適用於 Microsoft 365 的責任整備檢查清單

1. 簡介

此責任整備檢查清單提供使用 Microsoft Office 365 時,便於存取支援 GDPR 所需資訊的方式。

您可以使用「合規性管理員」管理此檢查清單中的項目,方法是參考 GDPR 圖格中「客戶受管理控制項」底下的控制項識別碼和控制項標題。

此外,此檢查清單在「5. 資料保護和安全性」底下的項目可以參照到 合規性管理員的 GDPR 動態磚中「Microsoft 管理的控制措施」底下所列出的控制措施。請檢閱這些控制措施的 Microsoft 實作詳細資料,取得 Microsoft 以檢查清單項目方式,額外說明滿足客戶考量的方法。

該清單和合規性管理員是使用個人資訊處理者的一組隱私權和安全性控制的標題和參考編號 (列在每個檢查清單主題的括號中) 來進行編排,依循:

此控制項結構也可用於組織 Microsoft Office 365 實作以支援 GDPR 的內部控制項展示,您可以在這裡下載:服務信任中心

2. 收集和處理的條件

類別 客戶考量 支援的 Microsoft 文件 應對的 GDPR 條款
判斷需取得同意的時機 (7.2.3) 關於在處理個人資料之前先取得個人同意這點,客戶應了解與其相關的法律或監管規定 (何時需要、該類型的處理是否不在規定之內等),包括取得同意的方式。 Office 365 不提供獲得使用者同意的直接支援。 (6)(1)(a)、(8)(1)、(8)(2)
*確定並記錄目的 (7.2.1) _ 客戶應該記錄處理個人資料的目的。 說明 Microsoft 為您執行的處理以及處理的目的,可以包含在您的責任文件中。
- _Microsoft 線上服務條款、資料保護條款,請參閱「處理個人資料;GDPR*」[1]
(5)(1)(b)、(32)(4)
*識別法律依據 (7.2.2) _ 客戶應了解任何與處理相關的法律依據規定,例如是否必須先取得同意。 Microsoft 服務為了納入您的責任歸屬文件而處理的個人資料描述。
- _客戶資料保護影響評估適用的 Office 365 重要資訊* [10]
(5)(1)(a)、(6)(1)(a)、(6)(1)(b)、(6)(1)(c)、(6)(1)(d)、(6)(1)(e)、(6)(1)(f)、(6)(3)、(6)4)(a)、(6)(4)(b)、(6)(4)(c)、(6)(4)(d)、(6)(4)(e)、(8)(3)、(9)(1)、(9)(2)(b)、(9)(2)(c)、(9)(2)(d)、(9)(2)(e)、(9)(2)(f)、(9)(2)(g)、(9)(2)(h)、(9)(2)(i)、(9)(2)(j)、(9)(3)、(9)(4)、(10)、(17)(3)(a)、(17)(3)(b)、(17)(3)(c)、(17)(3)(d)、(17)(3)(e)、(18)(2)、(22)(2)(a)、(22)(2)(b)、(22)(2)(c)、(22)(4)
判斷需取得同意的時機 (7.2.3) 關於在處理個人資料之前先取得個人同意這點,客戶應了解與其相關的法律或監管規定 (何時需要、該類型的處理是否不在規定之內等),包括取得同意的方式。 Office 365 不提供獲得使用者同意的直接支援。 (6)(1)(a)、(8)(1)、(8)(2)
取得並記錄同意 (7.2.4) 判斷有需要時,客戶應恰當地取得對方的同意;客戶也應了解如何提出及取得同意請求的所有相關規定。 Office 365 不提供獲得使用者同意的直接支援。 (7)(1)、(7)(2)、(9)(2)(a)
*隱私權影響評估 (7.2.5) _ 客戶應該了解完成隱私權影響評估的相關規定 (何時應執行、需要哪些類別的資料、以及完成評估的時機)。 服務信任入口網站的資料保護影響評估 (DPIA) 頁面中,提供了 Microsoft 服務如何判斷何時執行 DPIA 以及 Microsoft 的 DPIA 方案概述 (包括 DPO 的參與)。如需針對您的 DPIA 支援,請參閱:
- _客戶資料保護影響評估適用的 Office 365 重要資訊* [10]
(35)
*與 PII 處理者之間的合約 (7.2.6) _ 客戶應該確保其與處理者的合約,涵蓋了協助處理和保護個人資料的所有相關法律或法規義務的規定。 Microsoft 合約要求我們對於您在 GDPR 之下的義務提供協助,包括支援資料主體的權限。
- _Microsoft 線上服務條款、資料保護條款,請參閱「處理個人資料;GDPR*」[1]
(5)(2)、(28)(3)(e)、(28)(9)
*與 PII 處理相關的記錄 (7.2.7) _ 客戶應該保存與處理個人資料相關的所有必需和必要的記錄 (即目的、安全性措施等)。如果某些記錄必須由子處理者提供,客戶應該確保他們可以獲得這些記錄。 Microsoft 服務提供來協助您維護示範合規性所需記錄和支援 GDPR 之下的責任的工具。
- _在 Office 365 安全與規範中心搜尋稽核記錄* [16]
(5)(2)、(24)(1)、(30)(1)(a)、(30)(1)(b)、(30)(1)(c)、(30)(1)(d)、(30)(1)(g)、(30)(1)(f)、(30)(3)、(30)(4)、(30)(5)

