符合 GDPR 的 Microsoft 支援服務與專業服務責任整備程度檢查清單
1. 簡介
此責任整備檢查清單提供便利的方式,讓您在使用 Microsoft 專業服務和支援服務時,存取支援 GDPR 所需的資訊。 檢查清單是使用每個檢查清單文章括弧中的標題和參考編號 (來組織,) 一組個人資料處理器的隱私權和安全性控件的來源:
- ISO/IEC 27701 為隱私權管理需求。
- ISO/IEC 27001 為安全性技術需求。
此控制項結構也可用於組織 Microsoft 專業服務為支援 GDPR 而實作的內部控制項展示,您可以從服務信任入口網站下載。
2. 收集和處理的條件
類別 | 客戶考量 | 支援的 Microsoft 文件 | 應對的 GDPR 條款 |
---|---|---|---|
確定並記錄目的 (7.2.1) | 客戶應該記錄處理個人資料的目的。 | 說明 Microsoft 為您執行的處理以及處理的目的,可以包含在您的責任文件中。 - Microsoft 產品和服務數據保護增補 [1] |
(5)(1)(b)、(32)(4) |
識別法律依據 (7.2.2) | 客戶應了解任何與處理相關的法律依據規定,例如是否必須先取得同意。 | Microsoft 服務為了納入您的責任歸屬文件而處理的個人資料描述。 - Microsoft 專業服務專業服務的數據保護影響評估的重要資訊 [9] |
(5)(1)(a)、(6)(1)(a)、(6)(1)(b)、(6)(1)(c)、(6)(1)(d)、(6)(1)(e)、(6)(1)(f)、(6)(3)、(6)4)(a)、(6)(4)(b)、(6)(4)(c)、(6)(4)(d)、(6)(4)(e)、(8)(3)、(9)(1)、(9)(2)(b)、(9)(2)(c)、(9)(2)(d)、(9)(2)(e)、(9)(2)(f)、(9)(2)(g)、(9)(2)(h)、(9)(2)(i)、(9)(2)(j)、(9)(3)、(9)(4)、(10)、(17)(3)(a)、(17)(3)(b)、(17)(3)(c)、(17)(3)(d)、(17)(3)(e)、(18)(2)、(22)(2)(a)、(22)(2)(b)、(22)(2)(c)、(22)(4) |
判斷需取得同意的時機 (7.2.3) | 如果需求中排除處理類型等 ) ,客戶應該瞭解在處理個人資料之前取得個人同意的法律或法規需求 (,包括收集同意的方式。 | Microsoft 專業服務不會提供取得使用者同意的直接支援。 | (6)(1)(a)、(8)(1)、(8)(2) |
取得並記錄同意 (7.2.4) | 判斷為必要時,客戶應該適當地取得同意。 客戶也應該注意如何呈現和收集同意要求的任何需求。 | Microsoft 專業服務不會提供取得使用者同意的直接支援。 | (7)(1)、(7)(2)、(9)(2)(a) |
隱私權影響評估 (7.2.5) | 客戶應該了解完成隱私權影響評估的相關規定 (何時應執行、需要哪些類別的資料、以及完成評估的時機)。 | 服務信任入口網站的資料保護影響評估 (DPIA) 頁面中,提供了 Microsoft 專業服務如何判斷何時執行 DPIA 以及 Microsoft 的 DPIA 方案概述 (包括 DPO 的參與)。 如需 DPIA 的支援,請參閱: |
條款 (35) |
與 PII 處理者之間的合約 (7.2.6) | 客戶應該確保其與處理者的合約,涵蓋了協助處理和保護個人資料的所有相關法律或法規義務的規定。 | Microsoft 合約要求我們對於您在 GDPR 之下的義務提供協助,包括支援資料主體的權限。 - Microsoft 產品和服務數據保護增補 [1] |
(5)(2)、(28)(3)(e)、(28)(9) |
與 PII 處理相關的記錄 (7.2.7) | 客戶應該維護有關處理個人資料的所有必要記錄(例如用途、 安全性措施等等)。 若其中某些記錄必須由子處理者提供,則客戶務必確保他們能夠取得這類記錄。 | Microsoft 專業服務會維護为示範合規性所需的記錄,並且支援 GDPR 之下的責任。 - Microsoft 專業服務安全性文件 [2] | (5)(2)、(24)(1)、(30)(1)(a)、(30)(1)(b)、(30)(1)(c)、(30)(1)(d)、(30)(1)(g)、(30)(1)(f)、(30)(3)、(30)(4)、(30)(5) |
3. 資料主體的權利
類別 | 客戶考量 | 支援的 Microsoft 文件 | 應對的 GDPR 條款 |
---|---|---|---|
