適用於 Microsoft 365 的責任整備檢查清單
1. 簡介
此責任整備檢查清單提供使用 Microsoft Office 365 時,便於存取支援 GDPR 所需資訊的方式。
您可以使用「合規性管理員」管理此檢查清單中的項目,方法是參考 GDPR 圖格中「客戶受管理控制項」底下的控制項識別碼和控制項標題。
此外,此檢查清單中的項目低於 5。數據保護 & 安全 性提供 合規性管理員中 [GDPR] 圖格中 [Microsoft受控控件] 底下所列控件的參考。 檢閱這些控件的Microsoft實作詳細數據,可提供Microsoft在檢查清單專案中滿足客戶考慮之方法的其他說明。
該清單和合規性管理員是使用個人資訊處理者的一組隱私權和安全性控制的標題和參考編號 (列在每個檢查清單主題的括號中) 來進行編排,依循:
- ISO/IEC 27701 為隱私權管理需求。
- ISO/IEC 27001 為安全性技術需求。
此控制項結構也可用於組織 Microsoft Office 365 實作以支援 GDPR 的內部控制項展示,您可以在這裡下載:服務信任中心。
2. 收集和處理的條件
| 類別 | 客戶考量 | 支援的 Microsoft 文件 | 應對的 GDPR 條款 |
|---|---|---|---|
| 判斷需取得同意的時機 (7.2.3) | 關於在處理個人資料之前先取得個人同意這點,客戶應了解與其相關的法律或監管規定 (何時需要、該類型的處理是否不在規定之內等),包括取得同意的方式。 | Office 365 不提供獲得使用者同意的直接支援。 | (6)(1)(a)、(8)(1)、(8)(2) |
| 確定並記錄目的 (7.2.1) | 客戶應該記錄處理個人資料的目的。 | 說明 Microsoft 為您執行的處理以及處理的目的,可以包含在您的責任文件中。 - Microsoft 線上服務條款、資料保護條款,請參閱「處理個人資料;GDPR」[1] |
(5)(1)(b)、(32)(4) |
| 識別法律依據 (7.2.2) | 客戶應了解任何與處理相關的法律依據規定,例如是否必須先取得同意。 | Microsoft 服務為了納入您的責任歸屬文件而處理的個人資料描述。 - 客戶資料保護影響評估適用的 Office 365 重要資訊 [10] |
(5) (1) () , (6) (1) () , (6) (1) (b) , (6) (1) (c) , (6) (1) (d) , (6) (1) (e) , (6) (1) (f) , (6) (3) , (6) (4) () 、 (6) (4) (b) , (6) (4) (c) , (6) (4) (d) , (6) (4) (e) , (8) (3) , (9) (1) , (9) (2) (b) , (9) (2) (c) , (9) (2) (d) , (9) (2) (e) , (9) (2) (f) , (9) (2) (g) , (9) (2) (h) , (9) (2) (i) , (9) (2) (j) , (9) (3) , (9) (4) , (10) , (17) (3) () , (17) (3) (b) , (17) (3) (c) , (17) (3) (d) , (17) (3) (e) , (18) (2) , (22) (2) () , (22) (2) (b) , (22) (2) (c) , (22) (4) |
| 判斷需取得同意的時機 (7.2.3) | 關於在處理個人資料之前先取得個人同意這點,客戶應了解與其相關的法律或監管規定 (何時需要、該類型的處理是否不在規定之內等),包括取得同意的方式。 | Office 365 不提供獲得使用者同意的直接支援。 | (6)(1)(a)、(8)(1)、(8)(2) |
| 取得並記錄同意 (7.2.4) | 判斷為必要時,客戶應該適當地取得同意。 客戶也應該注意如何呈現和收集同意要求的任何需求。 | Office 365 不提供獲得使用者同意的直接支援。 | (7)(1)、(7)(2)、(9)(2)(a) |
| 隱私權影響評估 (7.2.5) | 客戶應該了解完成隱私權影響評估的相關規定 (何時應執行、需要哪些類別的資料、以及完成評估的時機)。 | Microsoft服務如何判斷何時執行 DPIA,以及服務信任入口網站 數據保護影響評估 (DPIA) 頁面上提供包含 DPO 參與Microsoft的 DPIA 計劃概觀。 如需 DPIA 的支援,請參閱: - 客戶資料保護影響評估適用的 Office 365 重要資訊 [10] |
(35) |
| 與 PII 處理者之間的合約 (7.2.6) | 客戶應該確保其與處理者的合約,涵蓋了協助處理和保護個人資料的所有相關法律或法規義務的規定。 | Microsoft 合約要求我們對於您在 GDPR 之下的義務提供協助,包括支援資料主體的權限。 - Microsoft 線上服務條款、資料保護條款,請參閱「處理個人資料;GDPR」[1] |
