一、ISO/IEC 27701:2019 5.7.2 标准原文

二、条款解读说明

5.7.2是 PIMS 的内部“体检机制”。一个组织是否真的了解自己的隐私治理现状，往往不是看它有多少制度，而是看它能否通过内部审核客观发现问题。许多隐私失误之所以代价高昂，并不是问题天生无法避免，而是组织长期没有用独立视角检查自己。内部审核的价值，就在于让组织在外部风险暴露之前，先通过自己的机制把偏差挖出来。

在 2019 版中，这一条仍沿用 27001 的审核框架，但因为 5.1 的扩展解释适用，审核对象必须从一般 ISMS 符合性扩展到 PIMS 语境。也就是说，审核不仅要检查制度是否存在，还要检查这些制度在控制者和处理者场景中是否真正有效运行。主体请求流程是否按要求执行，分包控制是否真的进入供应商管理，角色判断是否和实际处理活动一致，风险重评是否在重大变化前发生，记录是否足够支持自证，这些都应成为审核问题。

内部审核在 PIMS 中尤其需要风险导向，而不能只是条款核对。因为隐私问题经常出现在流程接口和变化场景，例如某项数据共享看似合法，但通知机制实际没跟上；某个处理者条款在合同里写了，但分包变更时没人按约履行；某些请求在标准流程里设计合理，却在高峰期靠人工变通。若审核只看文件，很容易得出“基本符合”的结论，却漏掉真正高风险的偏差。

独立性是另一项关键要求。审核员不一定来自独立部门，但必须避免审自己直接负责的工作。对小组织来说，这确实有难度，但不是理由。交叉审核、跨部门互审、由内审或合规支持、必要时引入外部资源，都属于可行方案。内部审核最怕的不是能力不足，而是由于角色过近而默认问题存在合理性，最后把偏差当常态。

5.7.2 的写作还应强调审核方案。真正成熟的审核不是想起来就抽查一条流程，而是根据过程重要性、历史问题和近期变化安排审核重点。高风险处理活动、近期发生重大变更的领域、重复出现偏差的流程，通常都应更频繁或更深入地审。只有这样，审核资源才不会平均分散到无关紧要的地方。

从读者实务角度看，内部审核真正值钱的地方，不是“发现多少问题”，而是“能不能发现真正的问题”。只要审核仍停留在表面符合性，组织就会继续误以为体系已经足够稳定。把这一点写透，5.7.2 才算真正有用了。

三、实施要点

• 将内部审核设计为风险导向机制，而不是纯条款对照或认证预演。
• 根据过程重要性、历史发现和近期变化编制审核方案，合理分配深度和频率。
• 确保审核员具备基本隐私理解，并保持足够独立性，避免自己审自己。
• 审核证据应覆盖文件、访谈、样本、系统和运行记录，不能只看制度文本。
• 5.7.2的核心是发现真实偏差，而不是证明一切都没问题。

四、常用工具与实施方法

对于复杂组织，将综合审核和专题审核结合通常更有效。综合审核看体系全貌，专题审核则深入高风险场景，如跨境处理、分包管理或测试数据使用。这样既能保持覆盖面，也能在关键场景里真正查深。

如果组织资源有限，也可以从高风险流程开始建立稳定抽样机制。只要每次审核都能真实发现和推动改进，审核成熟度会比“形式上面面俱到”更高。

五、典型案例

1. 审核只看制度导致盲区：某企业的内部审核一直确认请求处理流程“文件齐备”，但从未抽查工单记录。直到客户投诉后才发现关闭证据大量缺失。问题不在制度，而在审核方法。后来将样本抽查纳入 5.7.2 设计后，类似偏差才被提前发现。
2. 缺乏独立性导致问题被默认：某处理者由运营负责人审核自己负责的外包流程，长期认为“基本都没问题”。后来客户审计发现分包通知和事件响应严重滞后。组织改为交叉审核后，原来被视作“工作习惯”的偏差才被识别出来。

这些案例说明，内部审核最重要的不是流程是否复杂，而是能否真实看见体系和现实之间的差距。只要这一点做不到，内部审核就会逐渐失去价值。

六、成文信息管理要求

这些记录能够帮助组织证明：审核并非走形式，而是按计划、按方法、按证据真实开展。对于重复问题，还应能够通过历史报告看到趋势和改进效果。

七、常见误区及踩坑提醒