ISO20000里“信息安全策略评审”到底多久做一次？别被模板骗了！

在帮上百家企业跑ISO20000认证的过程中，我们九蚂蚁发现：90%的客户第一次填《信息安全策略评审记录》时，都在瞎填“每年一次”——结果外审老师翻完材料直接皱眉：“策略评审不是打卡，是动态校准。”

那到底该多久评一次？答案不在标准条文里，而在你的业务节奏里。

别死磕“固定周期”，先看三个触发点

ISO/IEC 20000-1:2018 第8.2.3条写得很清楚：信息安全策略评审应“定期进行，并在发生重大变更时及时开展”。注意关键词是 “定期 + 及时”，不是“每年/每半年”。
比如：你刚上线了新客户数据中台、突然被要求接入政务云、或者上个月发生了钓鱼邮件批量泄露事件——这些都不是等年底再补评审的理由，而是当天就得启动策略复盘。我们服务的一家金融SaaS公司，就在一次接口权限调整后48小时内完成了策略修订+评审+发布，外审时成了加分项。

真实场景中的“弹性频率”怎么定？

我们建议客户按“双轨制”来：
✅ 基础档：至少每12个月全量评审一次（满足合规底线）；
✅ 进阶档：关键业务节点前必评（如新系统上线、等保测评前、重大合同签约前）。
某医疗IT服务商把评审嵌进项目里程碑——每次HIS系统升级交付前，自动触发安全策略适配检查，既不额外增负，又让评审真正“长”在业务里。

为什么很多企业评了也白评？

常见坑：拿去年文档改个日期就交差；评审会变成IT部门自说自话；管理层签个字就算“已评审”。其实ISO20000要的是证据链闭环：谁评的？依据什么变的？改了哪几条？谁确认生效？我们帮客户设计过一页纸《策略变更快查表》，连法务、运维、客服主管的签字栏都预留好了，评审当场就能落地。

说到底，信息安全策略不是锁在柜子里的文件，而是你服务客户时那根看不见的“安全韧带”。绷得太紧容易断，松了又扛不住冲击——而九蚂蚁陪企业做的，就是帮这根韧带找到它自己的呼吸节奏。