ISO27001认证里，风险评估真得“一年一做”吗？

很多人拿到ISO27001证书后松了口气，顺手就把《风险评估报告》塞进文件柜，心想：“明年再更新吧。”结果内审一查——流程断档、资产变动没跟进、新系统上线没评估……风险早就在暗处悄悄长出了枝杈。

其实，风险评估不是打卡任务，而是信息安全管理的“脉搏监测仪”。它该多快跳一次？答案不在标准条文里，而在你真实的业务节奏中。

别被“每年一次”框住了手脚

ISO/IEC 27001:2022标准第6.1.2条明确要求：组织应“确定需要应对的风险和机遇”，并“保持和保留风险评估过程的文件化信息”。但它从未硬性规定周期为12个月。真正关键的是——当业务发生显著变化时，风险就可能已悄然转移。比如：

• 新上线了客户数据中台；
• 办公全面迁入云桌面；
• 关键岗位人员批量更替；
• 收到监管机构专项问询……
  这些时刻，比日历上的“1月1日”更值得启动一次评估。

我们帮客户踩出来的节奏感

在九蚂蚁陪跑的137家过证企业里，82%采用“基础+触发”双轨机制：
✅ 每年一次全覆盖式评估（稳底盘）；
✅ 同时设置5类自动触发条件（保灵敏），比如重大IT变更、第三方接入、安全事件复盘后48小时内必须重评。
有家医疗SaaS公司，正是靠这套机制，在等保测评前两周发现API密钥管理漏洞，抢在监管检查前闭环整改——这比“准时交报告”实在多了。

小动作，大差别：怎么让评估不流于形式？

我们常建议客户把风险评估“拆薄”：不用一次搞定全量资产，而是按业务域分批滚动推进。销售系统先评，财务模块跟上，研发环境单独拉出来深挖……既减轻团队压力，又能确保每次评估都带着问题来、带着措施走。

说到底，风险评估不是填表，是让全员养成“看见变化就下意识想风险”的肌肉记忆。而九蚂蚁做的，就是帮你把这套思维，变成可执行、可追踪、可验证的动作链。

你现在用的，是日历驱动的评估，还是业务驱动的评估？