一、ISO/IEC 27701:2019 5.5.5 标准原文

二、条款解读说明

5.5.5是支持章节里非常关键的一组条款，因为 PIMS 的很多工作最终都要通过文件和记录沉淀下来。范围说明、角色判断、风险评估、适用性声明、目标、请求处理、事件复盘、供应商评审、培训记录、管理评审结论，这些都属于体系运行证据。如果没有受控的文件记录信息，组织可能口头上知道自己做了很多事，但一到审核、争议或内部复盘时，却发现找不到完整依据，或者不同版本彼此冲突，根本无法说明事实经过。

在 27701 语境下，文件记录信息还有一个比一般管理体系更敏感的特点：很多记录本身就包含 PII，甚至包含较高敏感度的信息。例如主体请求工单、事件调查材料、审计抽样结果、供应商联系人信息、员工培训签到、数据映射表、系统截图和日志摘录等。也就是说，组织一方面必须保留足够记录，证明 PIMS 运行有效；另一方面又必须防止这些记录本身变成新的暴露面。这种“两难平衡”正是 5.5.5 在隐私体系中比普通文件控制更重要的原因。

5.5.5之所以拆分成总则、创建和更新、控制三个子条款，是因为这三层问题本来就不同。总则关心的是组织究竟需要哪些文件和记录；创建和更新关心这些信息如何被正确标识、格式化、评审和批准；控制则关心在运行中如何让这些信息在需要时可获得、又不至于失控。三者缺一不可。若组织只重视总则，可能会列出很多需要保留的材料，却没有版本规则；若只重视创建和更新，却忽视运行控制，则老版本模板仍可能被继续使用；若只重视控制，而忽视记录范围，则真正关键的证据可能一开始就没有被保存下来。

从实务角度看，5.5.5经常暴露的是“证据设计能力不足”。很多团队有制度、也有工单系统，但没有想清楚应该留下哪些最小必要字段，导致记录无法支撑复盘。例如，请求工单只写“已完成”，却没有核验方式、处理动作和关闭依据；事件记录只保留技术现象，却没有决策过程和通知判断；供应商评审材料只留下结果，没有风险分析和排除理由。只要缺少这种证据设计，组织后续就很难自证。

因此，5.5.5写作时不能停留在“文档要受控”这种泛泛表述，而要让读者看到一个更具体的问题：隐私治理为什么离不开受控文件记录信息，以及为什么这些信息在 27701 里既要足够完整，又要足够安全。把这个矛盾讲清楚，5.5.5 才会真正有实务价值。

作为总章，5.5.5还承担着承上启下的作用。它告诉读者，后面 5.5.5.1 到 5.5.5.3 并不是重复讲“文件控制”，而是在分别回答记录范围、创建更新和运行控制三个不同问题。理解这一层结构，后续子条款就不容易被写成彼此重复。

三、实施要点

• 先识别 PIMS 运行必须依赖哪些文件与记录，再设计相应模板和控制要求。
• 把“证明体系有效”与“避免记录本身泄露PII”这两个目标同时纳入文件管理设计。
• 为高风险场景设置最小必要记录字段，避免后续无法还原处理过程。
• 让总则、创建更新和控制三层要求形成闭环，不要把5.5.5做成单一的文档台账。
• 5.5.5的关键是建立既能支撑治理、又不制造新风险的证据体系。

四、常用工具与实施方法

如果组织已经有其他管理体系的文件控制机制，最务实的做法是对其做隐私扩展，而不是另起一套平行库。比如在原有文控规则中补入主体请求记录、DPIA材料、分包评审底稿和敏感证据的访问限制要求。这样既能利用既有机制，又能更快体现 PIMS 特性。

在运行中，建议定期抽样核查文件与记录是否真的支撑业务。例如随机看一条请求记录是否能完整复原处理过程，看一个供应商档案是否能说明控制理由。抽样越贴近真实场景，5.5.5 的价值越能体现出来。

五、典型案例

1. 文件很多，证据却断裂：某企业建立了大量隐私制度和表单，但请求工单、供应商评审和事件复盘分别散落在不同系统中，字段也彼此不一致。结果审核时虽然文件“看起来很多”，却无法形成完整证据链。组织后来按 5.5.5 重构文件记录信息体系，才把关键证据串起来。
2. 为了留证反而扩大暴露：另一家组织为证明合规，长期保存含大量PII的截图和导出文件，访问权限又极宽。最后并非业务系统本身出问题，而是证据库先发生泄露风险。复盘后才意识到，5.5.5要求的不是“尽量多留”，而是“必要且受控地留”。

这两个案例正好说明 5.5.5 的两面性：记录不足，组织无法自证；记录失控，组织又会制造新风险。把两端都管住，才算真正理解了这组条款。

六、成文信息管理要求

若组织能够把这些材料与 5.7 绩效评价和 5.8 持续改进联动，就更容易通过记录发现问题模式，而不是只把它们当成存档材料。记录体系真正成熟的标志，是它不仅能证明过去，也能改进未来。

七、常见误区及踩坑提醒