《信息安全、网络安全和隐私保护- 隐私信息管理体系 - 要求》专业解读与实践应用指南之2：“5领导作用”（雷泽佳编写-2024）

《信息安全、网络安全和隐私保护一隐私信息管理体系-要求》

专业解读与实践应用指南之2:5领导作用

（雷泽佳编制，2024A0）

ISO/IEC27701.2-2024

------------《信息安全、网络安全和隐私保护-隐私信息管理体系-要求》---------

5领导作用

5.1领导作用和承诺

最高管理者应通过以下活动，证实对隐私信息管理体系的领导作用和承诺：

——确保迂立隐私方针（见5.2）和隐私目标（见6.2）,并与组织战略方向相一致：

——确保将隐私信息管理体系要求融入组织的过程中：

——确保隐私信息管理体系所需的资源是可获得的：

——沟通有效的隐私信息管理及符合隐私信息管理体系要求的重要性；

——确保隐私信息管理体系实现其预期结果；

——指导和支持相关人员为隐私信息管理体系的有效性做出贡献；

——促进持续改进；

——支持其他相关管理者在其职费范围内发挥领导作用。

注：本标准中提及的“业务”一词可广义地理解为涉及组织存在的目的核心活动。

5领导作用

5.1领导作用和承诺

（D领导作用与承诺的重要性；

一一领导作用与承诺是PIMS的基础，它确保了隐私保护战略与组织整体战略的一致性，以及隐私保护

工作在组织内部的优先级和有效性。通过明确领导层的角色和责任，可以推动整个组织对隐私保护的聿视

和投入。

（2）最高管理者应通过以下活动，证实对隐私信息管理体系的领导作用和承诺：

（a）确保建立隐私方针（见5.2）和隐私目标（见6.2）,并与组织战略方向相一致；

-确保建立隐私方针：隐私方针是由最高管理者正式表达的、关于处理PI1的总体意图和方向、规

则以及承诺，隐私方针是组织处理PII保护的基本指导原则。最高管理者应确保隐私方针的制定符合相关

法律法规要求，明确组织的隐私保护目标和原则，并与组织的战略方向保持一致。隐私方针应具有可操作

性，能够指导组织内部的所有隐私保护活动；

一一确保建立隐私目标：隐私目标是隐私方针的具体化和量化体现。最高管理者应确保隙私目标的设

定与组织的隐私保护需求相匹配，具有可测量性、可达成性和时间限制。隐私目标应与组织的业务目标和

战略方向相一致，以推动隐私保护工作的持续改进；

——与组织战略方向相一致：最高管理者应确保隐私方针和隐私目标与组织战略方向的高度一致。这

意味着隐私保护工作应被视为组织整体战略的重要组成部分，而不是孤立的、边缘化的活动。通过将隐私

保护融入组织的战略规划和日常运营中，可以确保隐私保护工作的持续性和有效性。

(b)确保将陞私信息管理体系要求融入组织的过程中；

一一ISO/IEC27701.2标准中提及的“'也务”一词的涵义：

“业务”一词被广义地理解为涉及组织存在的目的核心活动。这些核心活动构成了组织的运营基础，

并直接关联到组织的使命、愿景和战略目标。具体来说，涉及组织存在的目的核心活动可能包括但不限于

以下几个方面：

•产品或服务开发：这是组织存在的核心，涉及市场调研、设计、测试、生产或提供服务等全过程；

•市场营销与销售：包括品牌推广、客户关系管理、销售渠道建设、销售活动执行等，旨在促进产

品或服务的销仕:和市场占有率的提升；

•供应链管理：涉及原材料采购、生产计划、库存管理、物流运输等环节，确保产品或服务能够高

效、低成本地送达客户手中；

•客户服务与支持：提供售后服务、技术支持、客户咨询等，旨在增强客户满意度和忠诚度；

•人力资源管理：包括员工招聘、培训、绩效管理、薪酬福利等，旨在打造一支高效、专业的团队

来支持组织的运营和发展；

•财务管理：涉及预算制定、资金筹措、成本捽制、财务报表编制等，确保组织的财务稳健和可持

续发展。

一一深入理解业务过程以强化隐私信息管理；

在将隐私信息管理体系的要求有效纳入组织业务过程之前，最高管理者需对组织的业务本质及其核心

活动有深入的理解。这一理解过程应涵盖以下三个关键步骤：

识别主营业务与隐私信息的关联;

