一、ISO/IEC 27701:2019 5.7.1 标准原文

二、条款解读说明

5.7.1是绩效评价章节中最基础也最容易被低估的一条。很多组织在隐私治理中都能拿出一些数字，例如培训覆盖率、请求数量、供应商数量、事件数量或整改关闭率，但这些数字往往彼此孤立，没有明确定义，也缺少分析逻辑。于是看板看起来很热闹，管理层却很难据此判断体系到底是否有效。标准要求的远不止是“收集数字”，而是要先确定看什么、怎么量、什么时候量、什么时候分析，然后最终评价 PIMS 的表现。

在 PIMS 语境下，指标选择尤其关键。因为仅仅沿用传统的信息安全指标，通常不足以反映隐私治理结果。组织不仅要看安全事件，还要看主体请求时效、请求准确率、供应商控制有效性、保留删除执行情况、日志记录质量、通知及时性、角色判断偏差、分包披露完整性以及高风险处理活动的重评频率等。若指标设计过窄，组织就会误以为“安全没出事，隐私就没问题”。事实上，这两者并不等同。

标准把“监测、测量、分析和评价”写在一起，本身就说明这四步不能拆开。监测是持续观察，测量是用可重复的方法把现象量化，分析是解释结果背后的原因和趋势，评价则是在分析基础上判断体系是否有效。很多组织恰恰停在前两步，导致看板每天更新，却没有人真正判断这些数据意味着什么。没有后两步，监测和测量就只是一种信息陈列，而不是管理活动。

5.7.1 还要求组织明确方法，这一点很容易被忽略。若指标口径不清、样本来源混乱、统计周期频繁变化，结果就不具备可比性。比如“请求完成率”到底是按收到的请求算还是按关闭的请求算，“事件数量”是否包括误报，“供应商合规率”是否针对全部供应商还是只针对高风险供应商，这些都必须被明确。只有口径稳定，趋势才值得被分析，管理层也才能信任结果。

另一个实务难点，是如何平衡领先指标和滞后指标。滞后指标如事件数量、投诉数量和超时量，能说明已经发生的问题；领先指标如高风险变更评审覆盖率、删除作业成功率、关键控制测试通过率，则有助于组织在问题外溢前看到风险。成熟的 5.7.1 通常会同时使用两类指标，避免只在问题发生后才知道体系失效。

因此，这一条最值得强调的不是“指标越多越好”，而是“指标是否真正帮助组织理解自己的隐私表现”。只要评价结果不能推动决策，指标体系就仍然是不成熟的。对读者来说，这也是 5.7.1 最实际的价值所在。

三、实施要点

• 围绕 PIMS 目标、风险和相关方期待选取指标，不要只照搬原有安全报表。
• 同时设置结果类、过程类和趋势类指标，避免只看单一维度。
• 为每项指标明确口径、数据源、频率、责任人和阈值，保证结果可比。
• 将分析和评价作为固定动作，不要让监测和测量停留在数据收集层面。
• 5.7.1的核心是让 PIMS 绩效可以被看清、被解释、被用于决策。

四、常用工具与实施方法

实践中，建议先从少量高价值指标开始，例如请求超时率、重评完成率、供应商整改逾期率、关键记录完整率和重大偏差复发次数。只要这些指标能够被持续解释和使用，组织后续再逐步扩展指标体系会更稳。

对跨部门数据，最好统一汇总口径，否则很容易出现业务、法务和技术各自报一套数字，最后谁也不信谁的数据。5.7.1 的成熟度，往往首先体现在数据是否具有共同语言。

五、典型案例

1. 培训率很高却问题频发：某企业长期把培训完成率作为核心隐私指标，结果数据漂亮，但请求错误和供应商失控问题始终存在。后来补入请求质量、整改复发率和关键控制测试结果后，组织才看见真实短板。
2. 只有数字没有解释：某处理者每月都统计事件数量，但不分析事件类型、根因和主体影响范围。看似在做绩效管理，实际无法支持任何决策。加入趋势分析和异常解释后，管理层才真正开始依据数据行动。

这些案例说明，指标不是越容易统计越好，而是越能反映真实治理表现越好。只要数字与管理问题脱节，统计工作本身就会越来越形式化。

六、成文信息管理要求

这些记录有助于证明组织不是“偶尔看看数字”，而是在系统地运行评价机制。特别是在管理评审和内部审核中，能够出示连续、可比、可解释的结果，通常会大幅提高说服力。

七、常见误区及踩坑提醒