ISO27001复查前，资料“齐不齐”到底怎么看？

ISO27001认证不是一锤定音的终点，而是持续改进的起点。尤其到了监督审核（也就是常说的“复查”）阶段，很多企业突然发现：文件堆了一柜子，但审核老师翻两页就皱眉——问题往往不出在“有没有”，而在于“全不全、连不连、实不实”。

别把“存档”当“有效证据”

资料完整性 ≠ 文件数量多。比如《风险评估报告》，光有模板填空不算数；得看是否覆盖本年度新增系统、新上线业务、人员变动带来的访问权限变更，是否附了评审会议签到+结论签字页+后续处置跟踪表。缺一环，就是“断链”。九蚂蚁陪审过37家复查企业，超六成卡在“证据闭环”上——风险识别了，但没看到处置记录；制度写了，但找不到培训签到和考核结果。

三张表，快速自检资料健康度

我们内部常用一张“证据映射表”：左边列标准条款（如A.8.2资产清单、A.9.4访问控制策略），右边对应你手头的文档名称+版本号+最近更新日期+责任部门。中间加一栏“现场可验证方式”——是系统截图？是审批流截图？还是带水印的运维日志？能当场调出来的，才算真完整。

还有一张“时间轴对照表”特别实用：把上次认证审核日、内审日、管理评审日、漏洞修复日、员工安全意识培训日全标出来。如果某项控制措施（比如双因素登录）在管理评审中被列为改进项，但6个月后还没落地，那相关证据链就天然断裂了。

真正的完整性，藏在“动态痕迹”里

很多客户问：“上次做的记录，今年还要留吗？”答案是：要看它是否支撑当前控制有效性。比如去年的病毒查杀日志不用留，但今年新采购的EDR平台部署方案、策略配置截图、首次告警响应记录——这些才是复查时老师会重点抽的“活证据”。

说白了，资料不是用来摆设的档案盒，而是信息安全管理体系“正在呼吸”的证明。它得有温度、有时效、有责任人、有验证点。

九蚂蚁建议：复查前两周，别急着补文档，先拉通IT、HR、行政、法务，围着“最近一次实际发生了什么”聊一圈——聊清楚，再回头找证据。资料自然就“活”了，也齐了。