Wat vereis beheer A.3.10?
Relevante inligtingsekuriteitsvereistes met betrekking tot PII-verwerking moet met elke verskaffer vasgestel en ooreengekom word gebaseer op die tipe verskaffersverhouding.
Hierdie beheer sit binne die Gedeelde sekuriteitskontroles aanhangsel (A.3), wat verpligtinge vir beide PII-beheerders en PII-verwerkers bevat. Dit erken dat PII selde binne 'n enkele organisasie bly — verskaffers, subverwerkers en vennote bring almal risiko in wat kontraktueel bestuur moet word.
Wat sê die implementeringsriglyne van Aanhangsel B?
Aanhangsel B (afdeling B.3.10) verskaf die volgende riglyne:
- Spesifiseer PII-verwerking — Ooreenkomste moet spesifiseer of persoonlike inligting verwerk moet word en, indien wel, die minimum tegniese en organisatoriese maatreëls wat die verskaffer moet implementeer.
- Ken verantwoordelikhede duidelik toe — Die verdeling van verantwoordelikhede tussen die organisasie, sy vennote en sy verskaffers moet eksplisiet en ondubbelsinnig wees
- Nakomingsmeganismes — Voorsien 'n meganisme om nakoming van toepaslike wetlike vereistes te verseker, soos kontraktuele klousules wat databeskermingsverpligtinge dek.
- Onafhanklike ouditbewyse — Oorweeg die vereiste van onafhanklik geouditeerde nakoming (byvoorbeeld, ISO 27001 sertifisering) as 'n manier om te demonstreer dat verskaffers aan inligtingsekuriteitsvereistes voldoen
- Verwerker-spesifieke riglyne — Waar die organisasie as 'n verwerker optree, moet kontrakte met sy eie verskaffers (subverwerkers) spesifiseer dat persoonlike inligting slegs volgens die beheerder se instruksies verwerk word.
Die riglyne beklemtoon dat verskaffersooreenkomste nie net 'n wetlike formaliteit is nie – hulle is die primêre meganisme waardeur organisasies hul privaatheidsbeheer na die voorsieningsketting uitbrei.
Hoe pas dit by die GDPR?
Beheer A.3.10 karteer na verskeie BBP artikels:
- Artikel 5(1)(f) — Integriteit en vertroulikheid, insluitend wanneer PII deur derde partye hanteer word
- Artikel 28 (1) — Beheerders moet slegs verwerkers gebruik wat voldoende waarborge bied
- Artikel 28(3)(ah) — Verpligte kontrakbepalings vir verwerkingsooreenkomste, insluitend die onderwerp, duur, aard van verwerking en verpligtinge van beide partye
- Artikel 30(2)(d) — Verwerkers moet kategorieë van verwerking wat namens elke beheerder uitgevoer word, aanteken
- Artikel 32 (1) (b) — Vermoë om deurlopende vertroulikheid, integriteit, beskikbaarheid en veerkragtigheid van verwerkingsstelsels te verseker
Wat het verander van ISO 27701:2019?
Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.
In die 2019-uitgawe is hierdie vereiste gedek deur Klausules 6.12.1.1 en 6.12.1.2, wat die inligtingsekuriteitsbeleid vir verskafferverhoudings en die hantering van sekuriteit binne verskafferooreenkomste aangespreek het. Die 2025-uitgawe konsolideer hierdie in 'n enkele beheermaatreël (A.3.10) met 'n verenigde implementeringsriglyne-afdeling in B.3.10. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Begin maklik met 'n persoonlike produkdemonstrasie
Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.3.10 beoordeel word, sal ouditeure tipies kyk na:
- Verskafferregister — ’n Lys van alle verskaffers wat persoonlike inligting verwerk, met besonderhede oor watter data hulle verkry en die aard van die verwerking.