3. 資料主體的權利

類別 客戶考量 支援的 Microsoft 文件 應對的 GDPR 條款
*判斷 PII 主體的權利並讓權利能夠行使 (7.3.1) _ 客戶應該了解與處理個人資料有關的個人權利規定。這些權利可能包括存取、更正、清除等權利。如果客戶使用第三方系統,應該由客戶判斷系統中的哪些部分 (如果有的話) 提供能讓個人行使權利的工具 (例如,存取自己的資料)。系統有提供這些功能時,客戶應根據需要加以使用。 Microsoft 提供的功能可以協助您支援資料主體權利。
- _GDPR 的 Office 365 資料主體要求 [8]
- Microsoft Office 365 ISO/IEC 27001:2013 ISMS 適用性聲明* [12] 請參閱 ISOIEC 270182014 控制 A.1.1
(12)(2)
*判斷屬於 PII 主體 (資料主體) 的資訊 (7.3.2) _ 客戶應了解處理個人資料 (可提供給個人) 的資訊類型的需求。這可能會包含如下的項目:
- 控制者或其代表的連絡人詳細資料;
- 處理 (目的、國際傳輸和相關防護措施、保留期間等等) 的相關資訊;
- 有關主體如何存取和/或修改其個人資料;要求清除或限制處理;接收其個人資料的複本,以及其個人資料可攜性的資訊
- 如何以及從何處取得個人資料 (如果不是直接從主體取得)
- 關於提出抱怨的權利以及向誰提出的資訊;
- 關於更正個人資料的資訊;
- 當處理不再需要識別資料主體時,組織無法再識別資料主體 (PII 主體) 的相關通知;
- 傳輸和/或揭露個人資料;
- 自動化決策的存在只根據個人資料的自動化處理;
- 關於資料主體更新及提供頻率的資訊 (即「及時」通知、組織定義頻率等等)

在客戶使用第三方系統或處理者的情況下,他們應該判斷是否需要提供此資訊 (如果有的話),並確保可以從第三方取得所需的資訊。

在您提供給資料主體的資料中,可以包含的 Microsoft 服務相關資訊。
- _GDPR 的 Office 365 資料主體要求* [8]
- 客戶資料保護影響評估適用的 Office 365 重要資訊 [10]
(11)(2)、(13)(1)(a)、(13)(1)(b)、(13)(1)(c)、(13)(1)(d)、(13)(1)(e)、(13)(1)(f)、(13)(2)(c)、(13)(2)(d)、(13)(2)(e)、(13)(3)、(13)(4)、(14)(1)(a)、(14)(1)(b)、(14)(1)(c)、(14)(1)(d)、(14)(1)(e)、(14)(1)(f)、(14)(2)(b)、(14)(2)(e)、(14)(2)(f)、(14)(3)(a)、(14)(3)(b)、(14)(3)(c)、(14)(4)、(14)(5)(a)、(14)(5)(b)、(14)(5)(c)、(14)(5)(d)、(15)(1)(a)、(15)(1)(b)、(15)(1)(c)、(15)(1)(d)、(15)(1)(e)、(15)(1)(f)、(15)(1)(g)、(15)(1)(h)、(15)(2)、(18)(3)、(21)(4)
*提供資訊給 PII 主體 (7.3.3) _ 客戶應該遵守關於如何/何時/以何種形式,向個人提供與處理其個人資料有關的所需資訊之所有規定。在第三方可能提供所需資訊的情況下,客戶應該確保其符合 GDRP 所要求的參數。 在您提供給資料主體的資料中,可以包含的 Microsoft 服務相關範本資訊。
- _GDPR 的 Office 365 資料主體要求* [8]
- 客戶資料保護影響評估適用的 Office 365 重要資訊 [10]