A明确组织的主要业务领域，理解这些业务在创造经济价值和满足客户需求的同时，如何涉及

PII的处理；

》识别出哪些具体业务活动是PII收集、处理和存储的主要来源，并分析这些活动对隐私保护可

能产生的直接影响和潜在风险。

•分析关键业务流程中的隐私风险；

》详细剖析支撑主营业务的关键业务流程，如生产流程、供应链管理、客户服务等，理解这些

流程如何相互关联并共同推动业务目标的实现；

A评估每个流程中可能存在的隐私泄露、滥用或不当处理等风险点，为后续的隐私保护措施制

定提供基础。

•评估流程对隐私保护目标的贡献。

A审视每个关键业务流程对组织整体隐私保护目标的贡献程度，识别出哪些环节对实现隐私保

护目标具有关键性作用：

》通过这一评估，确定隐私信息管理体系在业务过程中的重点投入领域和优先级，确保资源得

到合理分配。

一一隐私信息管理体系与业务过程的融合策略

将隐私信息管理体系的要求纳入业务过程，是确保隐私保护理念、原则和方法深度融入组织R常运营

的关键。最高管理者应采取以下具体措施来确保这•融合的实现：

.制定融合策略与隐私保护政策；

A根据组织的业务特点和隐私信息状况，制定具体的融合策略，明确隐私信息管理体系与业务

过程的结合点和实施路径；

》制定全面的隐私保护政策，确保所有员工都能清晰了解并严格遵守隐私保护的要求，形成全

员参与的隐私保护文化。

•调整业务流程以嵌入隐私保护措施。

A在保持业务流程顺扬运行的基础上，对关键.业务流程进行必要的调整，以确保隐私信息管理

体系的要求能够在流程中得到有效体现；

》例如，在数据收集环节增加隐私告知和同意机制，确保PII的合法收集；在数据处理环节实施

加密和匿名化技术，保护PII的隐私性；在数据存储和传输环节采取访问控制和安全审计措施,

确保PII的完整性和安全性。

(c)确保隐私信息管理体系所需的资源是可获得的；

一一隐私信息管埋体系所需的资源包括(但不限于)：

》隐私策略模板和指南：为制定和组织隐私策略提供•参考，确保隐私策略的准确性和有效性；

》行业最佳实践和案例研究：学习借鉴其他组织的成功经验，不断优化和完善隐私信息管理体

系；

APII数据库及相应文件：包括合同、协议、PII管理文档等PII管理者运营、服务涉及PII的数

据、信息及相应的各种存储、保存介质等，是隐私信息管理体系的重要组成部分。

一一最高管理者应如何确保隐私信息管理体系所需的资源是可获得的

•建立资源管理机制；

》制定完善的资源管理制度和流程，明确资源的申请、审批、分配、使用和何收等环节；

》设立专门的资源管理团队或指定责任人，负责资源的日常管理和协调。

•制定资源使用规定；

A制定全体员工、客户、第三方客户都需接受并执行的与PII相关资源的使用规定；

A包括互联网便用、电子邮件使用、移动设备使用、系统软件更新、病毒防范、PII数据库管理、

文档管理、门禁管理等方面的具体规定；

》确保所有相关人员都了解并遵守这些规定，对所使用的资源负责。

•全面识别资源需求；

A结合PISMS的H标和要求，以及组织的风险管理策略，全面识别并评估所需的各类资源；

》考虑资源的敏感性和关键程度，以及它们在PII管理、业务运营中的重要性：

A评估涉及资源的PII的价值，以及资源的安仝等级需求。

•制定详细的资源计划；

》根据识别出的资源需求，制定详细的资源获取和使用计划；

》包括资源的采购、调配、培训、更新和维护等方面的具体安排；

》确保计划符合组织的财务预算和战略规划。

•优化资源配置；

A根据PISMS的实际运行情况和优先级，合理配置资源；

A确保关键活动得到充分的资源支持，同时避免资源的浪费和闲置；

》定期评估资源配置的效果，根据需要进行调整和优化。

•积极引入外部资源；

A在内部资源不足的情况下，积极寻求并引入外部资源；

A包括咨询服务、专业培训、技术支持等，以补充和提升组织的隐私信息管理能力。

监督资源使用情况。

A建立有效的监督机制，定期检查资源的使用情况；

》确保资源的合理分配和有效利用，及时发现并纠正资源使用中的问题和不足；

A通过审计、评估等方式，持续跟踪资源的使用效果，为未来的资源配置提供决策依据。

(d)沟通有效的隐私信息管理及符合隐私信息管理体系要求的重要性；

一一明确沟通目标；

・最高管理者应明确沟通的目标，即确保组织内所有成员都认识到隐私信息管理对于组织安全、合

规运营以及客户信任的重要性；

•强调隐私信息管理体系作为组织信息安全和隐私保护的核心框架，对于防范数据泄露、维护数据

完整性和可用性具有不可替代的伶用。

一一制定沟通计划；

•制定全面的沟通计划，包括沟通的内容、方式、频率和对象；

•内容应涵盖陷私信息管理体系的目标、原则、流程、要求以及合规的重要性：

•方式可包括会议、培训、内部通讯、电子邮件等多种渠道，以确保信息的广泛传播和接收；

•频率应根据组织的变化和外部威胁态势进行调整，确保信息的及时更新和传达；

•对象应覆盖组织内所有成员，包括员工、管理层以及第三方合作伙伴。

一一强调合规与文化；

•在沟通中，最高管理者应特别强调遵守隐私法律法规、行业标准以及组织内部政策的重要性：

.鼓励员工主动识别并报告潜在的陷私仅I险，形成仝员参与、共同维护的陷私保护文化。

一一以身作则，树立榜样。

・最高管理者应以身作则，严格遵守隐私信息管理体系的要求，成为组织内的隐私保护倡导者和实

践者；

•通过自身的行为示范，如定期参加隐私培训、关注隐私政策更新等，引导组织内其他成员积极遵

循隐私信息管理规范。

一一利用多渠道沟通；

•除了传统的会议和培训方式外，还可以利用数字化工具如企业内部社交平台、在线学习平台等，

提高沟通的效率和覆盖面；

•鼓励员工之间的交流和分享，形成隐私信息管理的良好氛围。

(e)确保隐私信息管理体系实现其预期结果;