(5)(2)、(28)(3)(e)、(28)(9) |
| 與 PII 處理相關的記錄 (7.2.7) | 客戶應維護處理個人資料 (的所有必要和必要記錄,也就是目的、安全性措施等 ) 。 若其中某些記錄必須由子處理者提供,則客戶務必確保他們能夠取得這類記錄。 | Microsoft 服務提供來協助您維護示範合規性所需記錄和支援 GDPR 之下的責任的工具。 - 在 Office 365 安全與規範中心搜尋稽核記錄 [16] |
(5)(2)、(24)(1)、(30)(1)(a)、(30)(1)(b)、(30)(1)(c)、(30)(1)(d)、(30)(1)(g)、(30)(1)(f)、(30)(3)、(30)(4)、(30)(5) |
3. 資料主體的權利
| 類別 | 客戶考量 | 支援的 Microsoft 文件 | 應對的 GDPR 條款 |
|---|---|---|---|
| 判斷 PII 主體的權利並讓權利能夠行使 (7.3.1) | 客戶應了解關於處理個人資料的使用者權限需求。 這些權限可能包含存取、修正和清除。 若是客戶使用協力廠商系統,他們應該決定系統的哪部分(如果有的話)提供啟用個人執行其權限(例如,存取他們的資料)相關的工具。 系統會提供這類功能,讓客戶根據需要利用它們。 | Microsoft 提供的功能可以協助您支援資料主體權利。 - GDPR 的 Office 365 數據主體要求 [8] - Microsoft Office 365 ISO/IEC 27001:2013 ISMS 適用性 聲明 [12] 請參閱 ISO、IEC 27018、2014 控件 A.1.1 |
(12)(2) |
| 判斷屬於 PII 主體 (資料主體) 的資訊 (7.3.2) | 客戶應該瞭解處理個人資料的相關信息類型需求,這些資訊可供個人提供。 這可能包括下列專案: - 控制者或其代表的連絡人詳細資料; - 處理 (目的、國際傳輸和相關防護措施、保留期間等等) 的相關資訊; - 有關主體如何存取和/或修改其個人資料;要求清除或限制處理;接收其個人資料的複本,以及其個人資料可攜性的資訊 - 如何以及從何處取得個人資料 (如果不是直接從主體取得) - 關於提出抱怨的權利以及向誰提出的資訊; - 關於更正個人資料的資訊; - 當處理不再需要識別資料主體時,組織無法再識別資料主體 (PII 主體) 的相關通知; - 傳輸和/或揭露個人資料; - 自動化決策的存在只根據個人資料的自動化處理; - 關於資料主體更新及提供頻率的資訊 (即「及時」通知、組織定義頻率等等) 在客戶使用第三方系統或處理者的情況下,他們應該判斷是否需要提供此資訊 (如果有的話),並確保可以從第三方取得所需的資訊。 |
在您提供給資料主體的資料中,可以包含的 Microsoft 服務相關資訊。 - GDPR 的 Office 365 資料主體要求 [8] - 客戶資料保護影響評估適用的 Office 365 重要資訊 [10] |
(11)(2)、(13)(1)(a)、(13)(1)(b)、(13)(1)(c)、(13)(1)(d)、(13)(1)(e)、(13)(1)(f)、(13)(2)(c)、(13)(2)(d)、(13)(2)(e)、(13)(3)、(13)(4)、(14)(1)(a)、(14)(1)(b)、(14)(1)(c)、(14)(1)(d)、(14)(1)(e)、(14)(1)(f)、(14)(2)(b)、(14)(2)(e)、(14)(2)(f)、(14)(3)(a)、(14)(3)(b)、(14)(3)(c)、(14)(4)、(14)(5)(a)、(14)(5)(b)、(14)(5)(c)、(14)(5)(d)、(15)(1)(a)、(15)(1)(b)、(15)(1)(c)、(15)(1)(d)、(15)(1)(e)、(15)(1)(f)、(15)(1)(g)、(15)(1)(h)、(15)(2)、(18)(3)、(21)(4) |
| 提供資訊給 PII 主體 (7.3.3) | 客戶應遵守如何/何時/以何種形式將所需的資訊提供給個人關於其個人資料的處理方式的任何需求。 在第三方可能會提供必要的資訊的情況下,客戶必須確保其符合 GDPR 所需的參數。 | 在您提供給資料主體的資料中,可以包含的 Microsoft 服務相關範本資訊。 - GDPR 的 Office 365 資料主體要求 [8] - 客戶資料保護影響評估適用的 Office 365 重要資訊 [10] |
(11)(2)、(12)(1)、(12)(7)、(13)(3)、(21)(4) |
| 提供可修改或撤銷同意的機制 (7.3.4) | 客戶應該瞭解通知使用者其存取權、更正和/或清除其個人資料,以及提供他們執行此作業之機制的需求。 如果使用第三方系統,並提供此機制作為其功能的一部分,客戶應視需要利用該功能。 | 在定義向資料主體請求同意時所提供的資訊時,可以使用的 Microsoft 服務中功能的相關資訊。 - GDPR 的 Office 365 資料主體要求 [8] |
