适用于 GDPR 的 Microsoft 支持和专业服务责任就绪清单
1. 简介
此责任准备情况清单提供了一种便捷的方式来访问在使用 Microsoft 专业服务和支持服务时可能需要支持 GDPR 的信息。 使用每个清单文章的标题和参考编号 (来组织清单,) 一组个人数据处理者隐私和安全控制措施,这些控制措施取自:
- ISO/IEC 27701 隐私信息管理技术和要求。
- ISO/IEC 27001 安全技术要求。
此控件结构还用于组织 Microsoft 专业服务为支持 GDPR 而实现的内部控件的演示文稿(可从服务信任门户下载)。
2. 收集和处理的条件
| 类别 | 客户注意事项 | 支持 Microsoft 文档 | 引用 GDPR 文章 |
|---|---|---|---|
| 识别并记录目的 (7.2.1) | 客户应记录个人数据的处理目的。 | 你的责任文档可以纳入 Microsoft 为你执行的数据处理和处理目的说明。 - Microsoft 产品和服务数据保护附录 [1] |
(5)(1)(b)、(32)(4) |
| 确定法律依据 (7.2.2) | 客户应了解与处理过程的法律依据相关的任何要求,例如是否必须首先给予同意。 | Microsoft 服务如何处理个人数据的说明(将纳入你的责任文档)。 - Microsoft 专业服务的专业服务数据保护影响评估的关键信息 [9] |
(5)(1)(a)、(6)(1)(a)、(6)(1)(b)、(6)(1)(c)、(6)(1)(d)、(6)(1)(e)、(6)(1)(f)、(6)(3)、(6)4)(a)、(6)(4)(b)、(6)(4)(c)、(6)(4)(d)、(6)(4)(e)、(8)(3)、(9)(1)、(9)(2)(b)、(9)(2)(c)、(9)(2)(d)、(9)(2)(e)、(9)(2)(f)、(9)(2)(g)、(9)(2)(h)、(9)(2)(i)、(9)(2)(j)、(9)(3)、(9)(4)、(10)、(17)(3)(a)、(17)(3)(b)、(17)(3)(c)、(17)(3)(d)、(17)(3)(e)、(18)(2)、(22)(2)(a)、(22)(2)(b)、(22)(2)(c)、(22)(4) |
| 确定何时征得同意 (7.2.3) | 客户应了解在处理个人数据之前获得个人同意的法律或法规要求, (在需要时处理个人数据,如果处理类型被排除在要求之外,等等,) ,包括如何收集同意。 | Microsoft 专业服务不提供获取用户同意的直接支持。 | (6)(1)(a)、(8)(1)、(8)(2) |
| 征得和记录同意 (7.2.4) | 当确定需要时,客户应适当地获得同意。 客户还应了解关于如何显示和收集同意请求的任何要求。 | Microsoft 专业服务不提供获取用户同意的直接支持。 | (7)(1)、(7)(2)、(9)(2)(a) |
| 隐私影响评估 (7.2.5) | 客户应了解完成隐私影响评估的要求(何时执行、需要哪些类别的数据以及完成评估的时间)。 | Microsoft 专业服务在服务信任门户数据保护影响评估 (DPIA) 页面中提供了何时以及如何确定何时执行 DPIA 的说明,以及 Microsoft DPIA 计划(包括涉及的 DPO)的概述。 若要获取 DPIA 方面的支持,请访问: |
文章 (35) |
| 与 PII 处理者签订合同 (7.2.6) | 客户应确保其与处理者的合同包括帮助处理与处理和保护个人数据相关的任何相关法律或法规义务的要求。 | Microsoft 合同要求我们协助你履行 GDPR 规定的义务,包括支持数据主体权利。 - Microsoft 产品和服务数据保护附录 [1] |
(5)(2)、(28)(3)(e)、(28)(9) |
| 与处理 PII 有关的记录 (7.2.7) | 客户应保存与处理个人数据相关的所有必要和必需的记录(例如用途、安全措施等)。 如果某些记录必须由次级处理者提供,则客户应确保他们可以获取这些记录。 | Microsoft 专业服务维护必要记录以证明合规性以及支持履行 GDPR 规定的责任。 请参阅 Microsoft 专业服务安全文档[2] | (5)(2)、(24)(1)、(30)(1)(a)、(30)(1)(b)、(30)(1)(c)、(30)(1)(d)、(30)(1)(g)、(30)(1)(f)、(30)(3)、(30)(4)、(30)(5) |
3. 数据主体的权限
| 类别 | 客户注意事项 | 支持 Microsoft 文档 | 引用 GDPR 文章 |
