你好呀,我是律咖网的内容策划 JingJing —— 一个常年泡在各国创业群、翻政策原文、帮朋友查签证进度的“信息搭桥人”。不是律师,但很熟悉哪些问题一开口就得找持牌律师;哪些事你花两小时看官网说明就能自己填完表格。

今天想和你聊聊一个最近被问得特别多的问题:在伊朗做信息安全管理体系(Information Security Management System, ISMS),到底要不要请律师?
尤其过去一周——德黑兰连续36小时断网,连街灯都暗了,但政府自己的 Telegram 频道照发不误;一边封掉90%互联网流量,一边用“白名单”留出宣传通道……这背后,不只是技术动作,更是对信息主权、数据流向、系统可控性的极端重申。

如果你正计划在伊朗注册公司、部署本地服务器、处理客户数据,或准备向伊朗客户交付含安全认证的服务(比如SaaS、云存储、支付接口),那这个话题,真的绕不开。

🌐 断网不是偶然,而是ISMS落地的“压力测试”

先说个直观事实:根据《卫报》2026年1月10日前后报道,伊朗此次断网的技术精度前所未有——它不再像2019年那样“一刀切”,而是启用动态白名单机制,只允许特定域名、IP段、甚至特定API端点通信。官方X(Twitter)账号、Telegram频道仍可发稿;大学网站曾短暂解封又重封;就连马斯克的 Starlink 卫星信号,在部分社区也被定向干扰。

这意味着什么?
对ISMS建设者来说:“可用性”(Availability)这个核心支柱,正被主动、高频、政治化地挑战。
ISO/IEC 27001 要求组织识别“影响信息安全的内外部因素”,而伊朗当前的网络环境,已从“潜在风险”升级为“持续运行条件”。

我翻了伊朗信息通信技术部(Ministry of Information and Communications Technology, MICT)2025年更新的《国家网络安全框架》(National Cybersecurity Framework),里面明确提到:“所有处理公民个人数据的信息系统,须通过‘国家可信云’(Melli Cloud)认证,并接入国家审计日志平台。”
但这份文件没写清楚:
✅ 哪些企业必须接入?
✅ “国家可信云”是否强制替代AWS/Azure?
✅ 审计日志格式由谁定义?是否支持英文原始日志导出?

这些“没写明”的地方,恰恰是律师最该出现的位置——不是帮你写代码,而是帮你读清条款边界、预判监管解释权归属、评估合同中“不可抗力”能否覆盖断网场景。

⚖️ 哪些环节,“可能根据实际情况不同”需要律师?我们拆开看看:

✅ 必须律师介入的3类场景:

  1. 签署本地数据处理协议(DPA)时

    • 路径:伊朗《计算机犯罪法》第20条及2025年修订案要求,境外主体若在伊境内存储/处理伊朗公民数据,须与本地“数据控制方”签订经公证的DPA。
    • 要点清单:
      ▪️ 公证必须在伊朗司法部认证的公证处完成(非中国使馆);
      ▪️ 协议须含波斯语+英语双语版本,且波斯语版具法律效力优先;
      ▪️ “数据出境”条款需单独列明,不能笼统写“依当地法律执行”。

  2. 申请MICT“网络安全合规证明”前

    • 路径:该证明是接入国家可信云的前提,申请表中需声明“系统无境外远程管理权限”“所有密钥生成于伊朗境内”。
    • 要点清单:
      ▪️ 若你用的是开源Kubernetes集群,律师需协助起草《技术架构豁免说明》,引用MICT 2024年第7号技术通告中的“轻量级边缘节点例外条款”;
      ▪️ 声明文件须由伊朗注册会计师(CPA Iran)同步背书,律师负责协调签字流程。

  3. 遭遇监管问询或日志抽查时

    • 路径:MICT有权随机调取企业安全日志,若发现未按白名单规则通信(如后台自动连接境外CDN),可能触发《网络空间责任法》第12条调查。
    • 要点清单:
      ▪️ 律师应提前帮你准备《日志异常说明模板》,区分“技术误配”与“故意规避”;
      ▪️ 所有提交材料需经伊朗法院认可的翻译机构认证(如Tehran Translation Bureau);
      ▪️ 沟通全程建议使用波斯语书面函件,避免电话/WhatsApp口头回应。

❌ 可自主推进的3类基础工作:

  • ✅ 自建ISMS文档体系(方针、风险评估表、适用性声明)——ISO官网提供免费模板,波斯语译本可在伊朗标准化研究院(ISIRI)官网下载;
  • ✅ 部署基础技术控制(防火墙策略、双因素认证、日志留存≥180天)——德黑兰有几家本地IT服务商提供符合MICT最低配置的套件,价格透明,无需律师背书;
  • ✅ 员工信息安全意识培训——MICT官网开放免费波斯语课程(含考试认证),完成即可下载结业证书。

