8	Technological controls 技术控制（ISO/IEC 27001: 2022 附录A）
8.20	Networks security 网络安全	Control 控制 Networks and network devices shall be secured, managed and controlled to protect information in systems and applications. 应防护、管理和控制网络和网络设备以保护系统和应用中的信息。
8.21	Security of network services 网络服务的安全	Control 控制 Security mechanisms, service levels and service requirements of network services shall be identified, implemented and monitored. 网络服务的安全机制、服务级别和管理要求应予以识别、实施和监视。
8.22	Segregation of networks 网络隔离	Control 控制 Groups of information services, users and information systems shall be segregated in the organization’s networks. 应在组织网络中隔离信息服务、用户及信息系统所使用的网络。
8.23	Web filtering 网页过滤	Control 控制 Access to external websites shall be managed to reduce exposure to malicious content. 应对外部网站的访问进行管理，以减少暴露于恶意内容。
8.24	Use of cryptography 密码学的使用	Control 控制 Rules for the effective use of cryptography, including cryptographic key management, shall be defined and implemented. 有效使用密码学的规则，包括密钥的管理，应被定义，并予以实施。

A.10 密码（ISO/IEC 27001: 2013 附录A）
A.10.1 密码控制
目标:确保适当和有效地使用密码技术以保护信息的保密性、真实性和(或)完整性。
A.10.1.1	密码控制的使用策略	控制 应开发和实现用于保护信息的密码控制使用策略。
A.10.1.2	密钥管理	控制 应制定和实现贯穿其全生命周期的密钥使用、保护和生存期策略。
A.13 通信安全（ISO/IEC 27001: 2013 附录A）
A.13.1 网络安全管理
目标:确保网络中的信息及其支持性的信息处理设施得到保护。
A.13.1.1	网络控制	控制 应管理和控制网络以保护系统和应用中的信息。
A.13.1.2	网络服务的安全	控制 所有网络服务的安全机制、服务级别和管理要求应予以确定并包括在网络服务协议中,无论这些服务是由内部提供的还是外包的。
A.13.1.3	网络中的隔离	控制 应在网络中隔离信息服务、用户及信息系统。

控制解析：

新版的A.8.23是新增加的控制项，新版的A.8.20是ISO/IEC 27001: 2013的A.13.1.1，新版的A.8.21是ISO/IEC 27001: 2013的A.13.1.2，新版的A.8.22是ISO/IEC 27001: 2013的A.13.1.3，新版的A.8.24是由ISO/IEC 27001: 2013的A.10.1.1和A.10.1.2合并而成的。组织应根据《信息资产管理程序》（A.5），输出《网络安全管理规范》，该规范应涵盖A.8.20 & A.8.21 & A.8.22 & A.8.23 & A.8.24要求。为保护网络中的信息及信息处理设施的安全，应根据风险评估结果对组织的网络安全进行策划，并对策划的内容进行实施。策划内容包括但不限于：网络分区管理，网络设备管理责任和管理规范，网络设施的日志管理，网络流量异常监控，防火墙，IPS/IDS ，网络准入，漏洞扫描，敏感信息传输加密，关键设施的冗余设计等（A.8.20）。网络服务（如宽带服务、VPN服务、防火墙和入侵检测系统等），在服务协议中应明确服务的安全机制、服务级别和管理要求，并在服务过程中进行监视（A.8.21）。组织内部网络应做分区管理，可以通过物理隔离或逻辑隔离将组织内部网络分成不同的网络域（A.8.22）。组织应确定人员应该或不应该访问的网站类型。组织应考虑通过通过技术阻断有关网站的IP地址或域名等技术手段屏蔽以下类型的网站：（1）具有信息上传功能的网站，除非出于有效的商业原因被允许；（2）已知或怀疑有恶意网站（例如，散布恶意软件或网络钓鱼内容的网站）；（3）指挥和控制服务器；（4）从威胁情报获取的恶意网站（见A.5.7）；（5）分享非法内容的网站（A.8.23）。本控制（A.8.24）所说的“密码”与“口令”是有区别的，这里的“密码”与《中华人民共和国密码法》中的“密码”是同一个东西，因此任何组织在研发、销售和使用密码产品时，需要符合《中华人民共和国密码法》等相关法律法规。实施本控制需要形成书面的密码使用策略，如公司核心商业秘密，采用HASH密码加密，普通商业秘密采用对称密码AES256加密等。需要管理规范中明确密钥管理相关内容，如密钥的生成、分发、撤销、恢复等管理，以及密钥丢失处理方法等（A.8.24）。

实施本控制应输出的文档：

《网络安全管理规范》。网络安全规划、网络拓扑图、网络安全设施清单。网络服务协议。网站屏蔽清单。密钥申请、分发和销毁记录。

本控制审核要点：

了解组织网络安全规划和实施情况，网络安全设施，是否风险处置一致。审核网络服务协议中中是否有明确服务的安全机制、服务级别和管理要求。查看网络拓扑图，审核网络分区管理情况，敏感区域（研发、生产、机房）网络是否有做隔离，同时敏感区域是否于普通办公区域网络有隔离。审核密码管理相关规范，密钥生命周期管理，是否有按照文件要求对密钥进行管控。审核网站屏蔽清单，抽查部分员工电脑，是否能访问屏蔽的网站。