(11)(2)、(12)(1)、(12)(7)、(13)(3)、(21)(4)
*提供可修改或撤銷同意的機制 (7.3.4) _ 客戶應了解通知使用者有權存取、更正和/或清除其個人資料的相關規定,並提供執行上述動作的機制。若有使用第三方系統,且在功能中提供了此機制,則客戶應根據需要使用該功能。 在定義向資料主體請求同意時所提供的資訊時,可以使用的 Microsoft 服務中功能的相關資訊。
- _GDPR 的 Office 365 資料主體要求* [8]
(7)(3)、(13)(2)(c)、(14)(2)(d)、(18)(1)(a)、(18)(1)(b)、(18)(1)(c)、(18)(1)(d)
*提供反對處理的機制 (7.3.5) _ 客戶應該了解有關資料主體權利的規定。如果個人有權反對處理,客戶應該通知他們,並提供讓個人提出其異議的方法。 在您提供給資料主體的資料中,可以包含的與要處理物件相關 Microsoft 服務相關資訊。
- _GDPR 的 Office 365 資料主體要求* [8] 請參閱「步驟 4:限制
(13)(2)(b)、(14)(2)(c)、(21)(1)、(21)(2)、(21)(3)、(21)(5)、(21)(6)
*共用 PII 主體的權利行使 (7.3.6) _ 客戶應該了解在因行使個人權利而修改過資料 (例如,個人要求清除或修改等) 的情況下,通知共用個人資料的第三方這項事實的規定 在 Microsoft 服務中功能的相關資訊,此功能可讓您探索與第三方共用的個人資料。
- _GDPR 的 Office 365 資料主體要求* [8]
(19)
*更正或清除 (7.3.7) _ 客戶應了解通知使用者有權存取、更正和/或清除其個人資料的相關規定,並提供執行上述動作的機制。若有使用第三方系統,且在功能中提供了此機制,則客戶應根據需要使用該功能。 在您提供給資料主體的資料中,可以包含的與存取、更正或清除個人資料能力相關 Microsoft 服務相關資訊的範本。
- _GDPR 的 Office 365 資料主體要求* [8] 請參閱「步驟 5:刪除
(5)(1)(d)、(13)(2)(b)、(14)(2)(c)、(16)、(17)(1)(a)、(17)(1)(b)、(17)(1)(c)、(17)(1)(d)、(17)(1)(e)、(17)(1)(f)、(17)(2)
*提供處理的 PII 副本 (7.3.8) _ 客戶應了解將自己所處理的個人資料副本提供給個人的規定。這可能包括有關副本格式 (即機器可讀取)、傳輸副本等的要求。如果客戶使用第三方系統的功能來提供副本,應根據需要使用此功能。 在您提供給資料主體的資料中,可以包含的 Microsoft 服務功能相關資訊,這些功能可讓您取得其個人資料的複本。
- _GDPR 的 Office 365 資料主體要求* [8] 請參閱「步驟 6:匯出
(15)(3)、(15)(4)、(20)(1)、(20)(2)、(20)(3)、(20)(4)
*要求管理 (7.3.9) _ 客戶應了解接受和回應個人有關其個人資料處理的合法要求的規定。如果客戶使用第三方系統,便應該了解該系統是否提供處理這類要求的功能。若有,則客戶應根據需要使用這類機制來處理要求。 當您管理資料主體要求,在定義提供給資料主體的資訊時,可以使用的 Microsoft 服務中功能的相關資訊。
- _GDPR 的 Office 365 資料主體要求 [8] 客戶應該了解對個人資料進行自動化處理,以及此類自動化所作出決策的規定。這可能包括提供對個人進行者這種處理、反對這種處理、或要求人為干預的相關資訊。如果這些功能是由第三方系統提供,客戶應確保第三方會提供所需的所有資訊或支援。