判斷 PII 主體的權利並讓權利能夠行使 (7.3.1) | 客戶應了解關於處理個人資料的使用者權限需求。 這些權限可能包含存取、修正和清除。 若是客戶使用協力廠商系統,他們應該決定系統的哪部分(如果有的話)提供啟用個人執行其權限(例如,存取他們的資料)相關的工具。 系統會提供這類功能,讓客戶根據需要利用它們。 | Microsoft 提供的功能可以協助您支援資料主體權利。 - GDPR 和 CCPA 的 Microsoft 專業服務資料主體要求 [7] - Microsoft 專業服務 ISO/IEC 27001:2013 ISMS 適用性聲明 [11] |
(12)(2) |
判斷屬於 PII 主體 (資料主體) 的資訊 (7.3.2) | 客戶應該瞭解處理個人資料的相關信息類型需求,這些資訊可供個人提供。 這可能包括下列專案: • 控制者或其代表的連絡人詳細資料; • 處理 (目的、國際傳輸和相關防護措施、保留期間等等) 的相關資訊; • 有關主體如何存取和/或修改其個人資料;要求清除或限制處理;接收其個人資料的複本,以及其個人資料可攜性的資訊 • 如何以及從何處取得個人資料 (如果不是直接從主體取得) • 關於提出抱怨的權利以及向誰提出的資訊; • 關於更正個人資料的資訊; • 當處理不再需要識別資料主體時,組織無法再識別資料主體 (PII 主體) 的相關通知; • 傳輸和/或揭露個人資料; • 自動化決策的存在只根據個人資料的自動化處理; • 關於資料主體更新及提供頻率的資訊 (例如,'及時'通知、組織定義頻率等等) 在客戶使用第三方系統或處理者的情況下,他們應該判斷是否需要提供此資訊 (如果有的話),並確保可以從第三方取得所需的資訊。 |
在您提供給資料主體的資料中,可以包含的 Microsoft 服務相關資訊。 - GDPR 和 CCPA 的 Microsoft 專業服務資料主體要求 [7] - Microsoft 專業服務針對客戶資料保護影響評估的重要資訊 [9] |
(11)(2)、(13)(1)(a)、(13)(1)(b)、(13)(1)(c)、(13)(1)(d)、(13)(1)(e)、(13)(1)(f)、(13)(2)(c)、(13)(2)(d)、(13)(2)(e)、(13)(3)、(13)(4)、(14)(1)(a)、(14)(1)(b)、(14)(1)(c)、(14)(1)(d)、(14)(1)(e)、(14)(1)(f)、(14)(2)(b)、(14)(2)(e)、(14)(2)(f)、(14)(3)(a)、(14)(3)(b)、(14)(3)(c)、(14)(4)、(14)(5)(a)、(14)(5)(b)、(14)(5)(c)、(14)(5)(d)、(15)(1)(a)、(15)(1)(b)、(15)(1)(c)、(15)(1)(d)、(15)(1)(e)、(15)(1)(f)、(15)(1)(g)、(15)(1)(h)、(15)(2)、(18)(3)、(21)(4) |
提供資訊給 PII 主體 (7.3.3) | 客戶應遵守如何/何時/以何種形式將所需的資訊提供給個人關於其個人資料的處理方式的任何需求。 在第三方可能會提供必要的資訊的情況下,客戶必須確保其符合 GDPR 所需的參數。 | 在您提供給資料主體的資料中,可以包含的 Microsoft 專業服務相關範本資訊。 - GDPR 和 CCPA 的 Microsoft 專業服務資料主體要求 [7] - Microsoft 專業服務針對客戶資料保護影響評估的重要資訊 [9] |
(11)(2)、(12)(1)、(12)(7)、(13)(3)、(21)(4) |
提供可修改或撤銷同意的機制 (7.3.4) | 客戶應該瞭解通知使用者其存取權、更正和/或清除其個人資料,以及提供他們執行此作業之機制的需求。 如果使用第三方系統,並提供此機制作為其功能的一部分,客戶應視需要利用該功能。 | 在定義向資料主體請求同意時所提供的資訊時,可以使用的 Microsoft 服務中功能的相關資訊。 - GDPR 和 CCPA 的 Microsoft 專業服務資料主體要求 [7] |
(7)(3)、(13)(2)(c)、(14)(2)(d)、(18)(1)(a)、(18)(1)(b)、(18)(1)(c)、(18)(1)(d) |
提供反對處理的機制 (7.3.5) | 客戶應該瞭解有關數據主體權利的需求。 當個人有權進行處理時,客戶應該通知他們,並讓個人註冊其意見反應。 | 在您提供給資料主體的資料中,可以包含的與要處理物件相關 Microsoft 服務相關資訊。 - GDPR 和 CCPA 的 Microsoft 專業服務資料主體要求 [7] |