|---|---|---|---|
| 确定 PII 主体的权限并启用练习 (7.3.1) | 客户应了解与处理其个人数据相关的个人权限的要求。 这些权限包括访问、更正和清除等。 如果客户使用第三方系统,他们应该确定系统中的哪些部分(如果存在)提供与使个人能够行使其权限(例如访问其数据)相关的工具。 系统提供这些功能时,客户应根据需要进行使用。 | Microsoft 提供的功能,有助于你支持数据主体权利。 符合 GDPR 和 CCPA 的 Microsoft 专业服务数据主体请求 [7] Microsoft 专业服务 ISO/IEC 27001:2013 ISMS 适用性声明 [11] |
(12)(2) |
| 确定 PII 主体(数据主体)的信息 (7.3.2) | 客户应了解有关处理要提供给个人的个人数据的信息类型的要求。 这可能包括以下内容: • 有关控制者及其代表的联系人详细信息; • 有关处理的信息(目的、国际传输和相关安全措施、保留时间等); • 主体如何访问和/或修改其个人数据的信息;请求清除或限制处理;接收其个人数据的副本,及其个人数据的可移植性 • 获取个人数据的来源和方法(如果不是从主体直接获取) • 有关提起诉讼的权限和向谁提起诉讼的信息; • 有关更正个人数据的信息; • 组织不再如往常一样识别数据主体(PII 主体)的通知(如果处理不再需要识别数据主体); • 个人数据的传输和/或泄露; • 仅基于个人数据自动化处理的自动化决策的存在; • 有关数据主体信息的更新和提供频率的信息(例如,“及时”通知、组织定义的频率等) 在客户使用第三方系统或处理器时,他们应确定其中的哪些信息(如果有)需要由他们提供,以确保他们可以从第三方获取所需的信息。 |
可以在向数据主体提供的数据中添加的 Microsoft 服务相关信息。 符合 GDPR 和 CCPA 的 Microsoft 专业服务数据主体请求 [7] - Microsoft 专业服务适用的客户数据保护影响评估关键信息 [9] |
(11)(2)、(13)(1)(a)、(13)(1)(b)、(13)(1)(c)、(13)(1)(d)、(13)(1)(e)、(13)(1)(f)、(13)(2)(c)、(13)(2)(d)、(13)(2)(e)、(13)(3)、(13)(4)、(14)(1)(a)、(14)(1)(b)、(14)(1)(c)、(14)(1)(d)、(14)(1)(e)、(14)(1)(f)、(14)(2)(b)、(14)(2)(e)、(14)(2)(f)、(14)(3)(a)、(14)(3)(b)、(14)(3)(c)、(14)(4)、(14)(5)(a)、(14)(5)(b)、(14)(5)(c)、(14)(5)(d)、(15)(1)(a)、(15)(1)(b)、(15)(1)(c)、(15)(1)(d)、(15)(1)(e)、(15)(1)(f)、(15)(1)(g)、(15)(1)(h)、(15)(2)、(18)(3)、(21)(4) |
| 向 PII 主体提供信息 (7.3.3) | 客户应遵守有关所需信息如何/何时/以何种形式向与处理其个人数据相关的个人提供的所有要求。 如果第三方提供所需信息,则客户应确保该信息符合 GDPR 要求的参数。 | 可以在向数据主体提供的数据中添加的 Microsoft 专业服务的模板化信息。 符合 GDPR 和 CCPA 的 Microsoft 专业服务数据主体请求 [7] - Microsoft 专业服务适用的客户数据保护影响评估关键信息 [9] |
(11)(2)、(12)(1)、(12)(7)、(13)(3)、(21)(4) |
| 提供修改或撤销同意的机制 (7.3.4) | 客户应了解告知用户其访问、更正和/或擦除其个人数据的权利以及提供其执行此操作的机制的要求。 如果使用第三方系统并将此机制作为其功能的一部分提供,则客户应根据需要使用该功能。 | 可用于定义在请求征得许可时向数据主体提供的信息的 Microsoft 服务功能相关信息。 符合 GDPR 和 CCPA 的 Microsoft 专业服务数据主体请求 [7] |
(7)(3)、(13)(2)(c)、(14)(2)(d)、(18)(1)(a)、(18)(1)(b)、(18)(1)(c)、(18)(1)(d) |
| 提供反对处理机制 (7.3.5) | 客户应了解数据主体权利方面的要求。 如果个人有权反对处理,客户应通知他们,并有办法让个人登记他们的反对意见。 | 可以在向数据主体提供的数据中添加的、与要处理的对象相关的 Microsoft 服务相关信息。 符合 GDPR 和 CCPA 的 Microsoft 专业服务数据主体请求 [7] |