(7)(3)、(13)(2)(c)、(14)(2)(d)、(18)(1)(a)、(18)(1)(b)、(18)(1)(c)、(18)(1)(d) |
| 提供反對處理的機制 (7.3.5) | 客戶應該瞭解有關數據主體權利的需求。 當個人有權進行處理時,客戶應該通知他們,並讓個人註冊其意見反應。 | 在您提供給資料主體的資料中,可以包含的與要處理物件相關 Microsoft 服務相關資訊。 - GDPR 的 Office 365 資料主體要求 [8] 請參閱「步驟 4:限制」 |
(13)(2)(b)、(14)(2)(c)、(21)(1)、(21)(2)、(21)(3)、(21)(5)、(21)(6) |
| 共用 PII 主體的權利行使 (7.3.6) | 客戶應該了解在因行使個人權利而修改過資料 (例如,個人要求清除或修改等) 的情況下,通知共用個人資料的第三方這項事實的規定 | 在 Microsoft 服務中功能的相關資訊,此功能可讓您探索與第三方共用的個人資料。 - GDPR 的 Office 365 資料主體要求 [8] |
(19) |
| 更正或清除 (7.3.7) | 客戶應該瞭解通知使用者其存取權、更正和/或清除其個人資料,以及提供他們執行此作業之機制的需求。 如果使用第三方系統,並提供此機制作為其功能的一部分,客戶應視需要利用該功能。 | 在您提供給資料主體的資料中,可以包含的與存取、更正或清除個人資料能力相關 Microsoft 服務相關資訊的範本。 - GDPR 的 Office 365 資料主體要求 [8] 請參閱「步驟 5:刪除」 |
(5)(1)(d)、(13)(2)(b)、(14)(2)(c)、(16)、(17)(1)(a)、(17)(1)(b)、(17)(1)(c)、(17)(1)(d)、(17)(1)(e)、(17)(1)(f)、(17)(2) |
| 提供處理的 PII 副本 (7.3.8) | 客戶應了解將自己所處理的個人資料複本提供給個人的規定。 其中可能包括有關複本格式(即電腦可讀取的)、傳送複本等要求。如果客戶使用協力廠商系統的功能來提供複本,應根據需要使用此功能。 | 在您提供給資料主體的資料中,可以包含的 Microsoft 服務功能相關資訊,這些功能可讓您取得其個人資料的複本。 - GDPR 的 Office 365 資料主體要求 [8] 請參閱「步驟 6:匯出」 |
(15)(3)、(15)(4)、(20)(1)、(20)(2)、(20)(3)、(20)(4) |
| 要求管理 (7.3.9) | 客戶應該瞭解接受和回應個人對其個人資料處理相關之合法要求的需求。 當客戶使用第三方系統時,他們應該瞭解該系統是否提供這類處理要求的功能。 如果是,客戶應視需要利用這類機制來處理要求。 | 當您管理資料主體要求,在定義提供給資料主體的資訊時,可以使用的 Microsoft 服務中功能的相關資訊。 - GDPR的 Office 365 資料主體要求 [8] 客戶應該了解有關自動化處理個人資料和透過這類自動化作業做出決策的需求。 其中可能包括向個人提供處理、反對處理或取得人為介入的相關資訊。 這類功能由第三方系統提供,客戶必須確定協力廠商會提供任何必要的資訊或支援。 可以包含在您的責任文件中、與 Microsoft 服務中可能支援自動決策的功能相關的資訊,以及與這些功能的資料主體範本化資訊。 |
(13)(2)(f)、(14)(2)(g)、(22)(1)、(22)(3) |
4. 從設計著手保護隱私權與預設保護隱私權
| 類別 | 客戶考量 | 支援的 Microsoft 文件 | 應對的 GDPR 條款 |
|---|---|---|---|
| 限制收集 (7.4.1) | 客戶應該了解有關收集個人資料限制的規定 (例如,應只限於收集定目的所需的資料)。 | Microsoft 服務收集的資料描述。 - Microsoft 線上服務條款、資料保護條款,請參閱「處理個人資料;GDPR」[1] - 客戶資料保護影響評估適用的 Office 365 重要資訊 [10] |
(5)(1)(b)、(5)(1)(c) |
| 限制處理 (7.4.2) | 客戶有責任限制對個人資料的處理,以便將其限制在所指明目的之範圍內。 | Microsoft 服務收集的資料描述。 - Microsoft 線上服務條款、資料保護條款,請參閱「處理個人資料;GDPR」[1] - 客戶資料保護影響評估適用的 Office 365 重要資訊 [10] |
(25)(2) |
| 定義及記錄 PII 最少化與去除識別度的目標 (7.4.3) | 客戶應該了解與處理個人資料有關的個人權利規定。這些權利可能包括存取、更正、清除等權利。如果客戶使用第三方系統,應該由客戶判斷系統中的哪些部分 (如果有的話) 提供能讓個人行使權利的工具 (例如,存取自己的資料)。系統有提供這些功能時,客戶應根據需要加以使用。 | 在適當的情況下,Microsoft 會在內部進行去除識別度和假名化處理,為個人資料提供額外的隱私保護措施。 | (5)(1)(c) |
