一、ISO/IEC 27701:2019 5.5 标准原文
原文摘要:本条对应 ISO/IEC 27001:2013 第7章,包含 5.5.1 资源、5.5.2 能力、5.5.3 意识、5.5.4 沟通、5.5.5 文件记录信息。标准要求这些支持性要素在 PIMS 中同样适用,并按照第5.1条的扩展解释,从“信息安全”扩展到“信息安全和隐私”。
二、条款解读说明
5.5是PIMS中非常典型的“基础设施章节”。它不直接规定某一种具体隐私控制,而是要求组织具备使这些控制能够长期运行的支撑条件。很多组织在建设隐私体系时,会把注意力几乎全部放在制度条款、合同条款、风险评估和技术整改上,觉得这些才是“核心工作”。可一旦支持要素缺失,前面的所有设计都会慢慢失效。没有资源,责任人就成了名义角色;没有能力,流程再清楚也会执行变形;没有意识,人员会为了便利不断越线;没有沟通机制,跨部门事项会反复卡住;没有受控的文件记录信息,组织最后连自己做过什么都难以证明。
2019版在 5.5 这里没有增加很长的特定条文,而是继续沿用 ISO/IEC 27001:2013 第7章的结构,并要求通过 5.1 的扩展解释把这些支持要求转译到隐私语境。也正因为是“转译”,这一组条款反而更不能被机械照搬。组织原有 ISMS 支持体系通常是围绕资产、系统和安全事件运转的,而 PIMS 需要在其中加入更多与 PII 处理相关的输入,例如主体请求、处理活动记录、合同承诺、分包关系、保留删除、透明度要求和多角色协同。若不做这层扩展,支持体系就只是在支撑原来的 ISMS,而不是在支撑 PIMS。
| 5.5子条款 | 核心问题 | 在PIMS中的典型表现 |
|---|---|---|
| 5.5.1 资源 | 组织是否提供了必要条件 | 人力、预算、工具、时间和治理支持是否到位 |
| 5.5.2 能力 | 关键岗位是否真的做得出来 | 请求处理、供应商管理、评审和留证是否具备专业能力 |
| 5.5.3 意识 | 相关人员是否理解自己的边界和后果 | 是否知道什么能做、什么不能做、出错会带来什么影响 |
| 5.5.4 沟通 | 信息是否能在正确时间传给正确的人 | 内部升级、客户通知、主体响应和事件通报是否受控 |
| 5.5.5 文件记录信息 | 体系依据和证据是否完整受控 | 制度、记录、模板、外来要求和历史版本是否可追溯 |
从体系逻辑上看,5.5其实是把 5.3 的领导责任和 5.4 的规划结果向运行层过渡。管理层可以承诺得很充分,规划可以写得很清楚,但只要没有支持条件,组织很快就会退回到“隐私团队单兵作战”的老路。现实中大量体系失效,问题都不在原则层面,而在支持层面。例如,组织知道必须及时响应主体请求,却没有统一入口、没有专人、没有培训;知道要控制分包,却没有合同模板、没有采购能力、没有升级路径;知道要保留证据,却没有记录模板、没有版本控制、没有访问权限设置。这些都属于 5.5 没做实,而不是后续具体条款本身写错。
5.5还有一个很重要的特点,就是它直接决定体系的“可持续性”。项目型隐私整改往往能在短时间内做出一批成果,但要把这些成果变成长期稳定的管理能力,就必须依赖支持章节。支持做得好的组织,人员变动后体系不至于断掉,业务增加后流程还能扩容,监管要求变化后文档和沟通能及时更新。支持做得差的组织,则容易出现一种表面合规、实际脆弱的状态:文件看起来都有,实际依赖少数人经验勉强维系。
因此,5.5不应被理解成“管理体系通用条款,可以简单带过”。在27701里,它的作用是把所有隐私治理要求嵌入真实组织条件中。读者真正需要看到的,不是再重复“资源、能力、意识很重要”这些抽象结论,而是明白为什么支持条件一旦缺位,PIMS就会从体系变回项目,从长期能力变回临时动作。
对实施者来说,5.5最值得重视的地方在于,它通常比技术整改更早暴露问题,也比技术整改更决定长期效果。只要资源分配不稳、岗位能力不足、沟通链条混乱或文件控制失真,后面再多控制条款也会慢慢落空。把这一章写实,实际上是在提醒组织:隐私管理不只是“做事”,还必须“有条件把事情持续做下去”。
