policy ISO 27701 PIMS Policy Pack

Apstrādātāju, apakšapstrādātāju un trešo pušu privātuma pārvaldības politika

Pārvaldiet apstrādātāju, apakšapstrādātāju un trešo pušu attiecības ar PII, izmantojot REG08 pierādījumus, sākotnējo izpēti, līgumus, uzraudzību un izstāšanās kontroles pasākumus.

Pārskats

Šī politika pārvalda apstrādātājus, apakšapstrādātājus un trešās puses, kas apstrādā PII. Tā izmanto REG08 kā primāro pierādījumu reģistru un nosaka prasības lomu klasifikācijai, sākotnējai izpētei, līgumiem, klienta norādījumiem, apakšapstrādātāju apstiprinājumiem, uzraudzībai, incidentu sasaistei, datu nosūtīšanas ierakstiem, izstāšanās pierādījumiem un korektīvajām darbībām.

Trešo pušu dzīves cikla kontrole

Nosaka, kā tiek identificēti, apstiprināti, uzraudzīti, mainīti un izbeigti apstrādātāji, apakšapstrādātāji un trešās puses, kas apstrādā PII.

Auditam gatavi REG08 pierādījumi

Izmanto REG08 kā primāro reģistru, sasaistot attiecības ar apstrādes, riska, datu nosūtīšanas, incidentu un korektīvo darbību ierakstiem.

Skaidra lomu pārskatatbildība

Piešķir pienākumus privātuma, iepirkuma, drošības funkcijām, procesu īpašniekiem, sistēmu īpašniekiem, reaģēšanai uz incidentiem un augstākajai vadībai.

