ISO27017新规盯上了你的“备份U盘”？别笑，这真不是小事

最近不少客户拿着新出的ISO/IEC 27017:2022附录A条款来问：“我们把备份硬盘锁在保险柜里，定期贴个标签、手写个日期——这算不算合规？”答案很实在：光锁好、贴好、写好，远远不够。

审核记录，不是“记一笔”，而是“可回溯、可验证、可问责”

新规里反复强调的“数据安全备份介质存储审核记录”，核心就一条：所有备份介质（磁带、硬盘、光盘、甚至加密U盘）从生成、入库、轮换到销毁，每一步都得有动态留痕。
不是拍张照存个档就算完事——它得能回答三个问题：谁在什么时间做了什么操作？介质当前物理位置在哪？上一次校验结果是否通过？比如，某金融客户曾因记录里只写了“2024-Q2备份完成”，却缺失介质序列号和校验哈希值，被审核员直接列为“高风险项”。

纸质台账正在悄悄“掉队”

很多企业还在用Excel或手写登记本管理备份介质。但新规明确倾向“自动化采集+防篡改留证”：温度湿度传感器自动关联介质ID、出入库扫码触发时间戳、校验日志直连SIEM平台……九蚂蚁帮客户落地时发现，真正卡住企业的，往往不是技术，而是“责任没落进具体人头”——比如“介质轮换”动作没人确认，“过期介质销毁”环节缺双人签字影像。

别等审核来了才翻箱倒柜

我们接触过一家云服务商，提前半年按新规梳理了37类备份介质生命周期节点，把原来分散在5个系统里的信息，统一沉淀为带电子签章的审核包。结果正式认证时，审核员扫一眼二维码，3秒调出完整链路——包括上周三凌晨2点那块SSD的异地传输日志和CRC32校验截图。

说白了，新规不是要你堆更多文档，而是逼你把“备份这件事”，从“差不多就行”的习惯，变成“每一步都经得起推敲”的肌肉记忆。九蚂蚁干的，就是帮你把这条链子，一环一环，扣结实。