policy ISO 27701 PIMS Policy Pack

Politica de management al confidențialității pentru persoane împuternicite, persoane subîmputernicite și terți

Gestionați relațiile cu persoanele împuternicite, persoanele subîmputernicite și terții care prelucrează PII, cu dovezi REG08, verificare prealabilă, contracte, monitorizare și controale de ieșire.

Prezentare generală

Această politică guvernează persoanele împuternicite, persoanele subîmputernicite și terții care gestionează PII. Utilizează REG08 ca registru principal de dovezi și definește cerințe pentru clasificarea rolurilor, verificarea prealabilă, contracte, instrucțiuni ale clientului, aprobări ale persoanelor subîmputernicite, monitorizare, corelarea cu incidentele, înregistrări privind transferurile, dovezi de ieșire și acțiuni corective.

Control al terților pe întregul ciclu de viață

Definește modul în care persoanele împuternicite, persoanele subîmputernicite și terții care gestionează PII sunt identificați, aprobați, monitorizați, modificați și scoși din relație.

Dovezi REG08 pregătite pentru audit

Utilizează REG08 ca registru principal, corelând relațiile cu înregistrările privind prelucrarea, riscurile, transferurile, incidentele și acțiunile corective.

Responsabilitate clară pe roluri

Alocă atribuții către Confidențialitate, Achiziții, Securitate, proprietari de proces, proprietari de sistem, răspuns la incidente și Conducerea de vârf.

Citește prezentarea completă (click to expand)
Politica de management al confidențialității pentru persoane împuternicite, persoane subîmputernicite și terți definește modul în care o organizație guvernează părțile externe care prelucrează, accesează, primesc, stochează, transmit, susțin sau gestionează în alt mod PII în domeniul de aplicare al Sistemului de management al informațiilor privind confidențialitatea. Se aplică atunci când organizația acționează ca operator de date care utilizează persoane împuternicite, ca operator asociat care necesită clasificarea rolurilor, ca persoană împuternicită care utilizează persoane subîmputernicite sau subcontractanți și ca persoană subîmputernicită care primește instrucțiuni ale clientului. Politica acoperă, de asemenea, relațiile cu terții care necesită verificare prealabilă privind confidențialitatea, controale contractuale, instrucțiuni documentate, aprobare a persoanelor subîmputernicite, monitorizare, asigurare, interfață pentru incidente, corelare cu transferurile, returnare, ștergere sau dovezi de ieșire. O caracteristică centrală a politicii este utilizarea REG08 — Registrul persoanelor împuternicite, al persoanelor subîmputernicite și al partajării datelor — ca obiect principal de dovezi pentru managementul confidențialității privind persoanele împuternicite, persoanele subîmputernicite și terții. Politica impune Responsabilului pentru confidențialitate / Managerului PIMS să definească câmpurile minime REG08 și să clasifice relațiile de confidențialitate cu terții ca operator de date, operator asociat, persoană împuternicită, persoană subîmputernicită sau altă relație cu terți înainte de aprobarea contractului sau înainte ca prelucrarea PII să înceapă. De asemenea, impune proprietarului pentru furnizori / achiziții să blocheze integrarea, reînnoirea sau extinderea până când REG08 este completat și corelat cu înregistrări precum REG02, REG04, REG09 sau REG10, atunci când aceste obiecte de dovezi sunt declanșate. Acest lucru creează o corelare documentată între guvernanța relațiilor, inventarul prelucrărilor, înregistrările privind riscurile și DPIA, dovezile transferurilor internaționale, înregistrările incidentelor și acțiunile corective. Politica stabilește cerințe detaliate pentru verificarea prealabilă, evaluarea riscurilor și controlul contractual. Verificarea prealabilă privind confidențialitatea trebuie finalizată înainte de selectarea, reînnoirea sau modificarea semnificativă a unei relații cu o persoană împuternicită, o persoană subîmputernicită sau un terț care prelucrează ori accesează PII. Dovezile de asigurare a securității trebuie revizuite de Responsabilul pentru securitatea informației înainte de aprobare, iar relațiile cu persoane împuternicite cu risc ridicat sau modificările semnificative privind confidențialitatea la nivelul terților declanșează evaluarea riscurilor privind confidențialitatea și evaluarea preliminară DPIA în REG04. Controalele privind contractele și instrucțiunile documentate sunt separate pentru contextele de operator de date și persoană împuternicită. Atunci când acționează ca operator de date, organizația trebuie să înregistreze un contract scris cu persoana împuternicită sau un acord obligatoriu echivalent înainte ca o persoană împuternicită să gestioneze PII. Atunci când acționează ca persoană împuternicită, acordurile cu clienții sau instrucțiunile documentate ale clientului trebuie să definească domeniul autorizat al prelucrării înainte ca PII ale clientului să fie prelucrate. Politica impune, de asemenea, acoperire contractuală pentru asistență, asigurarea securității, interfața pentru incidente prin PII15, returnare sau ștergere prin PII10, corelarea cu transferurile prin PII13 și cooperarea pentru audit sau asigurare. Guvernanța persoanelor subîmputernicite și a subcontractanților este abordată prin cerințe specifice de aprobare, notificare, obligații transmise în lanț și monitorizare. Proprietarul pentru furnizori / achiziții trebuie să mențină o listă a persoanelor subîmputernicite și a subcontractanților în REG08, să verifice autorizarea clientului înainte de angajare, să notifice clienții cu privire la persoanele subîmputernicite noi sau de înlocuire intenționate conform acordului aplicabil și să asigure transmiterea în lanț a obligațiilor privind confidențialitatea, securitatea, asistența, returnarea, ștergerea, interfața pentru incidente și corelarea cu transferurile înainte ca orice persoană subîmputernicită să prelucreze PII. Notificările privind modificarea persoanelor subîmputernicite din perspectiva operatorului trebuie, de asemenea, urmărite, iar deciziile de aprobare, obiecție sau escaladare trebuie înregistrate în REG08 în perioada contractuală de obiecție sau în termen de 10 zile lucrătoare de la primirea notificării, oricare dintre acestea este mai scurtă. Politica completează ciclul de viață prin monitorizare continuă, gestionarea asistenței, înregistrarea divulgărilor, corelarea cu incidentele, corelarea cu transferurile, dovezi de ieșire, excepții, aplicare și revizuire. Relațiile cu persoane împuternicite și persoane subîmputernicite cu risc ridicat sunt monitorizate trimestrial, iar celelalte relații active cu persoane împuternicite și persoane subîmputernicite care prelucrează PII sunt monitorizate anual. Cererile de asistență pentru drepturile persoanelor vizate, DPIA, dovezi de securitate, audituri sau asigurare solicitată de clienți trebuie coordonate prin REG08 și corelate cu REG06, REG04 sau REG12, după caz. Notificările privind incidentele de confidențialitate asociate furnizorilor sunt direcționate către REG10 în temeiul PII15 în termen de o zi lucrătoare, iar dovezile privind returnarea, ștergerea, eliminarea sau tranziția trebuie obținute în termen de 30 de zile de la încetare, expirare, instrucțiunea clientului sau evenimentul de ieșire aprobat, cu excepția cazului în care se aplică un termen contractual mai scurt. Excepțiile sunt limitate în timp, necesită evaluarea impactului asupra confidențialității și pot necesita aprobarea Conducerii de vârf atunci când sunt afectate prelucrări cu risc ridicat, dovezi contractuale lipsă, lacune de corelare cu transferurile sau domeniul de aplicare al certificării.

