policy ISO 27701 PIMS Policy Pack

Politika správy dokumentovaných informací a důkazů PIMS

Řiďte dokumenty a důkazy PIMS pro schvalování, verzování, přístup, uchovávání, vyhledávání pro audit a záznamy připravené pro ISO/IEC 27701.

Přehled

Tato politika vymezuje, jak se dokumentované informace a důkazy PIMS vytvářejí, schvalují, verzují, chrání, vyhledávají, uchovávají, překládají, stahují a auditují. Využívá REG01 až REG12 k udržování dohledatelných důkazů připravených na certifikaci v kontextech správce, společného správce, zpracovatele a dílčího zpracovatele.

Řízení důkazů připravených na audit

Vymezuje, jak se důkazy PIMS vytvářejí, pojmenovávají, chrání, vyhledávají, uchovávají a propojují napříč REG01 až REG12.

Dohledatelné schvalování a verzování

Před zveřejněním vyžaduje identifikátory, vlastníky, verze, stav schválení, datum účinnosti, datum přezkumu a odůvodnění změny.

Jasná odpovědnost v PIMS

Přiřazuje povinnosti k dokumentovaným informacím rolím v oblasti ochrany soukromí, bezpečnosti, procesů, systémů, pořizování, auditu a vrcholového vedení.

Přečíst celý přehled (click to expand)
Politika správy dokumentovaných informací a důkazů PIMS vymezuje povinné požadavky na řízení celého životního cyklu dokumentovaných informací systému řízení informací o soukromí. Její rozsah zahrnuje tvorbu, schvalování, verzování, ochranu, uchovávání, vyhledávání, překlady, stahování a dokládání záznamů PIMS. Politika se vztahuje na politiky PIMS, registry, dokumentovaná schválení, důkazní záznamy, auditní důkazy, záznamy z přezkoumání vedením, důkazy o nápravných opatřeních a řízené překlady používané k prokazování shody PIMS. Je vytvořena pro kontext správce, společného správce, zpracovatele a dílčího zpracovatele, a je proto použitelná napříč rolemi, které organizace může při zpracování PII zastávat. Ústředním prvkem politiky je používání kanonických důkazních objektů PIMS REG01 až REG12 namísto vytváření samostatného registru řízení dokumentů. Politika stanoví, že důkazy o řízení dokumentovaných informací se udržují prostřednictvím těchto důkazních objektů, přičemž REG03 a REG12 se výslovně používají pro použitelnost opatření, audit, neshodu, nápravné opatření a důkazy o zlepšování. Tento přístup má zabránit zbytečné byrokracii v oblasti řízení dokumentů a zároveň zachovat záznamy připravené na audit pro certifikaci, programy ujištění zákazníků a neustálé zlepšování. REG12 se rozsáhle používá pro index dokumentovaných informací, úrovně přístupu, klasifikace citlivosti, stav schválení, historii verzí, žádosti o vyhledání, schválení zpřístupnění, kategorie uchovávání, stav stažení, výjimky a sledování nápravných opatření. Politika stanoví podrobná opatření pro tvorbu, schvalování, verzování a zveřejňování. Před zveřejněním dokumentovaných informací PIMS musí vedoucí ochrany soukromí / manažer PIMS přiřadit v REG12 identifikátor dokumentu, vlastníka, číslo verze, stav schválení, datum účinnosti a datum přezkumu. Vrcholové vedení musí před zveřejněním schválit klíčové politiky PIMS a významné změny politik, zatímco vedoucí ochrany soukromí / manažer PIMS schvaluje šablony důkazů nebo vložené části registrů před jejich provozním použitím. Politika také vyžaduje zaznamenání historie verzí a odůvodnění změny před vydáním a zaznamenání komunikace schválených změn v REG11 do 30 dnů od zveřejnění. Kvalita a dohledatelnost důkazů jsou pojaty jako provozní požadavky, nikoli jako volitelné dokumentační úkoly. Vedoucí ochrany soukromí / manažer PIMS musí definovat konvence pojmenování důkazů, čtvrtletně a před externím auditem sesouladit odkazy na opatření v REG03 se záznamy důkazů k politikám a před sdílením důkazů pro certifikační audit, programy ujištění zákazníků nebo regulační reakci použít schválenou konvenci pro pojmenování exportů. Vlastníci procesů / vlastníci podnikových procesů musí zajistit, aby důkazy o zpracování obsahovaly vlastníka důkazu, datum, odkaz na činnost zpracování, stav rozhodnutí a stav schválení předtím, než se na ně bude spoléhat při auditu. Interní audit / přezkoumávající osoby v oblasti souladu musí při plánovaných auditech nebo přezkumech souladu zaznamenávat mezery v úplnosti, přesnosti nebo dohledatelnosti. Politika dále vymezuje opatření pro přístup, ochranu, vyhledávání, zpřístupnění, uchovávání, stahování, archivaci, likvidaci a vícejazyčné řízení verzí. Omezení přístupu k repozitáři musí být zaznamenána před udělením přístupu a přezkoumávána čtvrtletně; přístup k důkazům PIMS obsahujícím PII musí být před udělením schválen. Zpřístupnění důkazů externím auditorům, zákazníkům, zpracovatelům, správcům, dozorovým orgánům nebo jiným externím stranám vyžaduje zaznamenání schválení a rozsahu zpřístupnění. Zastaralé verze musí být staženy ve stanovených lhůtách, předchozí schválené verze politik musí být uchovány a archivace nebo výmaz nesmí proběhnout, dokud nebyly ověřeny závislosti na auditním pozastavení, pozastavení mazání, vyšetřování incidentu nebo nápravném opatření. Metriky, ošetření výjimek, prosazování požadavků a požadavky na každoroční přezkum zajišťují, že dokumentované informace zůstávají aktuální, vyhledatelné, chráněné a sladěné s potřebami shody PIMS.