(13)(2)(b)、(14)(2)(c)、(21)(1)、(21)(2)、(21)(3)、(21)(5)、(21)(6) |
共用 PII 主體的權利行使 (7.3.6) | 客戶應該了解在因行使個人權利而修改過資料 (例如,個人要求清除或修改等) 的情況下,通知共用個人資料的第三方這項事實的規定 | 在 Microsoft 服務中功能的相關資訊,此功能可讓您探索與第三方共用的個人資料。 - GDPR 和 CCPA 的 Microsoft 專業服務資料主體要求 [7] |
(19) |
更正或清除 (7.3.7) | 客戶應該瞭解通知使用者其存取權、更正和/或清除其個人資料,以及提供他們執行此作業之機制的需求。 如果使用第三方系統,並提供此機制作為其功能的一部分,客戶應視需要利用該功能。 | 在您提供給資料主體的資料中,可以包含的與存取、更正或清除個人資料能力相關 Microsoft 服務相關資訊。 - GDPR 和 CCPA 的 Microsoft 專業服務資料主體要求 [7] |
|
提供處理的 PII 副本 (7.3.8) | 客戶應了解將自己所處理的個人資料複本提供給個人的規定。 這些可能包括複製 (格式的需求,也就是計算機可讀取) 、傳輸複本等。當客戶使用提供提供複本功能的第三方系統時,應視需要利用這項功能。 | 在您提供給資料主體的資料中,可以包含的 Microsoft 服務功能相關資訊,這些功能可讓您取得其個人資料的複本。- GDPR 和 CCPA 的 Microsoft 專業服務資料主體要求 [7] | (15)(3)、(15)(4)、(20)(1)、(20)(2)、(20)(3)、(20)(4) |
要求管理 (7.3.9) | 客戶應該瞭解接受和回應個人對其個人資料處理相關之合法要求的需求。 當客戶使用第三方系統時,他們應該瞭解該系統是否提供這類處理要求的功能。 如果是,客戶應該視需要利用這類機制來處理要求。 | 當您管理資料主體要求,在定義提供給資料主體的資訊時,可以使用的 Microsoft 服務中功能的相關資訊。- GDPR 和 CCPA 的 Microsoft 專業服務資料主體要求 [7] | (12)(3)、(12)(4)、(12)(5)、(12)(6)、(15)(1)(a)、(15)(1)(b)、(15)(1)(c)、(15)(1)(d)、(15)(1)(e)、(15)(1)(f)、(15)(1)(g)、(15)(1)(h) |
自動化決策 (7.3.10) | 客戶應該瞭解自動化個人資料處理的需求,以及這類自動化所做出決策的位置。 其中可能包括向個人提供處理、反對處理或取得人為介入的相關資訊。 這類功能由第三方系統提供,客戶必須確定協力廠商會提供任何必要的資訊或支援。 | 可以包含在您的責任文件中、與 Microsoft 服務中可能支援自動決策的功能相關的資訊,以及與這些功能的資料主體範本化資訊。 - Microsoft 專業服務針對客戶資料保護影響評估的重要資訊 [9] |
(13)(2)(f)、(14)(2)(g)、(22)(1)、(22)(3) |
4. 從設計著手保護隱私權與預設保護隱私權
類別 | 客戶考量 | 支援的 Microsoft 文件 | 應對的 GDPR 條款 |
---|---|---|---|
限制收集 (7.4.1) | 客戶應該了解有關收集個人資料限制的規定 (例如,應只限於收集定目的所需的資料)。 | Microsoft 服務收集的資料描述。 - Microsoft 產品和服務數據保護增補 [1] - Microsoft 專業服務針對客戶資料保護影響評估的重要資訊 [9] |
(5)(1)(b)、(5)(1)(c) |
限制處理 (7.4.2) | 客戶須負責限制個人資料的處理,使其受限於符合識別目的的用途。 | Microsoft 服務收集的資料描述。 - Microsoft 產品和服務數據保護增補 [1] - Microsoft 專業服務針對客戶資料保護影響評估的重要資訊 [9] |
(25)(2) |
定義及記錄 PII 最少化與去除識別度的目標 (7.4.3) | 客戶應該了解有關去除個人資料識別度的規定,這可能包括何時應該進行此動作、應該去除識別度的程度以及何時不能進行此動作的情況。 | 客戶必須負責在將數據傳輸至 Microsoft 之前取消識別。 在適當的情況下,Microsoft 會在內部進行去除識別度和假名化處理,為個人資料提供額外的隱私保護措施。 | (5)(1)(c) |