(13)(2)(b)、(14)(2)(c)、(21)(1)、(21)(2)、(21)(3)、(21)(5)、(21)(6) |
| PII 主体权利行使共享 (7.3.6) | 在行使个人权利(例如个人请求清除或修改等)的基础上,客户应了解在通知已与其共享个人数据的第三方数据修改实例方面存在的要求 | 便于你发现与第三方共享的个人数据的 Microsoft 服务功能相关信息。 符合 GDPR 和 CCPA 的 Microsoft 专业服务数据主体请求 [7] |
(19) |
| 更正或清除 (7.3.7) | 客户应了解告知用户其访问、更正和/或擦除其个人数据的权利以及提供其执行此操作的机制的要求。 如果使用第三方系统并将此机制作为其功能的一部分提供,则客户应根据需要使用该功能。 | 有关向数据主体所提供的数据中可以包含的与其访问、更正或清除个人数据的功能相关的 Microsoft 服务。 符合 GDPR 和 CCPA 的 Microsoft 专业服务数据主体请求 [7] |
|
| 提供经过处理的 PII 的副本 (7.3.8) | 客户应该了解关于向个人提供正在处理个人数据副本的要求。 这些可能包括有关副本格式的要求 (即,它是计算机可读) 、传输副本等。如果客户使用提供提供副本功能的第三方系统,则应根据需要使用此功能。 | 可以在向数据主体提供的数据中添加的、便于你获取个人数据副本的 Microsoft 服务相关信息。- 符合 GDPR 和 CCPA 的 Microsoft 专业服务数据主体请求 [7] | (15)(3)、(15)(4)、(20)(1)、(20)(2)、(20)(3)、(20)(4) |
| 请求管理 (7.3.9) | 客户应了解接受和响应与处理个人数据相关的个人合法请求的要求。 客户使用第三方系统时,应了解该系统是否提供此类请求处理功能。 如果是这样,客户应在必要时利用此类机制来处理请求。 | 可用于定义在管理数据主体请求时向数据主体提供的信息的 Microsoft 服务功能相关信息。- 符合 GDPR 和 CCPA 的 Microsoft 专业服务数据主体请求 [7] | (12)(3)、(12)(4)、(12)(5)、(12)(6)、(15)(1)(a)、(15)(1)(b)、(15)(1)(c)、(15)(1)(d)、(15)(1)(e)、(15)(1)(f)、(15)(1)(g)、(15)(1)(h) |
| 自动决策 (7.3.10) | 客户应了解有关自动化个人数据处理的要求,以及此类自动化在何处做出决策。 这些可能包括向个人提供数据处理相关信息、反对此类处理或获得人为干预。 如果此类功能由第三方系统提供,客户应确保第三方提供所需的任何信息或支持。 | 关于 Microsoft 服务中任何功能的信息(该信息可支持可用于责任文档的自动决策制定),以及有关这些功能的数据主体的模板化信息。 - Microsoft 专业服务适用的客户数据保护影响评估关键信息 [9] |
(13)(2)(f)、(14)(2)(g)、(22)(1)、(22)(3) |
4. 经设计默认的隐私
| 类别 | 客户注意事项 | 支持 Microsoft 文档 | 引用 GDPR 文章 |
|---|---|---|---|
| 限制收集 (7.4.1) | 客户应了解针对个人数据的限制要求(例如,应限制为收集指定用途所需的内容)。 | 由 Microsoft 服务收集的数据的说明。 - Microsoft 产品和服务数据保护附录 [1] - Microsoft 专业服务适用的客户数据保护影响评估关键信息 [9]] |
(5)(1)(b)、(5)(1)(c) |
| 限制处理 (7.4.2) | 客户负责限制个人数据的处理,以便仅限于满足所确定目的的处理。 | 由 Microsoft 服务收集的数据的说明。 - Microsoft 产品和服务数据保护附录 [1] - Microsoft 专业服务适用的客户数据保护影响评估关键信息 [9] |
(25)(2) |
| 定义和记录 PII 最小化和去标识化目标 (7.4.3) | 客户应了解有关去标识化个人资料的要求,这包括应何时使用、去标识化的程度以及无法使用的情况。 | 在将数据传输到 Microsoft 之前,客户负责取消标识。 在适当的情况下,Microsoft 会在内部应用去标识化和假名化,从而提供个人数据的额外隐私保护措施。 | (5)(1)(c) |