| 遵守識別層級 (7.4.4) | 客戶應該使用並遵守其組織設定的去除識別度的目標和方法。 | 在適當的情況下,Microsoft 會在內部進行去除識別度和假名化處理,為個人資料提供額外的隱私保護措施。 | (5)(1)(c) |
| PII 去除識別度和刪除 (7.4.5) | 客戶應該瞭解個人資料保留超過其用於所識別用途的需求。 當系統提供工具時,客戶應視需要利用這些工具來清除或刪除。 | Microsoft 雲端服務提供來支援您的資料保留原則的功能。 - GDPR 的 Office 365 資料主體要求 [8] 請參閱 步驟 5:刪除 |
(5)(1)(c)、(5)(1)(e)、(6)(4)(e)、(11)(1)、(32)(1)(a) |
| 暫存檔 (7.4.6) | 客戶應該要知道系統建立的暫存檔案可能會導致不符合有關處理個人資料的原則(例如,在暫存檔案中個人資料的保留時間比需要或允許的時間長)。 系統提供這類工具刪除或檢查暫存檔案,客戶必須使用這類工具以符合需求。 | 說明由服務所提供、用於識別個人資料以支援暫存檔原則的功能。 GDPR 的 Office 365 資料主體要求 [8] 查看 Step1: 探索 |
(5)(1)(c) |
| 保留 (7.4.7) | 客戶應該考慮指明的目的,判斷個人資料應保留多久時間。 | 可以包含在您提供給資料主體的文件中、Microsoft 服務對保留個人資料的相關資訊。 - Microsoft 線上服務條款、資料保護條款,請參閱「資料安全性;保留」[1] |
(13)(2)(a)、(14)(2)(a) |
| 處置 (7.4.8) | 客戶應該利用系統提供的所有刪除或處置機制,來刪除個人資料。 | Microsoft 雲端服務提供來支援您的資料刪除原則的功能。 -* GDPR 的 Office 365 資料主體要求 [8] 請參閱「步驟 5:刪除」 |
(5)(1)(f) |
| 收集程序 (7.4.9) | 客戶應該了解有關個人資料正確性的規定 (例如,收集、保持資料為最新等正確性),並利用系統為此提供的任何機制。 | Microsoft 服務如何支援個人資料的正確性,以及供您支援資料正確性原則的所有功能。 - GDPR 的 Office 365 資料主體要求 [8] 請參閱「步驟 3:修正」 |
(5)(1)(d) |
| 傳輸控制項 (7.4.10) | 客戶應該了解保護個人資料傳輸的規定,包括誰可以使用傳輸機制,傳輸記錄等。 | 說明由 Microsoft 服務傳輸的個人資料類型、傳輸雙方的位置、以及傳輸的法律保障。 - 客戶資料保護影響評估適用的 Office 365 重要資訊 [10] |
(15)(2)、(30)(1)(e)、(5)(1)(f) |
| 識別 PII 傳輸 (7.5.1) | 客戶應該知道將個人資料 (PII) 傳輸到不同地理位置的規定,並記錄採取了哪些適當的措施來實踐這些規定。 | 說明由 Microsoft 服務傳輸的個人資料類型、傳輸雙方的位置、以及傳輸的法律保障。 - 客戶資料保護影響評估適用的 Office 365 重要資訊 [10] |
條款 (44)、(45)、(46)、(47)、(48)、(49) |
| PII 傳輸的目的地國家/地區和組織 (7.5.2) | 客戶應該瞭解並能夠提供給個人個人資料的目的地國家/地區。 當第三方/處理器可以執行此轉移時,客戶應該從處理器取得此資訊。 | 說明由 Microsoft 服務傳輸的個人資料類型、傳輸雙方的位置、以及傳輸的法律保障。 - 客戶資料保護影響評估適用的 Office 365 重要資訊 [10] |
(30)(1)(e) |
| PII (個人資料) 傳輸的記錄 (7.5.3) | 客戶應維護與個人資料傳輸相關的所有必要和必要記錄。 當第三方/處理器執行轉移時,客戶應該確保他們維護適當的記錄,並視需要取得這些記錄。 | 說明由 Microsoft 服務傳輸的個人資料類型、傳輸雙方的位置、以及傳輸的法律保障。 - 客戶資料保護影響評估適用的 Office 365 重要資訊 [10] |
(30)(1)(e) |
| 向第三方揭露 PII 的記錄 (7.5.4) | 客戶應該瞭解有關向其公開個人資料的錄製需求。 這可能包括向執法機關揭露等。當第三方/處理者揭露數據時,客戶應該確保他們維護適當的記錄,並視需要取得這些記錄。 | 關於個人資料 (包括可用揭露記錄) 揭露收件者類別的提供文件。 - 誰根據哪些條款可以存取您的資料 [6] |
(30)(1)(d) |
| 聯合控制者 (7.5.5) | 客戶應該判斷他們是否與其他組織一起作為聯合的控制者,並適當地記錄和分配責任。 | Microsoft 服務控制個人資訊的文件,包括可包含在適用資料文件的範本資訊。 - Microsoft 線上服務條款、資料保護條款,請參閱「處理個人資料;GDPR」[1] |
5. 資料保護和安全性
| 類別 | 客戶考量 | 支援的 Microsoft 文件 | 應對的 GDPR 條款 |