遵守識別層級 (7.4.4) | 客戶應該使用並遵守其組織設定的去除識別度的目標和方法。 | 客戶必須負責在將數據傳輸至 Microsoft 之前取消識別。 在適當的情況下,Microsoft 會在內部進行去除識別度和假名化處理,為個人資料提供額外的隱私保護措施。 | (5)(1)(c) |
PII 去除識別度和刪除 (7.4.5) | 客戶應該瞭解個人資料保留超過其用於所識別用途的需求。 當系統提供工具時,客戶應視需要利用這些工具來清除或刪除。 | Microsoft 服務提供來支援您的資料保留原則的功能。 - GDPR 和 CCPA 的 Microsoft 專業服務資料主體要求 [7] |
(5)(1)(c)、(5)(1)(e)、(6)(4)(e)、(11)(1)、(32)(1)(a) |
暫存檔 (7.4.6) | 客戶應該知悉可能傳送給 Microsoft 的暫存檔案會導致不符合個人資料的處理原則 (例如,在暫存檔案中個人資料的保留時間比需要或允許的時間長)。 | 說明由服務所提供、用於識別個人資料以支援暫存檔原則的功能。 - GDPR 和 CCPA 的 Microsoft 專業服務資料主體要求 [7] |
(5)(1)(c) |
保留 (7.4.7) | 客戶應該考慮指明的目的,判斷個人資料應保留多久時間。 | 可以包含在您提供給資料主體的文件中、Microsoft 服務對保留個人資料的相關資訊。 - Microsoft 專業服務資料保護增訂版 [1] |
(13)(2)(a)、(14)(2)(a) |
處置 (7.4.8) | 客戶應該利用系統提供的所有刪除或處置機制,來刪除個人資料。 | Microsoft 服務提供來支援您的資料刪除原則的功能。 - GDPR 和 CCPA 的 Microsoft 專業服務資料主體要求 [7] |
(5)(1)(f) |
收集程序 (7.4.9) | 客戶應該了解有關個人資料正確性的規定 (例如,收集、保持資料為最新等正確性),並利用系統為此提供的任何機制。 | Microsoft 服務如何支援個人資料的正確性,以及供您支援資料正確性原則的所有功能。 - GDPR 和 CCPA 的 Microsoft 專業服務資料主體要求 [7] |
(5)(1)(d) |
傳輸控制項 (7.4.10) | 客戶應該了解保護個人資料傳輸的規定,包括誰可以使用傳輸機制,傳輸記錄等。 | 說明由 Microsoft 服務傳輸的個人資料類型、傳輸雙方的位置、以及傳輸的法律保障。 - Microsoft 專業服務針對客戶資料保護影響評估的重要資訊 [9] |
(15)(2)、(30)(1)(e)、(5)(1)(f) |
識別 PII 傳輸 (7.5.1) | 客戶應該知道將個人資料 (PII) 傳輸到不同地理位置的規定,並記錄採取了哪些適當的措施來實踐這些規定。 | 說明由 Microsoft 服務傳輸的個人資料類型、傳輸雙方的位置、以及傳輸的法律保障。 - Microsoft 專業服務針對客戶資料保護影響評估的重要資訊 [9] |
條款 (44)、(45)、(46)、(47)、(48)、(49) |
PII 傳輸的目的地國家/地區和組織 (7.5.2) | 客戶應該瞭解並能夠提供給個人,也就是個人資料是或可能傳輸到的國家/地區。 當第三方/處理器可以執行此轉移時,客戶應該從處理器取得此資訊。 | 說明由 Microsoft 服務傳輸的個人資料類型、傳輸雙方的位置、以及傳輸的法律保障。 - Microsoft 專業服務針對客戶資料保護影響評估的重要資訊 [9] |
(30)(1)(e) |
PII (個人資料) 傳輸的記錄 (7.5.3) | 客戶應維護與個人資料傳輸相關的所有必要和必要記錄。 當第三方/處理器執行轉移時,客戶應該確保他們維護適當的記錄,並視需要取得這些記錄。 | 說明由 Microsoft 服務傳輸的個人資料類型、傳輸雙方的位置、以及傳輸的法律保障。 - Microsoft 專業服務針對客戶資料保護影響評估的重要資訊 [9] |
(30)(1)(e) |
向第三方揭露 PII 的記錄 (7.5.4) | 客戶應該瞭解有關向其公開個人資料的錄製需求。 這可能包括向執法機關揭露等。當第三方/處理者揭露數據時,客戶應該確保他們維護適當的記錄,並視需要取得這些記錄。 | 關於個人資料 (包括可用揭露記錄) 揭露收件者類別的提供文件。 - 誰根據哪些條款可以存取您的資料 [6] |
(30)(1)(d) |