| 遵守标识级别 (7.4.4) | 客户应使用并遵守其组织设定的去标识化目标和方法。 | 在将数据传输到 Microsoft 之前,客户负责取消标识。 在适当的情况下,Microsoft 会在内部应用去标识化和假名化,从而提供个人数据的额外隐私保护措施。 | (5)(1)(c) |
| PII 去标识化和删除 (7.4.5) | 客户应了解有关在出于标识目的使用个人数据后保留个人数据的要求。 在系统提供工具的情况下,客户应在必要时使用这些工具进行擦除或删除。 | Microsoft 服务提供的功能,以支持数据保留策略。 符合 GDPR 和 CCPA 的 Microsoft 专业服务数据主体请求 [7] |
(5)(1)(c)、(5)(1)(e)、(6)(4)(e)、(11)(1)、(32)(1)(a) |
| 临时文件 (7.4.6) | 客户应注意,发送给 Microsoft 的临时文件可能会导致不符合个人数据处理策略(例如,个人数据在临时文件中的保留时间可能比要求或允许的时间更长)。 | 服务提供的用于标识个人数据以支持临时文件策略的功能描述。 符合 GDPR 和 CCPA 的 Microsoft 专业服务数据主体请求 [7] |
(5)(1)(c) |
| 保留时间 (7.4.7) | 考虑到确定的目的,客户应确定个人数据的保留时间。 | 可以在向数据主体提供的文档中添加的、Microsoft 服务保留个人数据的相关信息。 - Microsoft 专业服务数据保护附录 [1] |
(13)(2)(a)、(14)(2)(a) |
| 处置 (7.4.8) | 客户应利用系统提供的任何删除或处置机制来删除个人数据。 | Microsoft 服务提供的功能,以支持数据删除策略。 符合 GDPR 和 CCPA 的 Microsoft 专业服务数据主体请求 [7] |
(5)(1)(f) |
| 收集过程 (7.4.9) | 客户应了解有关个人数据准确性的要求(例如,收集准确性,使数据保持最新等),并利用系统为此提供的任何机制。 | Microsoft 服务如何支持确保个人数据的准确性,以及提供用于支持数据准确性策略的任何功能。 符合 GDPR 和 CCPA 的 Microsoft 专业服务数据主体请求 [7] |
(5)(1)(d) |
| 传输控件 (7.4.10) | 客户应了解保护个人数据传输的要求,包括谁可以访问传输机制、传输记录等。 | 由 Microsoft 服务传输的个人数据类型、在两点之间传输的位置以及传输法律安全措施的描述。 - Microsoft 专业服务适用的客户数据保护影响评估关键信息 [9] |
(15)(2)、(30)(1)(e)、(5)(1)(f) |
| 确定 PII 传输的基础 (7.5.1) | 客户应知道将个人数据 (PII) 传输到不同地理位置的要求,并记录下哪些措施可以满足这些要求。 | 由 Microsoft 服务传输的个人数据类型、在两点之间传输的位置以及传输法律安全措施的描述。 - Microsoft 专业服务适用的客户数据保护影响评估关键信息 [9] |
文章 (44)、(45)、(46)、(47)、(48) 和 (49) |
| 可向其传输 PII 的国家/地区和组织 (7.5.2) | 客户应了解并能够向个人提供个人数据被或可能传输到的国家/地区。 如果第三方/处理器可能执行此传输,则客户应从处理器处获取此信息。 | 由 Microsoft 服务传输的个人数据类型、在两点之间传输的位置以及传输法律安全措施的描述。 - Microsoft 专业服务适用的客户数据保护影响评估关键信息 [9] |
(30)(1)(e) |
| 传输 PII(个人数据)的记录 (7.5.3) | 客户应保留与个人数据传输相关的所有必要和必需的记录。 如果第三方/处理器执行传输,客户应确保他们维护适当的记录,并在必要时获取记录。 | 由 Microsoft 服务传输的个人数据类型、在两点之间传输的位置以及传输法律安全措施的描述。 - Microsoft 专业服务适用的客户数据保护影响评估关键信息 [9] |
(30)(1)(e) |
| 对第三方的 PII 披露记录 (7.5.4) | 客户应了解有关个人数据被披露的记录的要求。 这可能包括向执法部门披露,等等。当第三方/处理者披露数据时,客户应确保维护适当的记录,并在必要时获取这些记录。 | 列出个人数据披露接收者类别的文档,其中包括可用披露记录。 - 谁以及根据哪些条款可以访问你的数据 [6] |
(30)(1)(d) |