可以包含在您的責任文件中、與 Microsoft 服務中可能支援自動決策的功能相關的資訊,以及與這些功能的資料主體範本化資訊。
- 客戶資料保護影響評估適用的 Office 365 重要資訊 [10]

(13)(2)(f)、(14)(2)(g)、(22)(1)、(22)(3)

4. 從設計著手保護隱私權與預設保護隱私權

類別 客戶考量 支援的 Microsoft 文件 應對的 GDPR 條款
*限制收集 (7.4.1) _ 客戶應該了解有關收集個人資料限制的規定 (例如,應只限於收集定目的所需的資料)。 Microsoft 服務收集的資料描述。
- _Microsoft 線上服務條款、資料保護條款,請參閱「處理個人資料;GDPR*」[1]
- 客戶資料保護影響評估適用的 Office 365 重要資訊 [10]
(5)(1)(b)、(5)(1)(c)
*限制處理 (7.4.2) _ 客戶有責任限制對個人資料的處理,以便將其限制在所指明目的之範圍內。 Microsoft 服務收集的資料描述。
- _Microsoft 線上服務條款、資料保護條款,請參閱「處理個人資料;GDPR*」[1]
- 客戶資料保護影響評估適用的 Office 365 重要資訊 [10]
(25)(2)
定義及記錄 PII 最少化與去除識別度的目標 (7.4.3) 客戶應該了解與處理個人資料有關的個人權利規定。這些權利可能包括存取、更正、清除等權利。如果客戶使用第三方系統,應該由客戶判斷系統中的哪些部分 (如果有的話) 提供能讓個人行使權利的工具 (例如,存取自己的資料)。系統有提供這些功能時,客戶應根據需要加以使用。 在適當的情況下,Microsoft 會在內部進行去除識別度和假名化處理,為個人資料提供額外的隱私保護措施。 (5)(1)(c)
遵守識別層級 (7.4.4) 客戶應該使用並遵守其組織設定的去除識別度的目標和方法。 在適當的情況下,Microsoft 會在內部進行去除識別度和假名化處理,為個人資料提供額外的隱私保護措施。 (5)(1)(c)
*PII 去除識別度和刪除 (7.4.5) _ 客戶應了解有關保留期超過其指明目的個人資料相關規定。在由系統提供工具的情況下,客戶應該根據需要利用這些工具清除或刪除資料。 Microsoft 雲端服務提供來支援您的資料保留原則的功能。
- GDPR 的 Office 365 資料主體要求 [8] 請參閱「步驟 5:刪除*」
(5)(1)(c)、(5)(1)(e)、(6)(4)(e)、(11)(1)、(32)(1)(a)
暫存檔 (7.4.6) 客戶應該知道系統可能建立的暫存檔,這些檔案可能導致不符合有關處理個人資料的原則 (例如個人資料可能被保留在一個臨時文件中,時間長於所需或允許的時間)。系統有提供刪除或檢查暫存檔的工具時,客戶應該使用這些工具以符合規定。 說明由服務所提供、用於識別個人資料以支援暫存檔原則的功能。
GDPR 的 Office 365 資料主體要求 [8] 查看 Step1: 探索
(5)(1)(c)
*保留 (7.4.7) _ 客戶應該考慮指明的目的,判斷個人資料應保留多久時間。 可以包含在您提供給資料主體的文件中、Microsoft 服務對保留個人資料的相關資訊。
- _Microsoft 線上服務條款、資料保護條款,請參閱「資料安全性;保留*」[1]
(13)(2)(a)、(14)(2)(a)
*處置 (7.4.8) _ 客戶應該利用系統提供的所有刪除或處置機制,來刪除個人資料。 Microsoft 雲端服務提供來支援您的資料刪除原則的功能。
-_ GDPR 的 Office 365 資料主體要求* [8] 請參閱「步驟 5:刪除
(5)(1)(f)
*收集程序 (7.4.9) _ 客戶應該了解有關個人資料正確性的規定 (例如,收集、保持資料為最新等正確性),並利用系統為此提供的任何機制。 Microsoft 服務如何支援個人資料的正確性,以及供您支援資料正確性原則的所有功能。
- _GDPR 的 Office 365 資料主體要求* [8] 請參閱「步驟 3:修正
(5)(1)(d)
*傳輸控制項 (7.4.10) _ 客戶應該了解保護個人資料傳輸的規定,包括誰可以使用傳輸機制,傳輸記錄等。 說明由 Microsoft 服務傳輸的個人資料類型、傳輸雙方的位置、以及傳輸的法律保障。
- _客戶資料保護影響評估適用的 Office 365 重要資訊* [10]
(15)(2)、(30)(1)(e)、(5)(1)(f)
*識別 PII 傳輸的基礎 (7.5.1) _ 客戶應該知道將個人資料 (PII) 傳輸到不同地理位置的規定,並記錄採取了哪些適當的措施來實踐這些規定。 說明由 Microsoft 服務傳輸的個人資料類型、傳輸雙方的位置、以及傳輸的法律保障。
- _客戶資料保護影響評估適用的 Office 365 重要資訊* [10]
條款 (44)、(45)、(46)、(47)、(48)、(49)
*PII 傳輸的目的地國家/地區和組織 (7.5.2) _ 客戶應了解個人資料已傳輸到或可能傳輸到哪些國家/地區,並要能夠向個人提供此資訊。如果是由第三方/處理者執行此傳輸,則客戶應從處理者獲得此資訊。 說明由 Microsoft 服務傳輸的個人資料類型、傳輸雙方的位置、以及傳輸的法律保障。
- _客戶資料保護影響評估適用的 Office 365 重要資訊* [10]
(30)(1)(e)
*PII (個人資料) 傳輸的記錄 (7.5.3) _ 客戶應該維護與個人資料傳輸相關的所有必要記錄。在第三方/處理器執行移轉的位置,客戶應該確定他們維護適當的記錄並視需要取得。 說明由 Microsoft 服務傳輸的個人資料類型、傳輸雙方的位置、以及傳輸的法律保障。
- _客戶資料保護影響評估適用的 Office 365 重要資訊* [10]
(30)(1)(e)
*向第三方揭露 PII 的記錄 (7.5.4) _ 客戶應該了解有關記錄向誰公開個人資料的規定,包括向執法機關揭露。如果是由第三方/處理者揭露這些資料,客戶應確保他們保留適當的記錄並能在必要時取得記錄。 關於個人資料 (包括可用揭露記錄) 揭露收件者類別的提供文件。
- _誰根據哪些條款可以存取您的資料* [6]
(30)(1)(d)
*聯合控制者 (7.5.5) _ 客戶應該判斷他們是否與其他組織一起作為聯合的控制者,並適當地記錄和分配責任。 Microsoft 服務控制個人資訊的文件,包括可包含在適用資料文件的範本資訊。
- _Microsoft 線上服務條款、資料保護條款,請參閱「處理個人資料;GDPR*」[1]

