policy ISO 27701 PIMS Policy Pack

Mākoņpakalpojumu personas datu apstrādātāja politika

ISO 27701 saskaņota mākoņpakalpojumu personas datu apstrādātāja politika, kas aptver klienta norādījumus, apakšapstrādātājus, piekļuvi, datu nosūtīšanu, dzēšanu, atbalstu pārkāpumu gadījumā un pierādījumus.

Pārskats

Mākoņpakalpojumu personas datu apstrādātāja politika nosaka, kā jākontrolē personas datu apstrāde mākoņvidē, kad organizācija darbojas kā apstrādātājs vai apakšapstrādātājs. Tā aptver klienta norādījumus, kopīgo atbildību, nomnieku izolāciju, apakšapstrādātājus, datu nosūtīšanu, dzēšanu, atbalstu pārkāpumu gadījumā, auditus un pierādījumus REG02, REG03, REG08, REG09, REG10 un REG12 ietvaros.

Mākoņpakalpojumu apstrādātāja kontrole

Nosaka obligātās privātuma prasības SaaS, PaaS, IaaS, mitinātas, pārvaldītas mākoņvides, glabāšanas, analītikas un infrastruktūras personas datu apstrādei.

Apstrāde saskaņā ar norādījumiem

Prasa reģistrēt, pārskatīt un ievērot klienta vai augšupējā apstrādātāja norādījumus, pirms tiek sākta personas datu apstrāde mākoņvidē.

Apakšapstrādātāju pārvaldība

Aptver mākoņpakalpojumu apakšapstrādātāju autorizāciju, tālāk nododamos pienākumus, atrašanās vietas, paziņojumus par izmaiņām, uzraudzību un izstāšanās pierādījumus.

Gatavība izstāšanās pierādījumiem

Prasa atdošanas, nosūtīšanas, dzēšanas, likvidēšanas un apakšapstrādātāja izstāšanās pierādījumus aktīvajām sistēmām, rezerves kopijām, žurnāliem un atbalsta kopijām.