| 联合控制者 (7.5.5) | 客户应确定他们是否与其他任何组织同为联合控制者,并适当地记录和分配责任。 | Microsoft 不是作为支持和专业服务数据的一部分提供的个人信息的联合控制者。 | (26)(1)、(26)(2)、(26)(3) |
5. 数据保护与安全
| 类别 | 客户注意事项 | 支持 Microsoft 文档 | 引用 GDPR 文章 |
|---|---|---|---|
| 了解组织及其上下文 (5.2.1) | 客户应确定他们在处理个人数据方面的角色,(如控制者、处理者、协同控制者)以确定处理个人数据的相应要求(法规等)。 | Microsoft 如何在处理个人数据时将每个服务确定为处理者或控制者。 - Microsoft 产品和服务数据保护附录 [1] |
(24)(3)、(28)(10)、(28)(5)、(28)(6)、(32)(3)、(40)(1)、(40)(2)(a)、(40)(2)(b)、(40)(2)(c)、(40)(2)(d)、(40)(2)(e)、(40)(2)(f)、(40)(2)(g)、(40)(2)(h)、(40)(2)(i)、(40)(2)(j)、(40)(2)(k)、(40)(3)、(40)(4)、(40)(5)、(40)(6)、(40)(7)、(40)(8)、(40)(9)、(40)(10)、(40)(11)、(41)(1)、(41)(2)(a)、(41)(2)(b)、(41)(2)(c)、(41)(2)(d)、(41)(3)、(41)(4)、(41)(5)、(41)(6)、(42)(1)、(42)(2)、(42)(3)、(42)(4)、(42)(5)、(42)(6)、(42)(7)、(42)(8) |
| 了解相关方的需求和期望 (5.2.2) | 客户应确定可能在处理个人数据方面发挥作用或感兴趣的各方(例如监管机构、审计机构、数据主体、合同规定的个人数据处理者),并了解在需要时与各方合作的要求。 | Microsoft 如何在考虑到个人数据处理风险的情况下纳入所有利益干系人的意见。 - Microsoft 专业服务适用的客户数据保护影响评估关键信息 [9] |
(35)(9)、(36)(1)、(36)(3)(a)、(36)(3)(b)、(36)(3)(c)、(36)(3)(d)、(36)(3)(e)、(36)(3)(f)、(36)(5) |
| 确定信息安全管理系统的范围(5.2.3、5.2.4) | 作为客户拥有的任何整体安全或隐私程序的一部分,它们应包括与之相关的个人数据处理和要求。 | Microsoft 服务如何在信息安全管理和隐私计划中纳入个人数据处理。 Microsoft 专业服务 ISO/IEC 27001:2013 ISMS 适用性声明 [11] - ISO 27001 审核报告 [10] |
(32)(2) |
| 规划 (5.3) | 客户应将个人数据处理视为他们完成的任何风险评估的一部分,并在他们认为有必要以减轻他们控制的个人数据相关风险时采取控制措施。 | Microsoft 服务如何在整体安全和隐私计划中纳入个人数据处理风险。 Microsoft 专业服务 ISO/IEC 27001:2013 ISMS 适用性声明 [11] |
(32)(1)(b)、(32)(2) |
| 信息安全策略 (6.2) | 客户应该加强任何现有的信息安全政策以将个人数据保护包括在内,其中包括遵守任何适用法律所必需的策略。 | 与信息安全和任何个人信息保护措施相关的 Microsoft 策略。 Microsoft 专业服务 ISO/IEC 27001:2013 ISMS 适用性声明 [11] - ISO 27001 审核报告 [10] |
24(2) |
| 信息安全组织客户注意事项 (6.3) | 客户应在其组织内定义个人数据的安全和保护职责。 这包括建立特定角色来监督隐私相关事宜,包括 DPO。 应提供适当的培训和管理支持来支持这些角色。 | Microsoft 发布了以下相关信息:Microsoft 数据保护管理人员及其职责性质、报告结构和联系信息。 - Microsoft DPO 信息 [13] |
(37)(1)(a)、(37)(1)(b)、(37)(1)(c)、(37)(2)、(37)(3)、(37)(4)、(37)(5)、(37)(6)、(37)(7)、(38)(1)、(38)(2)、(38)(3)、(38)(4)、(38)(5)、(38)(6)、(39)(1)(a)、(39)(1)(b)、(39)(1)(c)、(39)(1)(d)、(39)(1)(e)、(39)(2) |