Lasīt pilnu pārskatu (click to expand)
Apstrādātāju, apakšapstrādātāju un trešo pušu privātuma pārvaldības politika nosaka, kā organizācija pārvalda ārējās puses, kas privātuma informācijas pārvaldības sistēmas darbības jomā apstrādā, piekļūst, saņem, glabā, pārsūta, atbalsta vai citādi apstrādā PII. Tā piemērojama, kad organizācija darbojas kā PII pārzinis, izmantojot apstrādātājus, kā kopīgs pārzinis, kam nepieciešama lomu klasifikācija, kā apstrādātājs, kas izmanto apakšapstrādātājus vai apakšuzņēmējus, un kā apakšapstrādātājs, kas saņem klienta norādījumus. Politika aptver arī trešo pušu attiecības, kurām nepieciešama privātuma sākotnējā izpēte, līguma kontroles pasākumi, dokumentēti norādījumi, apakšapstrādātāja apstiprināšana, uzraudzība, apliecinājums, incidentu saskarne, datu nosūtīšanas sasaiste, atdošanas, dzēšanas vai izstāšanās pierādījumi. Politikas pamatelements ir paļaušanās uz REG08 — Apstrādātāju, apakšapstrādātāju un datu koplietošanas reģistru — kā primāro pierādījumu objektu apstrādātāju, apakšapstrādātāju un trešo pušu privātuma pārvaldībai. Politika prasa privātuma vadītājam / PIMS vadītājam noteikt minimālos REG08 laukus un klasificēt ar privātumu saistītas attiecības ar trešo pusi kā pārzinis, kopīgs pārzinis, apstrādātājs, apakšapstrādātājs vai citas trešās puses attiecības pirms līguma apstiprināšanas vai pirms PII apstrādes sākšanas. Tā arī prasa piegādātāju / iepirkuma īpašniekam bloķēt ievadīšanu, atjaunošanu vai paplašināšanu, līdz REG08 ir pabeigts un sasaistīts ar tādiem ierakstiem kā REG02, REG04, REG09 vai REG10, ja attiecīgie pierādījumu objekti ir ierosināti. Tas izveido dokumentētu sasaisti starp attiecību pārvaldību, apstrādes uzskaiti, riska un DPIA ierakstiem, starptautiskās datu nosūtīšanas pierādījumiem, incidentu ierakstiem un korektīvajām darbībām. Politika nosaka detalizētas prasības sākotnējai izpētei, risku izvērtēšanai un līgumiskai kontrolei. Privātuma sākotnējā izpēte jāveic pirms tādu attiecību ar apstrādātāju, apakšapstrādātāju vai trešo pusi izvēles, atjaunošanas vai būtiskas maiņas, kurās tiek apstrādāta PII vai tai piekļūts. Informācijas drošības vadītājam pirms apstiprināšanas jāpārskata drošības apliecinājuma pierādījumi, un augsta riska attiecības ar apstrādātāju vai būtiskas izmaiņas ar privātumu saistītās attiecībās ar trešo pusi ierosina privātuma riska un DPIA sākotnējo izvērtēšanu REG04. Līguma un dokumentēto norādījumu kontroles pasākumi ir nodalīti pārziņa un apstrādātāja kontekstiem. Darbojoties kā pārzinim, organizācijai pirms apstrādātājs apstrādā PII jāreģistrē rakstisks apstrādātāja līgums vai līdzvērtīga saistoša vienošanās. Darbojoties kā apstrādātājam, klientu vienošanās vai dokumentēti klienta norādījumi nosaka autorizēto apstrādes tvērumu pirms klienta PII apstrādes. Politika arī prasa līgumā ietvert palīdzību, drošības apliecinājumu, incidentu saskarni caur PII15, atdošanu vai dzēšanu caur PII10, datu nosūtīšanas sasaisti caur PII13 un audita vai apliecinājuma sadarbību. Apakšapstrādātāju un apakšuzņēmēju pārvaldība tiek risināta ar īpašām apstiprināšanas, paziņošanas, tālāk nododamo pienākumu un uzraudzības prasībām. Piegādātāju / iepirkuma īpašniekam REG08 jāuztur apakšapstrādātāju un apakšuzņēmēju saraksts, pirms piesaistes jāpārbauda klienta atļauja, jāinformē klienti par paredzētiem jauniem vai aizstājējiem apakšapstrādātājiem saskaņā ar piemērojamo vienošanos un jānodrošina tālāk nododamie privātuma, drošības, palīdzības, atdošanas, dzēšanas, incidentu saskarnes un datu nosūtīšanas sasaistes pienākumi, pirms jebkurš apakšapstrādātājs apstrādā PII. Jāizseko arī pārziņa puses paziņojumi par apakšapstrādātāju maiņu, REG08 reģistrējot apstiprināšanas, iebilduma vai eskalācijas lēmumus līgumā noteiktajā iebildumu termiņā vai 10 darbdienu laikā pēc paziņojuma saņemšanas, atkarībā no tā, kurš termiņš ir īsāks. Politika noslēdz dzīves ciklu ar nepārtrauktu uzraudzību, palīdzības pieprasījumu apstrādi, izpaušanas reģistrēšanu, incidentu sasaisti, datu nosūtīšanas sasaisti, izstāšanās pierādījumiem, izņēmumiem, politikas ievērošanu un pārskatīšanu. Augsta riska attiecības ar apstrādātājiem un apakšapstrādātājiem tiek uzraudzītas reizi ceturksnī, savukārt pārējās aktīvās PII apstrādātāju un apakšapstrādātāju attiecības tiek uzraudzītas reizi gadā. Palīdzības pieprasījumi par datu subjekta tiesībām, DPIA, drošības pierādījumiem, auditiem vai klientu apliecinājumu jākoordinē caur REG08 un, kur piemērojams, jāsasaista ar REG06, REG04 vai REG12. Ar piegādātājiem saistīti privātuma incidentu paziņojumi vienas darbdienas laikā tiek virzīti uz REG10 saskaņā ar PII15, un atdošanas, dzēšanas, likvidēšanas vai pārejas pierādījumi jāiegūst 30 dienu laikā pēc izbeigšanas, termiņa beigām, klienta norādījuma vai apstiprināta izstāšanās notikuma, ja vien nav piemērojams īsāks līgumiskais termiņš. Izņēmumi ir laikā ierobežoti, tiem nepieciešama privātuma ietekmes izvērtēšana, un tiem var būt nepieciešams augstākās vadības apstiprinājums, ja tie ietekmē augsta riska apstrādi, trūkstošus līguma pierādījumus, datu nosūtīšanas sasaistes trūkumus vai sertifikācijas darbības jomu.

