policy ISO 27701 PIMS Policy Pack

Rahvusvahelise isikut tuvastava teabe edastamise poliitika

Juhtige rahvusvahelisi isikut tuvastava teabe edastusi REG09 tõendusmaterjali, edastusmehhanismide, riskide läbivaatamise, edasiste edastuste kontrollimeetmete, peatamise ja auditiks sobivate kirjetega.

Ülevaade

See poliitika reguleerib rahvusvahelisi isikut tuvastava teabe edastusi REG09 tõendusmaterjali, heakskiidetud edastusmehhanismide, riskide läbivaatamise, volitatud töötleja ja alltöötleja loa, edasiste edastuste kontrollimeetmete, peatamise reeglite, erandite ja auditiks sobivate parandusmeetmete kirjete kaudu.

Edastuse tõendusmaterjal enne kasutamist

Nõuab REG09 edastuskirjeid, mehhanisme ja toetavat tõendusmaterjali enne uute või oluliselt muudetud rahvusvaheliste isikut tuvastava teabe edastuste alustamist.

Riskipõhine edastuskontroll

Määratleb läbivaatamise, kaitsemeetmete, jääkriski ja heakskiidu etapid kõrgema riskiga või oluliselt muudetud rahvusvaheliste isikut tuvastava teabe edastuste jaoks.

Volitatud töötlejate ja edasiste edastuste juhtimine

Kontrollib volitatud töötleja, alltöötleja, kliendi loa, edasiantavate tingimuste ja edasise edastuse tõendusmaterjali käsitlemist REG08 ja REG09 kaudu.

Loe täielikku ülevaadet (click to expand)
Rahvusvahelise isikut tuvastava teabe edastamise poliitika kehtestab nõuded isikut tuvastava teabe rahvusvaheliste edastuste tuvastamiseks, heakskiitmiseks, registreerimiseks, läbivaatamiseks, piiramiseks ja peatamiseks. Seda kohaldatakse vastutava töötleja, kaasvastutava töötleja, volitatud töötleja ja alltöötleja tegevustele, kus isikut tuvastav teave tehakse kättesaadavaks, sellele pääsetakse juurde, seda säilitatakse, majutatakse, avalikustatakse või muul viisil edastatakse väljapoole REG02-s või REG09-s registreeritud heakskiidetud töötlemispiiri. Kohaldamisala hõlmab sisemisi sidusettevõtteid, väliseid vastuvõtjaid, volitatud töötlejaid, alltöötlejaid, teenuseosutajaid, tugijuurdepääsu, majutuskohti, kaughaldust, edasisi edastusi, avaliku asutuse avalikustamistaotlusi ja edastusega seotud teenusemuudatusi. Poliitika keskne tunnus on tõendusmaterjalil põhinev lähenemine. Poliitika sätestab, et rahvusvahelised edastused tuleb tuvastada enne töötlemise algust või muutmist ning heakskiidetud edastuskirjeid tuleb hoida REG09-s. REG09 on peamine edastuse tõendusmaterjaliobjekt, samas kui REG02, REG08 ja REG12 annavad toetavat tõendusmaterjali töötlemistoimingute, tarnija- ja volitatud töötleja suhete, erandite, mittevastavuste, parandusmeetmete ja juhtkonna läbivaatamise kohta. Nõutavad REG09 väljad hõlmavad edastuse sihtkohta, vastuvõtjat, PIMS-i rolli, edastusmehhanismi, toetavat tõendusmaterjali, läbivaatamise kuupäeva ja omanikku. Selle struktuuri eesmärk on aidata organisatsioonil tõendada vastutuspõhist edastusjuhtimist ilma eraldi dubleerivaid edastuse mõjuhindamise või standardsete lepingutingimuste (SCC) registreid loomata. Poliitika määratleb kontrollimeetmed edastusmehhanismi valikuks, heakskiitmiseks ja riskide läbivaatamiseks. Vastutava töötleja edastuste puhul registreerib andmekaitsevaldkonna juht / PIMS-i juht heakskiidetud edastusmehhanismi ja toetava tõendusmaterjali REG09-s enne edastuse algust. Andmekaitseametnik / andmekaitsenõustaja vaatab edastusmehhanismi tõendusmaterjali läbi enne uute, oluliselt muudetud või kõrgema riskiga rahvusvaheliste isikut tuvastava teabe edastuste heakskiitmist ning teeb edastusriskide läbivaatamise, kui selleks tekib alus. Kui tuginetakse tehnilistele kaitsemeetmetele, registreerib infoturbejuht tehnilise kaitsemeetme sõltuvuse staatuse REG09-s või REG12-s. Kui edastuse jääkrisk on kõrge, peab tippjuhtkond enne riski aktsepteerimist REG12-s heaks kiitma edastuse jätkamise. Käsitletakse ka volitatud töötlejate, alltöötlejate ja edasiste edastuste juhtimist. Tarnija-/hankeomanik peab enne volitatud töötleja rahvusvaheliste isikut tuvastava teabe edastuste algatamist hankima dokumenteeritud kliendi loa või kliendi juhise REG08-s ja REG09-s, registreerima alltöötleja loa ja edasiantavad edastustingimused ning takistama volitatud töötleja või alltöötleja edasist edastust, kuni kliendi luba on registreeritud. Poliitika nõuab ka, et edasiste edastuste marsruudid, vastuvõtjate kategooriad, piirangud ja kohustused registreeritakse enne heakskiitu. Välisriigi avaliku asutuse avalikustamistaotlused tuleb enne avalikustamist registreerida REG09-s või REG12-s, kui see on teostatav, või ühe tööpäeva jooksul, kui eelnev registreerimine ei ole teostatav; privaatsuse seisukohast olulised taotlused peavad võimaluse korral läbima andmekaitsenõustaja läbivaatamise. Pidev juhtimine toimub määratletud läbivaatamise, mõõtmise, erandite ja rakendamise nõuete kaudu. Aktiivsed edastuskirjed vaadatakse läbi vähemalt kord aastas ja 30 päeva jooksul pärast olulist edastusmuudatust, samas kui andmekaitsevaldkonna juht / PIMS-i juht vaatab tähtaja ületanud edastuste läbivaatamised, puudulikud kirjed, peatatud edastused ja avatud edastuserandid läbi vähemalt kord kvartalis. Mõõdikud hõlmavad aktiivsete REG09 kirjete osakaalu, millel on täielik edastusmehhanismi tõendusmaterjal, tähtaja ületanud edastuste läbivaatamisi, peatatud või edasi lükatud edastusi, tähtaja ületanud volitatud töötleja või kolmanda osapoole tõendusmaterjali ning vastendamata REG02 töötlemistoiminguid, millel on võimaliku rahvusvahelise edastuse indikaatorid. Erandid tuleb enne aktiivseks muutumist registreerida REG12-s, määrata neile omanik, aegumiskuupäev, kompenseeriv kontrollimeede ja läbivaatamise sagedus ning vaadata need kuni sulgemiseni läbi vähemalt kord kuus. Mittevastavused tuleb registreerida, kui tuvastatakse registreerimata edastused, toetamata mehhanismid, puuduv luba, tähtaja ületanud läbivaatamised, puuduv edasise edastuse tõendusmaterjal või loata jätkamine.

