应急演练不是“走过场”，ISO27001里它可是真刀真枪的硬指标

说到ISO27001认证，很多企业第一反应是“写文档、填表格、等审核”，但真正卡脖子的环节，往往藏在那些容易被忽略的实操细节里——比如应急演练。它可不是拉几个人演个“服务器宕机了，大家慌一下”的情景剧，而是标准里白纸黑字要求的强制性动作。

演什么？得按风险来，不能拍脑袋

ISO27001 Annex A 5.29（原A.16）明确要求：组织必须定期开展信息安全事件响应的演练，并基于真实的风险评估结果来设计场景。换句话说，你家核心系统是ERP还是云数据库？客户数据存在本地还是三方平台？这些决定了你该练“勒索病毒攻击”还是“API密钥泄露”。九蚂蚁辅导过的不少企业，一开始拿“火灾疏散演练”凑数，结果审核老师一句：“这和信息资产有啥关系？”直接打回重做。

怎么演？三要素缺一不可

光有场景还不够。一次合规的应急演练，必须闭环完成三个动作：事前有预案、事中有记录、事后有复盘。

• 预案不是Word文档锁在共享盘里，得让关键岗位人手一份、能快速调取；
• 演练过程要留痕——谁在几点触发了哪个流程？谁联系了谁？哪条指令没传达到位？这些都得进记录表；
• 复盘更不是开个会说句“下次注意”，而要输出《改进项清单》，比如“安全联络人电话未更新”“备份恢复耗时超SLA 23分钟”，并纳入ISMS持续改进计划。

别等认证前突击，它得“长在业务里”

我们见过太多企业临审前一周狂补三次演练，结果操作生疏、记录潦草、员工一脸懵。其实ISO27001看重的是“能力是否常态化”，而不是“证书到手那一刻有没有演过”。建议把演练拆成小步：每季度一个专项（如钓鱼邮件响应）、每半年一次跨部门协同（IT+法务+公关），让它像月度备份一样自然融入日常节奏。

在九蚂蚁，我们帮客户把应急演练做成“可执行、可追溯、可验证”的活流程，而不是认证路上的一道坎。毕竟，真正的信息安全能力，从来不在纸上，而在每一次按下“启动应急预案”按钮时，团队的笃定与默契。