57、若一个组织声称自己的 ISMS 符合 SO/EC27001 或 GBT22080 标准要求,其信息安全控制措施通常要在物理和环境安全方面实施规划控制,物理和环境安全领域包括安全区域和设备安全两个控制目标。安全区域的控制目标是防止对组织场所和信息的未授权物理访问、损坏和干扰,关键或敏感的信息以及信息处理设施应放在安全区域内,并受到相应保护,该目标可以通过以下控制措施来实现,下列不包括哪一项( )

本题考查的是ISO/IEC 27001（等同于我国国家标准GB/T 22080）标准中“物理和环境安全”（Physical and Environmental Security）控制域的具体内容，特别是其第一个控制目标——“安全区域”（Secure Areas）所涵盖的控制措施。 根据ISO/IEC 27001:2022（及对应GB/T 22080—2016）标准，**物理和环境安全**（A.7）分为两个控制目标： 1. **A.7.1 安全区域**（Secure areas）：旨在防止对组织场所和信息的未授权物理访问、损坏和干扰；确保关键/敏感信息及信息处理设施置于受保护的安全区域内。 2. **A.7.2 设备安全**（Equipment security）：关注设备的安置、保护、维护与处置，防止资产丢失、损坏、被盗或遭受有害影响。 其中，**A.7.1 安全区域**包含以下典型控制措施（对应标准附录A中的具体控制项）： - A.7.1.1 物理安全边界（Physical security perimeters） - A.7.1.2 物理入口控制（Physical entry controls） - A.7.1.3 办公室、房间和设施的安全保护（Securing offices, rooms and facilities） - A.7.1.4 外部威胁与环境威胁的防护（Protecting against external and environmental threats） - A.7.1.5 在安全区域工作（Working in secure areas） - A.7.1.6 公共访问、交接区安全（Delivery and loading areas） 逐项分析选项： A：物理安全边界、物理入口控制 → 对应标准A.7.1.1和A.7.1.2，属于安全区域的控制措施。✓ B：办公室、房间和设施的安全保护，外部和环境威胁的安全防护 → 对应A.7.1.3和A.7.1.4，属于安全区域范畴。✓ C：在安全区域工作，公共访问、交接区安全 → 对应A.7.1.5和A.7.1.6，明确属于安全区域的控制要求。✓ D：通信安全、合规性 → “通信安全”属于标准中**第8章（A.8 通信安全）** 的控制域（如网络传输加密、电子邮件安全、信息交换策略等），与物理访问控制无关； “合规性”则属于**第18章（A.18 合规性）**，涉及法律法规、合同义务及审计要求，是跨领域的管理要求，并非物理和环境安全的具体实施措施。 因此，D项完全不属于“安全区域”这一控制目标下的控制措施。✗ 综上，本题要求选出“不包括”的一项，正确答案为D。 核心知识点总结： - ISO/IEC 27001标准采用“控制域—控制目标—具体控制措施”三级结构； - A.7 物理和环境安全仅涵盖物理层面的防护，不涉及逻辑/技术层面（如加密、协议）或管理层面（如合规评审、法律审查）； - 控制措施必须严格对应其所属控制目标；混淆不同章节（如将A.8通信安全或A.18合规性误纳入A.7）是常见错误； - GB/T 22080—2016为ISO/IEC 27001:2013的等同采用标准，GB/T 22080—202X（最新版）亦与ISO/IEC 27001:2022保持一致，本题所涉条款结构未发生实质性变化。