ISO27001现场审核“卡壳”？这几点，90%的企业都踩过坑

ISO27001认证不是交完材料就稳拿证书的“走流程”，尤其到了现场审核环节，不少企业明明准备了大半年，却在最后关头被开出严重不符合项——轻则延期发证，重则直接终止审核。作为陪上百家企业走过认证全程的九蚂蚁，我们发现：失败往往不源于技术短板，而藏在“以为做到位了”的细节里。

“制度写得漂亮，现场找不到人”

很多企业花大力气编制度、填记录表，但审核老师随机抽问“这份风险处置记录是谁审批的？”“上月备份日志谁执行的？”时，负责人支吾半天答不上来。更常见的是：制度里写着“每月开展一次安全意识培训”，结果翻遍全年记录，只有PPT没签到表、没照片、没考核痕迹。体系不是挂在墙上的文件夹，而是每天有人用、有人管、有人追的实际动作。

“资产清单列了一百条，但连服务器放哪层楼都说不清”

信息资产识别是ISMS的基石。我们见过最典型的场景：IT部门列了58台服务器，但行政说“机房去年已搬迁”，运维说“其中23台已下线”，而资产台账仍显示“在用”。审核老师只需带一台笔记本现场连网扫描，就能发现未登记的测试终端、遗忘的云存储账号……资产不准，风险评估就是空中楼阁。

“应急演练只演不练，预案锁在共享盘三年没更新”

“我们做过应急演练！”——这句话后面常跟着一句：“就是开了个会，念了遍预案。”真正的演练需要触发真实场景（比如模拟勒索病毒攻击）、跨部门协同响应、并形成闭环报告。更扎心的是，有些企业的《业务连续性计划》里还写着已停用的老系统名称，联系人电话是前任员工的……预案不是纪念册，是关键时刻能救命的操作指南。

在九蚂蚁，我们不做“代写材料”的表面功夫，而是从第一次启动会就带着企业一起“动起来”：梳理真实资产、拉通各部门角色、把制度嵌进日常工单和会议纪要里。毕竟，审核老师要验证的从来不是“你有没有体系”，而是——当风险真的敲门时，你的团队，是否真的知道该做什么。