ISO27001复查时，资料“看着真”，就真的真吗？

ISO27001认证不是“一考定终身”，复查才是真正的压力测试。很多企业以为拿证就万事大吉，结果在监督审核或再认证时，被一句“请提供原始记录”卡住——系统截图、会议纪要、培训签到表……全都有，但审核老师翻两页就问：“这个IP地址和你服务器日志对不上，能解释下吗？”

别让“补资料”变成“编资料”

我们见过太多企业，在复查前突击整理文档：补签培训记录、倒填风险评估时间、把去年的内审报告改个日期重命名……表面看逻辑闭环，实则经不起交叉验证。比如一份《信息资产清单》，如果资产责任人邮箱是用个人QQ注册的，而公司全员统一使用企业邮箱；又或者某台服务器的“上次漏洞扫描时间”早于该服务器实际采购日期——这种低级矛盾，审核员一眼就能揪出来。

真实性的三个“铁三角”核查法

九蚂蚁陪审过上百家企业复查，总结出最管用的三招：
✅ 时间链对得上：制度发布→培训实施→执行记录→检查改进，每个环节的时间节点不能倒置、不能断档；
✅ 证据链扣得紧：比如“密码策略更新”，不能只有制度文件，还得有AD域控策略截图、IT运维操作日志、员工通知邮件+已读回执；
✅ 人、事、系统三印证：谁做的？在哪个系统里做的？留了什么痕迹？三者指向同一事实，才叫真实。

复查不是找茬，是帮你堵漏

其实审核老师不希望你出错，更怕你“一直错而不自知”。那些被退回的整改项，往往就是未来数据泄露、权限失控、审计追责的伏笔。与其等复查时手忙脚乱，不如在日常就把记录当“工作留痕”来对待——一次真实的巡检，胜过十份完美的PPT。

在九蚂蚁，我们不做“代写材料”的生意，只帮客户把管理动作做扎实、把过程痕迹留清楚。因为真正的合规，从来不在纸上，而在每天打开系统、点击保存的那一刻。