ISO29151标准中PII供应商关系的信息安全策略
发布时间:2020-12-17 作者:广汇联合 来源:广汇联合
ISO29151标准要求如果组织需要利用 PII处理服务,对PII处理者,应根据经验、可信度、符合适用法律法规、合同、其他法律协议规定的PII保护要求的能力进行评估。
作为PII控制者的组织应与任何作为PII处理者的供应商签订书面协议。
ISO29151标准要求协议应明确分配PII控制者和PII处理者之间的角色和责任,并应包含与PII保护相关的适当条款 ,以便PII处理者对所执行的处理负责。
PII控制者协议至少应提供:
a)根据协议进行处理的规模,性质和目的的适当声明;
b)赋予PII主体访问和审查其PII,处理PII主体提出的任何投诉的能力;
c)为履行法律或监管要求而采取的其他组织措施;
d)授权 PII 控制人员在PII 处理者的场所进行审计;
e)在数据泄露,未经授权的处理,其他不履行协议条款和条件的情况下,有报告的义务,包括双方的联系点的身份验证;
f)PII控制者对PII处理者的指令方法;
g)适用于终止合同的措施,特别是关于安全地删除PII或退还PII和实体介质。
PII控制者应确保其PII处理者在未事先获得PII控制者批准的情况下不进行任何进一步的分包处理(即使用子处理者。)
ISO29151标准要求PII控制者在这方面应遵守所有相关法律和法规。
ISO29151标准要求PII控制人员应确保其PII处理人员不会将PII用于合同协议中或其他法律以外的用途。
ISO29151标准要求PII控制者应确保PII处理者安全地处理PII。
如您想更详细的了解ISO29151标准,需要ISO29151标准,请您网络搜索广汇联合,快人一步,成就管理者风范。