一、ISO/IEC 27701:2019 第5章 标准原文
原文摘要:第5章给出了与 ISO/IEC 27001:2013 第4章至第10章相关的 PIMS 特定要求和补充信息,适用于无论作为 PII 控制者还是 PII 处理者的组织。为保持完整性,即使某些 ISO/IEC 27001 条款没有新增 PIMS 特定要求,标准仍保留对应子条款结构。
二、条款解读说明
第5章在27701:2019中的地位,相当于“把 ISO/IEC 27001:2013 变成 PIMS 的管理体系骨架”。这句话非常重要,因为很多组织看到后面大量控制者、处理者、分包、同意、通知、删除、共享和跨境处理条款时,容易把27701理解成一套隐私合规清单,而忽视了它首先是一套管理体系标准。第5章的任务,就是把这种误读纠正回来。它围绕 ISO/IEC 27001:2013 的第4章到第10章,逐项说明哪些地方需要做 PIMS 特定扩展,哪些地方虽无新增条文但仍必须以“信息安全和隐私”的方式来执行。
这一章最值得理解的,不是“哪里新增了要求”这么简单,而是“隐私要求进入管理体系后,会优先改变什么”。从结构上看,第5章对组织环境和规划部分做了更明确的增量补充,这说明隐私治理的关键前提在于:先识别角色、场景、相关方和范围,再把这些输入带入风险评估和风险处置。换句话说,27701并不鼓励组织先写一堆隐私制度,而是要求先把 PII 处理活动放进管理体系视野里,只有这样,后续领导、支持、运行、绩效评价和改进等机制才不会失焦。
| 第5章子章节 | 对应27001条款 | 在PIMS中的作用 | 实施重点 |
|---|---|---|---|
| 5.1 总则 | 整体解释 | 将“信息安全”扩展为“信息安全和隐私” | 统一体系理解基准 |
| 5.2 组织环境 | 第4章 | 把角色、相关方、范围和PIMS定义纳入体系起点 | 识别PII处理场景 |
| 5.3 领导 | 第5章 | 确保管理层职责和授权覆盖隐私治理 | 领导承诺与职责清晰化 |
| 5.4 规划 | 第6章 | 把隐私风险和隐私风险处置嵌入体系规划 | 风险方法与目标管理 |
| 5.5 支持 | 第7章 | 让资源、能力、意识、沟通和文件化信息支撑PIMS | 组织能力与记录留存 |
| 5.6 运行 | 第8章 | 让处理活动进入日常运行和控制 | 流程承接和运行证据 |
| 5.7 绩效评价 | 第9章 | 确保监测、审核和管理评审覆盖隐私绩效 | 评价指标与复核机制 |
| 5.8 改进 | 第10章 | 把不符合和持续改进延伸到隐私偏差 | 纠正措施与体系闭环 |
从实施逻辑看,第5章解决的是“体系前端”的问题。它不像第6章、第7章、第8章那样大量涉及具体控制,而是回答:谁来负责、为什么做、覆盖什么、以什么边界做、如何通过风险方法来治理、如何验证体系是否有效。如果这一层没有打稳,后面再多控制都很容易散成碎片。比如,组织如果没有先在 5.2 中识别自己在哪些活动中是控制者、在哪些活动中是处理者,那么第7章和第8章就很难正确适用;如果没有先在 5.4 中把隐私风险纳入规划,后面控制往往只能凭经验堆砌。
第5章还有一个非常现实的意义,就是为已有 ISO/IEC 27001 体系的组织提供升级路径。很多企业并不缺少制度,也不缺少审核经验,真正缺的是把隐私放进管理体系骨架中的方法。第5章的价值就在于,它让组织可以用熟悉的管理体系语言来承接隐私要求,而不是将隐私工作完全外包给法务或合规部门。对管理层来说,这会让隐私治理从“专项合规任务”变成“体系化管理能力”。
从审核视角看,第5章也是最能拉开真假体系差异的一章。文件做得再好,如果环境识别、范围、角色、风险和运行逻辑都说不清,审核员通常很快就能看出组织只是把隐私控制拼贴在原有 ISMS 外面,而没有真正建立 PIMS。真正成熟的组织,会把第5章当成一张总图,用它串起后续所有条款的适用、证据和责任关系。
三、实施要点
- 先把第5章当成“体系扩展章”来读,不要一上来就跳到角色控制或附录控制。
- 围绕 5.2 和 5.4 建立首批实施重点,因为环境和规划是后续控制能否适配的前提。
- 检查现有 ISMS 的领导、支持、运行、审核和改进机制是否已具备承接隐私要求的能力。
- 把第5章形成一份总图或路线图,作为项目管理、培训和审核沟通的核心材料。
- 第5章的价值在于把隐私纳入管理体系,不是把隐私单独做成一个合规项目。
四、常用工具与实施方法
| 工具/方法 | 适用目的 | 关键输出 |
|---|---|---|
| 第5章实施路线图 | 定义PIMS体系建设顺序 | 章节级项目计划 |
| ISMS升级差距分析 | 识别现有27001体系与PIMS之间的差距 | 增量改造清单 |
| 条款-流程承接图 | 说明第5章如何串联后续流程与控制 | 体系总图 |
| 角色化治理矩阵 | 为第7章、第8章的后续适用打底 | 角色与条款适用说明 |
很多组织在项目早期容易直接做制度清单,结果后期才发现体系承接顺序不清。更有效的方式是先把第5章做成实施路线图,再决定哪些制度先写、哪些流程先改、哪些证据先准备。这样既避免返工,也更接近27701管理体系的本意。
五、典型案例
- 信息安全成熟、隐私治理分散的企业:组织原有 ISMS 运转良好,但隐私事项分散在法务、IT、客服和采购之间。通过第5章梳理,企业先把角色识别、范围、隐私风险和审核评审纳入统一体系,随后再接入第6章到第8章的控制,整个PIMS构建明显顺畅。
- 制度很多却缺少体系的互联网平台:该组织已有同意、告知、删除和事件通知流程,但这些流程彼此割裂,没有风险、评审和持续改进闭环。回到第5章后,组织意识到自己缺的不是“更多制度”,而是把这些制度嵌回管理体系骨架中。
这些案例说明,第5章的作用是建立秩序。只要秩序没有建立,后面看起来再丰富的条款也只是局部控制,并不能构成稳定运行的 PIMS。
六、成文信息管理要求
| 建议保留文件 | 关键内容 |
|---|---|
| 第5章条款映射说明 | ISO/IEC 27001:2013 各章与 PIMS 特定要求之间的对应关系 |
| PIMS体系总图 | 环境、规划、运行、评价和改进之间的关系 |
| 增量改造计划 | 现有ISMS升级为PIMS的分阶段安排 |
| 项目评审与宣贯材料 | 帮助管理层和实施团队统一理解第5章定位 |
这些文件不是为了增加形式,而是为了把“第5章到底管什么”讲清楚。只要这件事讲清楚,后续很多条款的适用性和项目顺序都会自然变得清晰。
七、常见误区及踩坑提醒
| 误区 | 问题表现 | 正确做法 |
|---|---|---|
| 把第5章看成普通章节导览 | 没有把它当成体系扩展逻辑使用 | 把第5章作为PIMS建设总图来管理 |
| 只关注新增要求 | 忽略无新增条款但仍适用的隐私扩展解释 | 同步应用5.1的扩展原则 |
| 跳过体系直接做控制 | 制度和流程零散,难以审核和持续改进 | 先建第5章骨架,再向后展开控制 |