ISO27001认证里，风险评估到底多久做一次？别被“每年一次”骗了！

很多人拿到ISO27001标准文件，扫到“组织应定期开展风险评估”这句，就自动脑补：“哦，每年审一次就行。”——结果内审一查，发现上季度新上的云协作平台压根没做过风险分析，客户数据接口权限混乱，审计老师当场皱眉……

其实，ISO27001从没规定“必须每年做一次”。它真正强调的是：风险评估不是打卡任务，而是呼吸一样的持续动作。

风险不会按日历出牌，评估就得跟着变

系统上线、人员流动、政策更新、甚至一次钓鱼邮件演练暴露出的薄弱点……这些都可能在两周内改写你的风险图谱。九蚂蚁陪过37家通过认证的企业，发现凡是把风险评估锁死在“年度计划表”里的，80%都在监督审核时被开出不符合项——不是不做，而是“做晚了”。

关键节点，必须踩准“触发式评估”

标准里埋了个重要逻辑：当发生可能影响ISMS有效性的变更时，必须重新评估。
比如：
✅ 新增第三方API接入（哪怕只是测试环境）
✅ 管理层调整信息安全负责人
✅ 收到监管新规（如《个人信息出境标准合同办法》落地）
✅ 上次评估后发生过安全事件（哪怕是未造成损失的误操作）
这些都不是“可做可不做”，而是强制重评的发令枪。

九蚂蚁帮客户做的“动态节奏表”，比模板更管用

我们不推千篇一律的“年度计划表”，而是和企业一起梳理：
🔹 哪些业务模块变化快（比如营销部门用的新SCRM工具）→ 季度滚动评估
🔹 哪些基础架构稳定（如核心HR系统）→ 半年复核+变更触发
🔹 哪些高敏流程（如财务付款审批链）→ 每次权限调整后48小时内完成简版评估

说白了，频率不是填在表格里的数字，而是长在业务节奏里的神经末梢。

如果你还在纠结“该不该现在做一次风险评估”，不如先问自己一句：最近三个月，有没有哪件事让信息资产的暴露面悄悄变大了？
——答案，往往就藏在你昨天发的一封邮件、上周签的一份供应商协议，或者IT刚推送的那条系统补丁通知里。