Politikas diagramma

Procesa plūsmas diagramma, kurā parādīta PII trešās puses attiecību identificēšana REG08, lomu klasifikācija, sākotnējā izpēte un drošības apliecinājums, līguma vai norādījumu apstiprināšana, apakšapstrādātāju kontroles pasākumi, uzraudzība, incidentu un datu nosūtīšanas sasaiste, izstāšanās pierādījumi un korektīvās darbības.

Noklikšķiniet uz diagrammas, lai skatītu pilnā izmērā

Saturs

REG08 attiecību klasifikācijas un pierādījumu prasības

Privātuma sākotnējā izpēte un drošības apliecinājums

Apstrādātāju līgumi un dokumentēti klienta norādījumi

Apakšapstrādātāju apstiprināšanas, paziņošanas un tālāk nododamie pienākumi

Nepārtraukta uzraudzība, incidentu sasaiste un datu nosūtīšanas ieraksti

Izstāšanās, atdošanas, dzēšanas un korektīvo darbību pierādījumi

Atbilstība ietvaram

🛡️ Atbalstītie standarti un ietvari

Šis produkts ir saskaņots ar šādiem atbilstības ietvariem ar detalizētu klauzulu un kontroles kartēšanu.

Ietvars Aplūkotās klauzulas / Kontroles
ISO/IEC 27701:2025
Clause 4.1Clause 6.1.2Clause 8.2Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.7Annex A.1.2.9Annex A.2.2.2Annex A.2.2.3Annex A.2.2.5Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.4.3Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.2.5.7Annex A.2.5.8Annex A.2.5.9
EU GDPR
Article 5(2)Article 24Article 26Article 28Article 30Article 32
ISO/IEC 29100:2020
Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29151:2022
Clause 15.1.2Clause 15.2.2Clause 15.2.3
ISO/IEC 27002:2022
Control 5.19Control 5.20Control 5.21Control 5.22Control 5.23
ISO/IEC 27018:2020
Annex A.2.1Annex A.3.1Annex A.6.1Annex A.6.2Annex A.8.1Annex A.10.1Annex A.10.3Annex A.11.11Annex A.11.12Annex A.12.1
ISO/IEC 27036-2:2022
Clause 6.1.1Clause 6.1.2Clause 7.1Clause 7.2Clause 7.3Clause 7.4Clause 7.5

Saistītās politikas

Apstrādes uzskaites un tiesiskā pamata politika

REG08 attiecību ierakstiem, kur piemērojams, jābūt sasaistītiem ar REG02 apstrādes uzskaiti un tiesiskā pamata ierakstiem.

Privātuma risku izvērtēšanas un DPIA politika

Augsta riska attiecības ar apstrādātājiem un būtiskas izmaiņas ar privātumu saistītās attiecībās ar trešo pusi ierosina privātuma riska un DPIA sākotnējo izvērtēšanu REG04.

Glabāšanas, dzēšanas un likvidēšanas politika

Apstrādātāju un apakšapstrādātāju līgumos un izstāšanās procesos jāaptver atdošanas, dzēšanas, likvidēšanas un pārejas pierādījumi caur PII10.

Starptautiskās datu nosūtīšanas politika

Apstrādes atrašanās vietām, mitināšanas vietām un datu nosūtīšanas indikatoriem REG08 jābūt sasaistītiem ar piemērojamiem REG09 datu nosūtīšanas pierādījumiem.