三、实施要点
- 将5.5视为 PIMS 的运行基础,不要只把它理解成认证模板中的通用支持章节。
- 对资源、能力、意识、沟通和文件记录信息分别建立责任人和运行机制,避免全部落到同一团队兜底。
- 检查现有 ISMS 支持体系是否已经覆盖 PII 处理场景,而不是默认原机制自然适用。
- 让5.5的输出直接服务于主体请求、供应商治理、事件处置、风险复评和管理评审等高频场景。
- 5.5的核心价值是让 PIMS 从“设计正确”进一步走向“持续可运行”。
四、常用工具与实施方法
| 工具/方法 | 适用目的 | 关键输出 |
|---|---|---|
| 支持能力诊断表 | 整体检查资源、能力、意识、沟通和文件控制缺口 | 5.5差距分析 |
| 跨部门支撑地图 | 明确哪些部门为PIMS提供何种支持 | 支持责任矩阵 |
| 场景化能力补强计划 | 按高风险场景补资源、补培训、补流程和补模板 | 整改项目清单 |
| 季度复盘机制 | 检查支持条件是否跟上业务变化 | 复盘纪要和更新计划 |
对于已经建有 ISMS 的组织,最现实的做法通常不是另起一套支持系统,而是在现有资源申请、培训管理、文档控制、沟通升级和外来文件管理流程中加入隐私维度。只要把这些原有机制扩展到 PII 处理场景,PIMS 通常就能更快进入稳定运行,而不会给组织造成两套体系并行的负担。
在推进顺序上,也建议优先盯住最容易让体系掉链子的部分,例如高风险场景的沟通和记录机制、关键岗位能力证明、资源短板最明显的控制点。这类问题一旦先被补齐,后续整个 PIMS 的实施阻力通常会明显下降。
五、典型案例
- 制度齐全但体系始终跑不稳:某企业前期花了很多精力完成隐私制度和流程编写,也做了风险评估,但上线后发现主体请求大量积压、供应商评审经常拖延、事件记录也不完整。复盘发现问题集中在 5.5:没有稳定资源、没有岗位能力设计、没有统一沟通入口、记录模板也不受控。随后按支持章节补强后,体系才从“项目文档”变成“日常运转”。
- 沿用原ISMS支持体系导致PIMS失真:另一家组织认为自己已有 27001,不需要再单独做支持章节,结果培训内容几乎全是技术安全,文档控制也不覆盖主体请求记录和分包评审材料。审核时被指出“支持对象仍是 ISMS,而不是 PIMS”。这类问题在 2019 版尤其常见,因为条文看似只是转引,实际上要求的是重新解释。
这些案例说明,5.5的难点从来不在于理解名词,而在于是否承认隐私治理需要真实的组织支撑。只要这一点没有被正视,组织就会不断误以为“我们已经有制度了,为什么还是做不好”。答案往往就在支持章节里。
从发布角度看,5.5最值得向读者强调的是:PIMS 不是靠少数专职人员硬扛的体系。它必须由资源、能力、意识、沟通和证据管理共同支撑。少了任何一块,体系都会显出明显短板。
六、成文信息管理要求
| 建议保留文件 | 关键内容 |
|---|---|
| 5.5支持诊断记录 | 资源、能力、意识、沟通和文件控制的现状与缺口 |
| 支持责任矩阵 | 各部门承担的支撑任务、接口关系和升级路径 |
| 支持改进计划 | 补强措施、时限、责任人和验证方式 |
| 季度复盘材料 | 支持机制运行成效、问题和后续调整 |
如果组织能够把这些材料与 5.4 规划、5.6 运行和 5.7 绩效评价关联起来,5.5的管理价值会更清晰。因为支持章节最怕被单独存档,只有和真实业务场景连起来,它才不至于成为空泛表述。
七、常见误区及踩坑提醒
| 误区 | 问题表现 | 正确做法 |
|---|---|---|
| 把5.5当成通用章节随手带过 | 支持体系仍只服务原ISMS | 按5.1扩展解释重建PIMS支持逻辑 |
| 只做资源和培训,不做沟通与文件控制 | 高风险场景仍频繁失联和失证 | 五类支持要素一起看,避免短板效应 |
| 支持条件长期依赖关键人 | 人员变动后体系迅速失稳 | 把支持机制制度化、工具化和可交接化 |