|---|---|---|---|
| 了解組織和其內容 (5.2.1) | 客戶應該判斷他們在處理個人資料方面的角色 (例如控制者、處理者、共同控制者),以識別處理個人資料的適當規定 (法規等)。 | 處理個人資料時,Microsoft 如何將每個服務視為處理器或控制項。 - Microsoft Online Services 條款、Data Protection 條款,請參閱「處理個人資料;GDPR,處理器和控制項角色及責任」[1] |
(24)(3)、(28)(10)、(28)(5)、(28)(6)、(32)(3)、(40)(1)、(40)(2)(a)、(40)(2)(b)、(40)(2)(c)、(40)(2)(d)、(40)(2)(e)、(40)(2)(f)、(40)(2)(g)、(40)(2)(h)、(40)(2)(i)、(40)(2)(j)、(40)(2)(k)、(40)(3)、(40)(4)、(40)(5)、(40)(6)、(40)(7)、(40)(8)、(40)(9)、(40)(10)、(40)(11)、(41)(1)、(41)(2)(a)、(41)(2)(b)、(41)(2)(c)、(41)(2)(d)、(41)(3)、(41)(4)、(41)(5)、(41)(6)、(42)(1)、(42)(2)、(42)(3)、(42)(4)、(42)(5)、(42)(6)、(42)(7)、(42)(8) |
| 了解相關各方的需求和期望 (5.2.2) | 客戶應該識別可能在處理個人資料方面發揮作用或感興趣的各方 (例如監管機構、稽核者、資料主體、有訂定合約的個人資料處理者),並了解有必要時與其互動的規定。 | 考慮到處理個人資料所涉及的風險,Microsoft 如何納入所有利益相關各方的意見。 - 客戶資料保護影響評估適用的 Office 365 重要資訊 [10] - Office 365 ISMS 手冊 [14] 請參閱「4.2 了解相關各方的需求和期望」 在合規性管理員中了解相關各方的需求和期望 5.2.2 |
(35)(9)、(36)(1)、(36)(3)(a)、(36)(3)(b)、(36)(3)(c)、(36)(3)(d)、(36)(3)(e)、(36)(3)(f)、(36)(5) |
| 判斷資訊安全性管理系統的範圍 (5.2.3、5.2.4) | 客戶應將對個人資料的處理及其相關規定,包含在現有的任何整體安全性或隱私權計劃中。 | Microsoft 服務如何在資訊安全性管理和隱私權程式中包含個人資料處理。 - Microsoft Office 365 ISO/IEC 27001:2013 ISMS 適用性聲明 [12] 請參閱 A.19 - SOC 2 Type 2 稽核報告 [11] - Office 365 ISMS 手冊 [14] 請參閱 4。組織的內容 - 5.2.3 在合規性管理員中判斷資訊安全性管理系統的範圍 5.2.4 合規性管理員中的資訊安全性管理系統 |
(32)(2) |
| 規劃 (5.3) | 客戶應將對個人資料的處理,視為所完成的任何風險評估中的一環,並採用所有判定為必要的控制措施,以降低所控制個人資料的相關風險。 | Microsoft 服務如何將個人資料處理特有的風險,視為其整體安全性和隱私權計劃的一部分。 - Office 365 ISMS 手冊 [14] 請參閱「5.2 原則」 5.3 在合規性管理員中規劃 |
(32)(1)(b)、(32)(2) |
| 資訊安全性原則 (6.2) | 客戶應增強任何現有的資訊安全性原則,納入個人資料保護,包括遵守任何適用法律所需的原則。 | 資訊安全性及個人資訊保護任何特定量值的 Microsoft 原則。 - Microsoft Office 365 (全部版本) ISO/IEC 27001:2013 ISMS 適用性聲明 [12] 請參閱 A.19 - SOC 2 Type 2 稽核報告 [11] - 6.2 合規性管理員中的資訊安全性原則 |
24(2) |
| 資訊安全性組織的客戶考量 (6.3) | 客戶應該在其組織中定義保護個人資料安全的責任。 這可能包括建立監督隱私權相關問題 (包含 DPO) 的特定角色。 應提供適當的訓練與管理支援以支援這些角色。 | 概述 Microsoft 資料保護人員的角色、職責特性、報告結構和連絡資訊。 - Microsoft 的資料保護長 [18] - Office 365 ISMS 手冊 [14] 請參閱「5.3 組織角色、職責和授權」 - 6.3 在 合規性管理員中組織資訊安全性 |
(37)(1)(a)、(37)(1)(b)、(37)(1)(c)、(37)(2)、(37)(3)、(37)(4)、(37)(5)、(37)(6)、(37)(7)、(38)(1)、(38)(2)、(38)(3)、(38)(4)、(38)(5)、(38)(6)、(39)(1)(a)、(39)(1)(b)、(39)(1)(c)、(39)(1)(d)、(39)(1)(e)、(39)(2) |
