policy ISO 27701 PIMS Policy Pack

Pilvepõhise isikut tuvastava teabe volitatud töötleja poliitika

ISO 27701-ga kooskõlas pilvepõhise isikut tuvastava teabe volitatud töötleja poliitika, mis käsitleb kliendi juhiseid, alltöötlejaid, juurdepääsu, edastusi, kustutamist, rikkumise tuge ja tõendusmaterjali.

Ülevaade

Pilvepõhise isikut tuvastava teabe volitatud töötleja poliitika määratleb, kuidas tuleb pilvekeskkonnas isikut tuvastava teabe töötlemist ohjata, kui organisatsioon tegutseb volitatud töötleja või alltöötlejana. See käsitleb kliendi juhiseid, jagatud vastutust, rentnike isoleerimist, alltöötlejaid, edastusi, kustutamist, rikkumise tuge, auditeid ja tõendusmaterjali registrites REG02, REG03, REG08, REG09, REG10 ja REG12.

Pilve volitatud töötleja kontroll

Määratleb kohustuslikud privaatsusnõuded SaaS-i, PaaS-i, IaaS-i, majutatud, hallatud pilve, salvestuse, analüütika ja taristu isikut tuvastava teabe töötlemisele.

Juhistepõhine töötlemine

Nõuab kliendi või ülesvoolu volitatud töötleja juhiste registreerimist, läbivaatamist ja järgimist enne isikut tuvastava teabe pilvekeskkonnas töötlemise alustamist.

Alltöötlejate juhtimine

Käsitleb pilve alltöötlejate autoriseerimist, edasiantavaid kohustusi, asukohti, muudatusteadete esitamist, seiret ja lõpetamise tõendusmaterjali.

Lõpetamise tõendusmaterjal valmis

Nõuab tagastamise, edastamise, kustutamise, kõrvaldamise ja alltöötleja lõpetamise tõendusmaterjali aktiivkasutuses olevate süsteemide, varukoopiate, logide ja tugikoopiate kohta.

