一个专为审核员打造的 AI 辅助工具，正在改变我们做 ISO 27001 内审和外审的方式。

你有没有经历过这些场景：

• 面对 93 项附录 A 控制措施，翻遍标准手册，却想不起某一条款的典型证据长什么样？
• 审核一家工厂，拿到一堆制度文件，逐条对比条款，做到凌晨还在纠结差距分析怎么写？
• 给客户出具审核报告，格式规范很重要，但判定依据不够充分，被甲方退回重来？

这些问题，「安鉴·周 / SecuVerify-Z」 都在帮你解决。

今年上半年我花了点时间，给自己写了一个工具。把能自动化的部分交给代码，把判断留给人。下面聊它的由来、用法和一些思考。

一、核心功能 —— AI 帮你做”机械活”，你专注做”判断”

安鉴·周是一个基于 DeepSeek / Pollinations AI 大模型驱动的信息安全管理体系审核助手，专为 ISO 27001:2022 审核场景设计。

1) 对话式审核引导

像在跟一个资深审核员聊天一样。输入企业情况，AI 自动引导你走完审核流程，随时解读条款要求。

后端连接了完整的 ISO 27001 知识库和 ISO 27002 实施指南，AI 的回答不是随便编的，有知识库做支撑。你也可以直接问”这个条款的典型证据是什么”——答案会附带实施指南中的原文参考。

2) 文件审核与分析

上传制度文件（Word / PDF / Excel），AI 自动做差距分析。

它不会直接告诉你”通过”或”不通过”——而是列出：

• ✅ 已覆盖条款：哪些条款企业的制度中有对应内容
• ⚠️ 待完善条款：有提及但缺少具体证据的条款
• ❌ 缺失条款：制度中完全没有涉及的控制项

每一条分析结果都附带 ISO 27002:2022 实施指南的参考，方便你直接作为改进依据。

这是我在实际审核中使用频率最高的功能。 一次上传60多页的制度文件，分析结果在2分钟之内返回。以前这种粗筛工作需要至少两三个小时。

3) 条款匹配与符合性判断

把一段审核发现描述丢进去，AI 自动匹配最相关的 ISO 27001 条款，并给出初步的符合性判断：符合 / 观察项 / 不符合。

后端内置了完整的 93 项 Annex A 控制措施库，匹配准确度经过多次迭代。你不需要自己翻书猜条款号——直接写审核发现，AI 帮你定位。

4) 审核记录生成

输入条款号 + 企业资料，一键生成标准化审核记录，包含：

• 证据描述
• 判定说明
• 改进建议

这是日常写审核报告时效率提升最明显的功能。几十项控制措施逐条措辞的工作，可以直接从这里开始。

5) ISO 27002 实施指南查询

93 项控制措施的全部实施细则，支持按条款号精确检索。正文10章 + 附录 A 93 项控制措施 + ISO 27002:2022 全部实施指南，知识库一次内置，无需联网检索。

二、技术选型：为什么这么搭

项目已开源：
👉 https://github.com/joezhou2023/SecuVerify-Z

为什么内置知识库而不是每次都联网检索？ 两个原因：一是”离线可用”——不是所有审核场景都有稳定外网；二是”结果确定”——知识库内容是固定的标准条文，不允许 AI 自由发挥。

三、为什么叫「安鉴·周」？

• 安 = 信息安全（Security）
• 鉴 = 审核鉴定（Verify）
• 周 = 周氏专属 + 周密周全

英文名 SecuVerify-Z，Security + Verify，Z = Zhou。

四、适合谁用？

• 正在做 ISO 27001 内审/外审的审核员
• 需要快速理解条款要求的企业安全负责人
• 想把审核记录做得更规范、更高效的咨询公司

五、一句话说明定位

安鉴·周不替代审核员。

每一条分析结果的输出位置都有一句话：“建议结合企业实际情况进行复核，最终审核判断应由具备资质的审核员做出。”

它是审核员的工作台灯——把文档照亮、把你需要的信息推到手边，但决定往哪个方向走，还是你自己。

六、尾巴

项目以 MIT 协议开源，欢迎试用、提 Issue、Star。

• 开源仓库：https://github.com/joezhou2023/SecuVerify-Z
• 线上体验版：https://audit.joezhou.top/

如果用过之后有想法，欢迎在 GitHub 上交流。

免责声明：本工具为审核辅助工具，所有分析结果仅供参考。最终审核判断应由具备资质的审核员做出。

周知ISO，专注于ISO 27001/9001/20000-1审核实务，持续分享企业ISO管理体系经验。