Poliitika diagramm

Protsessi vooskeem, mis näitab rahvusvaheliste isikut tuvastava teabe edastuste juhtimist: edastuse tuvastamine REG02-s või REG08-s, REG09 loomine või ajakohastamine, edastusmehhanismi ja tõendusmaterjali registreerimine, riski ja kaitsemeetmete läbivaatamine, edastuse heakskiitmine või blokeerimine, edasiste edastuste ja avaliku asutuse avalikustamiste haldamine, kirjete läbivaatamine, edastuste peatamine või puuduste kõrvaldamine ning erandite või parandusmeetmete registreerimine REG12-s.

Klõpsake diagrammil, et vaadata seda täissuuruses

Sisu

Rahvusvahelise edastuse kohaldamisala ja olulise muudatuse kriteeriumid

REG09 edastuskirjed ja toetav tõendusmaterjal

Edastusmehhanismi valiku ja heakskiitmise nõuded

Edastusriskide läbivaatamine, kaitsemeetmed ja jääkriski käsitlemine

Edasised edastused ja välisriigi avaliku asutuse avalikustamised

Edastuste läbivaatamine, peatamine, erandid ja rakendamine

Raamistiku vastavus

🛡️ Toetatud standardid ja raamistikud

See toode on kooskõlas järgmiste vastavusraamistikkudega, üksikasjalike klauslite ja kontrolli kaardistustega.

Raamistik Kaetud klauslid / Kontrollid
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.8Annex A.1.2.9Annex A.1.5.2Annex A.1.5.3Annex A.1.5.4Annex A.1.5.5Annex A.2.2.2Annex A.2.2.3Annex A.2.2.7Annex A.2.5.2Annex A.2.5.3Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6
EU GDPR
Article 5(2)Article 24Article 26Article 28Article 30Article 44Article 45Article 46Article 47Article 48Article 49
ISO/IEC 29100:2020
Clause 5.6Clause 5.10Clause 5.12
ISO/IEC 29151:2022
Annex A.7

Seotud poliitikad

Töötlemise registri ja õigusliku aluse poliitika

Edastuste juhtimine sõltub täpsetest töötlemiskirjetest, heakskiidetud piiridest ja õigusliku aluse teabest töötlemise registris.

