ISO27001现场审核，到底在“盯”什么？

很多企业拿到ISO27001认证证书后才发现：原来“拿证”只是开始，“过审”才是真功夫。尤其在现场审核环节，审核老师不是来盖章的，而是带着评分表一条条“抠细节”的——今天我们就把这张神秘的《现场审核评分标准》掰开揉碎，说点实在话。

审核不看PPT，只看“人、事、物”是否闭环

现场审核最忌“纸上谈兵”。比如你制度文件写得漂亮，但员工根本没培训过；又或者系统日志明明该保留6个月，结果IT同事上周刚手动清空了……这些都会直接扣分。九蚂蚁陪审过的几十家企业里，80%的失分点都出在“执行断层”上——文件有、流程有、但没人用、没人查、没人改。审核老师会随机抽3个岗位，问操作、看记录、调系统，闭环对不上，一分就没了。

“风险处置”不是填表，是看你怎么“救火”

标准里反复强调“基于风险的方法”，但很多企业把风险评估做成年度打卡任务：Excel填完就锁进共享盘。真正加分项是——当某次钓鱼邮件真的攻破了财务部邮箱，你们48小时内做了什么？有没有更新访问控制策略？有没有补全员防骗培训？有没有同步更新资产清单？审核老师会翻你近半年的风险处置台账，重点看“动作是否及时、证据是否完整、改进是否落地”。

一把手不出场？审核组真会暂停审核

别以为领导签个字就行。标准明确要求“最高管理者参与管理评审并提供资源支持”。我们见过某科技公司CEO全程缺席首次会议，审核老师当场提出：“请确认管理层对信息安全的承诺是否真实有效”，并暂缓进入下一环节。后来补了视频连线+签字确认才继续。这不是刁难，而是验证体系是否真正嵌入组织血液。

说到底，ISO27001不是买来的“合规装饰品”，而是一套需要天天运转的免疫系统。九蚂蚁不做模板搬运工，只帮客户把标准变成团队每天顺手做的事——让审核，变成一次自然的健康体检，而不是突击迎检。