ISO/IEC 27701: 2019 标准详解与实施（196）8 附加到ISO/IEC 27002的个人身份信息（PII）处理者的指南/8.5 个人身份信息的共享，转移和披露/8.5.7 处理个人身份信息（PII）的分包商的雇用

8 Additional ISO/IEC 27002 guidance for PII processors 附加到ISO/IEC 27002的个人身份信息（PII）处理者的指南/8.5 PII sharing, transfer, and disclosure 个人身份信息的共享，转移和披露/8.5.7 Engagement of a subcontractor to process PII 处理个人身份信息（PII）的分包商的雇用

8.5.7 Engagement of a subcontractor to process PII 处理个人身份信息（PII）的分包商的雇用

Control 控制

The organization should only engage a subcontractor to process PII according to the customer contract.
组织应只根据顾客合同雇佣处理个人身份信息（PII）的分包商。

Implementation guidance 实施指南

Where the organization subcontracts some or all of the processing of that PII to another organization, a written authorization from the customer is required prior to the PII processed by the subcontractor. This can be in the form of appropriate clauses in the customer contract, or can be a specific “one-off” agreement.
如果组织将个人身份信息（PII）处理的一部分或全部转包给另一组织，在分包商处理个人身份信息（PII）之前，要求从顾客那里获得书面的授权。授权可以是以适宜的条款的形式存在于顾客合同中，或可以是特定的一次性的协议。

The organization should have a written contract with any subcontractors that it uses for PII processing on its behalf, and should ensure that their contracts with subcontractors address the implementation of the appropriate controls in Annex B.
组织宜与所有其使用代表其处理个人身份信息（PII）的分包商签订书面的合同，以及宜确保其与分包商的合同涵盖附录B中适宜的控制项的实施的内容。

The contract between the organization and any subcontractor processing PII on its behalf should require the subcontractor to implement the appropriate controls specified in Annex B, taking account of the information security risk assessment process (see 5.4.1.2) and the scope of the processing of PII performed by the PII processor (see 6.12). By default, all controls specified in Annex B should be assumed as relevant. If the organization decides to not require the subcontractor to implement a control from Annex B, it should justify its exclusion.
组织与代表其处理个人身份信息（PII）的分包商之间的合同宜要求分包商实施附录B中明确列出的适宜的控制项，并加以考虑信息安全风险评估过程（见5.4.1.2）和由个人身份信息（PII）处理者执行的个人身份信息（PII）处理的范围（见6.12）。默认情况下，附录B中明确列出的所有控制项都被认为是适宜的。如果组织决定不要分包商实施附录B中的某项控制，组织宜对此排除做出合理的说明。

A contract can define the responsibilities of each party differently but, to be consistent with this document, all controls should be considered and included in the documented information.
合同可以分别定义每方的责任，但宜与本文件一致，所有控制项宜被考虑，并包含在文件化的信息中。

【标准理解】

（1）ISO/IEC 27701: 2019条款8.5是属于隐私信息的共享、转移和披露管理过程，因此可以将8.5中的所有子条款要求合并在一起进行实施。

欲阅读更多内容，需要付费购买【公众号付费合集文章（200篇文章，超30万字）】

ISO/IEC 27701: 2019标准理解与实施最全面，最详尽，最精准的学习资料（20小时视频讲解+30万字解读文章），现在购买微信公众号付费合集文章（3800微信豆，200篇文章，30万字），赠送20小时讲解视频（https://video.27001.cn/course-10.html），文章内容更多，但视频里也有文章没有的内容，视频和文章可以相互补充。

对于一般咨询辅导提供的ISO/IEC 27701标准培训，一般只有1-2小时，哪怕花费数千上万的费用去参加机构的培训，一般也只有1-2天时间，其中还把内审和风险评估等内容参杂在里面，所以我提供的这个资料对于真正想学习ISO/IEC 27701的人绝对是不容错过的机会。所有已经确定收费的资料，后面都不会公开的。

虽然ISO/IEC 27701: 2025已经发布了，但是只是标准的结构变化了，其核心内容和底层逻辑是一样的，购买本次资料，后续可以抵扣ISO/IEC 27701: 2025相关学习资料的部分费用。

【行动要点】

本部分内容需要付费

【输出文档】

本部分内容需要付费

【审核要点】

本部分内容需要付费

《从食品安全到信息安全：十五年的ISO管理体系职场经历和感悟》

ISO/IEC 27701: 2019 标准详解与实施（196）8 附加到ISO/IEC 27002的个人身份信息（PII）处理者的指南/8.5 个人身份信息的共享，转移和披露/8.5.7 处理个人身份信息（PII）的分包商的雇用

ISO/IEC 27701: 2019 标准详解与实施（197）8 附加到ISO/IEC 27002的个人身份信息（PII）处理者的指南/8.5 个人身份信息的共享，转移和披露/8.5.8 处理个人身份信息（PII）的分包商的变更

ISO/IEC 27701: 2019 标准详解与实施（195）8 附加到ISO/IEC 27002的个人身份信息（PII）处理者的指南/8.5 个人身份信息的共享，转移和披露/8.5.6 用于处理个人身份信息（PII）的分包商的披露

发表回复取消回复

ISO/IEC 27701: 2019 标准详解与实施（196）8 附加到ISO/IEC 27002的个人身份信息（PII）处理者的指南/8.5 个人身份信息的共享，转移和披露/8.5.7 处理个人身份信息（PII）的分包商的雇用

ISO/IEC 27701: 2019 标准详解与实施（197）8 附加到ISO/IEC 27002的个人身份信息（PII）处理者的指南/8.5 个人身份信息的共享，转移和披露/8.5.8 处理个人身份信息（PII）的分包商的变更

ISO/IEC 27701: 2019 标准详解与实施（195）8 附加到ISO/IEC 27002的个人身份信息（PII）处理者的指南/8.5 个人身份信息的共享，转移和披露/8.5.6 用于处理个人身份信息（PII）的分包商的披露

发表回复 取消回复

发表回复取消回复