内审要求也在升级：ISO/IEC 27007:2020待修订，CD 27007已经进入委员会阶段

很多组织做 27001 时，内部审核往往被放在一个相对被动的位置。年度内审安排一下、按条款抽查一下、出几条不符合或观察项，然后就进入管理评审和监督审核。这种做法不能说完全错误，但如果把 27001 看成需要长期稳定运行的体系，那么内审本质上不应该只是“审核前的预演”，而应是组织持续校正体系有效性的核心机制。

正因如此，ISO/IEC 27007:2020 进入修订，且新一版已经推进到 CD 阶段，这条信息并不只属于审核员或认证机构。它同样在提醒获证组织：ISMS 审核方法本身也在持续更新。未来企业若还把内审做成纯文件核对、纯合规打勾，和体系实际运行脱节的程度只会越来越明显。

一、为什么27007的进展值得每一家27001企业关注

因为 ISO/IEC 27007 针对的不是某一个控制点，而是“怎么审”。而“怎么审”恰恰决定了组织会发现什么问题、忽略什么问题、如何理解证据、如何判断整改优先级。很多企业 27001 看起来年年都在运行，但真正高风险的问题依然反复出现，往往不是体系没写，而是审核没有把问题识别出来。

ISO 官网对 27007 的描述很明确，它适用于需要理解或开展 ISMS 内外部审核、或管理审核方案的人。也就是说，它不只是给认证审核员看的，也适用于企业自己的内审团队、合规团队和体系负责人。这一点非常关键，因为在大量企业实践中，最先暴露体系衰减信号的，往往不是外部审核，而是内部审核做得太浅、太宽泛、太依赖模板。

二、现行版“待修订”与新CD已启动，释放了什么信号

三、为什么很多企业的27001内审质量偏低

1. 把内审等同于条款核对

最常见的做法是按条款列问题：有没有手册、有没有风险评估、有没有 SoA、有没有会议纪要。这样的检查当然必要，但远远不够。因为它更容易发现“有没有”，却不容易发现“是不是在运行”“是否适配当前业务”。结果是文件齐全，体系问题仍然被忽略。

2. 不足以覆盖业务变化和技术变化

当前很多企业的风险来自云配置、外包开发、接口开放、日志监视、身份权限、远程访问和供应链协同。如果内审仍然停留在传统机房和文档视角，就会和真实风险错位。内审要有效，必须跟着业务与技术边界一起变化。

3. 审核员能力过于单一

有些组织的内审员非常熟悉管理体系流程，却不够理解信息安全场景；有些则相反，技术很强，但不会从体系逻辑看证据。27007 一直强调审核方案和审核员能力，这说明 ISMS 审核不是简单叠加条款知识或技术知识，而是两者都需要。

四、企业现在最应该怎样升级内审思路

1. 从“按条款查资料”转向“按风险和场景查运行”

例如，与其只问“有没有权限管理制度”，不如进一步问：最近一次关键系统权限变更是怎样审批和复核的？离职账号回收是否有证据？特权权限是否有周期回顾？这类问题更能检验控制是否真正运行。

2. 让审核方案与年度变化挂钩

如果企业过去一年上线了新云平台、开放了新接口、引入了新的第三方开发团队，审核方案就不应继续按去年的重点原样复制。27007 的核心价值之一，就是提醒组织把审核方案管理当成动态过程，而不是固定模板。

3. 提升内审团队的组合能力

成熟的 ISMS 内审往往需要体系人员、技术人员、业务人员形成一定配合。不是每个人都要精通所有内容，但整体审核能力必须既能理解标准逻辑，也能看出真实控制场景。企业若一直用单一视角做内审，就很难发现交叉问题。

五、27007更新为什么会影响未来审核趋势

一旦审核指南持续更新，组织就应预期内外部审核都可能逐步更加关注审核方案的合理性、审核员能力匹配、抽样深度、控制有效性和业务场景适配，而不是满足于形式性文件抽查。对已经拿证的企业来说，这意味着“审核越来越像真正的审核”，而不是越来越像例行流程。

这对高成熟度企业其实是好消息。因为真正做得好的组织，往往希望审核能带来问题发现和改进价值，而不是只求过关。反过来，对长期依赖轻量审核、迎审补材料和模板化内审的企业来说，后续压力会更大。不是因为标准突然变严，而是因为审核方法正在逐步回到其本来应有的位置。

六、对中国企业的现实建议：把内审从“体系配角”升为“治理前哨”

很多国内企业在做 27001 时，资源更多投入在初始建体系和外部认证上，内部审核则被压缩成例行节点。这样做的代价是，企业对体系失效的感知通常会偏晚，往往要等客户投诉、外部审核指出问题或事件发生后才意识到缺口。真正成熟的组织，会把内审视为最便宜、最可控、最有机会提前发现问题的治理工具。

27007 当前进入修订，并不要求企业立刻重写全部内审文件，但它足以提醒企业：现在就该重新看一遍自己的内审方案、抽样方法、审核员能力和问题闭环机制。谁先把这件事做实，谁就更可能在后续标准和审核趋势变化中保持主动。