文章总结： 本文详解ISO/IEC27701:2019标准8.5.7条款关于PII分包商雇用的要求。组织须获客户书面授权方可分包PII处理，并须与分包商签订书面合同，落实附录B中的安全控制。默认所有附录B控制均适用，排除特定控制需合理说明。建议合并实施8.5条款以加强隐私合规与风险管控。 综合评分： 75 文章分类： 技术标准,数据安全,供应链安全

【前14篇免费】ISO/IEC 27701: 2019 标准详解与实施（196）8.5.7 处理个人身份信息（PII）的分包商的雇用

原创

27001.CN

Sky的安全观

2026年1月4日 19:50 广东

点击上方蓝色字“Sky的安全观”关注我们

资料交流，请私“加群”

>>ISO系列标准解读合集<<

ISO/IEC 27001: 2022 标准详解与实施合集（共42篇）

ISO/IEC 27001: 2013 标准详解与实施合集（共47篇）

ISO/IEC 20000-1: 2018 标准详解与实施合集（共48篇）

ISO 22301: 2019 标准详解与实施合集（共38篇）

ISO 9001: 2015 标准详解与实施合集（共45篇）new!

ISO 14001: 2015 标准详解与实施合集（共26篇）new!

ISO 45001: 2018 标准详解与实施合集（共30篇）new!

>>更多精彩合集，敬请期待<<

ISO/IEC 27001: 2022 换版不求人

ISO/IEC 27001: 2022 咨询辅导服务内容

华为供应链信息安全审核应对方案

华为供应链网络安全审核应对方案

独家：ISO/IEC 27001: 2022全新文件提供和指导

【直播预告】企业信息安全负责人必修系列课程（第一季）

| | | — | | 8 Additional ISO/IEC 27002 guidance for PII processors 附加到ISO/IEC 27002的个人身份信息（PII）处理者的指南/8.5 PII sharing, transfer, and disclosure 个人身份信息的共享，转移和披露/8.5.7 Engagement of a subcontractor to process PII 处理个人身份信息（PII）的分包商的雇用 | | 8.5.7 Engagement of a subcontractor to process PII 处理个人身份信息（PII）的分包商的雇用 Control 控制 The organization should only engage a subcontractor to process PII according to the customer contract. 组织应只根据顾客合同雇佣处理个人身份信息（PII）的分包商。 Implementation guidance 实施指南 Where the organization subcontracts some or all of the processing of that PII to another organization, a written authorization from the customer is required prior to the PII processed by the subcontractor. This can be in the form of appropriate clauses in the customer contract, or can be a specific “one-off” agreement. 如果组织将个人身份信息（PII）处理的一部分或全部转包给另一组织，在分包商处理个人身份信息（PII）之前，要求从顾客那里获得书面的授权。授权可以是以适宜的条款的形式存在于顾客合同中，或可以是特定的一次性的协议。 The organization should have a written contract with any subcontractors that it uses for PII processing on its behalf, and should ensure that their contracts with subcontractors address the implementation of the appropriate controls in Annex B. 组织宜与所有其使用代表其处理个人身份信息（PII）的分包商签订书面的合同，以及宜确保其与分包商的合同涵盖附录B中适宜的控制项的实施的内容。 The contract between the organization and any subcontractor processing PII on its behalf should require the subcontractor to implement the appropriate controls specified in Annex B, taking account of the information security risk assessment process (see 5.4.1.2) and the scope of the processing of PII performed by the PII processor (see 6.12). By default, all controls specified in Annex B should be assumed as relevant. If the organization decides to not require the subcontractor to implement a control from Annex B, it should justify its exclusion. 组织与代表其处理个人身份信息（PII）的分包商之间的合同宜要求分包商实施附录B中明确列出的适宜的控制项，并加以考虑信息安全风险评估过程（见5.4.1.2）和由个人身份信息（PII）处理者执行的个人身份信息（PII）处理的范围（见6.12）。默认情况下，附录B中明确列出的所有控制项都被认为是适宜的。如果组织决定不要分包商实施附录B中的某项控制，组织宜对此排除做出合理的说明。 A contract can define the responsibilities of each party differently but, to be consistent with this document, all controls should be considered and included in the documented information. 合同可以分别定义每方的责任，但宜与本文件一致，所有控制项宜被考虑，并包含在文件化的信息中。 |

【标准理解】

（1）ISO/IEC 27701: 2019条款8.5是属于隐私信息的共享、转移和披露管理过程，因此可以将8.5中的所有子条款要求合并在一起进行实施。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Sky的安全观 27001.CN《【前14篇免费】ISO/IEC 27701: 2019 标准详解与实施（196）8.5.7 处理个人身份信息（PII）的分包商的雇用》