ISO 27001:2022 所需文件和记录 (2025) – 审核员清单

实施 ISMS 只是成功的一半； 证明 另一件事是“有效”。认证过程中，我们的审核员从文书工作开始，因为第4-10条中的每一项要求以及附件A中的93项控制措施都必须以签名、版本控制的文档或可验证的记录形式记录。漏掉一项，此次访问就变成了补救项目。请使用以下清单，确保不会发生这种情况。

为什么我们从文档开始

完备性 – 如果缺少所需文件，则属于重大不合格，认证将暂停。

持续一致 – 名称、资产 ID 和风险评级必须从范围到日志相匹配。

可追溯分析仪 – 每个风险都与一个控制措施相关，每个控制措施都与监控证据相关。

新鲜 – 我们希望每份文件都能在当前周期内（通常为 12 个月）得到审核。

必备文件（第4-10条）

✔/☐文件条款为什么我们在乎☐ISMS 范围说明4.3明确定义我们审计的内容——人员、技术、地点、供应商。☐信息安全政策5.2展现高管的支持和总体方向。☐风险评估方法6.1.2锁定可能性/影响尺度，以便风险评分具有可辩护性。☐运营规划与控制8.1连接风险、控制和资源的高级 SOP；现在将于 2022 年强制执行。☐适用性声明 (SoA)6.1.3列出所有 93 个控制措施，并根据业务原因将每个控制措施标记为已采用或已排除。☐风险处理计划6.1.3和8.3绘制每个重大风险的图表，以减轻/转移/避免/接受行动、所有者和期限。☐信息安全目标6.2将政策目标转化为可衡量的 KPI（例如“关键补丁 ≤ 14 天”）。☐监测与测量结果（文档）9.1证明这些 KPI 已被跟踪并满足。☐内部审计计划和报告9.2证明你在我们到达之前对自己进行了测试。☐管理评审记录9.3证据表明领导团队审查了绩效、风险和资源。☐纠正措施程序和记录10.2表明问题已从根本上得到解决，而不仅仅是修补。

强制保留记录

✔/☐Record条款/控制我们寻找什么☐风险评估结果6.1.2已完成风险登记，并评估了可能性和影响。☐风险处理结果6.1.3和8.3治疗后登记显示残留风险评级。☐能力证明（培训日志）7.2基于角色的安全培训、考试、签字。☐资产盘点一个5.9每项资产都标有所有者、分类、位置。☐用户/异常/安全事件日志一个8.15防篡改、时间同步、按政策保留。☐监测与测量的证据9.1仪表板、示例报告、警报——全部保留，不会被覆盖。☐内部审计结果9.2调查结果、抽样表、后续行动、结案证据。☐管理评审结果9.3议程、指标审查、决策制定、预算批准。☐纠正措施的结果10.2根本原因分析、行动负责人、验证日期。

保留提示： 保留整个三年认证周期加上一个审核期（实际上是四年）的所有记录。

可选但高价值的政策

虽然标准并非强制要求，但这些文档可以减少面试时间并展现成熟度。如果您使用它们，请在 SoA 中注明。

文件控制程序

信息分类标准

BYOD 和移动办公政策

备份和灾难恢复计划

我们如何验证您的包裹

打开范围 – 确认我们正在寻找正确的资产。

追踪样本风险 – 从登记到控制，证明控制受到监控且有效。

检查审核日期 – 任何早于预定审查时间的文件都会被标记。

交叉核对数字 – 治疗计划中的风险评分必须与风险登记册和 SoA 中的风险评分相匹配。

后续步骤和免费资源

准备好填补空白了吗？下载我们的 附件A 管制目录 和 文档模板包，或尝试 ISMS构建器 在几分钟内生成政策草案。这些资源与 2022 年的结构保持一致，因此您将从审计师期望看到的文书工作开始。

关键精华

第 8.1 条 运营规划与控制 该文件是 2022 年版中的新内容 — — 请不要跳过。

存储两个独立的寄存器：一个用于 初始 风险评估结果，一个 后处理 剩余风险。

监控数据不仅仅是一个仪表板；它是一种必须在整个认证周期内保留的记录。

整洁的、版本控制的库将审计从询问转变为确认。

掌握这些文书工作，现场访问就会变成一种形式，而不是一场混乱。