Loe täielikku ülevaadet (click to expand)
Pilvepõhise isikut tuvastava teabe volitatud töötleja poliitika määratleb kohustuslikud privaatsusnõuded pilveteenustele, mille puhul organisatsioon tegutseb isikut tuvastava teabe volitatud töötleja või alltöötlejana. Selle kohaldamisala hõlmab SaaS-i, PaaS-i, IaaS-i, majutatud rakendusi, hallatud pilve, pilvetuge, pilvesalvestust, pilveanalüütikat ja pilvetaristu teenuseid, mis töötlevad isikut tuvastavat teavet klientide nimel. Poliitika eesmärk on hoida pilvetöötlus kooskõlas dokumenteeritud kliendilepingute, kliendi juhiste, ülesvoolu volitatud töötleja juhiste, alltöötlejate kokkulepete, pilveregiooni konfiguratsiooni, pilvetoe juurdepääsu, teenuse halduse, varundamise, replikatsiooni, logimise, seire, kustutamise, tagastamise, rikkumise toe, audititoe ja kliendi abistamise kohustustega. Poliitika keskne eesmärk on tõendusmaterjalil põhinev ohje. Enne kliendi sisseelamist või olulist teenusemuudatust peab andmekaitsejuht / PIMS-i juht registreerima REG02-s ja REG08-s iga pilvekeskkonnas isikut tuvastava teabe töötlemise teenuse, töötlemisrolli, kliendi juhise allika, isikut tuvastava teabe kategooriad, isikuandmesubjekti kategooriad, teenuse eesmärgi, töötlemise asukoha, alltöötleja sõltuvuse, kustutamissõltuvuse ja edastamise tunnuse. Poliitika nõuab ka pilve volitatud töötleja kontrollimeetme kohaldatavuse registreerimist REG03-s, edastamise ja asukoha marsruutimise kajastamist REG09-s, kui see on asjakohane, pilvekeskkonnas isikut tuvastava teabega seotud intsidentide haldamist REG10 kaudu ning seire, erandite, vaidluste, valideerimistulemuste ja parandusmeetmete käsitlemist REG12 kaudu. See hoiab pilve volitatud töötleja kohustused integreerituna olemasoleva PIMS-i poliitikakomplektiga ning väldib eraldi registrite loomist lepingute, teenuste, rentnike isoleerimise, juurdepääsu, logide, kustutamise, toe, auditite, rikkumiste või alltöötlejate jaoks. Poliitika kehtestab praktilised nõuded kogu pilveteenuse elutsüklis. See nõuab dokumenteeritud kliendi või ülesvoolu volitatud töötleja juhiseid enne töötlemise alustamist, selliste juhiste läbivaatamist, mis näivad olevat vastuolus kohustuste või heakskiidetud teenuse kohaldamisalaga, ning heakskiitu enne mis tahes kliendi isikut tuvastava teabe töötlemist väljaspool dokumenteeritud juhiseid. Samuti käsitleb see pilvekonfiguratsiooni ja turbe tõendusmaterjali, nõudes jagatud vastutuse piiride, rentnike isoleerimise valideerimise, kontrollitud haldusjuurdepääsu, privilegeeritud juurdepääsu ja logimise katvuse kvartaalset läbivaatamist, keskkondade eraldamist ning varundamise, replikatsiooni, logide salvestamise ja tugijuurdepääsu asukohtade registreerimist. Need nõuded on teadlikult seotud olemasolevate isikut tuvastava teabe turbekontrollidega, mitte ei asenda laiemat isikut tuvastava teabe turbe ja juurdepääsukontrolli poliitikat. Alltöötlejate ja pilve tarneahela juhtimist käsitletakse volitatud töötleja põhikohustustena. Tarnija / hanke omanik peab enne kasutamist registreerima pilve alltöötlejad, taristuteenuse osutajad, majutusteenuse osutajad, hallatud teenusepakkujad, tugiteenuse osutajad ja muud olulised pilveteenuse sõltuvused. Poliitika nõuab tõendusmaterjali kliendi loa või dokumenteeritud loa aluse kohta, edasiantavaid kohustusi privaatsuse, turbe, abistamise, intsidentide, tagastamise, kustutamise, audititoe ja edastuste osas ning teenuse asukohtade, kaugtoe asukohtade, majutusregioonide ja edasise edastamise marsruutimise kirjeid. Samuti nõuab see klientide teavitamist kavandatud pilve alltöötleja muudatustest lepingus nõutud teatamisperioodi jooksul ning aktiivsete pilve alltöötlejate ja pilvesõltuvuste kirjete läbivaatamist vähemalt kord aastas. Poliitika käsitleb ka kliendi abistamist, auditituge, rikkumise liidest, kustutamist ja lõpetamist. Kliendi abistamise kohustused andmesubjekti õiguste taotluste, kustutamise, parandamise, piiramise, juurdepääsu, auditi, DPIA toe ja rikkumise toe kohta tuleb registreerida enne lepingu sõlmimist või teenuse aktiveerimist. Kliendi taotletud õiguste tugi tuleb lõpetada kliendiga kokku lepitud tähtaja jooksul, privaatsuse seisukohast olulised DPIA või hindamise abitaotlused tuleb läbi vaadata kümne tööpäeva jooksul ning tähtaja ületanud või vaidlustatud abitaotlusi tuleb jälgida. Lõpetamise puhul nõuab poliitika ekspordi-, tagastamis-, edastamis- või kustutamisvõimekuse tõendusmaterjali enne sisseelamist või olulist teenusemuudatust, täitmist kliendiga kokku lepitud tähtaegade jooksul, aktiivkasutuses olevate süsteemide, varukoopiate, koopiate, logide, ajutiste failide, vahekeskkondade ja tugikoopiate kaasamist ning mittevastavuse käsitlemist, kui kohustusi ei saa õigeaegselt täita. Juhtimist tugevdavad tõendusmaterjali täielikkuse kvartaalne läbivaatamine, iga-aastane poliitika ja alltöötlejate läbivaatamine, auditi valimipõhine kontroll, mõõdikud, rakendamismeetmed ning tippjuhtkonna heakskiit olulistele eranditele ja muudatustele.

