一、ISO/IEC 27701:2019 4.2 标准原文
原文摘要:表1给出了本标准中与 ISO/IEC 27001:2013 相关的 PIMS 特定要求位置。第5章对应 ISO/IEC 27001:2013 第4章到第10章,其中 5.2 和 5.4 增加 PIMS 特定要求,其余章节虽然未增加特定要求,但 5.1 中对“信息安全”的扩展解释始终适用。
二、条款解读说明
4.2是 27701:2019 中最容易被低估的一条,因为它看起来只是一个映射表说明。但在实施层面,这张表恰恰决定了组织应如何把已有的 ISO/IEC 27001:2013 管理体系扩展成 PIMS。它告诉读者两件事:第一,PIMS 并不是另起炉灶的第二套体系,而是基于既有管理体系框架的隐私扩展;第二,即便某些管理体系章节没有新增“PIMS特定要求”,也不代表这些章节与隐私无关,因为 5.1 已明确要求将“信息安全”的要求扩展到保护可能受 PII 处理影响的 PII 主体隐私。
这一条最大的价值,是把“增量要求”和“基础要求”区分开。表1中真正新增 PIMS 特定要求的重点集中在第4章“组织环境”和第6章“规划”,对应 5.2 与 5.4。这说明 27701:2019 认为,隐私治理最需要补强的不是形式化文件,而是环境识别、角色识别、范围划定、风险评估和风险处置等体系前端环节。其他如领导、支持、运行、绩效评价和改进等章节,虽然没有额外写出很多新的隐私条文,但并不意味着可以照旧执行。相反,它们要在“信息安全扩展为信息安全和隐私”的前提下继续适用。
| ISO/IEC 27001:2013条款 | 27701对应位置 | 4.2传递的关键信息 | 组织应关注什么 |
|---|---|---|---|
| 第4章 组织环境 | 5.2 | 增加PIMS特定要求 | 角色识别、相关方识别、PII处理纳入范围 |
| 第5章 领导 | 5.3 | 无新增特定要求,但扩展解释适用 | 领导承诺和职责应覆盖隐私治理 |
| 第6章 规划 | 5.4 | 增加PIMS特定要求 | 风险和机会、风险评估、风险处置需要纳入隐私因素 |
| 第7章 支持 | 5.5 | 无新增特定要求,但扩展解释适用 | 资源、能力、意识、沟通和文件化信息要支撑PIMS |
| 第8章 运行 | 5.6 | 无新增特定要求,但扩展解释适用 | 运行控制应覆盖PII处理活动 |
| 第9章 绩效评价 | 5.7 | 无新增特定要求,但扩展解释适用 | 监测、审核、管理评审不能忽略隐私绩效 |
| 第10章 改进 | 5.8 | 无新增特定要求,但扩展解释适用 | 纠正措施和持续改进应纳入隐私偏差与投诉复盘 |
理解这张表的一个关键点,是不要把“没有 PIMS 特定要求”误解成“与隐私无关”。例如 5.3 领导没有写出很多补充文字,但这并不意味着管理层只对信息安全负责而不对隐私负责;5.7 绩效评价没有写出独立的长条文,也不意味着内部审核和管理评审可以不覆盖隐私信息处理。4.2想表达的是:27701对27001的增量写在少数条款里,但隐私影响的是整套管理体系的理解方式和运行范围。
从体系建设角度看,4.2还帮助组织避免两个极端。一个极端是完全平移 27001 文件,简单把“信息安全管理体系”改成“隐私信息管理体系”,结果角色、PII处理场景和隐私风险根本没有进入体系。另一个极端是完全抛开 27001 另建一套隐私流程,导致两套体系并行、职责冲突、审核路径重复。4.2提供的正确方向是:保留管理体系骨架,在必要位置做 PIMS 补充,并把整个管理体系的理解基准从“信息安全”扩展到“信息安全和隐私”。
对已经通过 ISO/IEC 27001 认证的组织而言,4.2尤其重要,因为它直接关系到升级改造的工作量和顺序。通常最有效的路径不是推倒重来,而是先做条款级差距分析:哪些27001条款已有机制可复用,哪些必须补充角色与PII处理要求,哪些流程需要引入新的输入输出,哪些记录要能体现隐私证据。只有这样,组织才不会陷入“看起来做了很多,但审核时仍说不清 PIMS 是如何依附于 ISMS 运行”的困境。