5. 資料保護和安全性

類別 客戶考量 支援的 Microsoft 文件 應對的 GDPR 條款
*了解組織和其內容 (5.2.1) _ 客戶應該判斷他們在處理個人資料方面的角色 (例如控制者、處理者、共同控制者),以識別處理個人資料的適當規定 (法規等)。 處理個人資料時,Microsoft 如何將每個服務視為處理器或控制項。
- _Microsoft Online Services 條款、Data Protection 條款,請參閱「處理個人資料;GDPR,處理者和控制者角色及責任*」[1]
(24)(3)、(28)(10)、(28)(5)、(28)(6)、(32)(3)、(40)(1)、(40)(2)(a)、(40)(2)(b)、(40)(2)(c)、(40)(2)(d)、(40)(2)(e)、(40)(2)(f)、(40)(2)(g)、(40)(2)(h)、(40)(2)(i)、(40)(2)(j)、(40)(2)(k)、(40)(3)、(40)(4)、(40)(5)、(40)(6)、(40)(7)、(40)(8)、(40)(9)、(40)(10)、(40)(11)、(41)(1)、(41)(2)(a)、(41)(2)(b)、(41)(2)(c)、(41)(2)(d)、(41)(3)、(41)(4)、(41)(5)、(41)(6)、(42)(1)、(42)(2)、(42)(3)、(42)(4)、(42)(5)、(42)(6)、(42)(7)、(42)(8)
*了解相關各方的需求和期望 (5.2.2) _ 客戶應該識別可能在處理個人資料方面發揮作用或感興趣的各方 (例如監管機構、稽核者、資料主體、有訂定合約的個人資料處理者),並了解有必要時與其互動的規定。 考慮到處理個人資料所涉及的風險,Microsoft 如何納入所有利益相關各方的意見。
- _客戶資料保護影響評估適用的 Office 365 重要資訊* [10]
- Office 365 ISMS 手冊 [14] 請參閱「4.2 了解相關各方的需求和期望」
合規性管理員中了解相關各方的需求和期望 5.2.2
(35)(9)、(36)(1)、(36)(3)(a)、(36)(3)(b)、(36)(3)(c)、(36)(3)(d)、(36)(3)(e)、(36)(3)(f)、(36)(5)
*判斷資訊安全性管理系統的範圍 (5.2.3、5.2.4) _ 客戶應將對個人資料的處理及其相關規定,包含在現有的任何整體安全性或隱私權計劃中。 Microsoft 服務如何在資訊安全性管理和隱私權程式中包含個人資料處理。
- _Microsoft Office 365 ISO/IEC 27001:2013 ISMS 適用性聲明* [12] 請參閱 A.19
- SOC 2 Type 2 稽核報告 [11]
- Office 365 ISMS 手冊 [14] 請參閱「4. 組織的內容」
- 5.2.3 在合規性管理員中判斷資訊安全性管理系統的範圍
5.2.4 合規性管理員中的資訊安全性管理系統
(32)(2)
*規劃 (5.3) _ 客戶應將對個人資料的處理,視為所完成的任何風險評估中的一環,並採用所有判定為必要的控制措施,以降低所控制個人資料的相關風險。 Microsoft 服務如何將個人資料處理特有的風險,視為其整體安全性和隱私權計劃的一部分。
- _Office 365 ISMS 手冊* [14] 請參閱 5.2 原則
5.3 在合規性管理員中規劃
(32)(1)(b)、(32)(2)
*資訊安全性原則 (6.2) _ 客戶應增強任何現有的資訊安全性原則,納入個人資料保護,包括遵守任何適用法律所需的原則。 資訊安全性及個人資訊保護任何特定量值的 Microsoft 原則。
- _Microsoft Office 365 (全部版本) ISO/IEC 27001:2013 ISMS 適用性聲明* [12] 請參閱 A.19
- SOC 2 Type 2 稽核報告 [11]
- 6.2 合規性管理員中的資訊安全性原則
24(2)
*資訊安全性組織的客戶考量 (6.3) _ 客戶應該在其組織內界定個人資料的安全性和保護責任。這可能包括設立立特定角色 (包括 DPO) 來監督與隱私權相關的事宜,並應提供適當的訓練和管理支援來支援這些角色。 概述 Microsoft 資料保護人員的角色、職責特性、報告結構和連絡資訊。
- _Microsoft 的資料保護長* [18]
- Office 365 ISMS 手冊 [14] 請參閱「5.3 組織角色、職責和授權」
- 6.3 在 合規性管理員中組織資訊安全性
(37)(1)(a)、(37)(1)(b)、(37)(1)(c)、(37)(2)、(37)(3)、(37)(4)、(37)(5)、(37)(6)、(37)(7)、(38)(1)、(38)(2)、(38)(3)、(38)(4)、(38)(5)、(38)(6)、(39)(1)(a)、(39)(1)(b)、(39)(1)(c)、(39)(1)(d)、(39)(1)(e)、(39)(2)
*人力資源安全性 (6.4) _ 客戶應判斷並界定好責任,以便提供與保護個人資料相關的訓練。 概述 Microsoft 資料保護人員的角色、職責特性、報告結構和連絡資訊。