-隐私信息管理体系拟实现的预期结果：指组织通过实施隐私信息管理体系所期望达到的具体成效

或目标。预期结果是组织在隐私俣护方面的核心目标和价值追求，是组织衡量PIMS绩效的重要依据，也是

体系持续改进的动力来源。这些结果可能包括隐私信息管理体系的预期结果主要包括确保PII的机密性、

完整性、可用性，降低隐私泄露风险，提高隐私保护能力，增强顾客信任，以及满足合规性要求等方面：

•确保PH的机密性：确保PII不被未授权的第三方访问、使用或披露，保护个人陷私不受侵犯；

•维护PH的完整性：保证PII在收集、处理、存储和使月过程中不被篡改、破坏或丢失，保持信息

的真实性和准确性；

•保证PII的可用性：确保授权用户能够在需要时访问和使用PI1,以支持组织的业务运营和合规性

要求；

•降低隐私泄露风险：通过识别、评估和控制隐私泄露风险，减少PII被非法获取、滥用或泄露的可

能性：

•提高隐私保护能力：通过不断樨升组织在隐私保护方面的技术、管理和法律能力，确保能够有效

应对各种隐私保护挑战；

•增强顾客信任：通过透明的沟通隐私政策、提供个性化的隐私设置选项、及时处理隐私投诉等措

施，增强顾客对组织在隐私保护方面的信任感；

•满足合规性要求：确保组织的隐私信息管理体系符合相关法律法规、行业标准等合规性要求，避

免法律风险和经济损失。

一一最高管理者确保隐私信息管理体系实现预期结果的关键措施。

•制定明确的隐私信息管理目标和计划；

》根据组织战略目标制定：紧密围绕组织的整体战略目标，明确隐私信息管理的具体目标和计

戈I，确保两者在方向和重点上保持一致；

》确保一致性：通过有效的沟通和协调，确保隐私信息管理目标与组织的整体发展方向相契合，

得到各层级的理解和支持。

•建立绩效指标和监控机制：

》设定关键绩效指标（KPIs）：基于隐私信息管理的目标和计划，设定具体、可量化、可追踪

的KPIs,如数据保护效率、隐私泄露事件数量等；

》建立监控和报告系统：实施连续的KPIs跟踪和记录，定期编制和发布隐私信息管理绩效报告，

确保信息的透明度和可追溯性，促进组织内部的沟通和协作。

•提供必要的资源支持；

A充足资源保障：为隐私信息管理体系的运行提供充足的人力、财力和物力资源，确保各项活

动的顺利开展和持续进行；

》合理分配：确保资源在体系运行、培训、审计和持续改进等各个环节得到合理分配和有效利

用。

•全面关注风险管理；

》建立风险管理机制：识别、评价和控制潜在的隐私风险与机遇，为组织创造稳定的发展环境；

》持续风险评估：定期进行风险评估，及时调整风险控制措施，确保隐私信息管理体系的稳健

运行。

•确保PH保护的具体措施；

A机密性保护：制定严格的访问控制策略，加强数据加密，定期审计和监控，确保PII不被未授

权访问；

》完整性维护：实施数据校验机制，定期数据备份与恢密测试，提高员工对数据完整性的认识：

》可用性保障：优化数据存储和检索系统，实施灾难恢复计划，定期性能测试，确保PII的及时

可用；

》降低泄露风险：进行风险评估，加强员工培训，建立应急响应机制，有效应对隐私泄露事件。

•监视体系输出并推动持续改进。

》持续监视与验证：通过持续监视隐私信息管理体系的输出，包括绩效指标、内部审核结果和

管理评审输出等，来脸证并实现预期的陷私管理结果；

》纠正与改进措施：当监视结果显示存在偏差或未能达到既定目标时，U即采取必要的纠正或

改进措施，优化隐私信息管理体系；

》资源支持与持续改进：确保对所需采取的措施进行合理规划和安排，提供充足的资源支持，

促进隐私信息管理体系的持续改进和效能提升。

(f)指导和支持相关人员为隐私信息管理体系的有效性做出贡献；

——明确指导与方向。最容管理者应主动为组织内的人员提供明确的指导和方向，确保他们全面理解

隐私信息管理体系的目标、原则及实施方法。这包括：

•目标设定与策略规划：明确隐私信息管理体系的长远目标和短期目标，并制定实现这些目标的策

略和规划.确保所有相关人员都了解并认同这些目标和规划，以便他们能够朝着共同的方向努力；

•过程控制与绩效评估：详细阐述体系的关键过程和控制措施，并设定合理的绩效评估标准。这样，

人员就能清晰地了解自己的工作重点和责任，从而更有效地履行职责。

-增强意识与责任感。增强人员的隐私保护意识是确保隐私信息管理体系成功实施的关键。最高管

理者应确保：

•角色与职责认知：确保所有在组织内工作并对‘实现隐私信息管理目标产生影响的员工，都充分认

识到自己在体系中的角色和职责。这有助于增强他们的责任感和使命感；

•贡献与益处理解：帮助人员理解个人努力如何与组织目标紧密相连，以及改进隐私信息管理绩效

所带来的益处，如提升数据保护水平、降低隐私泄露风险、增强客户信任等。这将激发他们为体系有效性

做出贡献的积极性。

——提供支持与资源。最高管理者应积极支持人员为隐私信息管理体系的有效性做出贡献，这包括：

•必要资源与条件：确保人员获得充足的信息、技术、培训等资源，以顺利履行职责和完成任务。

例如，提供先进的加密技术、数据脱敏工具等，以帮助他们更好地保护隐私信息；

•项目支持与参与：当体系需要改进或优化时，作为项目支持者积极参与其中，与人员共同分析问

题、制定解决方案并推动实施。依的亲身参与和领导示范将激发人员的积极性和创造力，促讲体系的持续

改进。

—促进参与与沟通。通过与组织人员的有效沟通，最高管理者可以促使他们积极参与隐私信息管理

体系的建设和运行。这包括：

•听取意见与建议：鼓励人员提出关于体系改进、流程优化等方面的意见和建议。认真倾听并积极

反馈，让他们感受到自己的声音被重视和尊重；

.解答疑问与困惑：及时解答人员在工作中遇到的疑问和困惑，提供必要的指导和帮助。这有助于

消除他们的顾虑和障碍，使他们能够更专注于体系的有效性贡献；

•分享成功经验与最佳实践：定期分享体系运行中的成功案例和最佳实践，促进人员之间的相互学

习和交流。这将有助于提升整个组织的隐私信息管理水平和能力。

(g)促进持续改进；

——确立持续改进的核心理念：最高管理者应深刻理解持续改进对于隐私信息管理体系的重要性，将

其视为提力组织信息安全、网络安全和院私保护能力的关键途径。通过定期评估体系运行状况，识别潜在

风险和改进机会，最高管理者应确保体系能够不断适应外部环境的变化和内部需求的发展：

----建立有效的沟通机制；

•信息传递与反馈：最高管理者应确保从各类审核、评估和管理评审中获取的关键信息能够准确、

及时地传递给相关责任人，同时建立有效的反馈机制，以便及时收集并处理改进建议；

•全员参与与培训：通过组织培训、研讨会等活动，最高管理者应鼓励全员参与持续改进过程，提

开员工对隐私信息管理体系的认识和参与度，形成持续改进的良好氛围。

一一明确改进目标与价值；

•设定具体目标：最高管理者应与团队共同设定清晰、可衡量的改进目标，确保改进拮施具有针对

性和实效性；

•展示改进价值：通过实际案例和数据支持，最高管理者应向员工展示改进措施带来的实际价值和

益处，增强员工对改进工作的认同感和积极性。

一一建立持续改进的机制与流程；

•完善机制：组织应建立一套完善的持续改进机制，包括明确的责任分工、资源保障和时间表，确

保改进措施能够得到有效执行和跟踪；

•优化流程：借鉴行业内的最佳实践和管理工具(如PDCA循环)，最高管理者应推动流程优化，提

高改进工作的效率和质量。

一一鼓励创新与最佳实践借鉴；

•鼓励创新：最高管理者应鼓励团队在险私信息管理体系中不断探索和创新，提出新的改讲思路和

方法;