| 人员安全 (6.4) | 客户应确定并分配提供与保护个人数据相关的相关培训的责任。 | 概述 Microsoft 数据保护官的角色、其职责性质、报告结构和联系信息。 Microsoft 专业服务 ISO/IEC 27001:2013 ISMS 适用性声明 [11] - 培训和意识计划说明 [3] |
(39)(1)(b) |
| 信息分类 (6.5.1) | 客户应将个人数据明确纳入数据分类方案。 | Microsoft 如何在数据分类、标记和跟踪信息中纳入个人数据。 - Microsoft 专业服务适用的客户数据保护影响评估关键信息 [9] |
(39)(1)(b) |
| 管理可移动媒体 (6.5.2) | 客户应确定使用可移动媒体的内部策略,因为这涉及个人数据保护(例如加密设备)。 | Microsoft 服务如何保护任何可移动媒体上的个人信息安全性。 Microsoft 专业服务 ISO/IEC 27001:2013 ISMS 适用性声明 [11] - Microsoft 专业服务控件集 [4] |
(32)(1)(a)、(5)(1)(f) |
| 物理媒体传输 (6.5.3) | 客户应确定在传输物理媒体(如加密)时保护个人数据的内部策略。 | Microsoft 服务如何在物理媒体的任何传输中保护个人数据。 Microsoft 专业服务 ISO/IEC 27001:2013 ISMS 适用性声明 [11] - Microsoft 专业服务控件集 [4] |
(32)(1)(a)、(5)(1)(f) |
| 用户访问管理 (6.6.1) | 客户应了解他们在使用的服务中对访问控制负有的职责,并使用可用工具管理相应职责。 | Microsoft 服务提供的工具,有助于你强制执行访问控制。 - Microsoft 专业服务安全文档 [2] |
(5)(1)(f) |
| 用户注册和注销 (6.6.2) | 客户应使用他们可用的工具来管理其所使用的服务中的用户注册和注销。 | Microsoft 服务提供的工具,有助于你强制执行访问控制。 - Microsoft 专业服务安全文档 [2] |
(5)(1)(f) |
| 用户访问权限预配 (6.6.3) | 客户应该使用他们可用的工具在其所使用的服务内管理用户配置文件,尤其是管理针对个人数据的授权访问。 | Microsoft 服务如何支持对个人数据执行正式访问控制,包括用户 ID、角色以及用户注册和注销。 - Microsoft 专业服务安全文档 [2] |
(5)(1)(f) |
| 特权访问管理 (6.6.4) | 客户应该使用他们可用的工具在其所使用的服务内管理用户 ID,以促进跟踪访问(尤其针对个人数据)。 | Microsoft 服务如何支持对个人数据执行正式访问控制,包括用户 ID、角色以及用户注册和注销。 - Microsoft 专业服务安全文档 [2] |
(5)(1)(f) |
| 安全登录过程 (6.6.5) | 客户应利用服务中提供的机制来确保必要时为其用户提供安全登录功能。 | Microsoft 服务如何支持与个人数据相关的内部访问控制策略。 - 谁以及根据哪些条款可以访问你的数据 [6] |
(5)(1)(f) |
| 加密 (6.7) | 客户应确定哪些数据可能需要加密,以及他们正在使用的服务是否提供此功能。 客户应根据需要使用可用的工具进行加密。 | Microsoft 服务如何支持加密和假名化,以减少个人数据处理风险。 - Microsoft 专业服务安全文档 [2] |
(32)(1)(a) |
| 安全处置或重新使用设备 (6.8.1) | 在客户使用云计算服务(PaaS、SaaS、IaaS)的情况下,他们应了解云提供商如何确保在将存储空间分配给其他客户之前将个人数据从该空间中清除。 | Microsoft 服务如何在结合使用专业服务和 Microsoft Azure 云计算服务时,确保在设备转让或重用前从存储设备中清除个人数据。 - Microsoft 专业服务安全文档 [2] |
(5)(1)(f) |
| 清除桌面和清除屏幕策略 (6.8.2) | 客户应考虑显示个人数据的硬拷贝材料相关的风险,并可能限制此类材料的创建。 如果正在使用的系统提供限制此类材料的功能(例如,设置为防止打印或复制/粘贴敏感数据),客户应根据需要使用这些功能。 | Microsoft 管理硬拷贝所采取的措施。 - Microsoft 在内部维护这些控件,请参阅 Microsoft 专业服务 ISO/IEC 27001:2013 ISMS 适用性声明 [11] - Microsoft 专业服务 GDPR 控件集 [4] |