Lasīt pilnu pārskatu (click to expand)
Mākoņpakalpojumu personas datu apstrādātāja politika nosaka obligātās privātuma prasības mākoņpakalpojumiem, kuros organizācija darbojas kā personas datu apstrādātājs vai apakšapstrādātājs. Tās piemērošanas joma ietver SaaS, PaaS, IaaS, mitinātas lietojumprogrammas, pārvaldītu mākoņvidi, mākoņatbalstu, mākoņkrātuvi, mākoņanalītiku un mākoņinfrastruktūras pakalpojumus, kas apstrādā personas datus klientu vārdā. Politika ir izstrādāta, lai mākoņvides apstrādi uzturētu saskaņā ar dokumentētām klientu vienošanām, klienta norādījumiem, augšupējā apstrādātāja norādījumiem, apakšapstrādātāju kārtību, mākoņreģiona konfigurāciju, mākoņatbalsta piekļuvi, pakalpojumu administrēšanu, rezerves kopijām, replikāciju, žurnālfiksēšanu, uzraudzību, dzēšanu, atdošanu, atbalstu pārkāpumu gadījumā, audita atbalstu un klienta palīdzības pienākumiem. Politikas centrālais mērķis ir uz pierādījumiem balstīta kontrole. Pirms klienta ievadīšanas vai būtiskas pakalpojuma izmaiņas Privātuma vadītājam / PIMS vadītājam REG02 un REG08 jāreģistrē katrs mākoņvides personas datu apstrādes pakalpojums, apstrādes loma, klienta norādījuma avots, personas datu kategorijas, datu subjektu kategorijas, pakalpojuma nolūks, apstrādes vieta, apakšapstrādātāja atkarība, dzēšanas atkarība un datu nosūtīšanas pazīme. Politika arī prasa REG03 reģistrēt mākoņpakalpojumu apstrādātāja kontroles pasākumu piemērojamību, REG09 attiecīgajos gadījumos fiksēt datu nosūtīšanas un atrašanās vietas maršrutēšanu, REG10 pārvaldīt mākoņvides personas datu incidentus, bet REG12 apstrādāt uzraudzību, izņēmumus, strīdus, validācijas rezultātus un korektīvās darbības. Tas nodrošina mākoņpakalpojumu apstrādātāja pienākumu integrāciju esošajā PIMS politiku kopā un novērš atsevišķu reģistru veidošanu līgumiem, pakalpojumiem, nomnieku izolācijai, piekļuvei, žurnāliem, dzēšanai, atbalstam, auditiem, pārkāpumiem vai apakšapstrādātājiem. Politika nosaka praktiskas prasības visā mākoņpakalpojuma dzīves ciklā. Tā prasa dokumentētus klienta vai augšupējā apstrādātāja norādījumus pirms apstrādes sākšanas, pārskatīt norādījumus, kas šķiet neatbilstoši pienākumiem vai apstiprinātajai pakalpojuma jomai, un saņemt apstiprinājumu, pirms jebkādi klienta personas dati tiek apstrādāti ārpus dokumentētajiem norādījumiem. Tā arī regulē mākoņvides konfigurācijas un drošības pierādījumus, prasot kopīgās atbildības robežas, nomnieku izolācijas validāciju, kontrolētu administratīvo piekļuvi, privileģētās piekļuves un žurnālfiksēšanas pārklājuma ceturkšņa pārskatīšanu, vides nošķiršanu, kā arī reģistrētas rezerves kopiju, replikācijas, žurnālu glabāšanas un atbalsta piekļuves atrašanās vietas. Šīs prasības ir apzināti sasaistītas ar esošajiem personas datu drošības kontroles pasākumiem, nevis aizstāj plašāko Personas datu drošības un piekļuves kontroles politiku. Apakšapstrādātāju un mākoņpakalpojumu piegādes ķēdes pārvaldība tiek uzskatīta par apstrādātāja pamatpienākumu. Piegādātāja / iepirkuma īpašniekam pirms izmantošanas jāreģistrē mākoņpakalpojumu apakšapstrādātāji, infrastruktūras pakalpojumu sniedzēji, mitināšanas pakalpojumu sniedzēji, pārvaldīto pakalpojumu sniedzēji, atbalsta pakalpojumu sniedzēji un citas būtiskas mākoņpakalpojumu atkarības. Politika prasa pierādījumus par klienta autorizāciju vai dokumentētu autorizācijas pamatu, tālāk nododamos pienākumus privātuma, drošības, palīdzības, incidentu, atdošanas, dzēšanas, audita atbalsta un datu nosūtīšanas jomā, kā arī ierakstus par pakalpojumu atrašanās vietām, attālinātā atbalsta vietām, mitināšanas reģioniem un turpmākas nosūtīšanas maršrutēšanu. Tā arī prasa klientu informēt par plānotām mākoņpakalpojumu apakšapstrādātāju izmaiņām līgumā noteiktajā paziņošanas periodā un vismaz reizi gadā pārskatīt aktīvos mākoņpakalpojumu apakšapstrādātāju un mākoņpakalpojumu atkarību ierakstus. Politika aptver arī klienta palīdzību, audita atbalstu, pārkāpumu saskarni, dzēšanu un izstāšanos. Klienta palīdzības pienākumi attiecībā uz datu subjekta tiesību īstenošanas pieprasījumiem, dzēšanu, labošanu, ierobežošanu, piekļuvi, auditu, DPIA atbalstu un atbalstu pārkāpumu gadījumā jāreģistrē pirms līguma noslēgšanas vai pakalpojuma aktivizēšanas. Klienta pieprasītais tiesību īstenošanas atbalsts jāpabeidz ar klientu saskaņotajā termiņā, privātumam nozīmīgi DPIA vai izvērtēšanas palīdzības pieprasījumi jāpārskata desmit darba dienu laikā, un nokavēti vai apstrīdēti palīdzības pieprasījumi jāizseko. Izstāšanās gadījumā politika prasa pierādījumus par eksportēšanas, atdošanas, nosūtīšanas vai dzēšanas spēju pirms ievadīšanas vai būtiskas pakalpojuma izmaiņas, izpildi ar klientu saskaņotajos termiņos, aktīvo sistēmu, rezerves kopiju, repliku, žurnālu, pagaidu datņu, sagatavošanas vides un atbalsta kopiju iekļaušanu, kā arī neatbilstību apstrādi, ja pienākumus nevar izpildīt laikus. Pārvaldību pastiprina ceturkšņa pierādījumu pilnīguma pārskatīšana, ikgadēja politikas un apakšapstrādātāju pārskatīšana, audita izlase, metrika, politikas piemērošanas darbības un Augstākās vadības apstiprinājums būtiskiem izņēmumiem un grozījumiem.

