一、ISO/IEC 27701:2019 5.4.1.1 标准原文

二、条款解读说明

5.4.1.1是典型的短条文、重含义条款。它没有重新写一遍风险和机会规划的全部要求，而是直接引用 ISO/IEC 27001:2013 的 6.1.1，并强调要结合 27701 第5.1条的扩展解释来理解。对实施者来说，这意味着一个非常关键的判断：在 PIMS 里，任何有关风险和机会的规划要求，都不能再被狭义理解为“只保护组织自己的信息资产”。它必须扩展到涉及 PII 处理、相关方预期和主体权益的场景。

27001 的 6.1.1 本来是要求组织考虑环境、相关方和范围，确定需要应对的风险和机会，以确保管理体系实现预期结果、防止或减少不期望的影响，并实现持续改进。27701 没有推翻这套管理逻辑，而是把“预期结果”的内容扩展了。对于 PIMS 来说，预期结果不仅是信息安全控制有效，还包括处理活动在角色定位、合法性、透明度、边界控制、主体响应和记录留存等方面保持可控。因此，5.4.1.1看似简短，实际是在修改整套规划逻辑的解释边界。

这一条最容易被忽视的地方，是“机会”的理解范围也会随之扩展。过去在 ISMS 中，机会更多表现为提升安全效率、减少漏洞暴露、强化控制一致性；到了 PIMS 里，机会还可能包括提升透明度、减少重复收集、优化保留删除机制、把主体请求处理流程标准化、降低分包链条不透明带来的治理成本等。也就是说，5.4.1.1不仅改变了风险判断口径，也改变了改进机会的识别方向。

另一个经常被误解的问题，是有人会把 5.4.1.1 理解为“反正后面会做风险评估，这里不用单独管”。这其实正好相反。5.4.1.1是在给后续风险评估设定总原则。若总原则不对，后面的方法越精细，偏差可能越大。例如，组织完全沿用传统安全评分表，只看系统可用性和组织损失，却不看过度收集、非法共享、删除失效和主体权利受阻，那它在形式上做了评估，在方向上却已经偏离 27701。

从管理成熟度看，5.4.1.1还在提醒组织一件事：PIMS 规划不是安全团队的单兵工作。因为 5.1 已经把条款解释扩展到了隐私治理场景，风险和机会的输入就天然来自多个部门，包括法务、产品、业务、客服、采购、人力和技术团队。只要组织还把规划限定为安全部门内部讨论，就很难真正符合这一条的精神。

写这一条时，最值得向读者说明的是它的“开关作用”。它不是告诉你具体怎么做，而是决定你后面每一步到底该按什么框架理解。正因为它不起眼，很多文章会把它写得很空；但从体系逻辑上看，没有 5.4.1.1，5.4.1 的后续条款就容易被重新拉回单一的信息安全语境。

三、实施要点

• 在风险和机会规划方法中明确写入：27701第5.1扩展解释适用于6.1.1的全部理解和实施。
• 将“预期结果”定义为兼顾信息安全和隐私治理效果，而不是只聚焦安全控制运行。
• 把主体权益受损、处理边界失控、透明度不足等问题纳入“不期望影响”的识别范围。
• 把流程统一、自动化留痕、模板化治理等事项视为 PIMS 改进机会的一部分。
• 5.4.1.1的价值在于校准后续全部风险和机会规划的解释口径。

四、常用工具与实施方法

比较成熟的组织，通常会在风险管理程序最前面写清楚“本程序同时适用于信息安全风险和隐私相关风险”，并列出典型的 PII 处理触发场景。这种做法看似简单，实际非常有效，因为它能让每个参与者在进入评估前就使用统一心智模型，而不是到会审时才临时讨论是否属于隐私问题。

如果组织规模较大，还可以把 5.4.1.1 的要求沉淀为培训材料，让参与风险评审的角色先理解：PIMS 中的“风险和机会”为什么与传统安全语境不同。这一步常常比增加更多表格更重要，因为许多偏差首先来自理解偏差。

五、典型案例

1. 总则没写错，理解却错了：某企业在程序文件中引用了 27001 的6.1.1，也写了“适用于PIMS”，但风险会议仍只讨论系统弱口令、漏洞和备份问题，完全不讨论过度共享、主体请求超时和保留期失控。问题不在文件，而在 5.4.1.1 没有被真正理解。后续组织补做培训，并在方法文件中明确 5.1 扩展解释，评审结果才开始发生变化。
2. 只看到风险，看不到机会：另一家组织每次规划都围绕“避免处罚”展开，导致长期被动应付。引入 5.4.1.1 的机会视角后，团队把统一删除策略和分包评审模板纳入改进项目，后续处理效率明显提高，也减少了重复合规劳动。

这类案例说明，总则条款最大的价值不是提供细节，而是防止组织从一开始就把方向想窄。一旦方向窄了，后续所有工作都可能做得很辛苦，却没有真正覆盖 PIMS 要求。

六、成文信息管理要求

这些记录的意义在于证明组织不是“默认知道”，而是确实把 5.4.1.1 的解释原则转化成了方法和共识。对于短条款来说，能否留下这种方法性证据，往往直接影响审核时的说服力。

七、常见误区及踩坑提醒