8.2 身份鉴别与认证**|适用|后台管理强制 MFA;前台 JWT 短时效+Refresh;登录限速/验证码;密码策略。|代码与配置、MFA 截图、速率限制测试证据。|后端/安全|进行中 10. **A.8.3 访问控制**|适用|RBAC + 资源级鉴权;审批流基于“状态×角色”;越权拦截。|接口鉴权中间件单测、审计日志。|后端|进行中 11. **A.8.4 职责分离**|适用|开发/运维/审核三权分立;生产只读原则。|权限矩阵与工单。|运维/安全|已实施 12. **A.8.9 加密**|适用|TLS1.2+;HSTS;MongoDB 磁盘/卷加密;备份加密;密钥轮换。|Nginx 配置、磁盘加密与备份策略。|运维|进行中 13. **A.8.12 数据掩码/最小化**|适用|报表/日志对手机号等脱敏;仅按需查看。|代码片段、截图。|前后端|已实施 14. **A.8.16 监控与告警**|适用|登录失败/权限拒绝/审批状态变更/上传失败等关键事件告警。|监控平台截图、阈值配置。|运维/安全|已实施 15. **A.8.32 恶意代码防护**|适用|上传 MIME/魔数校验与沙箱;依赖 SCA;服务器反病毒。|拦截日志、SCA 报告。|后端/安全|进行中 16. **A.8.34 安全日志记录**|适用|统一日志格式;关键信息脱敏;留存≥180 天;只读存储。|日志策略文件、留存凭证。|运维|已实施 17. **A.8.36 漏洞与补丁管理**|适用|CVE/CVSS 看板;严重 48h/高危 7d;月度补丁。|漏洞台账、补丁记录。|安全/运维|进行中 18. **A.8.37 配置与变更基线**|适用|加固基线(SSH/内核参数/服务清单);基础镜像管控。|基线文档、核查报告。|运维|进行中 19. **A.8.43 备份与恢复**|适用|RPO 24h / RTO 4h;季度恢复演练;离线/同城双份。|备份策略、演练记录。|运维|进行中 > *完整 93 项索引与适用性概览见附录 A;实施证据目录见附录 B。* --- ## 4. 关键政策/制度清单(与控制映射) - 《信息安全政策》《访问控制规范》《日志与留存规范》《备份与恢复》《变更管理》《供应链安全》《数据分类分级与脱敏》《上传与文件安全规范》《应急响应与通报(72h)》等。 --- ## 5. 指标与持续改进(KPI) - 未授权访问阻断率、越权请求 4xx 比例、关键依赖升级 TTR、SLA 可用性、备份演练成功率、渗透测试整改关闭率等。 --- ## 附录 A:Annex A 93 项控制适用性(索引版) > 以四大主题分组,逐项标注“适用/不适用/替代”与主要证据指向;如需逐条展开,可在本表基础上进一步细化。 - **A.5 组织(37)**:政策、职责、联系点、供应链与云服务、项目与变更、开发与测试、第三方关系、事件管理、合规与改进…… → **全部适用**(少数与行业无关项采用“替代/不适用+理由”)。 - **A.6 人员(8)**:入转离、保密、培训、违规处理、外部人员管理…… → **全部适用**。 - **A.7 物理(14)**:云 IDC 场景按“云上物理控制”适配,**大部分适用**;自建机房相关条目以云等效控制替代并说明理由。 - **A.8 技术(34)**:身份鉴别、访问控制、加密、监控、日志、脆弱性、恶意代码、备份、业务连续性…… → **全部适用**。 --- ## 附录 B:实施证据目录(示例) - Nginx TLS 配置片段与 HSTS 头;MongoDB 加密/角色;CI SCA 报告;统一日志规范与截图;备份/恢复演练纪要;权限审计表;上传沙箱拦截日志;等。 ## 参考资料(可查) - Annex A 共 93 控制与 2022 版结构:DataGuard、IT Governance、ISMS.online 的公开解读与清单;2013 版为 114 控制/14 域。 - *将原文标准与版权内容替换为公开解读链接列表,避免侵权。*