去年审核的一家制造业客户，拿到27001证书刚满8个月，就在监督审核时被开了2个不符合项。

老板很委屈：”我们花了那么多时间做认证，体系文件都有，怎么还有问题？”

我翻了一下他们的记录，发现问题不在”没有”，而在”认证后没持续做”。27001认证不是一锤子买卖，拿到证书后第一年是关键期，很多企业忽略了这3个维持动作。

—

## 1. 风险评估没及时更新，体系成了”老黄历”

认证时的风险评估报告，是基于当时业务状态做的。拿到证书后，业务不会原地踏步：新系统上线、新办公地点启用、新供应商引入——这些变化都会带来新的信息安全风险。

**企业常犯的错：**
– 风险评估报告”每年年底才想起来更新”，中间10个月的风险变化没人管
– 更新报告只是改了日期，内容照搬上一版

**审核员会怎么查：**
> “这个新系统是什么时候上线的？上线后你们有没有重新评估它的风险？”
> “去年识别的中高风险，今年的风险处理计划执行了吗？”

**正确做法：**
– 建立”触发式更新”机制：一旦有以下任一情况，必须启动风险评估更新：
– 新系统/新软件上线
– 办公地点变更或新增
– 关键岗位人员变动超过30%
– 发生信息安全事件
– 供应商变更
– 风险处理计划（Risk Treatment Plan）必须每季度跟进一次，记录执行进度

| 触发条件 | 建议动作 | 记录保留 |
|———-|———-|———-|
| 新系统上线 | 补充资产清单，评估新系统的CIA风险 | 风险评估报告更新版 |
| 办公地点变更 | 重新评估物理和环境安全（A.11） | 新地点门禁/监控记录 |
| 关键岗位变动>30% | 重新评估人员权限和访问控制 | 权限变更审批记录 |
| 安全事件发生 | 事件分析+残余风险评估 | 事件报告+风险再评估记录 |

—

## 2. 内审做成了”自查表打钩”，没有真正发现问题

拿到证书后，很多企业的内审就流于形式。内审员拿着检查表走一圈，问几个问题，填个表，就算完成了。

**问题在哪：**
– 内审深度不够，只查”有没有文件”，不查”文件和实际是否一致”
– 内审发现的问题描述太笼统，整改措施不具体，无法验证

**我见过最典型的情况：**
内审报告写”部分员工安全意识不足，建议加强培训”。这等于没写——”部分”是谁？”加强培训”具体怎么加强？

**正确做法：**
– 内审必须抽样验证：从权限清单里随机抽人，现场演示登录过程
– 内审问题描述要有三个要素：具体时间、具体对象、具体不符合条款
– 内审报告要体现”亮点”和”问题”，不能只写问题（否则业务部门会觉得内审就是”找茬”）

**内审质量自查（建议认证后第一年至少做2次内审）：**

| 检查项 | 合格标准 | 常见不合格 |
|——–|———-|————|
| 抽样深度 | 每个部门至少抽1-2个岗位验证 | 只访谈不验证 |
| 问题描述 | 有证据、有条款依据、有可整改措施 | “意识不足””有待加强” |
| 整改跟踪 | 有整改计划、有完成证据、有验证关闭 | 只写计划无证据 |
| 管理评审输入 | 内审结果作为管评输入，高层参与决策 | 内审和管评脱节 |

—

## 3. 管理评审变成了”业务例会”，体系改进没人拍板

管理评审是高层参与体系改进的核心机制，但很多企业把它开成了普通的业务例会——汇报一下业绩、讨论一下项目，体系运行状态被一笔带过。

**27001 管理评审要求（条款9.3）必须输入的内容包括：**
– 相关方反馈（包括客户投诉）
– 信息安全目标达成情况
– 风险评估结果和风险处理计划执行情况
– 信息安全事件和趋势分析
– 上次管理评审决策的落实情况

**审核员必查的：**
> “上次管理评审决定了哪些改进事项？现在完成了吗？”
> “你们今年的信息安全目标是什么？达成了多少？”

**如果管理评审记录里只有”讨论”没有”决策”，审核员会直接判不符合。**

**正确做法：**
– 管理评审会议前，体系负责人必须准备《体系运行报告》，包含：目标达成数据、事件统计、内审结果、风险评估更新
– 会议记录中，必须明确写出”本次会议决定：……”，并且指定责任人和完成时间
– 改进决策的落实情况，必须在下次管理评审时作为输入进行回顾

| 管理评审常见形式化 | 正确做法 |
|——|———-|
| 只讨论业务，不提体系 | 专门设置”体系运行状态”议程 |
| 会议记录只有”会议纪要” | 记录中必须有明确的”决策事项”和”责任人” |
| 上次决策没人跟踪 | 每次管评第一个议题：回顾上次决策的落实 |
| 没有数据支撑 | 准备目标达成率、事件数量、内审发现数等量化数据 |

—

## 认证第一年的关键时间点

| 时间节点 | 建议动作 | 容易忽略的 |
|———-|———-|————|
| 获证后1个月 | 将体系文件正式发布到全公司，组织培训 | 文件锁在文控手里，一线员工不知道 |
| 获证后3个月 | 第一次体系运行检查，验证目标指标收集 | 目标指标没人统计 |
| 获证后6个月 | 第一次内审，重点查”文件和实际是否一致” | 内审走形式，不抽样验证 |
| 获证后9个月 | 风险评估触发式更新，检查风险处理计划进度 | 风险报告过时 |
| 获证后12个月 | 管理评审，准备监督审核 | 管评没有决策事项 |

—

27001认证的价值不在证书本身，而在认证后体系真正跑起来。很多企业把认证当成”终点”，实际上它只是”起点”。

第一年的监督审核，如果上面这3个动作做到位，大概率不会出严重问题。如果忽略了，审核员现场一查一个准。

**周知ISO**，专注于ISO 27001/9001/20000-1审核实务，持续分享企业ISO管理体系经验。