Diagramă politică

Diagramă de flux de proces care prezintă identificarea relațiilor cu terți pentru PII în REG08, clasificarea rolurilor, verificarea prealabilă și asigurarea securității, aprobarea contractului sau a instrucțiunilor, controalele pentru persoanele subîmputernicite, monitorizarea, corelarea cu incidentele și transferurile, dovezile de ieșire și acțiunile corective.

Faceți clic pe diagramă pentru a vizualiza dimensiunea completă

Conținut

Cerințe REG08 privind clasificarea relațiilor și dovezile

Verificare prealabilă privind confidențialitatea și asigurarea securității

Contracte cu persoane împuternicite și instrucțiuni documentate ale clientului

Aprobarea persoanelor subîmputernicite, notificări și obligații transmise în lanț

Monitorizare continuă, corelare cu incidentele și înregistrări privind transferurile

Dovezi privind ieșirea, returnarea, ștergerea și acțiunile corective

Conformitate cu cadrul

🛡️ Standarde și cadre suportate

Acest produs este aliniat cu următoarele cadre de conformitate, cu mapări detaliate ale clauzelor și controalelor.

Cadru Clauze / Controale acoperite
ISO/IEC 27701:2025
Clause 4.1Clause 6.1.2Clause 8.2Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.7Annex A.1.2.9Annex A.2.2.2Annex A.2.2.3Annex A.2.2.5Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.4.3Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.2.5.7Annex A.2.5.8Annex A.2.5.9
EU GDPR
Article 5(2)Article 24Article 26Article 28Article 30Article 32
ISO/IEC 29100:2020
Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29151:2022
Clause 15.1.2Clause 15.2.2Clause 15.2.3
ISO/IEC 27002:2022
Control 5.19Control 5.20Control 5.21Control 5.22Control 5.23
ISO/IEC 27018:2020
Annex A.2.1Annex A.3.1Annex A.6.1Annex A.6.2Annex A.8.1Annex A.10.1Annex A.10.3Annex A.11.11Annex A.11.12Annex A.12.1
ISO/IEC 27036-2:2022
Clause 6.1.1Clause 6.1.2Clause 7.1Clause 7.2Clause 7.3Clause 7.4Clause 7.5

Politici conexe

Politica privind inventarul prelucrărilor și temeiul juridic

Înregistrările de relație din REG08 trebuie corelate cu inventarul prelucrărilor REG02 și cu înregistrările privind temeiul juridic, după caz.

