ISO27001认证中对安全测试（渗透测试、SAST/DAST）的周期要求

ISO27001里，安全测试真得“一年一测”就万事大吉？

很多企业拿到ISO27001证书后松了口气，以为渗透测试、SAST/DAST这些技术活，按标准“每年做一次”交差就行。但现实是——审核老师翻你上季度的漏洞修复记录时皱起的眉头，可能比你第一次写风险评估报告时还深。

别被“周期”二字骗了，ISO27001真正盯的是“有效性”

标准原文（A.8.2.3条款）压根没写死“必须X个月测一次”。它强调的是：组织需基于风险变化、系统更新、威胁演进，动态确定测试频次。新上线一个微信小程序？核心支付模块刚重构？第三方组件爆出Log4j级漏洞？这时候还卡着“明年3月再测”，不是合规，是给自己埋雷。

渗透测试和SAST/DAST，根本不是同一类“运动员”

• 渗透测试像突击体检：聚焦业务逻辑、权限绕过、0day利用，适合上线前、重大变更后或年度深度摸排；
• SAST/DAST更像日常血压监测：SAST嵌入开发流水线，代码提交即扫；DAST则每周自动爬取生产环境API接口。九蚂蚁服务过的客户里，把SAST集成进GitLab CI后，高危漏洞平均修复时间从17天缩到38小时——这才是标准想看到的“持续监控”。

真正让审核老师眼前一亮的，是你的“测试决策日志”

与其纠结“周期”，不如建个简单的表格：
✅ 6月：因接入银联新接口，追加API专项渗透；
✅ 8月：SAST扫描发现Spring Boot版本漏洞，2小时内升级并复测；
✅ 11月：根据最新OWASP TOP 10调整DAST策略……
这份带着业务呼吸感的日志，比任何“年度报告”都更有说服力。

在九蚂蚁，我们帮客户把安全测试从“应付审核”变成“驱动研发”的齿轮——不是教你怎么填表，而是陪你一起把每一次测试，变成系统免疫力的真实增长。