•借鉴最佳实践：积极关注行业内外的发展动态，借鉴并融合其他组织的成功经验和最佳实践，结

合组织自身情况进行本土化改造和优化。

——确保持续改进与战略目标的契合：最高管理者应确保持续改进工作与组织的战略目标保持高度一

致，通过持续改进不断提升组织的信息安全、网络安全和隐私保护水平，为组织的长期稳定发展提供有力

支撑。同时，最高管理者还需定期评估改进工作的成效，及时调整改进策略和方向，确保持续改进工作的

持续性和有效性。

(h)支持其他相关管理者在其职责范围内发挥领导作用。

——“其他相关管理者”的界定：“其他相关管理者”主要指那些负责具体隐私信息管理领域或流程

的管理者，包括但不限于信息安全官、数据保护官、网络安全经理、合规主管等。这些管理者在各自的职

责范围内，负责确保隐私信息的保护、处理和使用符合相关法律法规、行业标准及组织内部政策的要求：

——最高管理者支持其他管理者发挥领导作用的策略。最高管理者应采取以下策略来支持其他相关管

理者在其职货范围内发挥领导作用：

•明确职责与权限：最高管理者应清晰界定各管理者的职责范围、权限及期望成果，确保他们能够

在自己的领域内拥有足够的决策权和执行权，从而有效领导团队开展工作。

•提供资源与支持：最高管理者应确保为其他管理者提供必要的资源支持，包括人力、物力、财力

及技术支持等，以帮助他们顺利完成任务、实现目标。同时，还应关注他们的职业发展需求，提供培训I、

学习机会，促进具能力提升。

•决策指导：在关键决策节点，提供明确的指导和建议，帮助其他管理者做出符合组织战略和隐私

信息管理要求的决策。在必要时，最高管理者应亲自参与决策过程，提供高层级的视角和意见；

•建立沟通机制：最高管理者应与其他管理者保持密切沟通，定期召开会议、交流工作进展及遇到

的问题，共同商讨解决方案。通过有效的沟通机制，增强团队协作与信息共享，确保隐私信息管理体系的

顺畅运行；

•领导力传递：通过培训、辅导等方式，将领导力理念和技能传递给其他管理者，促进整个组织的

领导力提升；

•树立榜样、发挥影响力：通过自身的言行举止，展示优秀的领导力和职业操守。发挥影响力：利

用自身的地位和影响力，推动组织文化的建设和领导力的发展；

•强化责任与监督：最高管理者应建立健全的责任追究与监督机制，对其他管理者的工作表现进行

定期评估与反馈。对于工作不力或存在违规行为的管理者，应及时进行纠正与处罚，确保隐私信息管理体

系的严肃性和有效性。

ISO/IEC27701.2-2024

《信息安全、网络安全和隐私保护-隐私信息管理体系-要求》---------

5.2隐私方针

最高管理者应制定隐私方针，隐私方针应：

a）与组织宗旨相适应；

b）为设定隐私目标提供框架：

c）包括满足适用要求的承诺：

d）包括对隐私信息管理体系持续改进的承诺。

隐私方针应：

——作为成文信息可获取；

----在组积内部进行沟通；

——适宜时，可为相关方所获取。

5.2隐私方针

（1）隐私方针；

隐私方针是由组织的最高管理者正式发布的一项关键性文件，它明确阐述了组织在处理PII时的总体意

图、方向、规则以及坚定承诺。

——总体意图：明确组织在隐私保护方面的长远目标和愿景,体现组织对隐私权益的尊重和保护意识：

-处理方向：指出组织在收集、使用、存储、传输和披露PI1时应遵循的基本原则和路径，确保所

有处理活动均符合法律法规和行业标准的要求；

——具体规则：详细规定组织内部在处理PII时必须遵守的具体规定和操作流程，包括但不限于数据

最小化原则、目的限制原则、安全性原则等；

一一坚定承诺：最高管理者通过隐私方针向内外部利益相关者明确表达组织在隐私保护方面的决心和

责任感，承诺将持续投入资源，不断完善隐私保护措施，确保PII的安全与合规处理。

A公司隐私方针

1）总体意图

A公司致力于保护用户隐私，尊重并维护用户的合法权益。我们深知隐私保护的重要性，因此将隐私保

护纳入公司战略，确保在处理个人可识别信息时遵循最高的道德和法律标准。

2）处理方向

•合法合规：A公司严格遵守相关法律法规,确保PTT处理的合诙性、正当性和透明性.