- _Microsoft 的資料保護長* [18]
- Office 365 ISMS 手冊 [14] 請參閱「5.3 組織角色、職責和授權」
- 6.4 在合規性管理員中的人力資源安全性
(39)(1)(b)
*資訊分類 (6.5.1) _ 客戶應該明確地將個人資料視為資料分類配置的一部分。 Office 365 中支援個人資料分類的功能。
- _GDPR 的 Office 365 資訊保護* [5] 請參閱「設計個人資料的分類結構描述」
- 6.5.1 合規性管理員中的資訊分類
(39)(1)(b)
*管理抽取式媒體 (6.5.2) _ 客戶應決定使用抽取式媒體的內部政策,因為這涉及到個人資料的保護 (例如加密裝置)。 Microsoft 服務如何保護任何抽取式媒體上個人資訊的安全性。
- _FedRAMP 中度 FedRAMP 系統安全性計劃* [3] 請參閱「13.10 媒體保護 (MP)」
- 在合規性管理員中管理抽取式媒體
(32)(1)(a)、(5)(1)(f)
實體媒體傳輸 (6.5.3) 客戶應決定在傳輸實體媒體時保護個人資料的內部策略 (例如加密)。 Microsoft 服務如何在實體媒體的任何傳輸期間保護個人資料。
- FedRAMP 中度 FedRAMP 系統安全性計劃 [3] 請參閱「13.10 媒體保護 (MP)」
- 6.5.3 合規性管理員中的實體媒體傳輸
(32)(1)(a)、(5)(1)(f)
使用者存取管理 (6.6.1) 客戶應知道自己在使用的服務中,對於存取控制有哪些責任,並以可用的工具善盡其責。 Microsoft 服務提供來協助您強制執行存取控制的工具。
- Office 365 安全性文件 [2] 請參閱「保護 Office 365 中的資料與服務存取權
- 6.6.1 在合規性管理員
(5)(1)(f)
使用者註冊及取消註冊 (6.6.2) 客戶應以可用的工具,來管理所使用服務中的使用者註冊和取消註冊。 Microsoft 服務提供來協助您強制執行存取控制的工具。
- Office 365 安全性文件 [2] 請參閱「保護 Office 365 中的資料與服務存取權
- 6.6.2 合規性管理員中的使用者註冊及取消註冊
(5)(1)(f)
使用者存取權佈建 (6.6.3) 客戶應以可用的工具,來管理所使用服務中的使用者設定檔,尤其是對個人資料的授權存取。 Microsoft 服務如何支援對個人資料的正式存取控制,包括使用者識別碼、角色、應用程式的存取權,以及使用者的註冊和取消註冊。
- Office 365 安全性文件 [2] 請參閱「保護 Office 365 中的資料與服務存取
- 使用租用限制管理 SaaS 雲端應用程式的存取 [15]
- 合規性管理員中的使用者存取佈建
(5)(1)(f)
管理特殊權限存取 (6.6.4) 客戶應以可用的工具,來管理所使用服務中的使用者識別碼,以利追蹤存取 (尤其是對個人資料的存取)。 Microsoft 服務如何支援對個人資料的正式存取控制,包括使用者識別碼、角色以及使用者的註冊和取消註冊。
- Office 365 安全性文件 2 請參閱「保護 Office 365 中的資料與服務存取權
- 使用租用限制管理 SaaS 雲端應用程式的存取 [15]
- 6.6.4 合規性管理員中的管理特殊權限存取
(5)(1)(f)
安全的登入程序 (6.6.5) 客戶應該利用服務中所提供的機制,確保必要時為其使用者提供安全的登入功能。 Microsoft 服務如何支援與個人資料相關的內部存取控制原則。
- 誰根據哪些條款可以存取您的資料 [6]
- 6.6.5 合規性管理員安全登入程序
(5)(1)(f)
*密碼編譯 (6.7) _ 客戶應該判斷哪些資料需要加密,以及正在使用的服務是否提供了這種功能。客戶應該根據需要以可用的工具來加密資料。 Microsoft 服務如何支援加密及假名,以降低處理個人資料的風險。
- FedRAMP 中度 FedRAMP 系統安全性計劃 (SSP) 請參閱「Cosmos*」pp29
- 6.7 合規性管理員中的密碼編譯
(32)(1)(a)
安全處置或重複使用設備 (6.8.1) 在客戶使用雲端計算服務 (PaaS、SaaS、IaaS) 的情況下,應該了解雲端提供者如何確保在將儲存空間分配給其他客戶之前,將客戶的個人資料從該空間中刪除。 在轉移或重複使用設備之前,Microsoft 服務如何確保將個人資料從儲存設備中刪除。
- FedRAMP 中度 FedRAMP 系統安全性計劃 [3] 請參閱「13.10 媒體保護 (MP)」
- 6.8.1 合規性管理員中的安全處置或重複使用設備
(5)(1)(f)
清除桌面及清除螢幕原則 (6.8.2) 客戶應該考慮以實體副本顯示個人資料的相關風險,並考慮對此類資料的製作加以設限。在使用的系統有提供相關限制功能的情況下 (例如,可以設定禁止列印或複製/貼上敏感資料),客戶應考慮利用這些功能的需要。 Microsoft 實施了哪些措施來管理實體副本。
