一、ISO/IEC 27701:2019 5.7 标准原文

二、条款解读说明

5.7是 PIMS 的“自我认知章节”。前面的章节解决了方向、规划、支持和运行，但体系不能只会运作，还必须知道自己运作得怎么样。很多组织在隐私管理中最常见的问题，是活动做了不少，数据也收了一些，却并不知道这些动作是否真的让风险下降、请求更稳定、供应商更受控、记录更可信。绩效评价正是为了解决这个盲区。它要求组织通过监测测量、内部审核和管理评审三个层级，对 PIMS 的效果进行持续判断。

在 2019 版中，这一组条款仍然采用 27001 第9章的结构，但在 PIMS 中必须重新理解评价对象。组织不能只看传统安全指标和通用体系活动，而要把 PII 处理结果、主体影响、角色义务履行、分包协同、请求响应、记录控制和风险处置效果都纳入评价视野。若仍然只看漏洞数、培训覆盖率、可用性或制度发布数，组织很可能会误判 PIMS 表现，因为很多隐私问题根本不会在这些指标中显现。

这三个部分并不是彼此独立的。监测和测量提供连续事实，内部审核提供独立检查和验证，管理评审则把前两者的发现带入管理层决策。成熟的 PIMS 往往在这里形成一个很清晰的闭环：指标趋势显示问题正在积累，审核确认问题并解释其成因，管理评审据此决定资源、优先级和改进方向。如果这条链条断了，组织就会出现两种常见失衡：要么“报表很多，没人决策”；要么“开会很多，没有事实基础”。

绩效评价在隐私领域还承担着一个特别重要的功能，就是帮助组织识别“看起来合规、实际上失真”的情况。例如制度已经发布，培训也已完成，但主体请求仍然持续超时；供应商合同条款很全，但实际分包变更没有被及时通知；日志和记录理论上齐备，但抽样后发现证据无法还原过程。这类问题通常只有通过持续评价才能看见，单靠条款对照很难发现。

因此，5.7 的价值不仅在于“证明体系有效”，更在于“尽早发现体系正在失效”。对实施者来说，这往往比事后补救更有价值。因为在隐私管理里，很多问题一旦演变成客户投诉、监管问询或重大事件，整改成本都会远高于在评价阶段提前发现。

写这一章时，最值得强调的不是评价活动本身，而是评价活动背后的管理含义：组织必须愿意用事实看待自己的隐私治理，而不是用意愿和努力程度安慰自己。只有做到这一点，5.7 才会真正发挥作用。

三、实施要点

• 将5.7视为一个整体来建设，让监测、审核和管理评审相互衔接，而不是各做各的。
• 评价对象应覆盖 PII 处理结果和体系运行状态，不要停留在通用安全指标或形式动作上。
• 让关键绩效结果能够进入内部审核抽样和管理评审决策，形成事实到行动的链条。
• 重点观察趋势和复发问题，而不仅是当期单点结果。
• 5.7的关键价值是让组织及时知道 PIMS 到底在变好、变差，还是只是表面上在运转。

四、常用工具与实施方法

如果组织资源有限，也不必一开始就把整个评价体系做得很大。更有效的方式通常是先选出少量关键指标、围绕高风险流程做审核、围绕重大趋势做评审。只要这三类动作能形成真正的闭环，5.7 就已经具备明显管理价值。

对于多业务、多地区或双重角色组织，建议在统一评价原则下允许局部差异。例如集团层看共性指标，业务单元层看更细节的流程指标，这样既能保证整体一致性，又不至于失去场景适配性。

五、典型案例

1. 指标和审核互相脱节：某企业每月都有隐私指标看板，但内部审核仍沿用老清单，完全不关注请求超时和供应商整改逾期这些趋势。结果问题明明已经在数据里出现，却迟迟没有被确认和处理。重建 5.7 闭环后，审核重点才开始跟着绩效变化走。
2. 管理评审没有事实基础：另一家组织的管理评审长期只有几页原则性汇报，没有趋势、没有抽样、也没有整改状态。管理层只能泛泛要求“继续加强”。后来把 5.7.1 和 5.7.2 的结果真正纳入评审输入后，决策质量才明显提升。

这些案例说明，绩效评价不是三个孤立动作的集合，而是一套事实驱动的治理机制。只要三者之间没有打通，组织就会长期处在“忙但看不清”的状态。

六、成文信息管理要求

这些记录的意义在于帮助组织说明：PIMS 的有效性不是想象出来的，而是被持续测量、被独立检查、被管理层认真讨论并转化成行动的。只有形成这条证据链，5.7 才真正站得住。

七、常见误区及踩坑提醒