夜雨聆风
审核现场实录:我在一家软件企业发现了3个ISO/IEC 27001高频问题
这是「审核现场实录」系列第四篇。每篇基于真实审核场景,提炼高频问题、根因分析和可落地的整改建议。如果你也是审核员,欢迎在评论区分享你遇到的类似问题。
入场
周三上午9点半,我到了一家软件企业。
这家公司做政务云解决方案,员工约200人,已通过ISO 9001、ISO 27001双体系认证,这次是ISO 27001再认证审核。
安保登记完,行政带我到了会议室。我照例先要了信息安全管理手册、适用性声明(SoA)、以及最近一次的内审和管理评审记录。
翻完文件,我发现这家公司的ISO 27001体系文件相当”标准”——几乎是照着ISO/IEC 27002控制项逐条套过来的,SoA里”不适用”的条款理由也写得滴水不漏。
但五年的信息安全审核经验告诉我:SoA写得越完美,现场越要警惕——因为ISO 27001最容易做成”文档体系”,而不是”运行体系”。
当天我重点审核了”访问控制””信息安全事件管理””信息安全风险评估”三个域。以下是我在现场发现的3个高频问题,在服务业、软件企业、甚至制造业都反复见过。
问题一:访问控制靠自觉,账号权限没人定期复核
现场看到了什么
我请IT管理员导出了一份《系统账号权限清单》,覆盖了OA系统、代码仓库(GitLab)、生产环境服务器、以及文件共享服务器,共4个系统、187个账号。
看起来很完整。但我随机抽了15个账号,要求IT管理员跟我一起现场验证:这些账号对应的人,是否还在职?权限是否和实际岗位匹配?
结果:
- 5个账号对应已离职员工
——最长的一个已经离职8个月,账号还在,密码没改。 - 3个账号的权限远超岗位需要
——一个初级开发工程师,GitLab权限是”Maintainer”(可以合并任何代码到主分支),而他实际只需要”Developer”权限。 - 2个外包人员账号没有到期时间
——外包合同半年前就结束了,账号还在活跃状态。
我问IT管理员:”你们有没有定期(比如每季度)复核账号权限?”
他说:”有流程,每年内审的时候会查一次……”
ISO/IEC 27001:2022 控制项 5.15(访问控制)要求:组织应基于业务和信息安全需求建立访问控制策略,并定期评审。账号权限不是”设一次就完事”,而是需要周期性复核的动态管理。
这家公司把”访问控制”做成了一个静态配置,而不是一个持续运行的过程。
为什么这是高频问题
我在软件企业、金融机构、甚至大型制造企业都见过同样的问题,根因高度一致:
权限管理是”设起来麻烦,改起来更麻烦”的事,所以大家能不改就不改。
IT部门通常只在两个场景下动权限:
1. 新员工入职——按流程开账号
2. 员工离职——HR通知IT删除账号(但经常漏通知)
中间的过程——调岗、晋升、项目角色变化、外包到期——没有人主动管理权限变化。
更深层的原因:很多企业没有把”权限复核”纳入任何人的KPI。IT管理员觉得自己”保证了系统可用”就算完成任务,至于”这个账号该不该有这个权限”,既不是他的关注点,也没有人为这件事负责。
怎么改
1. 权限复核要做成定期作业,不能只靠内审。 建议每季度至少一次,由IT+各业务部门负责人联合复核,复核记录要留存。
2. 权限遵循”最小必要”原则,且要有审批链。 任何权限变更(新增、修改、删除)都要有申请-审批记录,不能IT管理员”自己说了算”。
3. 离职/外包到期要形成强制联动机制。 HR系统或外包管理系统应与IT系统对接(或至少定期核对),确保人员状态变化实时反映到账号权限上。
问题二:信息安全事件”零发生”,但员工 phishing 测试通过率只有30%
现场看到了什么
这家公司的《信息安全事件记录表》里,2024年全年记录是:零条。
我问信息安全负责人:”去年一年,真的没有发生任何信息安全事件吗?”
他犹豫了一下说:”technically 没有’事件’,有一些可疑的邮件和U盘,但都没造成后果……”
我接着问:”那你们做过钓鱼邮件测试吗?员工的安全意识培训有考核吗?”
