作者:周知ISO | 发布时间:2026-06-09
拿到一张监督审核任务单时,很多审核员的第一反应是:”又是这家,去年审过了,今年走个流程吧。”
这种想法很危险。监督审核不是初审的”简化版”,而是用更少的时间做更深度的验证——你面对的是一个已经运行了一年的体系,该暴露的问题应该比初审更多、更具体。
本文基于多次 ISMS(信息安全管理体系)监督审核的实战经验,梳理监督审核的核心关注点、常见问题模式和高效审核技巧。
一、监督审核 vs 初审:本质区别
| 维度 | 初次认证审核 | 监督审核 |
|---|---|---|
| 审核目的 | 确认体系是否建立并有效运行 | 验证体系的持续符合性和改进 |
| 时间分配 | 均匀覆盖全部条款 | 聚焦变化和风险,抽样深化 |
| 文件审查 | 全面审查体系文件 | 只看变更部分和上次不符合整改 |
| 核心问题 | “有没有?” | “还在不在?改没改?管不管用?” |
| 典型风险 | 漏审条款 | 审了但审不深,流于形式 |
监督审核的时间通常是初审的 1/3 到 1/2,但这不代表可以”蜻蜓点水”。恰恰相反,时间越少越需要精准打击。
二、监督审核的四个必查领域
1. 上期不符合项的整改验证
这是监督审核的第一优先级,也是最容易翻车的地方。
正确做法:
– 不要只看纠正措施报告——要追踪到实际证据
– 如果上期开的是”访问权限未及时回收”,这次不仅要看离职人员的权限回收记录,还要抽查一份在职人员权限清单,看是否仍然存在僵尸账号
– 对系统性问题(如风险评估一年没更新),要验证其预防机制是否已建立,而不只是补了一份文档
常见坑:
– 企业只补了文档,流程没变 → 下次还会犯
– 整改证据日期造假或逻辑矛盾
– 纠正措施只针对”这一个案例”,没有举一反三
2. 信息安全事件与变更
过去一年发生了什么?
必查清单:
- 安全事件记录:是否有事件发生?如何处理的?是否有根因分析和后续预防?
- 变更记录:IT架构、业务系统、组织结构有无重大变更?这些变更是否经过了信息安全风险评估?
- 新业务/新系统:是否将新系统纳入了 ISMS 范围?是否做了风险评估和控制措施映射?
- 法律法规变化:数据安全法、个人信息保护法等法规出台后,企业是否更新了相关控制措施?
💡 实战技巧:直接问 IT 经理”过去一年最大的安全挑战是什么”,这个开放性问题往往能引出最有价值的信息。
3. 风险评估的持续有效性
ISO 27001 的核心是风险管理。监督审核必须验证风险评估不是”一劳永逸”的产物。
审查要点:
- 风险评估是否在过去 12 个月内进行了评审或更新?
- 新增资产(服务器、应用系统、数据资产)是否纳入了资产清单和风险评估?
- 风险处置计划的执行状态:计划中的控制措施是否已落地?
- 残余风险是否被管理层接受?接受记录在哪里?
典型不符合场景:
– 风险评估做完后就锁在柜子里,从未更新
– 资产清单与实际严重不符(系统都换了几茬,清单还是三年前的)
– 风险处置计划写了但没人跟进
4. 控制措施的运行证据(抽样深挖)
监督审核不需要面面俱到地检查所有控制措施,但要对抽到的点查到底。
建议抽样策略:
| 控制域 | 抽样重点 | 深挖方式 |
|---|---|---|
| 访问控制 (A.9) | 特权账号管理 + 离职回收 | 追踪3个离职人员全生命周期 |
| 加密 (A.10) | 密钥管理 + 传输加密 | 要求演示一次密钥轮换操作 |
| 操作安全 (A.12) | 日志审计 + 恢复测试 | 抽查日志保留周期和备份恢复演练 |
| 供应商安全 (A.15) | 新签合同的安全条款 | 检查最近一份外包合同 |
| 合规性 (A.18) | 数据保护合规 | 检查个人信息处理活动清单 |
⚠️ 关键原则:不要接受”我们都是这样做的”这种口头回答,一切要有书面或电子证据支撑。
三、监督审核中常见的五大不符合项模式
根据近年来的审核实践,以下五类问题在监督审核中出现频率最高:
🥇 第一名:风险评估形同虚设(A.6.1)
表现: 风险评估报告有,但内容陈旧;资产清单与实际情况脱节;风险处置计划停留在纸面。
审核话术示例:
“这份资产清单里列了 15 台服务器,但我刚才在现场看到机柜里有 22 台。多出来的 7 台是什么时候上的线?做过风险评估吗?”
