把安全框架
讲成看得懂的故事

ISO/IEC 27001 关心的是：你有没有一套“信息安全管理体系”（ISMS），而不仅仅是几条零散的技术措施。

• 标准主体：要求你有“管理体系”（方针、职责、流程、风险管理等）。
• 附录 A：一组控制项（例如访问控制、变更管理、日志与监控等）。
• 审计时常见问题：你是否知道有哪些控制，哪些已经到位，哪些还在计划中。

SOC 2 面向服务类公司，核心是几类“信任服务准则”（TSC），例如安全性、可用性、保密性等。

• 常见 TSC：Security（安全）、Availability（可用性）、Confidentiality（保密）等。
• 报告重点：你说自己做了什么控制，这些控制是否真的存在并有效运行。
• 对技术团队来说：本质是把“好好做事”的做法写清楚、证据留完整。

TechNET 不把 ISO 27001 和 SOC 2 当成两本完全独立的书，而是当成两种“视角”：

• 底层是一套统一的控制库；每条控制可以对应 ISO 27001 的条款，也可以对应 SOC 2 的 TSC。
• 在产品里，你看到的是一个合并视图，而不是两份完全分开的 checklist。
• 这样做的好处是：团队只维护一套实际做的事，审计报告需要哪种框架就从这套里“投影”。