他打开了培训记录——2024年做了4次全员信息安全培训,每次都有签到表,看起来很规范。
但我要求看培训效果验证时,他拿出了一份钓鱼邮件测试报告:2024年做了2次全员测试,第一次通过率28%,第二次通过率31%——也就是说,70%的员工会点击钓鱼邮件里的恶意链接。
零事件记录,但70%的员工会被钓鱼——这说明事件管理流程本身是失效的。
不是没有事件,而是事件没有被识别和上报。员工点了钓鱼链接,觉得”没什么事发生”,就不会上报;IT部门没有部署足够的安全监测工具,也不知道这件事发生了。
ISO/IEC 27001:2022 控制项 5.24(信息安全事件管理)要求:组织应建立信息安全事件的响应、报告和评估机制。“没有被上报的事件”不等于”没有事件”。
为什么这是高频问题
这是我见过的ISO 27001审核中最隐蔽的问题。
根本原因:很多企业把”信息安全事件管理”理解成了”出事了怎么应对”,而没有建立”怎么发现事件”的机制。
一个典型对比:
|
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
更深层的问题:很多企业不敢”有事件”。内审、管理评审、甚至外审,大家都希望看到”零事件”——因为”有事件”意味着”体系有漏洞”。
但这个逻辑是错的。“零事件”往往意味着”零发现”,而不是”零风险”。
怎么改
1. 先接受”一定会有事件”这个事实。 管理评审时,不要问”有没有事件”,要问”我们的检测能力够不够,能不能发现事件”。
2. 部署基础的安全监测工具。 不一定是大厂的SIEM,至少要有防病毒控制台日志、上网行为管理日志、邮件安全网关日志,定期review。
3. 钓鱼测试常态化。 建议每季度做一次不预先通知的钓鱼邮件测试,结果纳入部门安全考核。通过率低于50%的部门,要追加培训。
4. 建立”未遂事件”上报机制,且不追责。 员工上报可疑邮件、U盘,要给正向激励,不能一上报就”你怎么回事,这么基础的安全意识都没有”。否则没有人会上报。
问题三:信息安全风险评估年年做,但风险处理计划从未执行
现场看到了什么
这家公司有一份《信息安全风险评估报告》,2024年版,识别了46个风险项,风险处理计划(Risk Treatment Plan)里列了18项需要”降低”或”转移”的风险。
我逐条看了这18项处理计划,然后问信息安全负责人:
“这18项处理措施,执行得怎么样了?”
他打开了一份Excel,里面有完成状态标注——18项全部标注”已完成”。
但我随机抽了5项,要求看”已完成”的证据:
- 风险项:”核心代码库未做异地备份”——处理措施:”计划Q2实施异地备份”
。我问:备份做了吗?他说:”这个……还在走采购流程。” - 风险项:”外包开发人员未签保密协议”——处理措施:”已全部补签”
。我要求看补签的保密协议,他说:”电子版在法务那里,这次没带。” - 风险项:”生产环境未做渗透测试”——处理措施:”已安排第三方测试”
。我要求看测试报告,他说:”去年没来得及做,计划今年Q1做。”
5项抽了3项”未完成”,但Excel里全部标注”已完成”。
这不是风险评估,这是风险评估演出。
ISO/IEC 27001:2022 条款 6.1.2(信息安全风险评估)和 6.1.3(信息安全风险处理)要求:风险评估和风险处理不是”每年填一次表”,而是一个持续的过程。处理计划里的措施,要有证据证明”真的做了”,而不只是”计划做”。
为什么这是高频问题
ISO 27001的风险评估是企业里最容易做成”形式主义”的一个过程。
根因有两个:
第一,风险评估报告的主要读者是审核员,不是管理层。 企业做风险评估的驱动力是”审核要查”,而不是”我想知道我有哪些风险”。当一份文档的唯一用途是”通过审核”时,它的内容就会向”看起来合规”靠拢,而不是向”反映真实风险”靠拢。
第二,风险处理需要预算,但不一定有。 很多企业识别出了高风险(比如”核心数据未加密””没有灾备”),但风险处理计划需要采购安全设备、购买保险、或者聘请第三方机构,这些都需要预算。当预算批不下来时,风险处理计划就变成了一个”一直计划,但一直不执行”的列表。
怎么改
1. 风险评估报告要给管理层汇报,不能只给审核员看。 建议每年管理评审时,专门安排一个议程:信息安全负责人向最高管理层汇报风险评估结果和处理进展,管理层要质询。
2. 风险处理计划要分优先级,和高层预算决策挂钩。 高优先级的风险(比如可能导致业务中断的)必须给预算;低优先级的可以接受或转移(买保险)。
3. 审核员要敢于挑战”全部已完成”的声明。 如果18项处理措施”全部完成”,要抽至少30%看证据。如果抽核发现水分,这就是6.1的不符合项,不要只开观察项。
复盘:这三个问题有什么关系
回看这三个问题,其实指向同一个根因:
信息安全管理是”看起来容易,做起来难”的体系。
访问控制——技术上就是”设账号、配权限”,但持续管理需要跨部门的流程和纪律,大多数企业做不到。
事件管理——流程文件写起来很简单,但”发现事件的能力”需要工具投入和文化建设,大多数企业只做了前半段。
风险评估——填表不难,但风险处理需要预算和高层支持,大多数企业卡在后半段。
ISO 27001比ISO 9001、14001、45001更难”落地”,原因就在这里:它要求的不仅是管理流程,而是技术和管理的深度融合。 只有流程没有工具,体系是空的;只有工具没有流程,管理是乱的。
写在最后
这篇是「审核现场实录」系列第四篇。
-
第一篇写了ISO 14001环境管理体系的3个常见问题 -
第二篇写了ISO 45001职业健康安全体系的3个高频问题 -
第三篇写了ISO 9001质量管理体系的3个核心问题 -
这篇写了ISO/IEC 27001信息安全管理体系的3个典型问题
后续还有最后一篇:ISO 20000 IT服务管理体系,把五体系的高频审核问题完整梳理一遍。
你是信息安全审核员吗?你在现场见过最”经典”的ISO 27001问题是什么?欢迎评论区聊聊。
作者:审核员的日常,十余年ISO多体系审核经验,专注审核实战与案例拆解。