一、ISO/IEC 27018:2025 5.2 标准原文
条款要义(依据标准条款主题和控制目标整理):公有云服务提供商应定义并分配与个人身份信息(PII)处理相关的信息安全职责,确保治理、设计、审批、执行、监督、取证、升级和客户支持等关键环节都有明确责任归属,尤其要覆盖访问控制、删除返还、事件通知、日志证据、位置与接收方说明、子处理者管理和供应链监督。
本条在27018中的重点,不是做一张漂亮的RACI图,而是确保组织在面对PII相关问题时始终能清楚回答谁负责决策、谁负责执行、谁负责证明、谁负责对客户说清楚。
二、标准条款解读说明
2.1 为什么公有云PII处理链中的职责划分天然更难
在公有云环境中,PII处理几乎从来不是单一团队的工作。产品团队设计功能边界,平台工程决定数据流向和系统架构,运维与SRE负责运行与恢复,支持团队直接接触客户工单和附件,安全团队负责监测与取证,隐私与法务负责合规判断,采购与供应商管理负责子处理者接入,客户成功和销售又承担对外沟通压力。任何一条PII处理链都可能跨越这些角色。
如果职责只按传统部门边界粗略划分,组织在高风险场景中就会迅速暴露问题。比如事件发生时,安全团队掌握技术事实但不确定谁有权触发客户通知;客户要求删除数据时,产品以为运维负责,运维以为业务系统所有者负责;采购换了外部组件,却没有人明确负责评估是否影响位置和接收方承诺;客户追问日志证据时,支持团队找不到真正能解释字段意义的人。这些问题本质上都不是技术故障,而是职责设计不完整。
因此,5.2在27018场景中的任务,是把PII处理链上最关键的责任点明确到角色和接口,而不是默认“谁离得最近谁负责”。
2.2 哪些职责最容易在公有云PII处理中悬空
| 职责主题 | 常见悬空点 | 后果 | 正确分配方向 |
|---|---|---|---|
| 事件通知 | 技术团队知道情况,业务团队负责客户,但没人拥有触发权 | 客户通知滞后 | 明确判定、批准、发送和更新责任 |
| 删除与返还 | 产品、运维、客服和备份团队各管一段 | 承诺覆盖范围不完整 | 指定端到端责任人与系统责任人 |
| 子处理者接入与变更 | 采购签约,技术接入,隐私团队最后才知道 | 下游处理链失控 | 建立跨部门责任链和批准门槛 |
| 日志与证据解释 | 有人能导出日志,但没人负责解释客户关心的问题 | 审计和争议支持无力 | 明确日志所有者、提取者和解释责任 |
| 位置与接收方说明 | 区域和下游信息分散在不同团队 | 客户问询时口径混乱 | 指定统一责任接口和维护机制 |
2.3 5.2真正要解决的是“端到端责任”,而不是“每个部门都有一点责任”
很多组织会在职责矩阵里给同一件事填上很多“协助”“配合”“支持”角色,但真正关键的问题是:谁对最终结果负责?谁有权在高风险时刻做决定?谁在客户追问时必须拿出证据?如果这些问题回答不出来,那么责任再多也只是分散了压力,而不是形成了控制。
对公有云PII处理者来说,成熟职责设计通常需要两层结构。第一层是端到端责任角色,例如谁总体负责事件通知机制、谁总体负责删除返还闭环、谁总体负责子处理者透明度;第二层是分段执行角色,即各系统、各流程、各团队在这条链中的具体动作。只有这两层都清楚,组织才不会在复杂场景里互相推诿。
2.4 为什么供应链和区域职责必须进入正式分工
一般组织的信息安全职责往往偏重内部系统和人员,但27018场景下,供应链和区域职责同样关键。因为子处理者接入、外部支持、跨区域复制、灾备切换和位置承诺都可能改变PII处理边界。如果这些职责不进入正式分工,组织就会在真正发生变化时后知后觉。成熟的职责体系会明确:采购负责什么,隐私评估谁发起,技术评估谁出具,区域影响谁确认,客户通知谁判断,后续监督谁负责。
把这些职责提前明确,比事后再追责有效得多。
三、实施要点
3.1 围绕PII关键场景建立职责矩阵,而不是围绕部门名称分配
- 优先围绕事件通知、删除返还、访问控制、日志证据、供应链接入、位置说明和客户审计支持这些高风险主题来设计职责。
- 每个主题都应明确主责、协作、批准、复核和对外接口角色。
- 若只按“安全部负责安全”这种口径分工,现场一定会落空。
3.2 为端到端责任设置明确牵头角色
- 对高复杂度事项,应指定一个对最终结果负责的牵头角色,而不是让多个团队平行承担“共同责任”。
- 牵头角色不意味着独自完成全部动作,而是负责确保链条闭环、接口清楚和问题升级。
- 客户最敏感的事项越应这样设计。
3.3 把职责写进流程、系统和例外审批中
- 职责矩阵不能只停留在PPT或组织图上,应进入工单模板、审批流、通知模板、删除流程、供应商引入流程和演练脚本。
- 这样在真实场景中,系统会提示谁必须参与,而不是依赖记忆找人。
- 职责不进入流程,就难以在压力场景中真正发挥作用。
3.4 对跨区域和供应链场景设专门责任接口
