Политика за мониторинг, одит и подобрение на СУНЛИ

Политиката за мониторинг, одит и подобрение на СУНЛИ определя изискванията на организацията за оценяване на резултатността на системата за управление на неприкосновеността на личната информация в областите мониторинг, измерване, анализ, оценка, вътрешен одит, преглед от ръководството, обработване на несъответствия, коригиращо действие и непрекъснато подобрение. Посочената ѝ цел е да гарантира, че организацията оценява резултатността на СУНЛИ, проверява съответствието на СУНЛИ, идентифицира несъответствия, коригира слабости в контролите и непрекъснато подобрява СУНЛИ чрез обективни доказателства. Политиката се прилага за всички процеси, контроли, политики, регистри, доказателствени обекти, системи, доставчици, обработващи лични данни, подизпълнители по обработване и механизми за споделяне на данни в рамките на обхвата на СУНЛИ. Тя обхваща и контекстите на организацията като администратор, съвместен администратор, обработващ лични данни и подизпълнител по обработване, което я прави приложима както към управлението на поверителността, така и към дейностите по оперативно уверение. Определяща характеристика на политиката е нейният консолидиран модел на доказателства. REG12 се използва като основно местоположение за програмата за мониторинг, определенията на показателите, одитната програма, резултатите от одита, доказателствата за прегледа от ръководството, несъответствията, коригиращите действия, изключенията и действията за подобрение. Поддържащите доказателства идват от REG01 до REG11, включително входни данни за дейностите по обработване от REG02, статус на контролите за сигурност от REG03, актуализации на риска за поверителността от REG04, доказателства за уверение от доставчици и обработващи лични данни от REG08, входни данни за тенденции при инциденти и нарушения от REG10 и статус на завършеното обучение от REG11. Политиката изисква ръководителят по поверителност / мениджърът на СУНЛИ да определи методите за измерване, честотата, източника на доказателства, целевите стойности и отчетните роли за всеки показател на СУНЛИ преди началото на цикъла на измерване и да консолидира резултатите на тримесечна база. Изискванията за одит и преглед са структурирани около риск-базирано планиране, документирани доказателства и независимост. Преглеждащият по вътрешен одит / съответствие трябва да изготви годишна риск-базирана програма за вътрешен одит на СУНЛИ в REG12 и да определи целта, критериите, обхвата, метода, основата за извадката и крайния срок за докладване преди началото на одитната работа на място. Независимостта на одитора и проверките за конфликт на интереси трябва да се записват преди всяко одитно възлагане. Одитните дейности включват тестване на статуса на прилагане на приложимите контроли на СУНЛИ спрямо REG03, записване на избрани извадки от доказателства за обработване на лични данни и документиране на резултатите в срок до 15 работни дни след приключване на одита. За приетите констатации трябва да бъдат определени собственици на коригиращи действия в REG12 в срок до 10 работни дни от приемането на резултатите от одита. Прегледът от ръководството, коригиращите действия и подобрението също са строго контролирани. Висшето ръководство трябва да извършва преглед от ръководството на СУНЛИ поне веднъж годишно в REG12, като преглежда предходни действия, показатели за резултатността на СУНЛИ, статус на целите за поверителност, несъответствия, коригиращи действия, резултати от мониторинга, резултати от одита, рискове за поверителността, уверение от доставчици и входни данни за промени от заинтересовани страни. Несъответствията трябва да се записват, да се посочват първопричини и планове за коригиращи действия, да се одобряват крайни срокове и критерии за приемане, да се съхраняват доказателства за завършване и да се проверява ефективността. Непрекъснатото подобрение се ръководи от тримесечен преглед на резултатите от мониторинга, резултатите от одита, тенденциите при инциденти, статуса на риска за поверителността, статуса на уверението от доставчици и тенденциите при коригиращите действия. Когато една и съща категория констатация възникне два или повече пъти в рамките на 12 месеца, политиката изисква в REG12 да бъде създадено действие за системно подобрение.