Privaatsusriskide hindamise ja DPIA poliitika

Edastusriskide läbivaatamine ja kõrgema riskiga edastuste otsused on kooskõlas privaatsusriskide hindamise ja DPIA juhtimisega.

Kogumise, kasutamise, avalikustamise ja jagamise poliitika

Rahvusvahelised edastused on tihedalt seotud isikut tuvastava teabe vastuvõtjate ja marsruutide avalikustamise ning jagamise kontrollimeetmetega.

Volitatud töötlejate, alltöötlejate ja kolmandate osapoolte privaatsushalduse poliitika

Volitatud töötleja, alltöötleja, kolmanda osapoole luba ja edasiantav tõendusmaterjal on edastuse heakskiitmise põhinõuded.

Turbe ja juurdepääsukontrolli poliitika

Edastuste heakskiidud võivad tugineda tehnilistele kaitsemeetmetele ja juurdepääsukontrollidele, mis tuleb enne heakskiitu kinnitada.

PIMS-i dokumenteeritud teabe ja tõendusmaterjali halduse poliitika

Poliitika tugineb edastuste vastutuse tõendamiseks dokumenteeritud tõendusmaterjaliobjektidele, nagu REG02, REG08, REG09 ja REG12.

Claryseci poliitikate kohta - Rahvusvahelise isikut tuvastava teabe edastamise poliitika

Rahvusvahelise isikut tuvastava teabe edastamise poliitika määratleb tõendusmaterjalil põhineva andmekaitse juhtimise lähenemise piiriülestele isikut tuvastava teabe edastustele. See määrab vastutuse tippjuhtkonnale, andmekaitsevaldkonna juhile / PIMS-i juhile, andmekaitseametnikule / andmekaitsenõustajale, protsessiomanikele, tarnija-/hankeomanikele, infoturbele ning siseauditi / vastavuse läbivaatamise tegijatele. Poliitika kasutab REG09-t peamise edastuse tõendusmaterjaliobjektina, mida toetavad REG02, REG08 ja REG12, et dokumenteerida edastuse sihtkohad, vastuvõtjad, PIMS-i rollid, mehhanismid, kaitsemeetmed, läbivaatamise kuupäevad, erandid, mittevastavused ja parandusmeetmed. Seda kohaldatakse vastutava töötleja, kaasvastutava töötleja, volitatud töötleja ja alltöötleja kontekstides ning see toetab edastuste heakskiitmise, edasiste edastuste, avaliku asutuse avalikustamistaotluste, peatamiste ja perioodiliste läbivaatamiste vastutuspõhist haldust.

Selge edastuspiir

Kohaldub, kui isikut tuvastavale teabele pääsetakse juurde või seda majutatakse, avalikustatakse või edastatakse väljapoole heakskiidetud REG02 või REG09 töötlemispiiri.

REG09 tõendusmudel

Nõuab enne heakskiitu edastuse sihtkohta, vastuvõtjat, rolli, mehhanismi, tõendusmaterjali, läbivaatamise kuupäeva ja omanikku.

Määratletud rollivastutus

Määrab kohustused andmekaitse, äritegevuse, hanke, turbe, auditi ja tippjuhtkonna rollidele.

Peatamine ja puuduste kõrvaldamine

Nõuab peatamist või edasilükkamist, kui mehhanismid, load, kaitsemeetmed või sihtkoha tõendusmaterjal puuduvad või on kehtetud.

Korduma kippuvad küsimused

Loodud juhtidele, juhtide poolt

Selle poliitika on koostanud turbejuht, kellel on üle 25 aasta kogemust ISMS-raamistike juurutamisel ja auditeerimisel globaalsetes organisatsioonides. See ei ole mõeldud vaid dokumendina, vaid kaitstava raamistikuna, mis peab vastu audiitori kontrollile.

Koostanud ekspert järgmiste kvalifikatsioonidega:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Katvus ja teemad

🏢 Sihtosakond

Andmekaitse Õigus Vastavus IT-turve Hange

🏷️ Temaatiline katvus

Privaatsusteabe haldus Rahvusvahelised andmeedastused Vastutava töötleja ja volitatud töötleja vastutused Kolmandate osapoolte haldus Riskijuhtimine Vastavuse juhtimine Seire ja mõõtmine
€89

Ühekordne ost

Kohene allalaadimine
Eluaegsed uuendused

See poliitika on 1 25-st täielikus ISO/IEC 27701 PIMS-paketis

Säästke 52%

Hankige kõik 25 PIMS-poliitikat, täielik registrikomplekt ja üksikasjalik rakenduskava hinnaga €799 üksikult ostetava €1 675 asemel.

Vaata täielikku 27701 paketti →
International PII Transfer Policy

Toote üksikasjad

Tüüp: policy
Kategooria: ISO 27701 PIMS Policy Pack
Standardid: 4