8 Additional ISO/IEC 27002 guidance for PII processors 附加到ISO/IEC 27002的个人身份信息(PII)处理者的指南/8.5 PII sharing, transfer, and disclosure 个人身份信息的共享,转移和披露/8.5.6 Disclosure of subcontractors used to process PII 用于处理个人身份信息(PII)的分包商的披露

8.5.6 Disclosure of subcontractors used to process PII 用于处理个人身份信息(PII)的分包商的披露

Control 控制

The organization should disclose any use of subcontractors to process PII to the customer before use.
组织应在使用前向顾客披露所有处理个人身份信息(PII)的分包商的使用。

Implementation guidance 实施指南

Provisions for the use of subcontractors to process PII should be included in the customer contract.
处理个人身份信息(PII)的分包商使用的规定宜被包含在顾客的合同中。

Information disclosed should cover the fact that subcontracting is used and the names of relevant subcontractors. The information disclosed should also include the countries and international organizations to which subcontractors can transfer data (see 8.5.2) and the means by which subcontractors are obliged to meet or exceed the obligations of the organization (see 8.5.7).
披露的信息宜涵盖分包被使用的事实和相应分包商的名称。披露的信息也宜包含分包商可以将数据转移到的国家和国际组织(见8.5.2),以及分包商有义务履行或超越组织义务的方法(见8.5.7)。

Where public disclosure of subcontractor information is assessed to increase security risk beyond acceptable limits, disclosure should be made under a non-disclosure agreement and/or on the request of the customer. The customer should be made aware that the information is available.
若经过评估,分包商信息的公开披露所增加的风险超出可接受的限度,披露宜在保密协议下进行,和/或应顾客的请求进行。宜让顾客指导这些信息是可获得的。

This does not concern the list of countries where the PII can be transferred. This list should be disclosed to the customer in all cases in a way that allows them to inform the appropriate PII principals.
此处不关注个人身份信息(PII)可能被转移到的国家的列表。在所有情形下,该列表宜被披露给顾客,并允许其通知到适宜的个人身份信息(PII)主体。

【标准理解】

(1)ISO/IEC 27701: 2019条款8.5是属于隐私信息的共享、转移和披露管理过程,因此可以将8.5中的所有子条款要求合并在一起进行实施。

欲阅读更多内容,需要付费购买【公众号付费合集文章(200篇文章,超30万字)

ISO/IEC 27701: 2019标准理解与实施最全面,最详尽,最精准的学习资料(20小时视频讲解+30万字解读文章),现在购买微信公众号付费合集文章(3800微信豆,200篇文章,30万字),赠送20小时讲解视频(https://video.27001.cn/course-10.html),文章内容更多,但视频里也有文章没有的内容,视频和文章可以相互补充。

对于一般咨询辅导提供的ISO/IEC 27701标准培训,一般只有1-2小时,哪怕花费数千上万的费用去参加机构的培训,一般也只有1-2天时间,其中还把内审和风险评估等内容参杂在里面,所以我提供的这个资料对于真正想学习ISO/IEC 27701的人绝对是不容错过的机会。所有已经确定收费的资料,后面都不会公开的。

虽然ISO/IEC 27701: 2025已经发布了,但是只是标准的结构变化了,其核心内容和底层逻辑是一样的,购买本次资料,后续可以抵扣ISO/IEC 27701: 2025相关学习资料的部分费用。

【行动要点】

本部分内容需要付费

【输出文档】

本部分内容需要付费

【审核要点】

本部分内容需要付费