Poliitika diagramm

Protsessivoo diagramm, mis näitab pilvepõhise isikut tuvastava teabe volitatud töötleja juhtimist alates sisseelamisest ja kliendi juhiste kogumisest, läbi jagatud vastutuse ja rentnike isoleerimise valideerimise, alltöötleja autoriseerimise, edastamise marsruutimise, kliendi abistamise, intsidendi liidese, lõpetamisel kustutamise või tagastamise ning kvartaalsete seirete, mille käigus registreeritakse erandid ja parandusmeetmed PIMS-i registrites.

Klõpsake diagrammil, et vaadata seda täissuuruses

Sisu

Pilvekeskkonnas isikut tuvastava teabe töötlemise kohaldamisala ja kliendi juhiste kirjed

Jagatud vastutuse, rentnike isoleerimise, juurdepääsu ja logimise tõendusmaterjal

Alltöötlejate ja pilve tarneahela juhtimine

Asukoha, kaugjuurdepääsu ja rahvusvahelise edastamise marsruutimine

Tagastamise, edastamise, kustutamise, kõrvaldamise ja lõpetamise tõendusmaterjal

Seire, erandid, rakendamine ja parandusmeetmed

Raamistiku vastavus

🛡️ Toetatud standardid ja raamistikud

See toode on kooskõlas järgmiste vastavusraamistikkudega, üksikasjalike klauslite ja kontrolli kaardistustega.

Raamistik Kaetud klauslid / Kontrollid
ISO/IEC 27701:2025
Clause 4.1Clause 6.1.3Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.2.2.2Annex A.2.2.3Annex A.2.2.5Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.4.2Annex A.2.4.3Annex A.2.4.4Annex A.2.5.2Annex A.2.5.3Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.2.5.7Annex A.2.5.8Annex A.2.5.9Annex A.3.8Annex A.3.9Annex A.3.14Annex A.3.24Annex A.3.25
EU GDPR
Article 28Article 30Article 32Article 33Article 44
ISO/IEC 29100:2020
Clause 5.3Clause 5.5Clause 5.6Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29151:2022
Clause 15.1.2Clause 15.2.2Clause 15.2.3Annex A.7Annex A.7.2
ISO/IEC 27001:2022
Clause 6.1.3Clause 8.1Annex A controls 5.19Annex A controls 5.20Annex A controls 5.21Annex A controls 5.22Annex A controls 5.23
ISO/IEC 27002:2022
Control 5.19Control 5.20Control 5.21Control 5.22Control 5.23Control 8.10Control 8.15Control 8.16
ISO/IEC 27018:2020
Annex A.2.1Annex A.3.1Annex A.6.1Annex A.6.2Annex A.8.1Annex A.10.1Annex A.10.3Annex A.11.11Annex A.11.12Annex A.12.1
ISO/IEC 27036-2:2022
Clause 6.1.1Clause 6.1.2Clause 7.1Clause 7.2Clause 7.3Clause 7.4Clause 7.5
ISO/IEC 27555:2025
Clause 5.1Clause 5.2Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.8Clause 9.1Clause 9.2Clause 9.3Clause 9.4Clause 9.5Clause 9.6Clause 9.7

Seotud poliitikad

Volitatud töötleja, alltöötleja ja kolmandate osapoolte privaatsushalduse poliitika

Toetab otseselt selle poliitikaga nõutavat pilve alltöötlejate ja kolmanda osapoole elutsükli juhtimist.

Rahvusvahelise edastamise poliitika

Toetab pilvekeskkonnas kliendi isikut tuvastava teabe asukoha, kaugjuurdepääsu ja edasise edastamise marsruutimise nõudeid.

Turbe ja juurdepääsukontrolli poliitika

Annab laiema isikut tuvastava teabe turbe ja juurdepääsukontrolli arhitektuuri, millele viitavad pilve juurdepääsu, logimise ja rentnike isoleerimise kontrollimeetmed.

Intsidendi- ja rikkumishalduse poliitika

Seob pilvekeskkonnas isikut tuvastava teabega seotud intsidendi tuvastamise, kliendi teavitamise ja rikkumise toe tõendusmaterjali intsidendi töövooga.

Säilitamise, kustutamise ja kõrvaldamise poliitika

Toetab kliendi isikut tuvastava teabe ja alltöötleja koopiate tagastamise, kustutamise, kõrvaldamise ja lõpetamise tõendusmaterjali nõudeid.

