ISO27001复查不是“走流程”，这3个重点领域一疏忽就卡审

ISO27001认证拿下了，不代表高枕无忧——复查才是真考验。很多企业以为“去年过了，今年照着抄一遍就行”，结果在复查现场被开出多个不符合项，整改拖到下季度，甚至影响客户投标资质。九蚂蚁陪跑过80+家企业的年度监督审核，发现83%的复查问题都集中在以下三个“隐形雷区”，今天不绕弯子，直接拆解：

一、“人”变了，但权限和意识没跟上

新员工入职没做信息安全部署培训？离职员工账号还挂着系统管理员权限？去年新增的外包团队，合同里压根没写数据保密条款？这些不是小疏漏，而是复查员重点翻查的“人员生命周期管理”证据链。我们建议：复查前两周，务必拉出近6个月的入职/转岗/离职清单，逐人核对《信息安全责任书》签署、系统权限回收记录、第三方协作协议附件——别让“我以为他删了”成为审核时的尴尬沉默。

二、风险不是静态的，但处置记录还是“老黄历”

去年做的风险评估报告，今年业务已上线新小程序、接入了云客服平台，但风险登记表里还写着“微信公众号数据泄露风险”。复查员最爱问：“这个新系统有没有做过独立的风险再识别？”“上次处置措施的实际效果验证在哪？”——光有报告不够，得有动态更新的动作痕迹。九蚂蚁帮客户做的复查预检，第一件事就是带着业务负责人重走一遍“风险-处置-验证”闭环，补上缺失的会议纪要、测试截图、改进前后对比数据。

三、制度写了，但日常执行没人“留痕”

《访问控制策略》文件很规范，可门禁日志导出来全是空白；《事件响应流程》画得清晰，但过去半年的安全事件记录只有1条（还是打印机卡纸误报）。复查看的从来不是“有没有”，而是“用不用”。建议提前调取3个月内的关键操作日志（如服务器登录、数据库导出、权限变更）、抽查5份安全事件工单处理全流程——真实、可追溯，比任何PPT都管用。

复查不是考试，而是帮你揪出日常管理里的“习惯性盲区”。在九蚂蚁，我们不做模板套娃，而是陪你把标准扎进业务毛细血管里——毕竟，一次顺利通过的复查，省下的不只是时间，更是客户对你安全能力的信任票。