•目的限制：我们仅在用户授权或法律法规允许的范围内收集、使用PII,并明确告知用户信息处理

的目的、方式和范围。

•数据最小化：A公司仅收集提供服务所必需的最少PIL避免过度收集。

•安全保障：我们采用先进的安全技术和管理措施，保护PII免受未经授权的访问、泄露、篡改或损

毁。

3）具体规则

•透明性：A公司向用户清晰、明确地说明PII处理的规则，包括信息的收集、使用、共享、转让和

存储等；

•用户权利：我们尊重并保障用户的知情权、选择权、访问权、更正权、删除权、撤回同意权等合

法权益。用户有权查询、更正、删除自己的PII,以及撤回对PII处理的同意。

•第三方管理：A公司对第三方合作伙伴进行严格的隐私保护审核，确保其在处理PII时遵循同样的

商标准。

.跨境传输：对于需要将PII传输至境外的情形，A公司将严格遵守相关法律法规，确保信息传输的

合法性和安全性。

4）坚定承诺

A公司承诺，将持续投入资源，不断完善隐私保护措施，提升隐私保护水平。我们将定期审查和更新隐私方

针，确保其符合最新的法律法规和行业标准。同时，我们将积极回应用户的隐私关切，及时处理用户的隐

私投诉和举报，确保用户的隐私权益得到有效保障。

(2)最高管理者应制定隐私方针，隐私方针应：

(a)与组织宗旨相适应；

——组织宗旨的涵义：组织宗旨是组织存在的根本FI的和核心价值追求，它决定了组织的发展方向和

'业务目标。隐私方针作为组织的•部分，应与组织宗旨保持•致，以确保隐私保护措施与组织的整体战略

和业务目标相协调；

一一隐私方针与组织宗旨的关联关系主要体现在以下几个方面：

•一致性：隐私方针应与红织宗旨保持一致，即隐私保护的理念和实践应与组织的核心价值观和使

命相一致。例如，如果组织的宗旨是提供安全、可靠的服务，那么隐私方针就应强调保护客户隐私和数据

安全的重要性；

.支持性：隐私方针应支持组织宗旨的实现。通过制定和执行隐私方针,组织可以建立和维护客户

信任，提升品牌形象，从而有助于实现组织的业务目标和市场定位；

・互补性：隐私方针和组织宗旨在内容上可能各有侧重，但它们在本质上是相互补充的。组织宗旨

为隐私方针的制定提供了宏观指导和方向，而隐私方针则为组织宗旨的实现提供了具体的保障措施；

•适应性：随着组织宗旨的发展和变化，隐私方针也应相应地进行调整和完善。例如，如果组织开

始涉足新的业务领域或市场，隐私方针就可能需要涵盖更多的隐私保护场景和要求。

——隐私方针与组织宗旨的适应性要求。最高管理者在制定隐私方针时，要确保其体现组织宗旨，可

以从以下几个方面入手：

.深入理解组织宗旨：最高管理者应首先深入理解组织的宗旨、使命、愿景和核心价值观。这包括

组织的业务目标、市场定位、客户群体以及组织所追求的社会责任和可持续发展目标；

.明确隐私方针与组织宗旨的关联：在制定隐私方针时，最高管理者应明确阐述隐私方针与组织宗

旨的关联关系。例如，可以指出隐私方针是如何支持组织宗旨的实现，以及隐私保护在组织整体战略中的

位置和作用。

》体现组织价值观：隐私方针应反映组织对隐私保护的重视程度，体现组织尊重和保护用户隐

私的价值观；

A支持业务目标：隐私方针应与组织的业务目标相一致，确保隐私保护措施不会阻碍业务的正

常开展，反而能够促进业务的可持续发展；

A融入组织文化：隐私方针应成为组织文化的一部分，通过培训、宣传等方式深入人心，形成

全员参与隐私保护的良好氛围。

(b)为设定隐私目标提供框架；

一一隐私方针通过以下几个方面为隐私目标的设定提供框架：

•确立隐私保护的方向和原则：隐私方针首先明确了组织在隐私保护方面的总体方向和原则，如尊

重用户隐私、遵守法律法规、确保信息安全等。这些方向和原则为设定隐私目标提供了明确的指导，确保

了隐私目标与组织隐私保护理念的相一致；

•界定隐私保护的范围和重点：隐私方针会详细界定组织需要重点保护的隐私信息类型、处理环节

以及可能面临的风险点。通过明确这些关键要素，隐私方针为设定隐私目标提供了具体的范围界定和重点

关注方向，使得隐私目标的设定更加具有针对性和实效性；

•提供隐私目标设定的基准和依据：隐私方针中确立的隐私保护原则、要求和标准，为设定隐私目

标摞供了某准和依据。组织可以杈据陷私方针的要求，结合自身的业务特点和隐私保护需求，设定具体、

可衡量的隐私目标，如降低隐私泄露风险、提高用户隐私保护满意度等；

•促进隐私目标的系统性和连贯性：隐私方针作为隐私信息管理体系的顶层设计，确保了隐私目标

在设定过程中的系统性和连贯性。通过隐私方针的引导，组织可以确保各个隐私目标之间相互协调、相q

支持，共同构成完整的隐私保护体系；

•为隐私目标的评估和改进提供指导：隐私方针不仅为设定隐私目标提供框架，还为隐私目标的评

估和改进提供了指导.组织可以根据陷私方针的要求，定期对的私目标的实现情况进行评估，并根据评估

结果对隐私目标进行调整和优化，以确保隐私保护体系的持续改进和有效性。

隐私方针为设定隐私目标提供框架示例

隐私方针内容对应的隐私目标

严格遵守中国相关法律法规及国际隐

每年至少进行一次全面的法律法规遵从性自S,确俣PII处理活动

私保护标准，确保PII处理的合法性与

完全符合相关法律法规要求，违规事件发生率为0。

合规性

设立专门的隐私保护投诉渠道，确保用户隐私投诉在24小时内得

尊重并保护用户隐私权益，提升用户

到响应，并在7个工作日内解决，用户隐私投诉解决率达到98%以

对腾讯产品与服务的信任度

上。

实施严格的数据加密与访问控制措施对所有存储和传输的用户PH进行高级别加密处理，访问控制策略

隐私方针内容对应的隐私目标

,保障用户PII安全根据岗位需求最小化授权，定期进行安全审计，确保信息安全事