- Microsoft 在內部保持這種控制機制,請參閱 Microsoft Office 365 ISO/IEC 27001:2013 ISMS 適用性聲明 [12] A.10.2、A.10.7 及 A.4.1
- 6.8.2 合規性管理員中的清除桌面及清除螢幕原則
(5)(1)(f)
區隔開發、測試和作業環境 (6.9.1) 客戶應該考慮在組織內的開發和測試環境中使用個人資料,所造成的影響。 Microsoft 如何確保個人資料在開發及測試環境中受到保護。
- Microsoft Office 365 ISO/IEC 27001:2013 ISMS 適用性聲明 [12] 請參閱 A.12.1.4
- 6.9.1 在合規性管理員中區隔開發、測試、作業環境
5(1)(f)
資訊備份 (6.9.2) 客戶應確保使用系統提供的功能來建立資料備援,並在必要時進行測試。 Microsoft 如何確保可提供可能包括個人資料的資料、如何確保所還原資料的正確性,以及 Microsoft 服務所提供、可讓您備份和還原資料的工具和程序。
- FedRAMP 中度 FedRAMP 系統安全性計劃 [3] 請參閱「10.9 可用性」
6.9.2 合規性管理員中的資訊備份
(32)(1)(c)、(5)(1)(f)
事件記錄 (6.9.3) 客戶應該了解系統所提供的記錄功能,並針對判定為與個人資料相關而有必要記錄的動作,利用這些功能來確保可加以記錄。 Microsoft 服務為您記錄的資料,包括使用者活動、異常情況、故障、資訊安全事件;以及您可以如何存取這些記錄,來當作記錄保存的一部分。
- 在 Office 365 安全與規範中心搜尋稽核記錄 [16]
- 6.9.3 合規性管理員中的事件記錄
(5)(1)(f)
保護記錄資訊 (6.9.4) 在使用的系統提供保護記錄功能的情況下,客戶應在必要時利用這些功能。在使用的系統提供記錄保護功能的情況下,客戶應在必要時利用這些功能。 Microsoft 如何保護其中可能包含個人資料的記錄。
- 在 Office 365 安全與規範中心搜尋稽核記錄 [16]
- 6.9.4 合規性管理員中的記錄資訊保護
(5)(1)(f)
資訊傳輸原則和程序 (6.10.1) 客戶應設有在實體媒體間傳輸個人資料 (例如在伺服器或設施之間移動硬碟) 的流程。這可能包括記錄、授權和追蹤。這可能包括記錄、授權和追蹤。若由第三方或其他處理者來傳輸實體媒體,則客戶應確保該組織設有適當的流程,可確保個人資料的安全性。 Microsoft 服務如何傳輸可能包含個人資料的實體媒體,包括可能發生傳輸的情況,以及為保護資料而採取的保護措施。
- FedRAMP 中度 FedRAMP 系統安全性計劃 [3] 請參閱「13.10 媒體保護 (MP)」
- 6.10.1 合規性管理員中的資訊傳輸原則和程序
(5)(1)(f)
機密或保密協議 (6.10.2) 客戶應針對有權存取個人資料的個人,或其責任與個人資料相關的個人,判斷與其訂定保密協議或等同文件的必要性。 Microsoft 服務如何確保有權存取個人資料的個人致力於保密。
- SOC 2 Type 2 稽核報告 [11] 請參閱 CC1.4 pp33
- 6.10.2 合規性管理員中的機密或保密協議
(5)(1)(f)、(28)(3)(b)、(38)(5)
*在公用網路上保護應用程式服務 (6.11.1) _ 客戶應該了解加密個人資料的規定,特別是透過公用網路傳送資料的情況。系統有提供加密資料的機制時,客戶應在必要時使用這些機制。 說明 Microsoft 服務為了保護傳輸中的資料所採取的措施 (包括資料加密),以及 Microsoft 服務如何在透過公用資料網路傳送可能包含個人資料的資料時,對資料進行保護 (包括任何加密措施)。
- 在 Microsoft Cloud 中的加密 [17] 請參閱「傳輸中客戶資料的加密*」
- 6.11.1 合規性管理員中的在公用網路上保護應用程式服務
(5)(1)(f)、(32)(1)(a)
*安全的系統工程原則 (6.11.2) _ 客戶應了解系統的設計和架設方式,以便考慮如何進行個人資料保護。若客戶使用由第三方架設的系統,便有責任確保已考慮過此類保護措施。 Microsoft 服務如何將個人資料保護原則,當作安全設計/工程原則不可或缺的一部分。
- SOC 2 類型 2 稽核報告 [11] 查看_安全性開發週期* pp23,CC7.1 pp45
- 合規性管理員中安全的系統工程原則
(25)(1)
供應商關係 (6.12) 客戶應確保在合約資訊或其他協議中,提及所有的資訊安全性和個人資料保護規定,以及第三方對上述兩者的責任。協議也應載明處理方式的指示。 在 Microsoft 服務與供應商達成的協議中,關於安全性和資料保護的條款,以及 Microsoft 如何確保這些協議能有效實施。
- 誰根據哪些條款可以存取您的資料 [6]
- 子處理者的合約:與 Microsoft 訂立合約 [7]
- 6.12 合規性管理員中的供應商關係
(5)(1)(f)、(28)(1)、(28)(3)(a)、(28)(3)(b)、(28)(3)(c)、(28)(3)(d)、(28)(3)(e)、(28)(3)(f)、(28)(3)(g)、(28)(3)(h),(30)(2)(d)、(32)(1)(b)