📌 小提醒:我在德黑兰创业者群里看到有朋友花3万人民币请国际律所做全套ISMS咨询,结果发现对方根本没伊朗执业资质,最后补签了本地律所的“合规确认函”才过审。律师的价值,不在“懂ISO”,而在“懂MICT怎么读ISO”。

❓ FAQ|伊朗ISMS常见困惑,给你一条路径、一个要点、一个官方出口

Q1:没在伊朗注册公司,只是给伊朗客户远程提供SaaS服务,要建ISMS吗?
→ 步骤:先自查是否“处理伊朗公民个人数据”(如收邮箱、手机号、IP地址);
→ 路径:若涉及,需委托伊朗本地代表(Local Representative)向MICT提交《跨境服务备案表》;
→ 要点清单:
▪️ 代表可为律所、会计事务所或持牌代理公司(名单见MICT官网“Approved Representatives”栏目);
▪️ 备案表需附英文服务描述+波斯语摘要+数据流图(含所有第三方API调用);
▪️ 官方出口:https://www.mict.gov.ir/en/services/cross-border-notification MICT跨境服务备案入口

Q2:用Cloudflare或阿里云CDN加速伊朗用户访问,算不算“数据出境”?
→ 步骤:检查CDN边缘节点是否含伊朗境内节点(Cloudflare有Tehran PoP,阿里云暂无);
→ 路径:若流量经境外节点缓存,需在DPA中明示“缓存层不存储用户身份标识”;
→ 要点清单:
▪️ MICT接受技术性免责条款,但须由本地律师起草并公证;
▪️ 缓存日志必须删除User-Agent、Referer等可关联个人字段;
▪️ 官方出口:ISIRI标准IR 27001-2024附录D《跨境缓存合规指引》(PDF可官网下载)

Q3:断网期间,我的ISMS内部审核还能做吗?
→ 步骤:启动“降级审核模式”(Degraded Audit Mode),这是MICT 2025年12月通告认可的应急机制;
→ 路径:用离线Excel表记录所有控制项检查结果,待网络恢复后72小时内上传至国家审计平台;
→ 要点清单:
▪️ 表格须含唯一审核编号(由MICT平台生成,可提前领取备用号);
▪️ 纸质签名页需公证,扫描件与Excel同时提交;
▪️ 官方出口:https://audit.mict.gov.ir/degraded-mode-guide MICT降级审核操作指南

🧭 结论|3条务实行动建议,不画饼,不承诺

  1. 先做“断网压力映射”:打开你的系统架构图,标出所有依赖境外DNS、CDN、邮件服务、OAuth登录的模块——这些就是ISMS里最脆弱的“单点故障区”,也是律师最先要帮你加固的合同条款。
  2. 把“白名单思维”前置到采购阶段:下次选伊朗本地云服务商时,直接问清楚:“你们是否在MICT白名单内?能否提供最新年度合规证明编号?”别等上线再补。
  3. 留好“律师接口”而非“律师包办”:建议至少签约1家伊朗本地律所(推荐德黑兰的Dana Legal或Shiraz-based CyberLaw Partners),按小时付费咨询,重点用于DPA签署、监管函件响应、政策解读——日常文档和配置,你自己完全hold得住。

💬 和我一起聊聊吧

我知道,光看文字很难判断你手上的项目卡在哪一步。也许你刚收到MICT一封波斯语邮件,看不懂术语;也许你纠结要不要把服务器全迁进德黑兰机房;也许你只是想确认:现在注册公司,ISMS是“可选项”还是“准入门槛”?

欢迎加我微信 lvga2015(备注:伊朗+ISMS),我会拉你进我们的「中东创业信息互助群」——里面常驻几位在德黑兰做IT合规的本地伙伴,也有刚拿下MICT认证的中国SaaS团队。我们不卖课、不推服务,就安静分享真实踩过的坑、查到的原文、走通的路径。

也欢迎你随时发我任何截图或文件(脱敏后),我来帮你一起扒一扒:哪句是关键条款,哪里要找律师,哪行可以先跳过。

🔸 伊朗断网36小时,白名单机制首次大规模实战检验
🗞️ 来源: Lvga.com – 📅 2026-04-13
🔗 阅读原文

🔸 《卫报》:伊朗网络封锁精度达新水准,官方Telegram仍运作显技术控制力
🗞️ 来源: Lvga.com – 📅 2026-04-13
🔗 阅读原文

📌 免责声明

请知悉:律咖网(Lvga.com)是跨境创业公开信息与内容分享平台,不提供法律、税务、会计或合规服务。 本文内容基于公开资料,并由人工编辑与 AI 工具协助整理,仅供信息参考之用,不构成任何法律、投资、移民或商业决策建议。 政策可能随时间变化,请以官方渠道与当地持牌专业人士意见为准。 如内容有需要修订之处,欢迎随时与我联系。