一、ISO/IEC 27701:2019 5.6 标准原文

二、条款解读说明

5.6是 PIMS 从“写得出来”走向“跑得起来”的章节。很多组织在体系建设前半程投入很大精力，能把环境、角色、风险、控制和目标写得相当完整，但一到运行阶段，体系就逐渐退化为例行文档和临时协调。根源通常就在这里：前面做过的规划没有进入业务过程，风险评估没有跟着变化走，风险处置没有被持续追踪，结果整个 PIMS 只在建立时显得完整，运行时却越来越松散。5.6的价值，就是防止这种“建得好、跑不好”的常见失真。

在 2019 版中，这一组条款仍然沿用了 27001 第8章的结构，但由于 5.1 的扩展解释适用，它们在 PIMS 中必须被重新理解。换句话说，运行不只是围绕传统信息安全控制展开，而是要覆盖 PII 处理现实。组织需要把与隐私相关的关键活动嵌入受控流程，例如产品设计、数据共享、主体请求、分包管理、系统变更、日志审查、保留删除和事件响应。同时，前期确定的风险评估逻辑和控制选择逻辑，必须在运行期被重复执行，而不是只留在体系启动阶段。

这三部分合在一起，构成了运行期的管理闭环。5.6.1 确保日常过程有准则、有控制、有证据；5.6.2 确保风险认知不会因为业务变化而过期；5.6.3 确保识别出的风险不是写在台账里就算完成，而是真正转化成已实施控制和可说明结果。许多体系失败，本质上就是三者之间断开了：流程没有吸收风险结果，风险重评没有推动控制更新，处置结果又没有反馈回运行过程。

从 PIMS 特性看，5.6 比单纯的信息安全运行条款更敏感，因为隐私风险往往正是在变化和日常例外中出现。一次字段新增、一次用途扩张、一次外包切换、一次权限调整、一次异常工单处理，都可能使原有风险判断失效。因此，运行章节不是在维护稳定状态，而是在管理“持续变化中的可控性”。如果组织只把它理解成例行执行，就会忽略最关键的变更和例外场景。

5.6还有一个重要作用，是把前面章节的输出拉回现实世界。5.3 负责明确责任，5.4 负责规划路径，5.5 负责提供支持，而 5.6 则要求组织在真实运行里证明这些安排不是纸面设计。对审核、客户尽调和内部管理来说，5.6 往往比前面章节更容易抽样验证，因为它直接对应一条条具体流程和一项项具体记录。

因此，5.6不能被写成对 5.4 的简单重述。读者真正需要理解的是：规划阶段解决的是“应该怎样做”，运行阶段解决的是“现在是否真的这样做，以及变化之后还会不会继续这样做”。只要这层差异被写透，这一章就有了鲜明价值。

三、实施要点

• 将5.6视为 PIMS 的运行闭环章节，把流程控制、风险重评和风险处置放在同一条管理链上看。
• 把高风险隐私活动嵌入现有业务和技术流程，避免运行控制长期依赖体系外临时补救。
• 建立按计划和按变化触发的风险评估机制，保证运行判断不过期。
• 让风险处置结果回流到流程、模板、系统和职责安排中，而不是只停留在整改计划表。
• 5.6的关键不是“有运行动作”，而是“运行动作始终和风险、控制、变更保持联动”。

四、常用工具与实施方法

比较成熟的做法，是把 5.6 所要求的动作嵌入原有项目管理、变更管理、供应商管理、工单和运维体系，而不是另起一套“隐私专属流程”。只有让这些动作贴着业务路径运行，PIMS 才不至于被当作外加负担而被绕开。

同时，建议组织把运行期偏差也纳入观察对象。例如某类请求持续超时、某类变更总在上线后才补做评估、某类供应商审查总是漏项，这些都说明运行控制尚未真正吸收体系要求。5.6 的价值，也体现在对这种模式性偏差的持续纠偏上。

五、典型案例

1. 规划完整但运行脱节：某企业在体系建设阶段完成了详尽的风险评估和控制设计，但运行半年后，产品变更、请求处理和供应商评审几乎都回到了各自部门的老习惯。原因不是前期没做，而是 5.6 没有把前期成果转成受控流程和运行节奏。后来重建运行触发机制后，体系才重新稳定。
2. 风险判断停留在历史版本：另一家组织早期评估结论较为稳妥，但随着业务新增跨境处理和自动化功能，始终没有在运行期重评。最终问题不是原评估错，而是运行过程没有跟上变化。5.6正是为避免这种“规划正确但过期”而存在。

这些案例说明，运行章节不是附属章节，而是决定体系能否继续保持准确性的关键部分。规划只能给出起点，真正拉开成熟度差距的，往往是运行中的持续性和反应速度。

六、成文信息管理要求

这些记录的意义，在于让组织能够说明：体系不是在建立那一刻“曾经符合”，而是在运行过程中持续被执行、被更新、被修正。对 PIMS 来说，这样的证据比静态制度更能说明成熟度。

七、常见误区及踩坑提醒