Politikas diagramma

Procesa plūsmas diagramma, kas attēlo mākoņpakalpojumu personas datu apstrādātāja pārvaldību no ievadīšanas un klienta norādījumu fiksēšanas līdz kopīgās atbildības un nomnieku izolācijas validācijai, apakšapstrādātāja autorizācijai, datu nosūtīšanas maršrutēšanai, klienta palīdzībai, incidentu saskarnei, dzēšanai vai atdošanai izstāšanās brīdī un ceturkšņa uzraudzībai, izņēmumus un korektīvās darbības reģistrējot PIMS reģistros.

Noklikšķiniet uz diagrammas, lai skatītu pilnā izmērā

Saturs

Mākoņvides personas datu apstrādes joma un klienta norādījumu ieraksti

Kopīgās atbildības, nomnieku izolācijas, piekļuves un žurnālfiksēšanas pierādījumi

Apakšapstrādātāju un mākoņpakalpojumu piegādes ķēdes pārvaldība

Atrašanās vietu, attālinātas piekļuves un starptautiskas datu nosūtīšanas maršrutēšana

Atdošanas, nosūtīšanas, dzēšanas, likvidēšanas un izstāšanās pierādījumi

Uzraudzība, izņēmumi, politikas piemērošana un korektīvā darbība

Atbilstība ietvaram

🛡️ Atbalstītie standarti un ietvari

Šis produkts ir saskaņots ar šādiem atbilstības ietvariem ar detalizētu klauzulu un kontroles kartēšanu.

Ietvars Aplūkotās klauzulas / Kontroles
ISO/IEC 27701:2025
Clause 4.1Clause 6.1.3Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.2.2.2Annex A.2.2.3Annex A.2.2.5Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.4.2Annex A.2.4.3Annex A.2.4.4Annex A.2.5.2Annex A.2.5.3Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.2.5.7Annex A.2.5.8Annex A.2.5.9Annex A.3.8Annex A.3.9Annex A.3.14Annex A.3.24Annex A.3.25
EU GDPR
Article 28Article 30Article 32Article 33Article 44
ISO/IEC 29100:2020
Clause 5.3Clause 5.5Clause 5.6Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29151:2022
Clause 15.1.2Clause 15.2.2Clause 15.2.3Annex A.7Annex A.7.2
ISO/IEC 27001:2022
Clause 6.1.3Clause 8.1Annex A controls 5.19Annex A controls 5.20Annex A controls 5.21Annex A controls 5.22Annex A controls 5.23
ISO/IEC 27002:2022
Control 5.19Control 5.20Control 5.21Control 5.22Control 5.23Control 8.10Control 8.15Control 8.16
ISO/IEC 27018:2020
Annex A.2.1Annex A.3.1Annex A.6.1Annex A.6.2Annex A.8.1Annex A.10.1Annex A.10.3Annex A.11.11Annex A.11.12Annex A.12.1
ISO/IEC 27036-2:2022
Clause 6.1.1Clause 6.1.2Clause 7.1Clause 7.2Clause 7.3Clause 7.4Clause 7.5
ISO/IEC 27555:2025
Clause 5.1Clause 5.2Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.8Clause 9.1Clause 9.2Clause 9.3Clause 9.4Clause 9.5Clause 9.6Clause 9.7

Saistītās politikas

Apstrādātāju, apakšapstrādātāju un trešo pušu privātuma pārvaldības politika

Tieši atbalsta mākoņpakalpojumu apakšapstrādātāju un trešo pušu dzīves cikla pārvaldību, kas nepieciešama šajā politikā.

Starptautiskas datu nosūtīšanas politika

Atbalsta atrašanās vietas, attālinātas piekļuves un turpmākas nosūtīšanas maršrutēšanas prasības klienta personas datiem mākoņvidē.

Drošības un piekļuves kontroles politika

Nodrošina plašāku personas datu drošības un piekļuves kontroles arhitektūru, uz kuru atsaucas mākoņvides piekļuves, žurnālfiksēšanas un nomnieku izolācijas kontroles pasākumi.

Incidentu un pārkāpumu pārvaldības politika

Sasaista mākoņvides personas datu incidentu atklāšanu, klienta informēšanu un pārkāpumu atbalsta pierādījumus ar incidentu darbplūsmu.

Glabāšanas, dzēšanas un likvidēšanas politika

Atbalsta klienta personas datu un apakšapstrādātāju kopiju atdošanas, dzēšanas, likvidēšanas un izstāšanās pierādījumu prasības.