Politica privind evaluarea riscurilor privind confidențialitatea și DPIA

Relațiile cu persoane împuternicite cu risc ridicat și modificările semnificative privind confidențialitatea la nivelul terților declanșează evaluarea riscurilor privind confidențialitatea și evaluarea preliminară DPIA în REG04.

Politica de păstrare, ștergere și eliminare

Contractele și ieșirile privind persoanele împuternicite și persoanele subîmputernicite trebuie să trateze dovezile privind returnarea, ștergerea, eliminarea și tranziția prin PII10.

Politica privind transferurile internaționale

Locațiile de prelucrare, locațiile de găzduire și indicatorii de transfer din REG08 trebuie corelați cu dovezile aplicabile privind transferurile REG09.

Politica de securitate și control al accesului

Asigurarea securității, dovezile privind controlul accesului, accesul furnizorilor și controalele de încetare a colaborării susțin guvernanța PII la nivelul terților.

Politica de management al incidentelor și încălcărilor

Notificările privind incidentele de confidențialitate asociate furnizorilor și cererile de asistență sunt direcționate către REG10 în temeiul PII15, cu corelare REG08.

Despre politicile Clarysec - Politica de management al confidențialității pentru persoane împuternicite, persoane subîmputernicite și terți

Această politică stabilește guvernanța operațională a confidențialității pentru persoane împuternicite, persoane subîmputernicite, persoane împuternicite subcontractate pentru PII, furnizori, furnizori de servicii, furnizori de servicii cloud și alți terți care prelucrează sau afectează PII în domeniul de aplicare al PIMS. Definește modul în care relațiile sunt clasificate, evaluate, aprobate, contractate, instruite, monitorizate, modificate și încheiate, REG08 fiind obiectul principal de dovezi, cu corelări obligatorii, după caz, cu inventarul prelucrărilor, înregistrările privind riscurile, transferurile, incidentele, comunicările, informațiile documentate și acțiunile corective.

Domeniu de aplicare definit pentru relații

Acoperă persoane împuternicite, persoane subîmputernicite, subcontractanți, furnizori, furnizori de servicii, furnizori cloud și alți terți care gestionează PII.

Verificare prealabilă înainte de aprobare

Impune verificare prealabilă privind confidențialitatea, asigurarea securității și evaluarea riscurilor sau evaluarea preliminară DPIA înainte de aprobare, atunci când sunt declanșate.

Controale privind contractele și instrucțiunile

Documentează în REG08 contractele cu persoanele împuternicite, instrucțiunile clientului, obligațiile transmise în lanț și amendamentele aprobate.

Monitorizare și aplicare

Stabilește frecvențe de revizuire, gestionarea excepțiilor, reguli de blocare, declanșatoare de neconformitate și dovezi privind acțiunile corective.

Întrebări frecvente

Conceput pentru lideri, de către lideri

Această politică a fost elaborată de un lider în securitate cu peste 25 de ani de experiență în implementarea și auditarea cadrelor ISMS pentru organizații globale. Este concepută nu doar ca un document, ci ca un cadru defensibil, care rezistă analizei unui auditor.

Elaborat de un expert care deține:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Acoperire și subiecte

🏢 Departamente țintă

Confidențialitate Juridic Conformitate Securitate IT Achiziții

🏷️ Acoperire tematică

Managementul terților Responsabilitățile operatorului și ale persoanei împuternicite Prelucrarea datelor cu caracter personal Evidențe ale activităților de prelucrare Transferuri internaționale de date Managementul riscurilor Managementul conformității
€89

Achiziție unică

Descărcare instantanee
Actualizări pe viață

Această politică este 1 din 25 în Pachetul PIMS ISO/IEC 27701 complet

Economisiți 52%

Obțineți toate cele 25 de politici PIMS, setul complet de registre și un plan detaliat de implementare pentru €799, în loc de €1.675 individual.

Vezi Pachetul 27701 complet →
Processor, Subprocessor and Third-Party Privacy Management Policy

Detalii produs

Tip: policy
Categorie: ISO 27701 PIMS Policy Pack
Standarde: 7