ISO27001認(rèn)證
熱線:
Q Q:ISO/IEC27701適用于控制者和處理者的關(guān)鍵要求
發(fā)布時(shí)間:2020-06-18 作者:廣匯聯(lián)合 來(lái)源:廣匯聯(lián)合
一、適用于控制者和處理者的要求
保密性:經(jīng)授權(quán)訪問 PII 的個(gè)人必須履行保密協(xié)議。
分析風(fēng)險(xiǎn):必須進(jìn)行隱私風(fēng)險(xiǎn)評(píng)估以識(shí)別 PII 處理風(fēng)險(xiǎn)。
監(jiān)管:組織機(jī)構(gòu)必須指定負(fù)責(zé)開發(fā)、實(shí)現(xiàn)、維護(hù)和監(jiān)視其治理及隱私項(xiàng)目的個(gè)人。
培訓(xùn):可以訪問 PII 的人員需經(jīng)過(guò)隱私意識(shí)培訓(xùn)。
內(nèi)部過(guò)程:組織機(jī)構(gòu)必須為應(yīng)對(duì) PII 泄露事件而采納各種策略和規(guī)程,比如事件響應(yīng)計(jì)劃。
記錄保存:ISO 27701 要求組織機(jī)構(gòu)保留所有 PII 處理活動(dòng)的記錄,包括 PII 在司法轄區(qū)間轉(zhuǎn)移和向第三方披露等。
二、特定于控制者的要求
隱私通告:組織機(jī)構(gòu)必須提供包含 PII 收集、使用和處理相關(guān)具體信息的隱私政策。
處理者合同要求:組織機(jī)構(gòu)必須與其處理者簽訂書面合同,約定具體事項(xiàng),比如保護(hù) PII、限制處理操作僅可在 PII 特定用途范圍內(nèi),以及提供 PII 泄露通報(bào)。
個(gè)人權(quán)益:ISO 27701 要求組織機(jī)構(gòu)實(shí)現(xiàn)各種機(jī)制,賦予個(gè)人訪問、修改和刪除其 PII,以及反對(duì)或限制 PII 處理等權(quán)益。
設(shè)計(jì)隱私與默認(rèn)隱私:組織機(jī)構(gòu)必須采取措施實(shí)現(xiàn)設(shè)計(jì)隱私和默認(rèn)隱私原則。
三、特定于處理者的要求
處理限制:組織機(jī)構(gòu)必須僅按控制者或處理者(取決于客戶的角色)的說(shuō)明處理 PII。
輔助個(gè)人權(quán)益:ISO 27701 要求處理者實(shí)現(xiàn)幫助客戶遵從個(gè)人權(quán)益的種種措施。
轉(zhuǎn)移與披露:處理者必須于 PII 在司法轄區(qū)間轉(zhuǎn)移或任何預(yù)期變化發(fā)生前通告客戶。
分包商:ISO 27701 要求處理者僅可雇傭一家分包商按照客戶合同的條款處理 PII。
