Tuân Thủ ISO 27001 Hạ Nguồn: Quản Lý Rủi Ro Chuỗi Cung Ứng Dữ Liệu
ISO 27001 yêu cầu các tổ chức kiểm soát người xử lý dữ liệu của họ.
Điều A.6.3 "Phân tích và đánh giá các yêu cầu liên quan đến bảo mật" yêu cầu các tổ chức:
- Xác định tất cả các nhà cung cấp dịch vụ và xử lý dữ liệu
- Đánh giá rủi ro bảo mật của mỗi nhà cung cấp
- Thêm các điều khoản an ninh vào hợp đồng
- Kiểm toán tuân thủ thường xuyên
Vấn Đề: Ngoài Thầu Không Được Phép Truy Cập Dữ Liệu Không Được Ẩn Danh Hóa
Khi bạn ngoài thầu xử lý dữ liệu cho một nhà cung cấp dịch vụ (ví dụ: công ty phân tích, công ty phát triển phần mềm), người xử lý đó:
- Không nên có quyền truy cập vào dữ liệu cá nhân gốc
- Không nên có khả năng liên kết dữ liệu được ẩn danh hóa trở lại dữ liệu cá nhân gốc
- Không nên giữ thông tin quyền liên kết
Ẩn danh hóa dữ liệu trước khi ngoài thầu tạo ra một rủi ro pháp lý thứ ba: nhân viên ngoài thầu không thể xác định chủ thể dữ liệu gốc, vì vậy họ không phải là "người xử lý dữ liệu" theo GDPR. Cả ISO 27001 cũng không áp dụng cho dữ liệu được ẩn danh hóa.
Giải Pháp: Ẩn Danh Hóa Trước Ngoài Thầu
Quy trình:
- Sử dụng công cụ ẩn danh hóa để xóa tất cả các trường PII
- Xuất dữ liệu được ẩn danh hóa đến nhà cung cấp dịch vụ
- Nhà cung cấp dịch vụ xử lý dữ liệu không thể liên kết trở lại gốc
- Loại bỏ yêu cầu kiểm toán ISO 27001 cho nhà cung cấp dịch vụ