(5)(1)(f) |
| 分离开发、测试和运行环境 (6.9.1) | 客户应考虑在组织内的开发和测试环境中使用个人数据的影响。 | Microsoft 如何确保个人数据在开发和测试环境中受到保护。 Microsoft 专业服务 ISO/IEC 27001:2013 ISMS 适用性声明 [11] - Microsoft 专业服务控件集 [4] |
(5)(1)(f) |
| 信息备份 (6.9.2) | 客户应确保他们使用系统提供的功能来创建数据冗余并在必要时进行测试。 | Microsoft 如何确保可能包含个人数据的数据的可用性,如何确保已还原数据的准确性以及 Microsoft 服务提供的可备份和还原数据的工具和过程的准确性。 - Microsoft 企业版业务连续性管理文档 [5] |
(32)(1)(c)、(5)(1)(f) |
| 事件日志记录 (6.9.3) | 客户应了解系统提供的记录功能,并利用这些功能来确保他们可以记录他们认为必要的与个人数据相关的操作。 | Microsoft 服务为你记录的数据包括用户活动、异常、错误和信息安全事件,以及如何访问这些日志以作为保存记录的一部分使用。 - Microsoft 专业服务安全文档 [2] - Microsoft 专业服务控件集 [4] |
(5)(1)(f) |
| 保护日志信息 (6.9.4) | 客户应考虑保护可能包含个人数据或可能包含与个人数据处理相关的记录的日志信息的要求。 在使用中的系统提供保护日志的功能时,客户应在必要时使用这些功能。 | Microsoft 如何保护可能包含个人数据的日志。 - Microsoft 专业服务安全文档 [2] - Microsoft 专业服务控件集 [4] |
(5)(1)(f) |
| 信息传输策略和过程 (6.10.) | 客户应在物理媒体 ((例如在服务器或设施之间移动硬盘驱动器) )上传输个人数据的程序。 这些可能包括日志、授权和跟踪。 如果第三方或其他处理者可能正在传输物理介质,客户应确保该组织已制定程序来确保个人数据的安全性。 | Microsoft 服务如何传输可能包含个人数据的物理介质,包括传输时间以及为保护数据而采取的保护措施等情况。 Microsoft 专业服务 ISO/IEC 27001:2013 ISMS 适用性声明 [11] - Microsoft 专业服务控件集 [4] |
(5)(1)(f) |
| 保密性或保密协议 (6.10.2) | 客户应确定保密协议的必要性,或者有权访问个人数据的个人或对个人数据负有相关责任的个人的等同性。 | Microsoft 服务如何确保有权访问个人数据的个人承诺保密。 Microsoft 专业服务 ISO/IEC 27001:2013 ISMS 适用性声明 [11] - Microsoft 专业服务控件集 [4] |
(5)(1)(f)、(28)(3)(b)、(38)(5) |
| 保护公共网络上的应用服务 (6.11.1) | 客户应了解个人数据加密的要求,尤其是在通过公用网络发送时。 如果系统提供加密数据的机制,客户应在必要时使用这些机制。 | Microsoft 服务为保护传输中的数据(包括数据加密)而采取的措施的说明、以及 Microsoft 服务在数据通过公用数据网络(包括任何加密措施)时如何保护可能包含个人数据的数据的说明。 - Microsoft 专业服务安全文档 [2] |
(5)(1)(f)、(32)(1)(a) |
| 安全系统工程原理 (6.11.2) | 客户应了解系统是如何从考虑保护个人数据的角度设计和策划的。 如果客户使用由第三方设计的系统,则他们有责任确保已慎重考虑此类保护措施。 | Microsoft 服务如何将个人数据保护原则纳入安全设计/工程原则的强制性部分。 Microsoft 专业服务 ISO/IEC 27001:2013 ISMS 适用性声明 [11] - 什么是安全开发生命周期? |
(25)(1) |
| 供应商关系 (6.12) | 客户应确保任何信息安全和个人数据保护要求以及第三方责任均在合同信息或其他协议中得到解决。 协议还应给出处理说明。 | Microsoft 服务如何在我们与供应商达成的协议中指定安全和数据保护,以及我们如何确保这些协议得到有效执行。 - 谁以及根据哪些条款可以访问你的数据 [6] |
(5)(1)(f)、(28)(1)、(28)(3)(a)、(28)(3)(b)、(28)(3)(c)、(28)(3)(d)、(28)(3)(e)、(28)(3)(f)、(28)(3)(g)、(28)(3)(h)、(30)(2)(d)、(32)(1)(b) |