管理資訊安全性事件和增強功能 (6.13.1) 客戶應該要有能夠判斷何時發生了個人資料外洩的程序。 Microsoft 服務如何判斷安全性事件是否外洩了個人資料,以及我們如何向您傳達外洩行為。
- GDPR 規定的 Office 365 和外洩通知 [9]
- 6.13.1 在合規性管理員中管理資訊安全性事件和增強功能
(33)(2)
職責和程序 (在資訊安全性事件期間) (6.13.2) 在涉及個人資料的資料外洩或安全性事件期間,客戶應了解並記錄自己的責任。這些責任可能包括通知規定的各方、與處理者或其他第三方進行溝通,以及客戶組織內部的責任。 如果您察覺到安全性事件或個人資料外洩,如何通知 Microsoft 服務
- GDPR 規定的 Office 365 和外洩通知 [9]
- 6.13.2 合規性管理員中的職責和程序
(5)(1)(f)、(33)(1)、(33)(3)(a)、(33)(3)(b)、(33)(3)(c)、(33)(3)(d)、(33)(4)、(33)(5)、(34)(1)、(34)(2)、(34)(3)(a)、(34)(3)(b)、(34)(3)(c)、(34)(4)
回應資訊安全性事件 (6.13.3) 客戶應該要有能夠判斷何時發生了個人資料外洩的程序。 說明 Microsoft 服務為了協助您確定是否發生了個人資料外洩的情況,所提供的資訊。
- GDPR 規定的 Office 365 和外洩通知 [9]
- 6.13.3 在合規性管理員中回應資訊安全性事件
(33)(1)、(33)(2)、(33)(3)(a)、(33)(3)(b)、(33)(3)(c)、(33)(3)(d)、(33)(4)、(33)(5)、(34)(1)、(34)(2)
*保護記錄 (6.15.1) _ 客戶應了解需要維護且與個人資料處理相關的記錄之規定。 Microsoft 服務如何儲存與處理個人資料相關的記錄
- 在 Office 365 安全與規範中心搜尋稽核記錄 [16]
- Microsoft Office 365 ISO/IEC 27001:2013 ISMS 適用性聲明 [12] 請參閱 A.18.1.3
- Office 365 ISMS 手冊 [14] 請參閱「9 效能評估*」
(5)(2)、(24)(2)
*對資訊安全性的獨立審查 (6.15.2) _ 客戶應該了解評估個人資料處理安全性的規定。這可能包括內部或外部稽核、或其他評估處理安全性的措施。如果客戶依賴其他第三方組織進行全部或部分處理,則應收集該組織所進行評估的相關資訊。 Microsoft 服務如何測試和評估技術和組織措施的有效性,以確保處理的安全性,包括第三方的任何稽核。
- Microsoft 線上服務條款、資料保護條款,請參閱「資料安全性,稽核合規性」[1]
- Office 365 ISMS 手冊 [14] 請參閱「9 效能評估*」
- 6.15.2 在合規性管理員中對資訊安全性的獨立審查
(32)(1)(d)、(32)(2)
*技術合規性審查 (6.15.3) _ 客戶應該了解處理個人資料安全性的測試和評估規定。這可能包括技術測試,如滲透測試。在客戶使用第三方系統或處理者的情況下,應了解自己在保護和測試安全方面承擔了哪些責任 (例如,管理設定以保護資料,然後測試這些組態設定)。如果第三方負責處理的全部或部分安全性,客戶應該了解第三方為了確保處理的安全性而進行的測試或評估。 Microsoft 服務如何根據已識別的風險測試安全性,包括第三方的測試,以及技術測試類型和測試的任何可用報告。
- Microsoft 線上服務條款、資料保護條款,請參閱「資料安全性,稽核合規性」[1]
- 如需外部憑證的清單,請參閱 _Microsoft 信任中心合規性供應項目 [13]*
如需有關滲透測試您的應用程式的詳細資訊,請參閱「FedRAMP 中度 FedRAMP 系統安全性計劃 (SSP) [3]」、「CA-8 滲透測試 (M) (H) pp204」
- 6.15.3 管理員中的技術合規性審查
(32)(1)(d)、(32)(2)
識別碼 描述/連結
1 線上服務條款
2 Office 365 安全性文件
3 FedRAMP 中度 FedRAMP 系統安全性計劃 (SSP)
4 Microsoft 雲端安全性原則
5 GDPR 的 Office 365 資訊保護
6 誰根據哪些條款可以存取您的資料?
7 子處理者的合約:與 Microsoft 訂立合約
8 GDPR 的 365 資料主體要求
9 GDPR 規定的 Office 365 和外洩通知
10 客戶資料保護影響評估適用的 Office 365 重要資訊
11 SOC 2 Type 2 稽核報告
12 Microsoft Office 365 ISO/IEC 27001:2013 ISMS 適用性聲明
13 Microsoft 信任中心合規性供應項目
14 Office 365 ISMS 手冊
15 使用租用戶限制管理 SaaS 雲端應用程式的存取
16 在 Office 365 安全與合規性中心搜尋稽核記錄
17 Microsoft Cloud 中的加密
18 Microsoft 的資料保護長

深入了解