PIMS-i dokumenteeritud teabe ja tõendusmaterjali halduse poliitika

Toetab dokumenteeritud teabe ja kanoonilise tõendusmaterjali käsitlemist, mida kasutatakse REG02, REG03, REG08, REG09, REG10 ja REG12 registrites.

Claryseci poliitikate kohta - Pilvepõhise isikut tuvastava teabe volitatud töötleja poliitika

Pilvepõhise isikut tuvastava teabe volitatud töötleja poliitika kehtestab operatiivsed privaatsusnõuded pilveteenustele, mille puhul organisatsioon tegutseb isikut tuvastava teabe volitatud töötleja või alltöötlejana. See seob kliendi juhised, pilvetöötluse kohaldamisala, jagatud vastutuse tõendusmaterjali, rentnike isoleerimise, juurdepääsu, logimise, alltöötlejate juhtimise, asukoha ja edastamise marsruutimise, kustutamise, tagastamise, rikkumise toe, audititoe ja seire organisatsiooni PIMS-i tõendusmaterjali mudeliga. Poliitika määrab selged vastutused tippjuhtkonnale, andmekaitsejuhile / PIMS-i juhile, andmekaitseametnikule / andmekaitsenõustajale, infoturbejuhile, protsessiomanikule / ettevõtte omanikule, süsteemiomanikule / rakenduse omanikule, tarnija / hanke omanikule, intsidentidele reageerimise koordinaatorile ning siseauditi / vastavuse läbivaatajale. See tugineb REG02, REG03, REG08, REG09, REG10 ja REG12 registritele, et säilitada auditiks valmis kirjed ning toetada pilve volitatud töötlejate ja pilve alltöötlejate ISO/IEC 27701:2025 PIMS-i sertifitseerimisvalmidust.

Tõendusmaterjalil põhinev töötlemine

Seob pilve volitatud töötleja kohustused REG02, REG03, REG08, REG09, REG10 ja REG12 registritega auditiks valmis kirjete jaoks.

Kliendi juhiste ohje

Nõuab dokumenteeritud kliendi või ülesvoolu volitatud töötleja juhiseid enne isikut tuvastava teabe pilvekeskkonnas töötlemise alustamist.

Pilve tarneahela nähtavus

Registreerib alltöötlejad, pilvesõltuvused, loa aluse, edasiantavad kohustused, asukohad ja läbivaatamise tõendusmaterjali.

Kontrollitud lõpetamise käsitlemine

Käsitleb tagastamise, edastamise, kustutamise ja kõrvaldamise tõendusmaterjali aktiivkasutuses olevate süsteemide, varukoopiate, logide ja tugikoopiate kohta.

Korduma kippuvad küsimused

Loodud juhtidele, juhtide poolt

Selle poliitika on koostanud turbejuht, kellel on üle 25 aasta kogemust ISMS-raamistike juurutamisel ja auditeerimisel globaalsetes organisatsioonides. See ei ole mõeldud vaid dokumendina, vaid kaitstava raamistikuna, mis peab vastu audiitori kontrollile.

Koostanud ekspert järgmiste kvalifikatsioonidega:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Katvus ja teemad

🏢 Sihtosakond

Andmekaitse õigus vastavus IT-turve hange

🏷️ Temaatiline katvus

Privaatsusteabe haldus isikuandmete töötlemine vastutava töötleja ja volitatud töötleja vastutused kolmandate osapoolte haldus rahvusvahelised andmeedastused andmete säilitamine ja kõrvaldamine rikkumishaldus
€59

Ühekordne ost

Kohene allalaadimine
Eluaegsed uuendused

See poliitika on 1 25-st täielikus ISO/IEC 27701 PIMS-paketis

Säästke 52%

Hankige kõik 25 PIMS-poliitikat, täielik registrikomplekt ja üksikasjalik rakenduskava hinnaga €799 üksikult ostetava €1 675 asemel.

Vaata täielikku 27701 paketti →
Cloud PII Processor Policy

Toote üksikasjad

Tüüp: policy
Kategooria: ISO 27701 PIMS Policy Pack
Standardid: 9