Политика за документирана информация и управление на доказателствата в СУНЛИ

Политиката за документирана информация и управление на доказателствата в СУНЛИ определя задължителни изисквания за контрол на пълния жизнен цикъл на документираната информация в система за управление на неприкосновеността на личната информация. Нейният обхват включва създаването, одобрението, управлението на версиите, защитата, съхранението, извличането, превода, оттеглянето и доказването на записите в СУНЛИ. Политиката се прилага за политики на СУНЛИ, регистри, документирани одобрения, записи с доказателства, доказателства за одит, записи от преглед от ръководството, доказателства за коригиращи действия и контролирани преводи, използвани за демонстриране на съответствието на СУНЛИ. Тя е разработена за контексти на администратор, съвместен администратор, обработващ лични данни и подизпълнител по обработване, което я прави приложима към ролите, които една организация може да изпълнява при обработване на лични данни. Основна характеристика на политиката е използването на каноничните доказателствени обекти на СУНЛИ REG01 до REG12, вместо създаване на отделен регистър за контрол на документи. Политиката посочва, че доказателствата за контрол на документираната информация се поддържат чрез тези доказателствени обекти, като REG03 и REG12 се използват специално за приложимост на контролите, одит, несъответствие, коригиращо действие и доказателства за подобрение. Този подход има за цел да предотврати ненужна бюрокрация при контрола на документи, като същевременно запази записи, готови за одит, за сертификация, искания от клиенти за потвърждение на контролите и непрекъснато подобрение. REG12 се използва широко за индекса на документираната информация, нива на достъп, класификации по чувствителност, статус на одобрение, история на версиите, искания за извличане, одобрения за разкриване, категории за съхранение, статус на оттегляне, изключения и проследяване на коригиращи действия. Политиката установява подробни контроли за създаване, одобрение, управление на версиите и публикуване. Преди публикуване на документирана информация в СУНЛИ, Ръководителят по поверителност / Мениджърът на СУНЛИ трябва да присвои идентификатор на документа, собственик, номер на версия, статус на одобрение, дата на влизане в сила и дата за преглед в REG12. Висшето ръководство трябва да одобрява основните политики на СУНЛИ и съществените промени в политиките преди публикуване, докато Ръководителят по поверителност / Мениджърът на СУНЛИ одобрява шаблони за доказателства или вградени раздели на регистри преди оперативно използване. Политиката също така изисква историята на версиите и основанието за промяната да бъдат записани преди издаване, а комуникацията на одобрени промени да бъде записана в REG11 в срок до 30 дни от публикуването. Качеството и проследимостта на доказателствата се третират като оперативни изисквания, а не като незадължителни документационни задачи. Ръководителят по поверителност / Мениджърът на СУНЛИ трябва да определи правила за именуване на доказателствата, да съгласува препратките към контроли в REG03 със записите с доказателства по политики на тримесечна база и преди външен одит, както и да прилага одобреното правило за именуване при експорт, преди доказателствата да бъдат споделени за сертификационен одит, искания от клиенти за потвърждение на контролите или регулаторен отговор. Собствениците на процеси / собствениците на бизнеса трябва да гарантират, че доказателствата за обработване включват собственика на доказателството, дата, препратка към дейността по обработване, статус на решението и статус на одобрение, преди да бъдат използвани за одит. Вътрешният одит / преглеждащите лица по съответствие трябва да записват пропуски в пълнотата, точността или проследимостта по време на планирани одити или прегледи на съответствието. Политиката също така определя контроли за достъп, защита, извличане, разкриване, съхранение, оттегляне, архивиране, унищожаване и многоезичен контрол на версиите. Ограниченията за достъп до хранилище трябва да бъдат записани преди предоставяне на достъп и да се преглеждат на тримесечна база, а достъпът до доказателства в СУНЛИ, съдържащи лични данни, трябва да бъде одобрен преди предоставянето му. Разкриването на доказателства пред външни одитори, клиенти, обработващи лични данни, администратори, надзорни органи или други външни страни изисква записване на одобрението и обхвата на разкриването. Остарелите версии трябва да бъдат оттегляни в определени срокове, предходните одобрени версии на политики трябва да бъдат запазвани, а архивиране или изтриване не трябва да се извършва, докато не бъдат проверени зависимостите от задържане за одит, правно задържане, разследване на инцидент или коригиращо действие. Показателите, обработката на изключения, спазването и изискванията за годишен преглед гарантират, че документираната информация остава актуална, извлекаема, защитена и съгласувана с потребностите за съответствие на СУНЛИ.