三、实施要点
- 先把现有 ISO/IEC 27001:2013 条款与 27701 第5章逐项映射,明确哪些是“直接沿用”,哪些是“需要补充”,哪些是“需要重构”。
- 重点关注 5.2 与 5.4,因为它们是 4.2 指出的增量核心,决定角色识别、范围、风险评估和风险处置能否真正进入体系。
- 对第5章中未新增条款的部分,也要重新检查其职责、运行记录和评审机制是否已覆盖隐私要求。
- 把 5.1 中“信息安全扩展为信息安全和隐私”的原则写入培训材料和条款适用说明,避免实施团队只盯新增文字。
- 映射表的作用不是解释目录,而是为实施和审核提供路线图。
四、常用工具与实施方法
| 工具/方法 | 适用目的 | 关键输出 |
|---|---|---|
| 27001-27701条款映射表 | 识别增量要求和沿用要求 | PIMS差距清单 |
| 流程承接矩阵 | 确认每项管理体系要求由哪个流程执行 | 条款-流程对应关系 |
| 职责增量分析 | 检查管理层、法务、信息安全、业务职责是否需调整 | 更新后的RACI或职责表 |
| 审核问答清单 | 从审核视角准备体系解释口径 | PIMS审核说明材料 |
成熟组织在实施4.2时,往往会把每个 27001 条款拆成“现状证据、隐私差距、补充措施、形成文件、运行证据”五列。这样既能避免重复建设,也能清楚看见哪些地方只是“文字替换”,哪些地方必须做真实改动。
五、典型案例
- 认证型企业的误区:某企业已有成熟 ISMS,认为做27701只需新增隐私政策和几份同意模板。做完后发现管理评审、内部审核和风险处置仍沿用旧口径,无法说明如何覆盖 PII 处理。回到4.2重新梳理条款映射后,企业把 5.2 和 5.4 作为改造重点,并同步调整审核与评审输入,PIMS 才真正成形。
- 零基础组织的误判:某初创 SaaS 厂商想直接根据第7章和第8章写隐私控制,却忽略了管理体系要求。结果制度不少,但职责、目标、改进和审核机制都很薄弱。通过 4.2 重新回到 27001 管理体系骨架后,组织才意识到 PIMS 不是只做控制,更要有体系承接。
这两个场景说明,4.2既是升级路径说明,也是纠偏条款。已有体系的组织需要防止“只补控制不补体系”,零基础组织则要防止“只看隐私不看管理体系”。
从文章质量角度看,4.2不能只停留在“表1说了什么”,而要帮助读者真正理解如何把这张表转成实施动作、项目计划和审核证据。只有这样,读者才会觉得这篇文章可直接用于项目落地,而不是又一篇目录解释。
六、成文信息管理要求
| 建议保留文件 | 关键内容 |
|---|---|
| 27001与27701条款映射清单 | 现有体系条款、27701增量要求、适用说明和责任人 |
| PIMS差距分析报告 | 需补充的制度、流程、记录和审计证据 |
| 改造实施计划 | 按章节推进的优先级、资源安排和里程碑 |
| 审核准备材料 | 说明 PIMS 如何建立在 ISO/IEC 27001:2013 基础上运行 |
这些文件的意义,不只是满足项目管理需要,更重要的是在内外部审核时证明组织对 27701 与 27001 之间的关系是清楚的、经过分析的,而不是“照着模板抄一遍”。特别是对已经持有 27001 认证的组织,这类映射文件通常是极具说服力的证据。
七、常见误区及踩坑提醒
| 误区 | 问题表现 | 正确做法 |
|---|---|---|
| 只看新增条款 | 认为无增量章节与隐私无关 | 同时应用5.1的扩展解释和既有管理体系要求 |
| 把27701做成第二套体系 | 两套流程并行、职责重复、审核口径冲突 | 在27001骨架上增量补充PIMS要求 |
| 只改文件名称不改体系逻辑 | 制度表面“隐私化”,运行仍是旧ISMS逻辑 | 聚焦5.2和5.4等关键增量条款进行真实改造 |