1.8.2　管理程序

“ISACA 隐私原则 11：第三方/供应商管理”为企业提供了关于如何管理供应商监督工作的指导。36企业应通过数据控制者持续监督第三方对任何类型的个人信息或敏感信息的访问。为确保必要的隐私问题和活动得到解决和涵盖，隐私从业人员角色应基于供应商的服务或产品积极参与对供应商的整体监督，并管理和评估供应商合同。隐私从业人员应为涉及个人信息或可能以某种方式影响隐私的服务级别协议和其他要求提供指导。

隐私从业人员应确保与供应商的关系涵盖：37

●通过合同、行政管理和审计措施来实施治理和风险管理流程，以确保将管理使用个人信息和敏感信息的适当保护措施转移给所有相关第三方，供其访问并进行适当的维护、处理和控制。

●要求所有能够访问任何类型的个人信息和敏感信息访问权限的第三方采取各种行动，例如：

■及时向数据控制者报告个人信息泄露事件（如数据控制者向第三方定义的及任何适用的数据保护机构要求的）。

■将数据按照指定时间或根据具体情况进行保留。

■确保数据传输的安全。

■记录向其他国家/地区的数据传输。

■维护一份不允许向其传输数据的国家/地区的文档。

为确定企业是否进行了充分的供应商监督，隐私从业人员应回答以下问题：38

●是否制定了程序，以确保签约实体拥有隐私管理计划且至少满足与其签约企业的要求和政策？

●是否有流程用于建立和维护实时更新的清单，以记录所有第三方及其可以访问的个人信息类型？

●与第三方的合同是否包含隐私和安全要求？例如，要求第三方提供最近一次风险评估的记录，或者概述其向员工提供的培训等。

如果对上述任何一个问题的回答为“否”，则企业需要创建相关文档或实施相关实务。

隐私从业人员可帮助第三方或供应商管理团队实施以下程序，使企业能够全面了解其服务提供商：39

●第1 步：整理一份所有为企业提供服务的提供商清单。如果企业与数十个或数百个第三方提供商合作，要整理一份完整的清单可能具有挑战性。企业应全面了解所有运营领域中的全部第三方提供商，包括规模较小的或者提供的服务或商品货币价值较低的，以及业务领域比较窄的提供商。在理想情况下，此信息应保存在一个单独的数据库中。

●第2 步：整理一份列出所有第三方提供的服务的清单。此清单应包括企业从第三方获得的每项服务。为每项服务分配一个重要性等级，明确该服务对企业业务的重要程度。建议使用一个特定的数量级或一组质量描述信息来划分等级。通过为服务对业务的重要性进行评级，可以获得更精确的风险概况。服务的等级取决于企业定义的需求及其对企业的重要性。

●第3 步：将每项服务与其提供商关联。这些关联使企业能够识别需要特别关注的提供商［例如，处理企业数据（包括个人数据）或托管企业 IT 系统的提供商］。一个提供商可以提供多项服务。有时在关联过程中可能发现某些供应商没有对应的服务，或者某些服务没有对应的供应商。

●第4 步：为每个提供商创建隐私风险概况。企业应评估每个第三方的两个方面。隐私风险概况调查问卷（如果企业认为更有效，可将其与信息安全风险概况调查问卷结合）可支持此过程：

■第1 个方面　第三方开展日常业务活动的方式所带来的潜在隐私风险。

■第2 个方面　与第三方提供给企业的与服务有关的隐私风险。