Politika řízení incidentů týkajících se PII a porušení zabezpečení osobních údajů

Politika řízení incidentů týkajících se PII a porušení zabezpečení osobních údajů definuje, jak organizace v rámci rozsahu systému řízení informací o soukromí identifikuje, hlásí, třídí, posuzuje, omezuje, oznamuje, dokumentuje, uzavírá a zlepšuje postupy týkající se incidentů týkajících se PII a porušení zabezpečení osobních údajů. Jejím stanoveným účelem je zajistit, aby incidenty a porušení zabezpečení byly řešeny konzistentně, včas, zákonně, bezpečně a s důkazy připravenými pro audit. Politika se uplatní v kontextech správce, společného správce, zpracovatele a dílčího zpracovatele a vztahuje se na systémy, aplikace, služby, procesy, dodavatele, zpracovatele, dílčí zpracovatele a třetí strany, které zpracovávají, ukládají, přenášejí, podporují, zpřístupňují nebo jinak ovlivňují PII v rozsahu PIMS. Ústředním prvkem politiky je integrovaný model důkazů. REG10 — Registr incidentů týkajících se PII a porušení zabezpečení osobních údajů je primárním důkazním objektem pro řízení incidentů a porušení zabezpečení, zatímco podpůrné registry poskytují kontext a dohledatelnost. REG01 podporuje kontext rozsahu, právních, smluvních, odvětvových, zákaznických a oznamovacích požadavků. REG02 propojuje dotčené činnosti zpracování, kategorie PII, kategorie subjektů PII, účely a systémy. REG04 podporuje vazby na rizika pro soukromí, DPIA a zbytkové riziko. REG08 zaznamenává rozhraní incidentů se zpracovateli, dílčími zpracovateli, zákazníky, dodavateli a třetími stranami. REG09 se používá, pokud incidenty ovlivňují přeshraniční zpracování, REG11 podporuje důkazy o školení a způsobilosti a REG12 zachycuje důkazy o auditu, neshodách, nápravných opatřeních a zlepšování. Tato struktura pomáhá zajistit, aby záznamy o incidentech nebyly izolovány od širšího PIMS. Politika stanoví podrobné požadavky na připravenost, příjem, klasifikaci, posouzení porušení zabezpečení, zamezení šíření, obnovu, oznámení, komunikaci, ochranu důkazů a získané poznatky. Podezřelé incidenty týkající se PII musí být zaznamenány bez zbytečného odkladu, přičemž každý nahlášený nebo detekovaný podezřelý incident musí být vložen do REG10 do jednoho pracovního dne od přijetí, nebo dříve, pokud mohou být aktivovány lhůty pro oznámení nebo hlášení zákazníkovi. Technické třídění bezpečnostních událostí zahrnujících PII musí být dokončeno do 24 hodin od detekce a každý záznam v REG10 musí být do 24 hodin od příjmu klasifikován jako událost bez PII, podezřelý incident týkající se PII, potvrzený incident týkající se PII nebo potvrzené porušení zabezpečení osobních údajů, pokud není zdokumentován důvod čekající klasifikace. Pro posouzení porušení zabezpečení politika vyžaduje identifikaci dotčených činností zpracování, kategorií PII, kategorií subjektů PII, systémů, zpracovatelů, dílčích zpracovatelů, míst předávání a rizik pro soukromí před finalizací rozhodnutí o oznámení. Oznamovací a komunikační povinnosti jsou odděleny podle role. U správců politika vyžaduje zdokumentovaná rozhodnutí o oznámení regulačnímu orgánu pro každé potvrzené porušení zabezpečení osobních údajů bez zbytečného odkladu, přičemž oznámení, odůvodnění neoznámení nebo odůvodnění prodlení musí být uchováno v REG10. Pokud je vyvolána komunikace s dotčenými subjekty PII, politika vyžaduje zaznamenání obsahu, cílové skupiny, načasování, způsobu doručení a důkazů o schválení. U zpracovatelů a dílčích zpracovatelů politika vyžaduje oznámení dotčeným správcům, zákazníkům, nadřazeným zpracovatelům nebo schválenými smluvními kanály bez zbytečného odkladu a v příslušných smluvních lhůtách. U incidentů s významným dopadem týkajících se PII také vyžaduje vyhodnocení právních, odvětvových, finančně-sektorových, kyberbezpečnostních, smluvních, zákaznických a příjemcovských oznamovacích spouštěčů tam, kde jsou použitelné. Správa a řízení, měření a zlepšování jsou začleněny do procesu. Vedoucí ochrany osobních údajů / manažer PIMS vlastní proces řízení incidentů a porušení zabezpečení a musí zajistit, aby byl REG10 udržován až do uzavření. Koordinátor reakce na incidenty řídí příjem, třídění, pracovní postup zamezení šíření, sledování stavu, uzavření a získané poznatky. Informační bezpečnost vede technické vyšetřování, zamezení šíření, eradikaci, obnovu, uchování důkazů a analýzu kořenové příčiny tam, kde jsou zapojeny systémy nebo bezpečnostní opatření. Vrcholové vedení obdrží eskalaci potvrzených incidentů s významným dopadem týkajících se PII do 24 hodin od klasifikace a v rámci přezkoumání vedením přezkoumává incidenty s významným dopadem, porušení podléhající oznamovací povinnosti, opožděná nápravná opatření a významné dopady. Metriky zahrnují objemy incidentů, načasování klasifikace a zamezení šíření, včasnost oznámení, stárnutí nápravných opatření, výkonnost reakce třetích stran a dokončení cvičení. Politika rovněž vyžaduje každoroční přezkum, přezkum po incidentu po incidentech s významným dopadem nebo potvrzených porušeních zabezpečení a každoroční přezkum implementace interním auditem.