一、ISO/IEC 27701:2019 5.3.2 标准原文
原文摘要:ISO/IEC 27001:2013 第5.2中陈述的要求以及本标准 5.1 中的扩展解释适用。即管理体系方针在27701语境下,应不仅适用于信息安全,也应适用于与 PII 处理相关的隐私治理。
二、条款解读说明
5.3.2与 2025 版“隐私信息方针”在精神上是一致的,只是2019版采用了沿用 27001 第5.2并附加 5.1 扩展解释的写法。因此,组织不能因为条款没有重写出“隐私信息方针”几个字,就继续沿用一份只谈保密性、完整性、可用性的传统信息安全方针。只要 PIMS 已经建立,方针就必须能够支撑隐私治理的方向、承诺和目标设定。
这一条真正要解决的是“体系方向一致性”问题。很多组织在隐私项目里很容易出现一种割裂:外部有对个人的隐私声明,内部有信息安全方针,合规部门又另有项目文件,但这些文字之间并不形成统一的治理语言。5.3.2要求组织在管理体系层面给出一个足以支撑 PIMS 的方针表达,使管理层、业务、IT、法务和审核人员都能据此理解组织在 PII 处理上的基本承诺与方向。
| 方针要素 | 27001中的常规作用 | 27701语境下应体现什么 |
|---|---|---|
| 与组织宗旨一致 | 方针不能脱离业务现实 | 应能反映组织的PII处理场景和角色特点 |
| 提供目标框架 | 为后续目标分解提供方向 | 应能支撑隐私目标、角色责任和风险治理方向 |
| 满足适用要求 | 承诺满足法律和体系要求 | 应覆盖法律、监管、合同及相关方期待 |
| 持续改进 | 推动管理体系不断优化 | 应让隐私治理成为持续运行和迭代的能力 |
2019版条文虽短,但组织在实施时至少要回答三个问题。第一,现有 ISMS 方针是否已经明确表达对 PII 处理隐私风险的关注,还是仍然只谈传统安全目标。第二,方针是否能指导后续 PIMS 目标和流程,例如是否体现合法处理、角色责任、相关方要求、持续改进等方向。第三,方针是否已在组织内得到沟通,并在需要时能够向客户、合作伙伴和审核方说明组织的治理立场。只要这三个问题没有被认真回答,本条就很难算真正落实。
对于已有成熟 ISMS 的组织,5.3.2并不一定意味着必须新建一份完全独立的方针文本。有些组织可能选择更新原有信息安全方针,使其显性覆盖隐私承诺;有些组织则会在现有 ISMS 方针之外增加 PIMS 方针或联合方针。关键不在形式,而在内容是否足以支撑 PIMS。也就是说,审核关注的核心不是“文件名叫什么”,而是“它是否真正发挥了隐私管理体系方针的作用”。
从管理实践看,方针的真实价值在于统一口径。面对合同压力、上线压力、客户个性要求和供应链复杂性,组织内部很容易各说各话。只要方针没有给出明确方向,隐私治理就很容易被碎片化理解。5.3.2要求的正是这种方向层面的统一,它看起来比具体控制抽象,但却直接决定后续目标、职责和资源能否保持一致。
同时,方针还会影响外部信任。客户、合作伙伴和审核方在判断一个组织的隐私治理成熟度时,往往会先看其方针是否清晰、是否稳定、是否与业务现实一致。如果组织只能拿出一份模糊的安全口号,通常很难让外部相信其PIMS是经过认真设计的。
三、实施要点
- 先评估现有 ISMS 方针是否已覆盖隐私治理方向,不足则更新或增补 PIMS 方针文本。
- 确保方针能够支撑后续目标设定,而不是只写抽象价值口号。
- 在方针中体现适用要求承诺、持续改进承诺以及对 PII 处理现实的基本定位。
- 通过管理层讲话、培训、内网发布和项目宣导让方针真正被组织理解。
- 5.3.2的重点不是文件名称,而是方针是否真的能指导 PIMS。
四、常用工具与实施方法
| 工具/方法 | 适用目的 | 关键输出 |
|---|---|---|
| 方针差距分析 | 检查现有方针是否足以支撑PIMS | 方针调整建议 |
| 方针-目标映射表 | 验证方针能否支持目标设计 | 目标框架说明 |
| 内部宣贯材料 | 让各岗位理解方针含义 | 培训和宣导记录 |
| 外部展示口径 | 在需要时向客户或审核方说明治理方向 | 对外说明材料 |
实践中,方针最好保持简洁、稳定、可重复引用。太空泛会失去管理价值,太细又容易沦为程序性文本。更成熟的做法是让方针负责定方向,让目标、制度和流程承接细节,这也更符合 2019 版“沿用27001并扩展解释”的写法。
五、典型案例
- 纯信息安全方针无法支撑PIMS:某组织继续沿用原有信息安全方针,内容主要围绕资产安全、访问控制和业务连续性,对 PII 处理、主体影响和相关方要求只字未提。审核时很难证明方针能支撑 PIMS。调整后,组织在现有方针中显性补入隐私方向和承诺,问题才被解决。
- 方针和业务脱节的企业:另一家企业单独写了一份“隐私承诺宣言”,措辞漂亮,但与其作为处理者的合同履约、分包管理和返还处置场景关联很弱。重做 5.3.2 后,方针才真正与其处理角色和业务现实对上。
这两个案例说明,5.3.2考验的不是写作能力,而是治理方向是否真实。方针只要不能指导目标和流程,就不能算有效方针。
从发布质量看,这篇文章最该避免的就是把方针写成一段标准常识。真正有用的内容,应帮助读者判断自己现在手上的方针到底能不能承接 PIMS,以及应如何改造而不是机械另起一份新文件。
也正因为如此,5.3.2最有价值的输出通常不是“写完一份新方针”,而是让组织真正形成了一份能被引用、能被复核、能被拿来指导目标和流程的治理文本。
只要这份文本能在管理评审、目标制定、流程设计和客户沟通中被反复引用,5.3.2就算真正发挥了作用;如果它只是静静躺在文控系统里,再完整的措辞也难以构成有效方针。
能被持续引用,才是有效方针最直观的判断标准。
六、成文信息管理要求
| 建议保留文件 | 关键内容 |
|---|---|
| PIMS方针或更新后的联合方针 | 组织宗旨、承诺、目标框架和持续改进方向 |
| 方针评审记录 | 为什么调整、谁批准、何时生效 |
| 方针沟通证据 | 培训、会议、内网或管理层宣导记录 |
| 方针适用性说明 | 说明方针如何支撑 PIMS 条款和后续目标 |
这些文件能帮助组织说明一件事:虽然2019版没有逐字写出“隐私信息方针”的完整要求,但组织已经按照 5.1 的扩展解释,确保方针能够真正承接 PIMS 的方向和责任。
这类说明性证据尤其有助于回答审核中的一个典型问题:为什么你们使用的是联合方针或更新后的安全方针,而不是单列一份“隐私信息方针”。只要组织能证明方针功能已经被真实承接,文件形式本身并不是决定性问题。
七、常见误区及踩坑提醒
| 误区 | 问题表现 | 正确做法 |
|---|---|---|
| 继续沿用纯信息安全方针 | PIMS缺少方向性文件 | 更新方针使其显性覆盖隐私治理 |
| 把方针写成对外营销文本 | 无法支撑目标、职责和流程 | 让方针首先服务管理体系 |
| 方针不沟通不复核 | 内部无人理解,内容长期过时 | 定期沟通并在变化时复核 |