PIMS dokumentētas informācijas un pierādījumu pārvaldības politika

Atbalsta dokumentētu informāciju un kanonisku pierādījumu apstrādi, ko izmanto REG02, REG03, REG08, REG09, REG10 un REG12.

Par Clarysec politikām - Mākoņpakalpojumu personas datu apstrādātāja politika

Mākoņpakalpojumu personas datu apstrādātāja politika nosaka operatīvās privātuma prasības mākoņpakalpojumiem, kuros organizācija darbojas kā personas datu apstrādātājs vai apakšapstrādātājs. Tā savieno klienta norādījumus, mākoņvides apstrādes jomu, kopīgās atbildības pierādījumus, nomnieku izolāciju, piekļuvi, žurnālfiksēšanu, apakšapstrādātāju pārvaldību, atrašanās vietu un datu nosūtīšanas maršrutēšanu, dzēšanu, atdošanu, atbalstu pārkāpumu gadījumā, audita atbalstu un uzraudzību organizācijas PIMS pierādījumu modelī. Politika nosaka skaidrus pienākumus Augstākajai vadībai, Privātuma vadītājam / PIMS vadītājam, Datu aizsardzības speciālistam / privātuma konsultantam, Informācijas drošības vadītājam, Procesa īpašniekam / uzņēmuma īpašniekam, Sistēmas īpašniekam / Lietotnes īpašniekam, Piegādātāja / iepirkuma īpašniekam, Incidentu reaģēšanas koordinatoram un Iekšējā audita / atbilstības pārskatītājam. Tā balstās uz REG02, REG03, REG08, REG09, REG10 un REG12, lai uzturētu auditam gatavus ierakstus un atbalstītu ISO/IEC 27701:2025 PIMS sertifikācijas gatavību mākoņpakalpojumu apstrādātājiem un mākoņpakalpojumu apakšapstrādātājiem.

Uz pierādījumiem balstīta apstrāde

Sasaista mākoņpakalpojumu apstrādātāja pienākumus ar REG02, REG03, REG08, REG09, REG10 un REG12 auditam gataviem ierakstiem.

Klienta norādījumu kontrole

Prasa dokumentētus klienta vai augšupējā apstrādātāja norādījumus pirms personas datu apstrādes sākšanas mākoņvidē.

Mākoņpakalpojumu piegādes ķēdes pārredzamība

Reģistrē apakšapstrādātājus, mākoņpakalpojumu atkarības, autorizācijas pamatu, tālāk nododamos pienākumus, atrašanās vietas un pārskatīšanas pierādījumus.

Kontrolēta izstāšanās apstrāde

Aptver atdošanas, nosūtīšanas, dzēšanas un likvidēšanas pierādījumus aktīvajām sistēmām, rezerves kopijām, žurnāliem un atbalsta kopijām.

Biežāk uzdotie jautājumi

Izstrādāts līderiem, līderu veidots

Šo politiku ir izstrādājis drošības līderis ar vairāk nekā 25 gadu pieredzi ISMS ietvaru ieviešanā un auditēšanā globālos uzņēmumos. Tā ir paredzēta ne tikai kā dokuments, bet kā aizstāvams ietvars, kas iztur auditoru pārbaudi.

Izstrādājis eksperts ar šādām kvalifikācijām:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pārklājums un tēmas

🏢 Mērķa departamenti

Privātums juridiskās lietas atbilstība IT drošība iepirkums

🏷️ Tematiskais pārklājums

Privātuma informācijas pārvaldība personas datu apstrāde pārziņa un apstrādātāja pienākumi trešo pušu pārvaldība starptautiska datu nosūtīšana datu glabāšana un likvidēšana pārkāpumu pārvaldība
€59

Vienreizējs pirkums

Tūlītēja lejupielāde
Mūža atjauninājumi

Šī politika ir 1 no 25 pilnajā ISO/IEC 27701 PIMS komplektā

Ietaupiet 52%

Saņemiet visas 25 PIMS politikas, pilnu reģistru komplektu un detalizētu ieviešanas plānu par €799, nevis €1 675, iegādājoties atsevišķi.

Skatīt pilno 27701 komplektu →
Cloud PII Processor Policy

Produkta informācija

Veids: policy
Kategorija: ISO 27701 PIMS Policy Pack
Standarti: 9