数据权限不是“设一次就完事”——定期审查，才是ISO27701落地的真功夫

很多企业拿到ISO/IEC 27701证书后松了口气：隐私管理体系建起来了，合规这事儿就算交差了。但现实是——认证不是终点，而是权限治理真正开始的地方。 尤其在数据访问权限这块，光靠入职时分配一次角色、加几条策略远远不够。ISO27701明确要求：权限必须“定期审查”，而且这个“定期”，不是走形式地翻翻表格，而是带着问题意识去挖、去核、去关。

审查不是“打卡”，是动态清道夫

你有没有遇到过：前年调岗的老王，系统里还留着财务模块的只读权限？外包同事项目结束半年了，AD账号却依然能登录客户数据库？这些不是小疏漏，而是ISO27701第8.2.3条直接点名的风险点——“组织应定期评审对PII（个人身份信息）的访问权限”。九蚂蚁在帮客户做认证辅导时发现，83%的权限冗余发生在岗位变动、项目收尾、离职交接后的3个月内。定期审查，本质是一场“权限瘦身运动”：砍掉僵尸账号、收紧越权路径、验证最小必要原则是否还在呼吸。

严在哪？三道关卡卡得更实了

新趋势下，“定期”二字越来越有分量：
✅ 频次更刚性——不再笼统说“每年一次”，金融、医疗类客户普遍按季度滚动审查高敏数据权限；
✅ 范围更穿透——不仅看HR系统里的岗位定义，还要比对实际日志中的真实访问行为（比如谁上周导出了5000条用户手机号）；
✅ 责任更到人——不再是IT部门单打独斗，业务主管必须签字确认“我确认本部门员工当前权限仍属必要”。

别让“定期”变成“定式”

我们见过太多企业把审查做成PPT汇报：截图几张权限列表，写句“未发现异常”，就归档进体系文件夹。结果下一次审计一查日志，发现市场部实习生居然能导出全量客户画像……真正的定期审查，得带着“怀疑精神”进场——谁在用？为什么现在还需要？有没有替代方案？九蚂蚁陪跑过的客户，平均每次审查能清理12%-28%的冗余权限，这不是减法，是给数据安全加固的加法。

说到底，ISO27701从不奖励“看起来合规”，它只认可那些愿意把权限这件事，当成每天要擦的玻璃——不蒙尘，不模糊，透亮见底。