聯合控制者 (7.5.5) | 客戶應該判斷他們是否與其他組織一起作為聯合的控制者,並適當地記錄和分配責任。 | Microsoft 不是作為支持和專業服務數據一部分提供的個人資訊聯合控制者。 | (26)(1)、(26)(2)、(26)(3) |
5. 資料保護和安全性
類別 | 客戶考量 | 支援的 Microsoft 文件 | 應對的 GDPR 條款 |
---|---|---|---|
了解組織和其內容 (5.2.1) | 客戶應該判斷他們在處理個人資料方面的角色 (例如控制者、處理者、共同控制者),以識別處理個人資料的適當規定 (法規等)。 | 處理個人資料時,Microsoft 如何將每個服務視為處理器或控制項。 - Microsoft 產品和服務數據保護增補 [1] |
(24)(3)、(28)(10)、(28)(5)、(28)(6)、(32)(3)、(40)(1)、(40)(2)(a)、(40)(2)(b)、(40)(2)(c)、(40)(2)(d)、(40)(2)(e)、(40)(2)(f)、(40)(2)(g)、(40)(2)(h)、(40)(2)(i)、(40)(2)(j)、(40)(2)(k)、(40)(3)、(40)(4)、(40)(5)、(40)(6)、(40)(7)、(40)(8)、(40)(9)、(40)(10)、(40)(11)、(41)(1)、(41)(2)(a)、(41)(2)(b)、(41)(2)(c)、(41)(2)(d)、(41)(3)、(41)(4)、(41)(5)、(41)(6)、(42)(1)、(42)(2)、(42)(3)、(42)(4)、(42)(5)、(42)(6)、(42)(7)、(42)(8) |
了解相關各方的需求和期望 (5.2.2) | 客戶應該識別可能在處理個人資料方面發揮作用或感興趣的各方 (例如監管機構、稽核者、資料主體、有訂定合約的個人資料處理者),並了解有必要時與其互動的規定。 | 考慮到處理個人資料所涉及的風險,Microsoft 如何納入所有利益相關各方的意見。 - Microsoft 專業服務針對客戶資料保護影響評估的重要資訊 [9] |
(35)(9)、(36)(1)、(36)(3)(a)、(36)(3)(b)、(36)(3)(c)、(36)(3)(d)、(36)(3)(e)、(36)(3)(f)、(36)(5) |
判斷資訊安全性管理系統的範圍 (5.2.3、5.2.4) | 客戶應將對個人資料的處理及其相關規定,包含在現有的任何整體安全性或隱私權計劃中。 | Microsoft 服務如何在資訊安全性管理和隱私權程式中包含個人資料處理。 - Microsoft 專業服務 ISO/IEC 27001:2013 ISMS 適用性聲明 [11] - ISO 27001 稽核報告 [10] |
(32)(2) |
規劃 (5.3) | 客戶應將對個人資料的處理,視為所完成的任何風險評估中的一環,並採用所有判定為必要的控制措施,以降低所控制個人資料的相關風險。 | Microsoft 服務如何將個人資料處理特有的風險,視為其整體安全性和隱私權計劃的一部分。 - Microsoft 專業服務 ISO/IEC 27001:2013 ISMS 適用性聲明 [11] |
(32)(1)(b)、(32)(2) |
資訊安全性原則 (6.2) | 客戶應增強任何現有的資訊安全性原則,納入個人資料保護,包括遵守任何適用法律所需的原則。 | 資訊安全性及個人資訊保護任何特定量值的 Microsoft 原則。 - Microsoft 專業服務 ISO/IEC 27001:2013 ISMS 適用性聲明 [11] - ISO 27001 稽核報告 [10] |
24(2) |
資訊安全性組織的客戶考量 (6.3) | 客戶應該在其組織中定義保護個人資料安全的責任。 這可能包括建立監督隱私權相關問題 (包含 DPO) 的特定角色。 應提供適當的訓練與管理支援以支援這些角色。 | Microsoft 已發佈 Microsoft 資料保護人員資訊、職責特性、報告結構和連絡資訊。 -Microsoft DPO 資訊 [13] |
(37)(1)(a)、(37)(1)(b)、(37)(1)(c)、(37)(2)、(37)(3)、(37)(4)、(37)(5)、(37)(6)、(37)(7)、(38)(1)、(38)(2)、(38)(3)、(38)(4)、(38)(5)、(38)(6)、(39)(1)(a)、(39)(1)(b)、(39)(1)(c)、(39)(1)(d)、(39)(1)(e)、(39)(2) |
