ISO27001复查不是“走流程”，这3个地方最易翻车

ISO27001认证拿下来，很多人松一口气——以为“上岸了”。但其实，真正的考验才刚开始：复查才是检验体系是不是真活、真用、真管用的照妖镜。
九蚂蚁陪上百家企业走过复查关，发现80%的问题，都卡在这几个关键环节上，不是文件没更新，而是“人”和“事”脱了节。

一、“人”的动作，比文件更关键

复查老师进门第一件事，不是翻《信息安全管理手册》，而是随机抽3个岗位——比如运维、财务、前台——问：“你日常处理客户数据时，会做哪些安全动作？”
如果回答是“按领导说的办”“我们系统自动加密”，那基本就亮黄灯了。
真正过关的企业，一线员工能清晰说出自己岗位对应的访问控制规则、U盘使用限制、甚至离职交接时数据怎么清理。这不是背稿子，是日常已形成肌肉记忆。九蚂蚁帮客户做的“岗位安全微卡”，就是把条款翻译成一句句操作口诀，贴在工位旁，用得久，才记得住。

二、风险处置不能只写在表里

很多企业《风险评估报告》做得漂亮，表格填得满满当当，可一问去年识别出的“第三方API接口未鉴权”这个高风险项，解决进度在哪？负责人是谁？有没有验证过修复效果？立马卡壳。
复查重点看的是：风险有没有闭环？ 不是“已识别→已评估→已归档”，而是“已识别→已处置→已验证→已更新资产清单”。我们建议客户每月用15分钟开个“风险短会”，不写PPT，只对三件事：哪个风险动了？哪个卡住了？谁来盯下周？小动作，大实效。

三、变更管理，藏着最多“隐形漏洞”

系统升级、人员调动、办公地点迁移……这些看似常规的操作，恰恰是安全断点高发区。复查时，老师最爱调取近3个月的变更记录，再反向查：权限是否同步回收？日志审计策略是否适配新架构？应急预案有没有重演过？
有家客户因一次云服务器配置调整后忘了更新防火墙策略，复查时被当场抓包复现异常流量——不是技术不行，是变更流程没跑通。九蚂蚁给客户嵌入的“变更安全检查单”，就像飞机起飞前的绕机检查，少一步，就不放行。

复查不是考试，是让体系真正长进组织毛细血管里的过程。你在哪一块卡过？欢迎来聊聊，咱们一起把“合规”做成“习惯”。