| 人力資源安全性 (6.4) | 客戶應判斷並界定好責任,以便提供與保護個人資料相關的訓練。 | 概述 Microsoft 資料保護人員的角色、職責特性、報告結構和連絡資訊。 - Microsoft 的資料保護長 [18] - Office 365 ISMS 手冊 [14] 請參閱「5.3 組織角色、職責和授權」 - 6.4 在合規性管理員中的人力資源安全性 |
(39)(1)(b) |
| 資訊分類 (6.5.1) | 客戶應該明確地將個人資料視為資料分類配置的一部分。 | Office 365 中支援個人資料分類的功能。 - GDPR 的 Office 365 資訊保護 [5] 請參閱「設計個人資料的分類結構描述」 - 6.5.1 合規性管理員中的資訊分類 |
(39)(1)(b) |
| 管理抽取式媒體 (6.5.2) | 客戶應決定使用抽取式媒體的內部政策,因為這涉及到個人資料的保護 (例如加密裝置)。 | Microsoft 服務如何保護任何抽取式媒體上個人資訊的安全性。 - FedRAMP 中度 FedRAMP 系統安全性計劃 [3] 請參閱「13.10 媒體保護 (MP)」 - 在合規性管理員中管理抽取式媒體 |
(32)(1)(a)、(5)(1)(f) |
| 實體媒體傳輸 (6.5.3) | 客戶應決定在傳輸實體媒體時保護個人資料的內部策略 (例如加密)。 | Microsoft 服務如何在實體媒體的任何傳輸期間保護個人資料。 - FedRAMP 中度 FedRAMP 系統安全性計劃 [3] 請參閱「13.10 媒體保護 (MP)」 - 6.5.3 合規性管理員中的實體媒體傳輸 |
(32)(1)(a)、(5)(1)(f) |
| 使用者存取管理 (6.6.1) | 客戶應知道自己在使用的服務中,對於存取控制有哪些責任,並以可用的工具善盡其責。 | Microsoft 服務提供來協助您強制執行存取控制的工具。 - Office 365 安全性文件 [2] 請參閱「保護 Office 365 中的資料與服務存取權」 - 6.6.1 在合規性管理員中 |
(5)(1)(f) |
| 使用者註冊及取消註冊 (6.6.2) | 客戶應以可用的工具,來管理所使用服務中的使用者註冊和取消註冊。 | Microsoft 服務提供來協助您強制執行存取控制的工具。 - Office 365 安全性文件 [2] 請參閱「保護 Office 365 中的資料與服務存取權」 - 6.6.2 合規性管理員中的使用者註冊及取消註冊 |
(5)(1)(f) |
| 使用者存取權佈建 (6.6.3) | 客戶應以可用的工具,來管理所使用服務中的使用者設定檔,尤其是對個人資料的授權存取。 | Microsoft 服務如何支援對個人資料的正式存取控制,包括使用者識別碼、角色、應用程式的存取權,以及使用者的註冊和取消註冊。 - Office 365 安全性文件 [2] 請參閱「保護 Office 365 中的資料與服務存取權」 - 使用租用限制管理 SaaS 雲端應用程式的存取 [15] - 合規性管理員中的使用者存取佈建 |
(5)(1)(f) |
| 管理特殊權限存取 (6.6.4) | 客戶應以可用的工具,來管理所使用服務中的使用者識別碼,以利追蹤存取 (尤其是對個人資料的存取)。 | Microsoft 服務如何支援對個人資料的正式存取控制,包括使用者識別碼、角色以及使用者的註冊和取消註冊。 - Office 365 安全性文件 2 請參閱「保護 Office 365 中的資料與服務存取權」 - 使用租用限制管理 SaaS 雲端應用程式的存取 [15] - 6.6.4 合規性管理員中的管理特殊權限存取 |
(5)(1)(f) |
| 安全的登入程序 (6.6.5) | 客戶應該利用服務中所提供的機制,確保必要時為其使用者提供安全的登入功能。 | Microsoft 服務如何支援與個人資料相關的內部存取控制原則。 - 誰根據哪些條款可以存取您的資料 [6] - 6.6.5 合規性管理員安全登入程序 |
(5)(1)(f) |
| 密碼編譯 (6.7) | 客戶應該判斷哪些數據可能需要加密,以及他們所使用的服務是否提供這項功能。 客戶應視需要使用加密,並使用他們可用的工具。 | Microsoft 服務如何支援加密及假名,以降低處理個人資料的風險。 - FedRAMP 中度 FedRAMP 系統安全性計劃 (SSP) 請參閱「Cosmos」pp29 - 6.7 合規性管理員中的密碼編譯 |
(32)(1)(a) |
| 安全處置或重複使用設備 (6.8.1) | 在客戶使用雲端計算服務 (PaaS、SaaS、IaaS) 的情況下,應該了解雲端提供者如何確保在將儲存空間分配給其他客戶之前,將客戶的個人資料從該空間中刪除。 | 在轉移或重複使用設備之前,Microsoft 服務如何確保將個人資料從儲存設備中刪除。 - FedRAMP 中度 FedRAMP 系統安全性計劃 [3] 請參閱「13.10 媒體保護 (MP)」 - 6.8.1 合規性管理員中的安全處置或重複使用設備 |