Diagram politiky

Vývojový diagram procesu znázorňující životní cyklus dokumentovaných informací PIMS: vytvoření indexu REG12, klasifikace důkazů, schválení a verzování dokumentů, ochrana přístupu, vyhledání důkazů, uchování nebo stažení záznamů, audit dohledatelnosti a zaznamenání zlepšení.

Klikněte na diagram pro zobrazení v plné velikosti

Obsah

Index dokumentovaných informací PIMS v REG12

Tvorba, schvalování, verzování a zveřejňování

Pojmenování, kvalita a dohledatelnost důkazů

Přístup, ochrana, vyhledávání a zpřístupnění

Uchovávání, stažení, archivace a likvidace

Překlad a vícejazyčné řízení verzí

Soulad s rámcem

🛡️ Podporované standardy a rámce

Tento produkt je v souladu s následujícími rámci dodržování předpisů s podrobnými mapováními doložek a kontrol.

Rámec Pokryté doložky / Kontroly
ISO/IEC 27701:2025
Clause 6.1.3Clause 7.5Clause 8.1Clause 9.1Clause 9.2Clause 9.3Clause 10.2Annex A.1.2.9Annex A.2.2.2Annex A.3.14
EU GDPR
Article 5(2)Article 24Article 28Article 30Article 32
ISO/IEC 29100:2020
Clause 5.12
ISO/IEC 29151:2022
Clause 18.1.4
ISO/IEC 27001:2022
Clause 7.5
ISO/IEC 27002:2022
Control 5.33Control 5.34

Související zásady

Politika systému řízení informací o soukromí

Poskytuje zastřešující rámec PIMS, který tato politika dokumentovaných informací a důkazů podporuje.

Politika rolí, odpovědností a odpovědnosti v oblasti ochrany soukromí

Vymezuje odpovědnost rolí potřebnou k provozování požadavků na vlastnictví důkazů, schvalování, přezkum a dohled.

Politika evidence činností zpracování a právního základu

Důkazy o zpracování v REG02 závisejí na přesných záznamech v evidenci, metadatech vlastníka, stavu a důkazech o schválení.

Politika správy zpracovatelů, dílčích zpracovatelů a třetích stran v oblasti ochrany soukromí

Podporuje důkazy v REG08 týkající se externě poskytovaného zpracování, dílčího zpracování, sdílení se třetími stranami a pokynů zákazníka.

Politika bezpečnosti a řízení přístupu

Navazuje na omezení přístupu k repozitáři, schvalování přístupu k důkazům obsahujícím PII a ochranná opatření pro záznamy PIMS.

Politika monitorování, auditu a zlepšování PIMS

Souvisí s vyhledáváním auditních důkazů, testováním dohledatelnosti, neshodami, nápravnými opatřeními a důkazy o zlepšování.

O politikách Clarysec - Politika správy dokumentovaných informací a důkazů PIMS

Tato politika zavádí provozní rámec pro správu dokumentovaných informací a důkazů PIMS v celém jejich životním cyklu. Vymezuje požadavky na identifikátory dokumentů, vlastnictví, schvalování, verzování, zveřejňování, pojmenování důkazů, dohledatelnost, řízení přístupu, ochranu repozitáře, vyhledávání, zpřístupnění, uchovávání, stažení, archivaci, likvidaci, řízení překladů, výjimky, prosazování požadavků, přezkum a neustálé zlepšování s využitím REG01 až REG12.

Řízení životního cyklu

Pokrývá tvorbu, schvalování, verzování, ochranu, uchovávání, vyhledávání, překlady, stažení a likvidaci.

Chráněné důkazy

Vyžaduje omezení přístupu, klasifikaci citlivosti, schválení zpřístupnění a přezkumy ochrany repozitáře.

Dohledatelné záznamy

Propojuje politiky, opatření, činnosti zpracování, schválení, audity, neshody a nápravná opatření.

Podpora certifikace

Podporuje připravenost na audit tím, že zajišťuje, aby důkazy bylo možné lokalizovat, ověřit, vyhledat a propojit s povinnostmi.

Nejčastější dotazy

Vytvořeno pro lídry, lídry

Tato politika byla vypracována bezpečnostním lídrem s více než 25 lety zkušeností s implementací a auditem rámců ISMS v globálních organizacích. Není navržena pouze jako dokument, ale jako obhajitelný rámec, který obstojí při auditu.

Vypracováno odborníkem s následujícími kvalifikacemi:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pokrytí a témata

🏢 Cílová oddělení

Ochrana soukromí Soulad IT bezpečnost Audit Kancelář DPO

🏷️ Tematické pokrytí

Řízení informací o soukromí Záznamy o činnostech zpracování Klasifikace dat Uchovávání a likvidace údajů Řízení souladu Správa politik Interní audit
€49

Jednorázový nákup

Okamžité stažení
Doživotní aktualizace

Tato politika je 1 z 25 v kompletním balíčku ISO/IEC 27701 PIMS

Ušetřete 52%

Získejte všech 25 politik PIMS, kompletní sadu registrů a podrobný implementační plán za €799 místo €1 675 při samostatném nákupu.

Zobrazit kompletní balíček 27701 →
PIMS Documented Information and Evidence Management Policy

Podrobnosti o produktu

Typ: policy
Kategorie: ISO 27701 PIMS Policy Pack
Normy: 6