件发生率低于行业平均水平。

在产品与服务中明确告知用户PH的收集、使用、共学规则，并提

建立透明的PII处理规则，保障用户的

供便捷的隐私设置选项，确保用户隐私政策的阅读率和理解率达

知情权与选择权

至叼0%以上。

每年至少进行一次隐私保护机制的全面审查与优化，根据用户反

持续优化隐私保护机制，提升隐私保

馈和技术发展动态调整隐私政策和实践，确保隐私保护水平持续

护水平

提升，用户隐私满意度调查得分每年提高至少5%。

(c)包括满足适用要求的承诺；

一一“适用要求”：指组织在随私保护方面必须遵守和满足的一系列外部和内部的规定、标准或期望。

这些要求主要包括但不限于•以下几个方面：

•法律法规要求：包括国家、地区或行业层面关于PII保护、数据安全、隐私权益等方面的法律法规，

如《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》以及相关的行业规范等；

•监管机构要求：特定行业或领域的监管机构可能针对隐私保护提出具体的要求或指导原则，组织

需确保遵守这些要求：

•国际隐私保护标准：对于跨国经营的组织，还需考虑国际层面的隐私保护标准，如欧盟的《通用

数据保护条例》(GDPR)等，以确保国际业务的合规性；

.合同条款与商业伙伴要求：在业务合作中，合同可能包含对隐私保护的特定要求，或商业伙伴可

能对隐私保护有明确的期望，组织需承诺满足这些要求；

.顾客期望与隐私权益：顾客的隐私期望和权益也是组织需要关注和满足的重要方面，包括顾客对

PII收集、使用、存储、传输和披露的知情权、选择权、删除权等；

•组织内部政策与标准：组织内部可能制定有更为严格的隐私保护政策或标准，这些也是隐私方针

中需要承诺满足的“适用要求”。

“隐私方针应包括满足适用要求的承诺”的示例

以A集团为例，其隐私方针中可能包含以下关于满足适用要求的承诺：

•“A集团承诺，我们将严格遵守《中华人民共和国个人信息保护法》、《中华人民共和国网络安全

法》以及其他相关法律法规的要求，确保PII的合法、正当、必要收集和使用。同时，我们将积极响应监管

机构的指导和要求，不断优化和提升我们的隐私保护水平。

•在国际业务中，我们将遵循欧盟GDPR等国际隐私保护标准，确保跨境数据传输的合法性和安全性。

对干与商业伙伴的合作，我们将明确合同中的隐私保护条款，确保双方共同遵守隐私保护原则。

•此外，我们深知用户隐私权益的重要性，将充分尊重住户的知情权、选择权、删除权等隐私权益,

通过透明的隐私政策和便捷的用户隐私设置，为用户提供安全、可信的服务体验。

•最后，我们将不断完善纽织内部的隐私保护政策和标准，确保所有员工都能深刻理解并践行隐私

保护原则，共同维护用户的信息安全和隐私权益。”

(d)包括对隐私信息管理体系持续改进的承诺。

―在“隐私方针应包括对隐私信息管理体系持续改进的承诺”中，这一承诺主要涵盖以下几个方面：

.强调持续改进的重要性：隐私方针会强调持续改进对于组织隐私保护工作的至关重要性,指出持

续改进是组织不断提升隐私保护能力、适应法律法规变化、满足用户隐私期望的关键途径，从而增强组织

内部对持续改进的重视和投入；

•明确表述持续改进的意愿：隐私方针中会直接或间接地表述出组织对隐私信息管理体系持续改进

的坚定决心和明确意愿。这种表述可能以“我们承诺持续改进隐私信息管理体系”或“我们致力于不断优

化和提升隐私保护水平”等形式出现；

•明确持续改进的目标：隐私方针会明确指山组织对隐私信息管理体系持续改进的总体目标，如提

高隐私保护水平、增强用户信任、降低隐私风险等，从而确保所有相关人员对持续改进的方向和期望有清

晰的认识；

•建立持续改进的机制：隐私方针会明确建立隐私信息管理体系持续改进的机制，如设立专门的隐

私保护团队或委员会负责持续改进工作，制定定期评估和改进计划，鼓励员工提出改进建议，建立反馈和

激励机制等，以确保持续改进工作的有效实施和持续推进；

•阐述持续改进的方法：隐私方针会阐述组织将采取哪些具体方法来推动随私信息管理体系的持续

改进，这可能包括定期评估与审计、风险管理与应对、合规性监控、员工培训与意识提升、技术创新与应

用等，以展示组织在持续改进方面的具体行动计划和措施；

•员工培训与意识提升：承诺将持续加强员工的隐私保护培训，增强员工的隐私保护意识和能力，

促进隐私文化的形成;

公开透明与用户参与：隐私方针可能会强调组织在隐私保护方面的公开透明态度，并鼓励用户参

与隐私保护的过程，通过用户的反馈和建议来推动体系的持续改进；

•鼓励创新与学习：隐私方针可能会鼓励组织内部的创新和学习氛围，以促进新隐私保护技术、方

法和流程的研发与应用。这种鼓励有助于推动体系的持续改进和升级。

“隐私方针应包括对隐私信息管理体系持续改进的承诺”示例

以E集团为例，其隐私方针中关于持续改进的承诺可能表述如下：

•“B集团承诺，我们将持续致力于隐私信息管理体系的改进和优化。我们将建立定期评估和审查机

制，对隐私保护策略、流程和技术进行全面审视，确保它们能够有效应对不断变化的隐私风险和挑战。同

时，我们将密切关注国内外隐私法律法规和监管要求的发展动怒，及时调整我们的隐私保护策略，确保始

终保持合规。

•我们深知员工在隐私保护中的重要作用，因此将持续加强员工的隐私保护培训和教育，提升他们

的隐私保护意识和能力。此外,我们还将积极听取用户的隐私反馈和建议,不断优化我们的产品和服务.

以更好地满足用户的隐私保护需求。

•B集团还将不断探索和应用新的隐私保护技术和管理方法，如差分隐私、联邦学习等先进技术，以

技术创新推动隐私信息管理体系的持续改进，为用户提供更加安全、可信的隐私保护体睑。”

