一、ISO/IEC 27701:2019 5.5.1 标准原文

二、条款解读说明

5.5.1表面看是一个管理体系中的普通条款，实际上却非常现实。许多组织之所以隐私治理长期推进困难，并不是因为完全不知道该做什么，而是因为没有为这些工作提供对应资源。制度可以由少数人短时间写出来，但资源短板一旦存在，问题会在运行中持续暴露出来：主体请求没人处理、供应商评审长期积压、日志和删除能力迟迟上线不了、跨部门问题没人协调、外部法律支持不够、记录体系没人维护。只要这些情况存在，PIMS 就很难真正稳定。

2019版在这里沿用了 27001 的资源要求，但通过 5.1 的扩展解释，把资源支持对象从 ISMS 扩展到了 PIMS。也就是说，组织不能只按传统安全需求配资源，而要问自己：哪些资源是为了保证 PII 处理活动处在可控状态。对不少企业来说，这意味着资源结构本身就要调整。原来重点投入可能在网络防护、漏洞扫描和设备管理，现在还必须同时照顾处理活动记录、请求工单、数据检索、保留删除、外部合同支撑、分包管理和培训体系等隐私治理事项。

资源条款最容易被误读的地方，是把“资源”简单等同于“预算”。预算当然重要，但在 PIMS 里，许多真正决定运行成败的资源并不是财务科目本身，而是组织是否愿意给关键岗位留出时间、是否让技术团队为隐私功能排期、是否让法务和采购共同承担分包审查、是否允许隐私问题进入管理层议程。这些资源往往没有单独费用编号，却对体系的有效性影响更直接。

5.5.1与 5.3 的领导责任以及 5.4 的规划要求高度相关。管理层如果已经认可某些隐私风险必须优先处理，那么资源配置就应该反映这种判断。否则，所谓风险优先级和治理目标都只会停留在纸面。一个常见的失败模式是：风险评估指出主体请求流程、高敏感数据检索和分包透明度是高风险问题，但年度计划仍没有为此安排工具、人员或项目预算。这样的体系，即便前面的规划写得再好，最终也会因为 5.5.1 不落实而停摆。

在不同类型组织中，资源配置重点也会不同。控制者型组织通常更需要把资源投向主体沟通、请求响应、透明度和保留治理；处理者型组织则往往更依赖客户合同管理、分包控制、事件通报和证据支撑；混合角色组织则必须在两种需求间同时平衡。因此，5.5.1 不能被做成一个统一模板，而应根据角色和处理活动复杂度来判断资源侧重点。

对读者而言，5.5.1最重要的理解是：资源问题不是附属管理问题，而是治理能力本身。很多组织总想先“靠现有条件做起来，再说以后投入”，但隐私治理中不少控制根本不可能在没有资源的情况下稳定存在。资源不足时，体系经常表现为表面上都在做，实际上谁都做不深、做不久、做不稳。

三、实施要点

• 先根据角色、范围和高风险处理活动识别 PIMS 所需资源，不要直接沿用原 ISMS 资源表。
• 将人力、技术、预算、时间和治理支持一起纳入资源盘点，避免只看经费。
• 把资源需求与5.4规划和高优先级风险对应起来，确保投入能回答“为什么现在必须做”。
• 定期检查关键岗位是否有足够时间承担隐私职责，而不是默认兼职就能长期覆盖。
• 5.5.1的判断标准不是“有没有资源”，而是“资源是否足以支撑 PIMS 真实运行”。

四、常用工具与实施方法

一个有效的方法是先从高频高风险场景倒推资源需求。例如，若组织经常收到复杂主体请求，就应先核算请求受理、法务判断、数据检索、答复留证和升级决策分别需要哪些资源。按场景倒推，往往比先做一张宏观预算表更容易发现真正的瓶颈。

对于资源有限的组织，也不意味着只能被动放弃。更务实的做法是明确优先级，把最关键的几个风险点先配足资源，同时为剩余缺口制定明确补强路径。只要这种取舍能被解释清楚，并持续进入管理评审，5.5.1 就仍然是可管理的。

五、典型案例

1. 系统改造始终排不上期：某互联网企业早就知道删除和检索能力不足会拖累主体请求处理，但技术团队每次都因业务优先级更高而推迟。问题本质不是技术不懂，而是资源优先级没有在 5.5.1 层面被解决。后来组织将该事项纳入管理层重点资源计划，相关改造才真正落地。
2. 隐私治理被当作兼职附加任务：某服务型企业由法务兼职负责 PIMS，平时还能勉强维持，一旦遇到事件、客户尽调和合同更新同时发生，体系立即失控。复盘发现，组织长期把隐私治理当作“额外工作”，从未真正评估资源需求。补足专职接口和工具后，运行质量才明显提升。

这些案例都说明，5.5.1 并不是强调“多投入一定更好”，而是强调“必须投入到能让关键工作真实发生的程度”。若资源一直停留在象征性配置，体系失效只是时间问题。

六、成文信息管理要求

这些文件最重要的价值，是证明组织不是事后才说“我们很重视”，而是事前就识别了所需资源，并形成了投入和调整依据。对审核、客户尽调和管理层复盘来说，这类证据都非常关键。

七、常见误区及踩坑提醒