- Dataverwerkingsooreenkomste — Getekende kontrakte of klousules wat inligtingsekuriteitsvereistes, verantwoordelikhede en nakomingsverpligtinge spesifiseer
- Rekords van behoorlike sorgvuldigheid — Bewyse dat verskaffers voor aanstelling geassesseer is, insluitend sekuriteitsvraelyste of sertifiseringskontroles
- Deurlopende monitering — Rekords van periodieke verskaffersoorsigte, oudits of her-sertifiseringskontroles om voortgesette nakoming te bevestig
- Subverwerkerbestuur — Waar die organisasie 'n verwerker is, dokumentasie wat toon dat subverwerkers kontraktueel gebonde is aan die beheerder se instruksies
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.3.9 Toegangsregte | Verskaffers se toegang tot persoonlike inligting moet deur die organisasie se toegangsbeheerbeleid beheer word. |
| A.3.13 Wetlike en kontraktuele vereistes | Verskaffersooreenkomste moet toepaslike wetlike en regulatoriese verpligtinge weerspieël |
| A.3.18 Vertroulikheidsooreenkomste | Verskafferpersoneel met PII-toegang moet vertroulikheidsooreenkomste teken |
| A.3.15 Onafhanklike hersiening | Onafhanklike oudits kan verskaffers se nakoming demonstreer in plaas van individuele kliëntoudits. |
| A.3.12 Insidentrespons | Verskafferooreenkomste moet verpligtinge om kennisgewing van oortredings en reaksietydlyne insluit |
Op wie is hierdie beheer van toepassing?
A.3.10 is 'n gedeelde beheer dit geld vir beide PII-beheerders en PII-verwerkers. Beheerders moet verseker dat hul verwerkers en verskaffers voldoende kontraktuele waarborge het. Verwerkers moet ekwivalente vereistes aan hul eie subverwerkers stel, en verseker dat PII slegs verwerk word in ooreenstemming met die beheerder se gedokumenteerde instruksies.
Bevry jouself van 'n berg sigblaaie
Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.
Hoekom kies ISMS.aanlyn vir die bestuur van verskaffers se privaatheidsooreenkomste?
ISMS.aanlyn bied praktiese gereedskap vir die bestuur van verskaffersverhoudinge en privaatheidsverpligtinge:
- Verskafferbestuursmodule — Handhaaf 'n sentrale register van alle verskaffers wat persoonlike inligting verwerk, met risikograderings, kontrakdatums en hersieningskedules
- Kontrakopsporing — Stoor- en weergawebeheer-dataverwerkingsooreenkomste met outomatiese hernuwingsherinneringe
- Werkvloeie vir behoorlike sorgvuldigheid — Beoordeel nuwe verskaffers teen u sekuriteitsvereistes voor aanboordneming, met konfigureerbare vraelysjablone
- Deurlopende monitering — Beplan periodieke verskafferbeoordelings met taakopdragte en bewysinsameling
- Ouditgereed verslagdoening — Genereer verskaffers se nakomingsverslae wat ooreenkomsstatus, hersieningsgeskiedenis en uitstaande aksies toon
- Subverwerker-opsporing — Karteer die volledige verwerkingsketting sodat jy presies weet waar PII deur jou voorsieningsnetwerk vloei
Vrae & Antwoorde
Wat moet 'n verskaffersooreenkoms insluit vir die verwerking van persoonlike inligting?
Ten minste moet die ooreenkoms spesifiseer of persoonlike inligting verwerk word, die kategorieë en volume data wat betrokke is, die minimum tegniese en organisatoriese maatreëls wat die verskaffer moet implementeer, die toewysing van verantwoordelikhede tussen beide partye, vereistes vir kennisgewing van oortredings, en 'n meganisme vir die verifiëring van voldoening. BBPArtikel 28(3) lys verpligte kontrakbepalings wat aangespreek moet word.
Kan ISO 27001-sertifisering 'n verskafferoudit vervang?
Die implementeringsriglyne noem spesifiek onafhanklik geouditeerde voldoening soos ISO 27001 as 'n meganisme om aan te toon dat sekuriteitsvereistes nagekom word. Alhoewel sertifisering sterk bewys is, moet organisasies steeds verseker dat die omvang van die verskaffer se sertifisering die relevante PII-verwerkingsaktiwiteite dek. Sertifisering alleen mag dalk nie alle privaatheidspesifieke vereistes aanspreek nie.
Hoe verskil dit vir verwerkers wat subverwerkers bestuur?
Wanneer u organisasie as 'n verwerker optree, moet u kontrakte met subverwerkers 'n klousule insluit wat verseker dat persoonlike inligting (PII) slegs volgens die beheerder se instruksies verwerk word. U bly aanspreeklik teenoor die beheerder vir u subverwerkers se optrede, dus moet dieselfde vlak van kontraktuele strengheid en behoorlike sorgvuldigheid dwarsdeur die ketting geld.
Sien ons gidse oor ISO 27701 as 'n verkrygingsvereiste en hoe om verskaffers te evalueer vir die koper se perspektief.
ons gids vir vereistes vir ouditbewyse dek die verskaffersdokumentasie wat ouditeure verwag.