Drošības un piekļuves kontroles politika

Drošības apliecinājums, piekļuves kontroles pierādījumi, piegādātāju piekļuve un darba attiecību izbeigšanas kontroles pasākumi atbalsta trešo pušu PII pārvaldību.

Incidentu un pārkāpumu pārvaldības politika

Ar piegādātājiem saistīti privātuma incidentu paziņojumi un palīdzības pieprasījumi tiek virzīti uz REG10 saskaņā ar PII15 ar REG08 sasaisti.

Par Clarysec politikām - Apstrādātāju, apakšapstrādātāju un trešo pušu privātuma pārvaldības politika

Šī politika nosaka operatīvu privātuma pārvaldību apstrādātājiem, apakšapstrādātājiem, apakšuzņēmumā piesaistītiem PII apstrādātājiem, piegādātājiem, pakalpojumu sniedzējiem, mākoņpakalpojumu sniedzējiem un citām trešajām pusēm, kas apstrādā vai ietekmē PII PIMS darbības jomā. Tā nosaka, kā attiecības tiek klasificētas, izvērtētas, apstiprinātas, ietvertas līgumos, instruētas, uzraudzītas, mainītas un izbeigtas, REG08 izmantojot kā primāro pierādījumu objektu un, kur piemērojams, nodrošinot nepieciešamās sasaistes ar apstrādes uzskaiti, riska, datu nosūtīšanas, incidentu, komunikācijas, dokumentētas informācijas un korektīvo darbību ierakstiem.

Definēta attiecību piemērošanas joma

Aptver apstrādātājus, apakšapstrādātājus, apakšuzņēmējus, piegādātājus, pakalpojumu sniedzējus, mākoņpakalpojumu sniedzējus un citas trešās puses, kas apstrādā PII.

Sākotnējā izpēte pirms apstiprināšanas

Prasa privātuma sākotnējo izpēti, drošības apliecinājumu un riska vai DPIA sākotnējo izvērtēšanu pirms apstiprināšanas, ja tie tiek ierosināti.

Līgumu un norādījumu kontroles pasākumi

REG08 dokumentē apstrādātāju līgumus, klienta norādījumus, tālāk nododamos pienākumus un apstiprinātos grozījumus.

Uzraudzība un politikas ievērošana

Nosaka pārskatīšanas biežumu, izņēmumu pārvaldību, bloķēšanas noteikumus, neatbilstību trigerus un korektīvo darbību pierādījumus.

Biežāk uzdotie jautājumi

Izstrādāts līderiem, līderu veidots

Šo politiku ir izstrādājis drošības līderis ar vairāk nekā 25 gadu pieredzi ISMS ietvaru ieviešanā un auditēšanā globālos uzņēmumos. Tā ir paredzēta ne tikai kā dokuments, bet kā aizstāvams ietvars, kas iztur auditoru pārbaudi.

Izstrādājis eksperts ar šādām kvalifikācijām:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pārklājums un tēmas

🏢 Mērķa departamenti

Privātums Juridiskais dienests Atbilstība IT drošība Iepirkums

🏷️ Tematiskais pārklājums

Trešo pušu pārvaldība Pārziņa un apstrādātāja pienākumi Personas datu apstrāde Apstrādes darbību ieraksti Starptautiska datu nosūtīšana Risku pārvaldība Atbilstības pārvaldība
€89

Vienreizējs pirkums

Tūlītēja lejupielāde
Mūža atjauninājumi

Šī politika ir 1 no 25 pilnajā ISO/IEC 27701 PIMS komplektā

Ietaupiet 52%

Saņemiet visas 25 PIMS politikas, pilnu reģistru komplektu un detalizētu ieviešanas plānu par €799, nevis €1 675, iegādājoties atsevišķi.

Skatīt pilno 27701 komplektu →
Processor, Subprocessor and Third-Party Privacy Management Policy

Produkta informācija

Veids: policy
Kategorija: ISO 27701 PIMS Policy Pack
Standarti: 7