| 信息安全事件管理和改进 (6.13.1) | 客户应具有确定何时发生个人数据泄露的流程。 | Microsoft 服务如何确定安全事件是否是个人数据泄露事件,以及我们如何向你传达泄露事件。 - Microsoft 专业服务和 GDPR 规定的泄露通知 [8] |
(33)(2) |
| 责任和过程(在信息安全事件期间)(6.13.2) | 客户应了解并记录在涉及个人数据的数据泄露或安全事件期间的责任。 职责可能包括通知所需方、与处理者或其他第三方的通信,以及客户组织内的责任。 | 如何在检测到安全事件或个人数据泄露时通知 Microsoft 服务。 - Microsoft 专业服务和 GDPR 规定的泄露通知 [8] |
(5)(1)(f)、(33)(1)、(33)(3)(a)、(33)(3)(b)、(33)(3)(c)、(33)(3)(d)、(33)(4)、(33)(5)、(34)(1)、(34)(2)、(34)(3)(a)、(34)(3)(b)、(34)(3)(c)、(34)(4) |
| 信息安全事件响应 (6.13.3) | 客户应具有确定何时发生个人数据泄露的流程。 | Microsoft 服务提供的信息说明,有助于你确定是否发生了个人数据泄露。 - Microsoft 专业服务和 GDPR 规定的泄露通知 [8] |
(33)(1)、(33)(2)、(33)(3)(a)、(33)(3)(b)、(33)(3)(c)、(33)(3)(d)、(33)(4)、(33)(5)、(34)(1)、(34)(2) |
| 记录保护 (6.15.1) | 客户应了解与个人数据处理相关且需要维护的记录的相关要求。 | Microsoft 服务如何存储与个人数据处理相关的记录。 - Microsoft 专业服务安全文档 [2] |
(5)(2)、(24)(2) |
| 独立审查信息安全 (6.15.2) | 客户应了解对个人数据处理安全性评估的要求。 这包括内部或外部审核或其他评估处理安全性的措施。 如果客户依赖其他第三方组织进行全部或部分处理,则应收集有关由他们执行的此类评估的信息。 | Microsoft 服务如何测试和评估技术和组织措施的有效性,以确保处理的安全性,包括第三方的任何审核。 - Microsoft 专业服务数据保护附录 [1] |
(32)(1)(d)、(32)(2) |
| 技术符合性审查 (6.15.3) | 客户应了解测试和评估处理个人数据安全性的要求。 这包括技术测试,如渗透测试。 如果客户使用第三方系统或处理者,则他们应了解他们在保护和测试安全方面承担的责任(例如管理配置以保护数据,然后测试这些配置设置)。 如果第三方负责安全性处理的全部或部分,则客户应该了解第三方为确保处理的安全性而进行的测试或评估。 | 如何根据确定的风险测试 Microsoft 服务的安全性(包括第三方测试,以及技术测试类型)。 - 有关外部认证的列表,请参阅 Microsoft 信任中心合规性产品/服务 [12] - 若要详细了解应用程序漏洞测试,请参阅 Microsoft 专业服务安全文档 [2] |
(32)(1)(d)、(32)(2) |
6. 资源和链接参考文献
| ID | 说明/链接 | 备注 |
|---|---|---|
| 1 | Microsoft 产品和服务数据保护附录 | |
| 2 | Microsoft 专业服务安全文档 | |
| 3 | 培训和意识计划说明 | 可向客户的帐户管理团队请求获取。 |
| 4 | Microsoft 专业服务 GDPR 控件集 | |
| 5 | Microsoft 企业版业务连续性管理文档 | 可向客户的帐户管理团队请求获取。 |
| 6 | 谁可以访问你的数据和所依据的条款 | |
| 7 | 符合 GDPR 和 CCPA 的 Microsoft 专业服务数据主体请求 | |
| 8 | Microsoft 专业服务和 GDPR 规定的泄露通知 | |
| 9 | Microsoft 专业服务适用的客户数据保护影响评估关键信息 | |
| 10 | ISO 27001 审核报告 | |
| 11 | Microsoft 专业服务 ISO/IEC 27001:2013 ISMS 适用性声明 | 可向客户的帐户管理团队请求获取的 SOA。 |
| 12 | Microsoft 信任中心合规性产品/服务 | |
| 13 | Microsoft DPO 信息 |