(5)(1)(f) |
| 清除桌面及清除螢幕原則 (6.8.2) | 客戶應考慮可能會顯示個人資料之實體副本材料的風險,並可能限制這類資料的建立。 在使用的系統上提供功能來加以限制 (例如,避免列印或複製/貼上機密資料的設定),客戶應考慮使用這些功能的需求。 | Microsoft 實施了哪些措施來管理實體副本。 - Microsoft 在內部保持這種控制機制,請參閱 Microsoft Office 365 ISO/IEC 27001:2013 ISMS 適用性聲明 [12] A.10.2、A.10.7 及 A.4.1 - 6.8.2 合規性管理員中的清除桌面及清除螢幕原則 |
(5)(1)(f) |
| 區隔開發、測試和作業環境 (6.9.1) | 客戶應該考慮在組織內的開發和測試環境中使用個人資料,所造成的影響。 | Microsoft 如何確保個人資料在開發及測試環境中受到保護。 - Microsoft Office 365 ISO/IEC 27001:2013 ISMS 適用性聲明 [12] 請參閱 A.12.1.4 - 6.9.1 在合規性管理員中區隔開發、測試、作業環境 |
5(1)(f) |
| 資訊備份 (6.9.2) | 客戶應確保使用系統提供的功能來建立資料備援,並在必要時進行測試。 | Microsoft 如何確保可提供可能包括個人資料的資料、如何確保所還原資料的正確性,以及 Microsoft 服務所提供、可讓您備份和還原資料的工具和程序。 - FedRAMP 中度 FedRAMP 系統安全性計劃 [3] 請參閱「10.9 可用性」 6.9.2 合規性管理員中的資訊備份 |
(32)(1)(c)、(5)(1)(f) |
| 事件記錄 (6.9.3) | 客戶應該了解系統所提供的記錄功能,並針對判定為與個人資料相關而有必要記錄的動作,利用這些功能來確保可加以記錄。 | Microsoft 服務為您記錄的資料,包括使用者活動、異常情況、故障、資訊安全事件;以及您可以如何存取這些記錄,來當作記錄保存的一部分。 - 在 Office 365 安全與規範中心搜尋稽核記錄 [16] - 6.9.3 合規性管理員中的事件記錄 |
(5)(1)(f) |
| 保護記錄資訊 (6.9.4) | 客戶應考慮保護可能包含個人資料或可能包含個人資料處理相關記錄之記錄資訊的需求。 在使用中的系統提供保護記錄的功能時,客戶應該在必要時利用這些功能。 | Microsoft 如何保護其中可能包含個人資料的記錄。 - 在 Office 365 安全與規範中心搜尋稽核記錄 [16] - 6.9.4 合規性管理員中的記錄資訊保護 |
(5)(1)(f) |
| 資訊傳輸原則和程序 (6.10.1) | 客戶應該有在實體媒體 (上傳輸個人資料的程式,例如在伺服器或設施之間移動硬碟) 。 這些可能包括記錄、授權和追蹤。 當第三方或其他處理者可能正在傳輸實體媒體時,客戶應該確保組織已備妥程式,以確保個人資料的安全性。 | Microsoft 服務如何傳輸可能包含個人資料的實體媒體,包括可能發生傳輸的情況,以及為保護資料而採取的保護措施。 - FedRAMP 中度 FedRAMP 系統安全性計劃 [3] 請參閱「13.10 媒體保護 (MP)」 - 6.10.1 合規性管理員中的資訊傳輸原則和程序 |
(5)(1)(f) |
| 機密或保密協議 (6.10.2) | 客戶應針對有權存取個人資料的個人,或其責任與個人資料相關的個人,判斷與其訂定保密協議或等同文件的必要性。 | Microsoft 服務如何確保有權存取個人資料的個人致力於保密。 - SOC 2 Type 2 稽核報告 [11] 請參閱 CC1.4 pp33 - 6.10.2 合規性管理員中的機密或保密協議 |
(5)(1)(f)、(28)(3)(b)、(38)(5) |
| 在公用網路上保護應用程式服務 (6.11.1) | 客戶應該瞭解個人資料加密的需求,特別是在透過公用網路傳送時。 當系統提供加密數據的機制時,客戶應該在必要時利用這些機制。 | 說明 Microsoft 服務為了保護傳輸中的資料所採取的措施 (包括資料加密),以及 Microsoft 服務如何在透過公用資料網路傳送可能包含個人資料的資料時,對資料進行保護 (包括任何加密措施)。 - 在 Microsoft Cloud 中的加密 [17] 請參閱「傳輸中客戶資料的加密」 - 6.11.1 合規性管理員中的在公用網路上保護應用程式服務 |
(5)(1)(f)、(32)(1)(a) |
| 安全的系統工程原則 (6.11.2) | 客戶應了解系統的設計和運作方式,以考慮保護個人資料的方法。 若客戶使用由第三方設計的系統,則他們要負責確保已考慮這類保護。 | Microsoft 服務如何將個人資料保護原則,當作安全設計/工程原則不可或缺的一部分。 - SOC 2 類型 2 稽核報告 [11] 查看 安全性開發週期 pp23,CC7.1 pp45 - 合規性管理員中安全的系統工程原則 |