(3)隐私方针应：

(a)作为成文信息；

——隐私方针应以书面形式,明确记录，并形成可获取的成叉信息。组织可根据自身情况选择合适的形

式，如单独的隐私方针文档或整合在组织整体方针中；

一一若组织已有标准的方针模板，隐私方针宜采用该模板，以确保方针的一致性和规范性；

一一无论采取何种形式，都应确保隐私方针的完整性和清晰性，便于组织内部人员查阅利理解。

(b)成文信息的可获取性；

——隐私方针的成文信息应存储在组织的内部文件管理系统或易于访问的位置，如组织官网的隐私政

策页面、员工手册等；

——组织应确保所有员工和相关方能够方便地获取到隐私方针的成文信息，可以通过内部培训、会议、

电子邮件等方式进行传达和分发；

一一隐私方针的更新或修订应及时通知到所有相关人员，弃确保新版本的可获取性。

(c)在组织内部进行沟通；

——隐私方针应在组织内部得到广泛而有效的沟通，确保所有相关人员（包括员工、管理层等）都能

充分理解和遵循方针的要求。

——沟通应采用适当的格式和语言，以便所有接收者能够轻松理解隐私方针的内容。这可以通过内部

培训、会议、简报、电子邮件等多种方式实现，如：

•内部培训：组织应定期举办隐私保护培训活动，将隘私方针作为培训的重要内容之一，确保所有

员工都能充分理解和掌握；

.会议传达：在组织的各类会议中，如管理层会议、部门会议、员工大会等，应明确传达隐私方针

的要求和重要性；

•内部文件分发：通过内部文件系统、电子邮件或员工手册等方式，将隐私方针的成文信息分发给

全体员工，确保每人都能获取到最新版本；

•内部公告：利用组织内部的公告板、电子屏幕或内部通讯工具，发布隐私方针的摘要或关键信息，

樨高员工的关注度：

•互动交流：鼓励员工就隐私方针提出疑问和建议，通过问答、讨论会或在线论坛等形式，促进员

工与管理层之间的互动交流。

——组织应确保新员工在入职时接受隐私方针的培训，并定期对全体员工进行隐私保护的再教育和培

训，以强化方针的意识和执行。

（d）适宜时，可为相关方所获取。

——在适当的情况下，隐私方针应可供外部相关方（如顾客、供方、承包商、分包商和监管机构）获

取，以展示组织对隐私保护的承诺和透明度；

一一组织应确定需要与其沟通隐私方针的相关方，并以便二外部相关方理解的方式编写方针。如果方

针供外部使用，应避免包含保密信息；

——通过以下方式，组织可以向外部相关方传达隐私方针的内容，增强其对组织隐私保护措施的信任

和合作意愿：

•公开声明与发布：组织应在官方网站、社交媒体平分或公众可访问的渠道上，公开发布隐私方针

的摘要或全文，明确展示组织对隙私保护的承诺和原则。公开声明应定期更新，以反映隐私方针的任何修

订或更新情况，确保外部相关方能够获取到最新版本；

•合同条款与协议：在与顾客、供方、合作伙伴等外部相关方签订合同时，组织应将隐私方针作为

合同条款或协议的一部分，明确双方在隐私保护方面的责任和义务。通过合同条款，确保外部相关方能够

r解并遵守组织的隐私保护要求，同时保障其合法权益；

•隐私政策页面：组织应设立专•门的隐私政策页面，详细阐述隐私方针的内容、实施拮施以及用户

隐私权益的保障方式。隐私政策贝面应易于访问，且内容清晰、易懂，方便外部相关方快速了解组织的隐

私保护情况；

•客户支持与沟通渠道：组织应设立客户支持团队或沟通渠道，专门负责解答外部相关方关于隐私

方针的疑问和咨询。通过电话、电子邮件、在线聊天等方式，及时回应外部相关方的关切，增强其对组织

隐私保护的信任感；

.行业协作与共享：在参与行业协作、交流会议或共享立台时，组织可以主动分享隐私方针的实践

经验，促进与同行之间的互信与合作。通过行业协作，共同推动隐私保护标准的提升，为外部相关方提供

更全面、更可靠的隐私保护服务；

•监管机构备案与报告：对于涉及特定行业或领域的组织，可能需要根据相关法律法规要求，将隐

私方针提交给相关监管机构进行备案或报告。通过监管机构备案或报告，展示组织对院私保护的合规性和

重视程度，同时接受监管机构的监督和指导。

ISO/IEC27701.2-2024

《信息安全、网络安全和隐私保护-隐私信息管理体系-要求》---------

5.3角色、职责和权限

最高管理者应确保相关角色、职责和权限在组织内得到分配和沟通。

最高管理者应分配取责和权限，以：

a)确保隐私信息管理体系符合本标准的要求：

b)向最高管理者报告隐私信息管理体系绩效。

5.3角色、职责和权限

(1)最高管理者应确保相关角色、职责和权限在组织内得到分配和沟通。

(a)在组织内部分配并沟通相关岗位职责和权限的重要性；

一一确保组织高效运作；

•明确职责：通过分配职责，最高管理者能够确保每个岗位都能清楚地知道自己的工作范围和责任。

这有助于避免工作重叠和遗漏，提高组织的整体效率。例如，在PIMS中，数据保护官、信息安全官等关键

角色需明确其职责范围，以便各司其职，共同维护隐私信息安全；

•优化流程：明确的职责和权限分配有助于优化工作流程，确保信息在各部门之间顺畅流通。在P1MS

中，PII处理、存储、传输等关键环节都应有明确的流程和责任人，以减少不必要的延误和错误。

——提升员工满意度和绩效：增强责任感：

—-当员工清楚自己的职责时，他们会更加投入地工作，因为知道自己对组织的目标和成功负有直接

责任。在PIMS中，员工应明确自己在隐私保护方面的职责，从而增强责任感，提高工作积极性；

•提高工作动力：明确的权限分配让员工知道自己有权做出哪些决策，这有助于提升他们的工作动

力和自主性。在PIMS中，赋予员工适当的权限可以激发他们的创造力和生产力，更好地履行隐私保护职责：

•促进个人发展：通过了解自己的职货和权限，员工可以更有针对性地提升自己的技能和能力。在

PIMS中，这有助于培养一支专业的隐私保护团队，为组织的长期发展奠定坚实基础。

一一加强组织控制和风险管理：

•防止滥用权力：明确的权限分配有助于防止权力滥用，确保每个员工都在自己的职权范围内行事。

在FIMS中，这可以有效避免PII被非法收集、使用或泄露的风险；

•降低风险：通过明确职责和权限，组织可以更有效地识别和管理潜在的风险。在PIMS中，这意味