人力資源安全性 (6.4) | 客戶應判斷並界定好責任,以便提供與保護個人資料相關的訓練。 | 概述 Microsoft 數據保護長的角色、其職責的本質、報告結構和連絡資訊。 - Microsoft 專業服務 ISO/IEC 27001:2013 ISMS 適用性聲明 [11] - 訓練和認知程式說明 [3] |
(39)(1)(b) |
資訊分類 (6.5.1) | 客戶應該明確地將個人資料視為資料分類配置的一部分。 | Microsoft 如何以資料分類、標記和追蹤資訊來考量個人資料。 - Microsoft 專業服務針對客戶資料保護影響評估的重要資訊 [9] |
(39)(1)(b) |
管理抽取式媒體 (6.5.2) | 客戶應決定使用抽取式媒體的內部政策,因為這涉及到個人資料的保護 (例如加密裝置)。 | Microsoft 服務如何保護任何抽取式媒體上個人資訊的安全性。 - Microsoft 專業服務 ISO/IEC 27001:2013 ISMS 適用性聲明 [11] - Microsoft 專業服務控制集 [4] |
(32)(1)(a)、(5)(1)(f) |
實體媒體傳輸 (6.5.3) | 客戶應決定在傳輸實體媒體時保護個人資料的內部策略 (例如加密)。 | Microsoft 服務如何在實體媒體的任何傳輸期間保護個人資料。 - Microsoft 專業服務 ISO/IEC 27001:2013 ISMS 適用性聲明 [11] - Microsoft 專業服務控制集 [4] |
(32)(1)(a)、(5)(1)(f) |
使用者存取管理 (6.6.1) | 客戶應知道自己在使用的服務中,對於存取控制有哪些責任,並以可用的工具善盡其責。 | Microsoft 服務提供來協助您強制執行存取控制的工具。 - Microsoft 專業服務安全性文件 [2] |
(5)(1)(f) |
使用者註冊及取消註冊 (6.6.2) | 客戶應以可用的工具,來管理所使用服務中的使用者註冊和取消註冊。 | Microsoft 服務提供來協助您強制執行存取控制的工具。 - Microsoft 專業服務安全性文件 [2] |
(5)(1)(f) |
使用者存取權佈建 (6.6.3) | 客戶應以可用的工具,來管理所使用服務中的使用者設定檔,尤其是對個人資料的授權存取。 | Microsoft 服務如何支援對個人資料的正式存取控制,包括使用者識別碼、角色以及使用者的註冊和取消註冊。 - Microsoft 專業服務安全性文件 [2] |
(5)(1)(f) |
管理特殊權限存取 (6.6.4) | 客戶應以可用的工具,來管理所使用服務中的使用者識別碼,以利追蹤存取 (尤其是對個人資料的存取)。 | Microsoft 服務如何支援對個人資料的正式存取控制,包括使用者識別碼、角色以及使用者的註冊和取消註冊。 - Microsoft 專業服務安全性文件 [2] |
(5)(1)(f) |
安全的登入程序 (6.6.5) | 客戶應該利用服務中所提供的機制,確保必要時為其使用者提供安全的登入功能。 | Microsoft 服務如何支援與個人資料相關的內部存取控制原則。 - 誰根據哪些條款可以存取您的資料 [6] |
(5)(1)(f) |
密碼編譯 (6.7) | 客戶應該判斷哪些數據可能需要加密,以及他們所使用的服務是否提供這項功能。 客戶應視需要使用加密,並使用他們可用的工具。 | Microsoft 服務如何支援加密及假名,以降低處理個人資料的風險。 - Microsoft 專業服務安全性文件 [2] |
(32)(1)(a) |
安全處置或重複使用設備 (6.8.1) | 在客戶使用雲端計算服務 (PaaS、SaaS、IaaS) 的情況下,應該了解雲端提供者如何確保在將儲存空間分配給其他客戶之前,將客戶的個人資料從該空間中刪除。 | Microsoft 專業服務如何確保在專業服務期間利用 Microsoft Azure 雲端計算服務時,在儲存體設備傳輸或重複使用之前,從該設備清除個人資料。 - Microsoft 專業服務安全性文件 [2] |
(5)(1)(f) |
清除桌面及清除螢幕原則 (6.8.2) | 客戶應考慮可能會顯示個人資料之實體副本材料的風險,並可能限制這類資料的建立。 在使用的系統上提供功能來加以限制 (例如,避免列印或複製/貼上機密資料的設定),客戶應考慮使用這些功能的需求。 | Microsoft 實施了哪些措施來管理實體副本。 - Microsoft 在內部保持這種控制機制,請參閱 Microsoft 專業服務 ISO/IEC 27001:2013 ISMS 適用性聲明 [11] - Microsoft 專業服務 GDPR 控制集 [4] |