(25)(1) |
| 供應商關係 (6.12) | 客戶應確保在合約資訊或其他協議中,提及所有的資訊安全性和個人資料保護規定,以及第三方對上述兩者的責任。 協議也應載明處理方式的指示。 | 在 Microsoft 服務與供應商達成的協議中,關於安全性和資料保護的條款,以及 Microsoft 如何確保這些協議能有效實施。 - 誰根據哪些條款可以存取您的資料 [6] - 子處理者的合約:與 Microsoft 訂立合約 [7] - 6.12 合規性管理員中的供應商關係 |
(5)(1)(f)、(28)(1)、(28)(3)(a)、(28)(3)(b)、(28)(3)(c)、(28)(3)(d)、(28)(3)(e)、(28)(3)(f)、(28)(3)(g)、(28)(3)(h),(30)(2)(d)、(32)(1)(b) |
| 管理資訊安全性事件和增強功能 (6.13.1) | 客戶應該要有能夠判斷何時發生了個人資料外洩的程序。 | Microsoft 服務如何判斷安全性事件是否外洩了個人資料,以及我們如何向您傳達外洩行為。 - GDPR 規定的 Office 365 和外洩通知 [9] - 6.13.1 在合規性管理員中管理資訊安全性事件和增強功能 |
(33)(2) |
| 職責和程序 (在資訊安全性事件期間) (6.13.2) | 客戶應該瞭解並記錄其在涉及個人資料的數據外泄或安全性事件期間的責任。 責任可能包括通知必要合作物件、與處理者或其他第三方的通訊,以及客戶組織內的責任。 | 如果您察覺到安全性事件或個人資料外洩,如何通知 Microsoft 服務 - GDPR 規定的 Office 365 和外洩通知 [9] - 6.13.2 合規性管理員中的職責和程序 |
(5)(1)(f)、(33)(1)、(33)(3)(a)、(33)(3)(b)、(33)(3)(c)、(33)(3)(d)、(33)(4)、(33)(5)、(34)(1)、(34)(2)、(34)(3)(a)、(34)(3)(b)、(34)(3)(c)、(34)(4) |
| 回應資訊安全性事件 (6.13.3) | 客戶應該要有能夠判斷何時發生了個人資料外洩的程序。 | 說明 Microsoft 服務為了協助您確定是否發生了個人資料外洩的情況,所提供的資訊。 - GDPR 規定的 Office 365 和外洩通知 [9] - 6.13.3 在合規性管理員中回應資訊安全性事件 |
(33)(1)、(33)(2)、(33)(3)(a)、(33)(3)(b)、(33)(3)(c)、(33)(3)(d)、(33)(4)、(33)(5)、(34)(1)、(34)(2) |
| 保護記錄 (6.15.1) | 客戶應了解需要維護且與個人資料處理相關的記錄之規定。 | Microsoft 服務如何儲存與處理個人資料相關的記錄 - 在 Office 365 安全與規範中心搜尋稽核記錄 [16] - Microsoft Office 365 ISO/IEC 27001:2013 ISMS 適用性聲明 [12] 請參閱 A.18.1.3 - Office 365 ISMS 手冊 [14] 請參閱「9 效能評估」 |
(5)(2)、(24)(2) |
| 對資訊安全性的獨立審查 (6.15.2) | 客戶應了解評估個人資料處理安全性的需求。 這可能會包括內部或外部稽核,或評估安全性處理的其他方法。 如果客戶依賴第三方的其他組織進行全部或部分資訊處理,則應收集由其執行這類評估的相關訊息。 | Microsoft 服務如何測試和評估技術和組織措施的有效性,以確保處理的安全性,包括第三方的任何稽核。 - Microsoft 線上服務條款、資料保護條款,請參閱「資料安全性,稽核合規性」[1] - Office 365 ISMS 手冊 [14] 請參閱「9 效能評估」 - 6.15.2 在合規性管理員中對資訊安全性的獨立審查 |
(32)(1)(d)、(32)(2) |
| 技術合規性審查 (6.15.3) | 客戶應了解測試和評估處理個人資料安全性的要求。 這可能包括技術測試,例如滲透測試。 如果客戶使用第三方的系統或處理器,則應了解在保護和測試安全性上應負的責任 (例如,管理設定以保護資料安全,然後測試這些設定)。 如果第三方負責全部或部分的安全性處理,則客戶應了解第三方執行的測試或評估,以確保安全性的處理。 | Microsoft 服務如何根據已識別的風險測試安全性,包括第三方的測試,以及技術測試類型和測試的任何可用報告。 - Microsoft 線上服務條款、資料保護條款,請參閱「資料安全性,稽核合規性」[1] - 如需外部憑證的清單,請參閱 Microsoft 信任中心合規性供應項目[13] 如需有關滲透測試您的應用程式的詳細資訊,請參閱「FedRAMP 中度 FedRAMP 系統安全性計劃 (SSP) [3]」、「CA-8 滲透測試 (M) (H) pp204」 - 6.15.3 管理員中的技術合規性檢閱 |
(32)(1)(d)、(32)(2) |