着能够及时发现并应对隐私信息安全漏洞、数据泄露等风险事件，从而降低损失和影响。

一一促进组织文化和团队协作：

•增强团队凝聚力：当每个成员都清楚自己的角色和职员时，团队更容易形成共同的愿景和目标。

在FIMS中，这有助于增强团队的凝聚力，共同致力于隐私信息的保护工作；

•促进沟通与合作：明确的职责和权限分配有助于促进不同岗位之间的沟通与合作。在P1MS中，这

意味着各部门之间能够更有效地I办同工作，共同应对隐私保护挑战。

一一符合法规和标准要求。

.满足合规要求：许多行业和组织都需要遵守特定的法规和标准，其中往往包括对员工职费和权限

的明确要求。通过分配并沟通这些职责和权限，组织可以确保自己符合相关的法规和标准要求；

•提升组织声誉：遵守法规和标准不仅有助于避免法律风险，还能提升组织的声誉和信誉。在PIMS

中，这意味着组织能够向客户、合作伙伴和社会公众展示其在隐私保护方面的专业性和责任感，从而赢得

更多的信任和支持。

(b)角色、职责和权限分配基本要求；

--致性原则：最高管理者在分配职责时，必须确保职贡定义与组织的PII管理目标、方针保持一

致。这一要求旨在确保所有隐私信息管理活动都紧密围绕组织的整体目标展开，避免职责与目标之间的脱

节；

一一文件化要求：职责分配应形成相应的职责说明文件。这些文件应详细列出各岗位的职责范围、权

限以及与其他岗位的关系，以便于组织成员理解和执行。通过叉件化，可以确保职责分配的透明度和可追

溯性：

-授权形式明确：在职责分配过程中，应明确定义授权形式，并形成相应文件。这包括但不限于对

特定岗位或人员的授权范围、授权期限以及授权撤销的条件等。明确的授权形式有助于防止权限滥用和职

责不清的问题；

——委托责任保留：已分配职责的人员，如因工作需要将相关任务委托给其他人员，其仍应负有原职

责范围内的责任。同时，委托方应确认被委托任务是否正确完成，以及涉及的PII是否保持完整和准确。

这一要求旨在确保即使在任务委托的情况下，个人隐私信息的安全性和合规性也能得到保障；

一一适时更新与改进：随着组织的管理和业务变化，以及内审意见的反馈，职责分配应适时进行补充、

改进和完善。这一要求旨在确保隐私信息管理体系能够持续适应组织的发展需求，并保持其有效性和合规

性。

(c)在组织内分配相关角色、职责和权限开展以下具体活动：

一一组织分析与岗位设计；

・最高管理者应对组织讲行全面的分析，包括'巾务流程、组织结构、人员配置等方面，以明确除私

信息管理的需求和重点；

•根据分析结果，设计或调整岗位设置，确保每个岗位都具备明确的隐私信息管理职责和权限。

----职责和权限分配；

•制定详细的岗位职责说明书，明确每个岗位在隐私信息管理体系中的具体职责和权限；

•确保职责和权限的分配与组织的战略目标、隐私政策、合规要求等保持•致：

.考虑到员工的能力、经验和专业背景，合理分配职责和权限，以确保任务的有效完成.

一一授权与监督；

•对分配了职责和权限的员工进行正式授权，并明确授权的范围和条件；

•建立监督机制，定期检查职责和权限的执行情况，确保员工按照规定的职责和权限行事。

一一形成文件化记录。

•职责和权限的分配应以书面形式记录下来，形成明确的职责说明和权限清单，以便于组织成员查

阅和执行：

•这些文件应定期更新，以反映组织结构和职责的变化。

(d)相关岗位的职责和权限分配示例；

部门/岗位职责描述权限描述

隐私保-负责整体隐私信息管理体系的-有权制定和修改隐私保护政策

隐私保护总监

护管理战略规划和实施-监督并考核各部门隐私保护工作

部门/岗位职责描述权限描述

部门.监督并评估隐私保护政策的执■协调资源，推动隐私保护项FI的实施

行效果

-与高层管理团队沟通隐私保护

相关议题

-办1助隐私保护总监进行全面统

筹实施组织内部的隐私保护工作

，对隐私保护负直接管理责任

-组织制定隐私保护工作计划并

监督落实

-对隐私保护政策和规程的制定、修订

-参与制定、修订并签发隐私保护

有建议权

政策和相关规程

一对隐私保护专员的工作有指导、评估

-监督隐私保护专员的工作执行

和监督权

情况，并进行指导和评估

隐私保护主管-有权组织跨部门隐私保护合作会议

-协调跨部门隐私保护合作，确保

-有权决定隐私保护培训和宣传活动

隐私保护政策的一致性

的内容和形式

-定期组织隐私保护培训和宣传

-有权要求相关部门配合进行隐私保

活动，提升员工隐私保护意识

护影响评估和整改工作

-开展隐私保护影响评估，提出改

进建议，督促整改隐私安全隐患

-与监督、管理部门保持沟通，通

报或报告隐私保护情况和事件处

置

-负责具体隐私保护工作的执行，-有权访问和审查涉及降私保护的数

确保数据收集、处理、存储和传据和文档

输的合规性；-对违反隐私保护政策的行为有调查

-建立、维护和更新组织所持有的权和处理建议权

隐私保护专员

PII清单，并管理授权访问策略；.有权提出隐私保护改进建议，并参与

-响应和处理隐私保护相关的投相关政策的制定和修订

诉和举报，确保及时有效处理；-有权要求相关部门配合进行安全审

-定期向隐私保护主管汇报工作计和整改工作

部门/岗位职责描述权限描述

进展，包括隐私保护措施的执行.在产品或服务上线发布前，有权要求

情况和存在的问题；相关部门提供隐私保护相关的检测报

-在产品或服务上线发布前进行出

检测，确保无未知的隐私信息收

集、使用、共享等处理行为；

-进行安全审计，检查隐私保护措

施的落实情况，提出改进建议；

-对违反隐私保护政策的行为进

行调查，并根据规定进行处理

-制定和实施信息安全策略，确保

技术层面的隐私保护-有权制定和修改信息安全政策

首席信息安全-监督信息安全工程师和系统管-监督并评估信息安全措施的有效性

官(CISO)理员的工作-协调资源，应对信息安全和隐私保护

-与隐私保护管理部门合作，确保方面的挑战

技术措施与隐私政策•一致

-负责实施数据加密、访问控制等

信息技安全措施

-有权配置和调整安全系统

术部门信息安全工程-定期进行安全漏洞扫描和风除

-对安全事件进行应急响应和处理

师评估

-提出技术层面的隐私保护改进建议

-协助隐私保护专员处理隐私保

护相关的技术