ISO27001复查，资料真不真？三招教你一眼看穿

ISO27001认证不是“一考定终身”，复查才是真正的“压力测试”。很多企业以为拿证就万事大吉，结果复查时被一张截图、一份签字、一次系统日志卡住——不是体系不行，而是资料的真实性经不起推敲。那问题来了：怎么判断手里的材料，是扎实的证据链，还是临时拼凑的“纸面功夫”？

看时间逻辑，别让“未来文件”混进来

复查最常翻车的，就是时间线错乱。比如：某次安全意识培训记录写的是2024年3月15日，但签到表里却出现了一位4月才入职的员工；又或者风险评估报告的审批日期，早于实际识别出风险的系统告警时间。九蚂蚁在陪审上百家企业复查后发现，约68%的资料真实性争议，源头都在时间硬伤上。建议自查时拉一条清晰的时间轴：事件发生→记录生成→审批完成→归档保存，环环相扣，缺一不可。

查留痕痕迹，纸质签名不如系统水印

光有签字、盖章不够，得有“行为痕迹”。比如：访问控制策略的修订，是否在AD或IAM系统里同步更新？漏洞扫描报告，能否在扫描平台后台调出原始任务ID和执行日志？我们见过太多企业把电子报告导成PDF再打印签字——看似规范，实则切断了可追溯性。真正经得起查的资料，自带“数字胎记”：操作人、时间戳、IP地址、版本号，一个都不能少。

对业务场景，脱离实际的文档都是“空中楼阁”

一份完美的《资产清单》，如果列着“客户微信聊天记录服务器”，但公司压根没自建IM系统；一份《供应商安全评估表》，给快递公司打了“高风险”却没说明依据……这类资料，专业审核员扫一眼就知道是套模板填的。九蚂蚁辅导复查时，第一件事就是拉着客户一起“演场景”：假设现在发生数据泄露，你调取的这份应急记录，能不能真实支撑响应动作？所有资料的价值，不在它多漂亮，而在它能不能在关键时刻‘活’起来。

复查不是找茬，是帮你的信息安全体系打补丁。资料真实性的本质，是你对管理的敬畏心——不是应付检查，而是真的在用、在管、在迭代。