- 新增区域、切换服务商、引入外部客服、变更日志或分析平台时,应有明确责任人发起隐私与安全评估,而不是等接入完成后补救。
- 对位置和接收方相关问题,最好设立统一维护和对外解释接口。
- 这类职责如果没有固定出口,客户问询时最容易陷入多部门互相确认。
3.5 用演练、复盘和访谈验证职责是否真实有效
- 职责设计是否有效,不能只看文件,要看重大事件演练、删除测试、审计应答和供应链变更场景中是否真正按角色运转。
- 对职责模糊或长期争议的主题,应通过复盘不断调整。
- 成熟组织会把“职责失真”本身当成值得整改的问题。
四、常用工具与实施方法
| 工具/方法 | 用途 | 公有云PII实施建议 | 典型输出 |
|---|---|---|---|
| PII职责RACI矩阵 | 明确关键场景责任归属 | 围绕通知、删除、分包、位置和日志证据设计 | 职责矩阵 |
| 端到端责任清单 | 锁定最终负责角色 | 为高复杂事项指定牵头人与升级路径 | 责任清单 |
| 流程嵌入配置 | 让职责进入现场执行 | 在工单、审批和模板中固化参与角色 | 流程配置 |
| 供应链责任接口表 | 管理外部接入和变更 | 明确采购、隐私、技术、法务和区域团队接口 | 接口清单 |
| 职责演练与复盘 | 验证设计是否可运行 | 结合通知、删除、审计答复和分包变更场景 | 演练记录 |
五、典型案例
案例一:PII事件发生后,谁来通知客户长期说不清
- 背景:某平台发生疑似数据泄露,安全团队率先掌握事实,客户成功团队负责客户关系,法务担心表述风险。
- 问题:因为没有明确职责设计,三个团队都在等待别人先给结论,导致客户初报延误。
- 5.2动作:组织明确事件分级、触发判断、通知批准和发送更新的责任链,并在流程中固化。
- 结果:后续事件中,客户通知不再依赖临时协商。
- 启示:通知责任只要悬空一次,平台就会在客户信任上付出很大代价。
案例二:客户要求删除数据时,各团队只愿负责自己的一小段
- 背景:某客户终止服务后要求删除所有PII。
- 问题:产品团队负责主数据,运维团队负责存储,客服团队负责工单附件,备份团队负责副本,但没有人对整体交付负责。
- 5.2动作:平台指定删除返还端到端责任人,同时保留各系统责任人分段执行。
- 结果:删除与返还从“多段拼接”变成可闭环管理。
- 启示:复杂链路中最怕“每个人都做了一点,但没人对结果负责”。
案例三:采购更换了外部组件,隐私团队最后才知道
- 背景:为优化服务效率,采购和业务团队快速引入了新的外部支持组件。
- 问题:隐私和安全评估没有在接入前触发,直到客户追问接收方变化时组织才开始内部排查。
- 5.2动作:平台重新分配供应链接入职责,要求采购、技术、隐私和法务在上线前完成明确分工和批准。
- 结果:子处理者变更开始进入受控责任链。
- 启示:供应链职责不清,会直接撕开处理者边界。
六、成文信息管理要求
5.2在审核中通常会被结合真实场景抽查。审核员不会满足于看一张岗位表,而会关注组织是否真的能说明通知、删除、分包、位置、日志解释和客户响应由谁牵头、谁执行、谁复核。
| 建议文件或记录 | 关键内容 | 责任部门 | 审核价值 |
|---|---|---|---|
| 信息安全职责制度 | 关键场景、角色定义、主责与协作关系 | 安全/隐私/HR | 证明组织已建立正式职责框架 |
| PII职责矩阵 | 通知、删除、分包、位置、日志和客户支持职责分配 | 安全/隐私/运维/业务 | 证明职责贴近27018重点主题 |
| 流程嵌入记录 | 工单、审批和模板中的角色配置 | 平台治理/IT/业务 | 证明职责不是停留在文件层 |
| 演练和复盘材料 | 职责执行情况、接口问题和改进措施 | 安全/隐私/管理层 | 证明职责设计可在真实场景中运转 |
| 供应链责任接口记录 | 接入、变更、监督和对外说明责任 | 采购/法务/隐私/技术 | 证明外部场景也有明确分工 |
七、常见误区及踩坑提醒
| 误区 | 表现 | 正确做法 |
|---|---|---|
| 职责矩阵做了就算完成 | 真实场景仍然不知道谁牵头、谁拍板 | 围绕高风险场景检验职责是否真的可执行 |
| 每个部门都承担一点责任就够了 | 关键事项缺少端到端主责人 | 为复杂链路指定明确牵头角色 |
| 供应链责任属于采购自己的事 | 隐私和安全评估永远滞后于接入动作 | 建立跨部门责任链和前置评估职责 |
| 客户沟通职责天然归客户成功团队 | 技术事实与法律判断无法及时汇聚 | 把技术、法务和客户接口职责提前打通 |
| 职责可以长期不更新 | 区域扩展、架构调整和团队变化后责任失真 | 在重大变化后同步复审职责设计 |
| 谁离问题最近谁就负责到底 | 临时指派导致边界和证据都混乱 | 提前定义关键场景责任,而不是事后即兴分工 |