(5)(1)(f) |
區隔開發、測試和作業環境 (6.9.1) | 客戶應該考慮在組織內的開發和測試環境中使用個人資料,所造成的影響。 | Microsoft 如何確保個人資料在開發及測試環境中受到保護。 - Microsoft 專業服務 ISO/IEC 27001:2013 ISMS 適用性聲明 [11] - Microsoft 專業服務控制集 [4] |
(5)(1)(f) |
資訊備份 (6.9.2) | 客戶應確保使用系統提供的功能來建立資料備援,並在必要時進行測試。 | Microsoft 如何確保可提供可能包括個人資料的資料、如何確保所還原資料的正確性,以及 Microsoft 服務所提供、可讓您備份和還原資料的工具和程序。 - Microsoft 企業版商務持續性管理文件 [5] |
(32)(1)(c)、(5)(1)(f) |
事件記錄 (6.9.3) | 客戶應該了解系統所提供的記錄功能,並針對判定為與個人資料相關而有必要記錄的動作,利用這些功能來確保可加以記錄。 | Microsoft 服務為您記錄的資料,包括使用者活動、異常情況、故障、資訊安全事件;以及您可以如何存取這些記錄,來當作記錄保存的一部分。 - Microsoft 專業服務安全性文件 [2] - Microsoft 專業服務控制集 [4] |
(5)(1)(f) |
保護記錄資訊 (6.9.4) | 客戶應考慮保護可能包含個人資料或可能包含個人資料處理相關記錄之記錄資訊的需求。 在使用中的系統提供保護記錄的功能時,客戶應該在必要時利用這些功能。 | Microsoft 如何保護其中可能包含個人資料的記錄。 - Microsoft 專業服務安全性文件 [2] - Microsoft 專業服務控制集 [4] |
(5)(1)(f) |
資訊傳輸原則和程序 (6.10.) | 客戶應該有在實體媒體 (上傳輸個人資料的程式,例如在伺服器或設施之間移動硬碟) 。 這些可能包括記錄、授權和追蹤。 當第三方或其他處理者可能正在傳輸實體媒體時,客戶應該確保組織已備妥程式,以確保個人資料的安全性。 | Microsoft 服務如何傳輸可能包含個人資料的實體媒體,包括可能發生傳輸的情況,以及為保護資料而採取的保護措施。 - Microsoft 專業服務 ISO/IEC 27001:2013 ISMS 適用性聲明 [11] - Microsoft 專業服務控制集 [4] |
(5)(1)(f) |
機密或保密協議 (6.10.2) | 客戶應針對有權存取個人資料的個人,或其責任與個人資料相關的個人,判斷與其訂定保密協議或等同文件的必要性。 | Microsoft 服務如何確保有權存取個人資料的個人致力於保密。 - Microsoft 專業服務 ISO/IEC 27001:2013 ISMS 適用性聲明 [11] - Microsoft 專業服務控制集 [4] |
(5)(1)(f)、(28)(3)(b)、(38)(5) |
在公用網路上保護應用程式服務 (6.11.1) | 客戶應該瞭解個人資料加密的需求,特別是在透過公用網路傳送時。 當系統提供加密數據的機制時,客戶應該在必要時利用這些機制。 | 說明 Microsoft 服務為了保護傳輸中的資料所採取的措施 (包括資料加密),以及 Microsoft 服務如何在透過公用資料網路傳送可能包含個人資料的資料時,對資料進行保護 (包括任何加密措施)。 - Microsoft 專業服務安全性文件 [2] |
(5)(1)(f)、(32)(1)(a) |
安全的系統工程原則 (6.11.2) | 客戶應了解系統的設計和運作方式,以考慮保護個人資料的方法。 若客戶使用由第三方設計的系統,則他們要負責確保已考慮這類保護。 | Microsoft 服務如何將個人資料保護原則,當作安全設計/工程原則不可或缺的一部分。 - Microsoft 專業服務 ISO/IEC 27001:2013 ISMS 適用性聲明 [11] - 安全性開發週期是什麼? |
(25)(1) |
供應商關係 (6.12) | 客戶應確保在合約資訊或其他協議中,提及所有的資訊安全性和個人資料保護規定,以及第三方對上述兩者的責任。 協議也應載明處理方式的指示。 | 在 Microsoft 服務與供應商達成的協議中,關於安全性和資料保護的條款,以及 Microsoft 如何確保這些協議能有效實施。 - 誰根據哪些條款可以存取您的資料 [6] |