根本原因往往不是技术能力不足,而是缺乏定期更新机制。风险评估被当作一个”项目”而不是一个”过程”来做。
🥈 第二名:访问权限管理失控(A.9.2)
表现: 员工转岗/离职后权限未及时清理;共享账号普遍存在;特权账号审批流于形式。
审核发现率: 在中小型企业监督审核中,此问题的检出率超过 70%。
高效核查方法:
1. 从 HR 获取近 6 个月离职名单
2. 在 AD/LDAP/各系统中逐一核对权限状态
3. 发现一个僵尸账号就追问管理制度是否存在
🥉 第三名:日志审计不达标(A.12.4)
表现: 日志开了但不看;日志保存期限不足6个月;关键系统的操作日志未开启审计功能。
典型对话:
– 审:”谁负责看日志?”
– 答:”安全专员每周看一次。”
– 审:”那请展示一下最近一个月的日志分析报告。”
– (沉默……)
第四名:供应商安全管理缺位(A.15)
表现: 与供应商签订合同时未包含安全要求;外包方接触敏感数据但没有保密协议;云服务商的安全责任边界不清。
重点关注: 云计算环境下的责任共担模型(Shared Responsibility Model)——很多企业以为上了云就不用操心安全了,这是一个巨大的误区。
第五名:内部审核质量不高(A.9.2 / 第9.2条)
表现: 内审计划覆盖不全;内审员能力不足(未经培训或无经验);内审发现的问题全是表面问题(如”文件未受控”),没有触及实质性的安全问题。
四、高效监督审核的实操技巧
技巧一:审核前做足功课
在进场前花 30 分钟回顾:
1. 上次审核报告和不符合项
2. 企业的行业特点和安全风险画像
3. 近期同行业重大安全事件(可作为提问切入点)
带着具体问题进场,比”先聊聊你们的信息安全情况”高效得多。
技巧二:用”追溯法”替代”顺查法”
顺查法(传统):看制度→看记录→看现场(容易让企业提前准备)
追溯法(推荐):从实际运行痕迹倒推→找对应制度和记录(更容易发现真实问题)
例如:先看防火墙的策略变更日志 → 再找对应的变更申请单 → 再看审批流程是否符合规定。如果日志里有变更但找不到申请单,就是实锤。
技巧三:关注”接口”和”边界”
信息安全问题最常出现在以下位置:
- 内外网边界:DMZ区的配置、VPN接入管理
- 系统间接口:API调用认证、数据传输加密
- 人员交接:入职/转岗/离职的权限切换
- 新旧交替:老系统下线、新系统上线的过程管控
技巧四:敢于开”观察项”
有些问题证据不够充分开不符合,但有明显隐患。这时候应该以观察项的形式提出,既体现了专业判断,又给了企业改进方向。
五、给企业的监督审核应对建议
如果你是被审核方,以下几点值得参考:
- 不要试图隐瞒:审核员的经验足以识破大多数掩盖行为,诚实沟通反而能降低审核风险
- 准备好”变化清单”:主动说明过去一年的变化(新系统、新法规、组织调整),体现体系管理的主动性
- 内审要先于外审发现问题:最好的监督审核结果,是外审发现的问题都被内审提前发现了
- 重视不符合项的根本原因:不要只想着”怎么快速关闭不符合”,而要想”为什么会出现这个问题”
六、写在最后
监督审核的价值不在于”维持证书”,而在于驱动持续改进。每一次监督审核都应该让企业的信息安全管理水平比上一年更高一点。
作为审核员,我们的职责不是当”挑错机器”,而是通过专业的审核发现,帮助企业看到盲区、堵住漏洞。这才是监督审核真正的意义。
作者:周知ISO,CCAA注册第三方审核员,专注 ISO 27001 / ISO 9001 信息安全与质量管理审核实务。