ISO27001里的“门禁系统”，可不只是刷个卡那么简单

你是不是也以为，ISO27001认证里的“访问控制”，就是给服务器房装个指纹锁、给员工发张门禁卡？
其实——这恰恰是很多企业踩坑的第一步。在九蚂蚁陪上百家企业过审的过程中，超6成初次申请被卡，问题就出在“访问控制”这一块没吃透本质。

访问控制，不是管“人进门”，而是管“数据去哪儿”

ISO27001标准A.9条款说得很清楚：访问控制的核心目标，是确保仅授权人员，在授权时间、以授权方式、访问授权范围内的信息资产。
注意，这里说的是“信息资产”——它可能是一份客户合同PDF、一个数据库权限、甚至是一段API密钥。
所以，你的OA系统里普通职员能不能导出全公司通讯录？销售总监的邮箱是否能自动同步到个人手机？外包人员离职后，他的云盘共享链接是否还在生效？这些，全是访问控制要回答的问题。

三道真题，测测你的控制是不是“纸面功夫”

我们常帮客户做预检，随手抛出三个问题：
✅ 员工转岗时，权限是手动逐个关闭，还是通过角色模板一键回收？
✅ 管理员账号有没有分离“日常操作权”和“权限分配权”？（比如IT主管不能给自己开通财务系统最高权限）
✅ 第三方远程接入，是否强制使用跳板机+双因素认证+操作留痕？
答不上来两个？那大概率还没真正落地标准要求。

别让“已设置密码”蒙混过关

很多企业文档里写着“所有系统启用强密码策略”，但一查日志：

• 测试账号用的是123456；
• 管理员长期不换密码；
• 多个系统共用同一套登录凭证……
  ISO27001不看你写了什么，而看系统实际运行中，谁在什么时候、做了什么、有没有被拦住。真实、可追溯、可审计，才是它的语言。

在九蚂蚁，我们不做“填表式辅导”。从权限矩阵梳理、账号生命周期设计，到最小权限原则落地演练——每一步都贴着你的业务走。毕竟，安全不是加一道锁，而是让每一次访问，都经得起回溯、说得清理由、担得起责任。