ISO29151标准中PII供应商关系的信息安全策略
添加时间:2019-05-01 11:36:10 浏览:
ISO29151标准中PII供应商关系的信息安全策略:
ISO29151标准要求如果组织需要利用 PII 处理服务,对 PII 处理者,应根据经验、可信度、符合适用法律法规、合同、其他法律协议规定的PII 保护要求的能力进行评估。
作为 PII 控制者的组织应与任何作为 PII 处理者的供应商签订书面协议。
ISO29151标准要求协议应明确分配 PII 控制者和 PII 处理者之间的角色和责任 ,并应包含与 PII 保护相关的适当条款 ,以便 PII 处理者对所执行的处理负责。
PII 控制者协议至少应提供:
a) 根据协议进行处理的规模,性质和目的的适当声明;
b) 赋予 PII 主体访问和审查其 PII , 处理 PII 主体提出的任何投诉的能力;
c) 为履行法律或监管要求而采取的其他组织措施;
d) 授权 PII 控制人员在PII 处理者的场所进行审计;
e) 在数据泄露 ,未经授权的处理,其他不履行协议条款和条件的情况下,有报告的义务,包括双方的联系点的身份验证;
f) PII 控制者对PII 处理者的指令方法;
g) 适用于终止合同的措施,特别是关于安全地删除 PII 或退还 PII 和实体介质。
PII 控制者应确保其 PII 处理者在未事先获得 PII 控制者批准的情况下不进行任何进一步的分包处理(即使用子处理者。)
ISO29151标准要求 PII 控制者在这方面应遵守所有相关法律和法规。
ISO29151标准要求 PII 控制人员应确保其 PII 处理人员不会将 PII 用于合同协议中或其他法律以外的用途。
ISO29151标准要求 PII 控制者应确保 PII 处理者安全地处理 PII 。