(5)(1)(f)、(28)(1)、(28)(3)(a)、(28)(3)(b)、(28)(3)(c)、(28)(3)(d)、(28)(3)(e)、(28)(3)(f)、(28)(3)(g)、(28)(3)(h),(30)(2)(d)、(32)(1)(b) |
管理資訊安全性事件和增強功能 (6.13.1) | 客戶應該要有能夠判斷何時發生了個人資料外洩的程序。 | Microsoft 服務如何判斷安全性事件是否外洩了個人資料,以及我們如何向您傳達外洩行為。 - GDPR 規定的 Microsoft 專業服務與外洩通知 [8] |
(33)(2) |
職責和程序 (在資訊安全性事件期間) (6.13.2) | 客戶應該瞭解並記錄其在涉及個人資料的數據外泄或安全性事件期間的責任。 責任可能包括通知必要合作物件、與處理者或其他第三方的通訊,以及客戶組織內的責任。 | 如果您察覺到安全性事件或個人資料外洩,如何通知 Microsoft 服務。 - GDPR 規定的 Microsoft 專業服務與外洩通知 [8] |
(5)(1)(f)、(33)(1)、(33)(3)(a)、(33)(3)(b)、(33)(3)(c)、(33)(3)(d)、(33)(4)、(33)(5)、(34)(1)、(34)(2)、(34)(3)(a)、(34)(3)(b)、(34)(3)(c)、(34)(4) |
回應資訊安全性事件 (6.13.3) | 客戶應該要有能夠判斷何時發生了個人資料外洩的程序。 | 說明 Microsoft 服務為了協助您確定是否發生了個人資料外洩的情況,所提供的資訊。 - GDPR 規定的 Microsoft 專業服務與外洩通知 [8] |
(33)(1)、(33)(2)、(33)(3)(a)、(33)(3)(b)、(33)(3)(c)、(33)(3)(d)、(33)(4)、(33)(5)、(34)(1)、(34)(2) |
保護記錄 (6.15.1) | 客戶應了解需要維護且與個人資料處理相關的記錄之規定。 | Microsoft 服務如何儲存與處理個人資料相關的記錄。 - Microsoft 專業服務安全性文件 [2] |
(5)(2)、(24)(2) |
對資訊安全性的獨立審查 (6.15.2) | 客戶應了解評估個人資料處理安全性的需求。 這可能會包括內部或外部稽核,或評估安全性處理的其他方法。 如果客戶依賴第三方的其他組織進行全部或部分資訊處理,則應收集由其執行這類評估的相關訊息。 | Microsoft 服務如何測試和評估技術和組織措施的有效性,以確保處理的安全性,包括第三方的任何稽核。 - Microsoft 專業服務資料保護增訂版 [1] |
(32)(1)(d)、(32)(2) |
技術合規性審查 (6.15.3) | 客戶應了解測試和評估處理個人資料安全性的要求。 這可能包括技術測試,例如滲透測試。 如果客戶使用第三方的系統或處理器,則應了解在保護和測試安全性上應負的責任 (例如,管理設定以保護資料安全,然後測試這些設定)。 如果第三方負責全部或部分的安全性處理,則客戶應了解第三方執行的測試或評估,以確保安全性的處理。 | Microsoft 服務如何根據已識別的風險測試安全性,包括第三方的測試,以及技術測試類型。 - 如需外部認證的列表,請參閱 Microsoft 信任中心合規性供應專案 [12] - 如需用來測試應用程式的弱點詳細資訊,請參閱 Microsoft 專業服務安全性文件 [2] |
(32)(1)(d)、(32)(2) |
6. 資源的參考書目和連結
識別碼 | 說明/連結 | 附註 |
---|---|---|
1 | Microsoft 產品和服務數據保護增補 | |
2 | Microsoft 專業服務安全性文件 | |
3 | 訓練和認知程式說明 | 適用於透過客戶帳戶管理小組的要求。 |
4 | Microsoft 專業服務 GDPR 控制集 | |
5 | Microsoft 企業版商務持續性管理文件 | 適用於透過客戶帳戶管理小組的要求。 |
6 | 誰根據哪些條款可以存取您的資料 | |
7 | GDPR 和 CCPA 的 Microsoft 專業服務資料主體要求 | |
8 | GDPR 規定的 Microsoft 專業服務與外洩通知 | |
9 | Microsoft 專業服務針對客戶資料保護影響評估的重要資訊 | |
10 | ISO 27001 稽核報告 | |
11 | Microsoft 專業服務 ISO/IEC 27001:2013 ISMS 適用性聲明 | 透過客戶帳戶管理小組的要求 SOA。 |
12 | Microsoft 信任中心合規性供應項目 | |
13 | Microsoft DPO 資訊 |