Politika monitorování, auditu a zlepšování PIMS

Politika monitorování, auditu a zlepšování PIMS stanoví požadavky organizace na hodnocení výkonnosti systému řízení informací o soukromí v oblastech monitorování, měření, analýzy, hodnocení, interního auditu, přezkoumání vedením, řešení neshod, nápravných opatření a neustálého zlepšování. Jejím deklarovaným účelem je zajistit, aby organizace vyhodnocovala výkonnost PIMS, ověřovala shodu PIMS, identifikovala neshody, napravovala bezpečnostní slabiny a průběžně zlepšovala PIMS na základě objektivních důkazů. Politika se vztahuje na všechny procesy, kontroly, politiky, registry, důkazní objekty, systémy, dodavatele, zpracovatele, dílčí zpracovatele a ujednání o sdílení údajů v rozsahu PIMS. Zahrnuje také kontexty organizace jako správce, společného správce, zpracovatele a dílčího zpracovatele, a je proto relevantní jak pro správu ochrany soukromí, tak pro provozní činnosti zajištění. Určujícím prvkem politiky je její konsolidovaný model důkazů. REG12 se používá jako primární umístění pro program monitorování, definice metrik, program auditu, výsledky auditů, důkazy z přezkoumání vedením, neshody, nápravná opatření, výjimky a opatření ke zlepšení. Podpůrné důkazy pocházejí z REG01 až REG11, včetně vstupů k činnostem zpracování z REG02, stavu bezpečnostních opatření z REG03, aktualizací rizik pro soukromí z REG04, důkazů o zajištění dodavatelů a zpracovatelů z REG08, vstupů k trendům incidentů a porušení zabezpečení z REG10 a stavu absolvování školení z REG11. Politika vyžaduje, aby vedoucí ochrany soukromí / manažer PIMS před zahájením měřicího cyklu definoval metody měření, frekvenci, zdroj důkazů, cíle a odpovědné role pro každou metriku PIMS a aby výsledky konsolidoval čtvrtletně. Požadavky na audit a přezkum jsou strukturovány kolem plánování založeného na rizicích, dokumentovaných důkazů a nezávislosti. Přezkoumávající osoba interního auditu / souladu musí v REG12 připravit každoroční program interního auditu PIMS založený na rizicích a před zahájením auditních prací v terénu definovat cíl, kritéria, rozsah, metodu, základ pro výběr vzorku a lhůtu pro vykazování. Před každým auditním pověřením musí být zaznamenány kontroly nezávislosti auditora a střetu zájmů. Auditní činnosti zahrnují testování stavu implementace příslušných kontrol PIMS proti REG03, zaznamenání vybraných vzorků důkazů o zpracování PII a dokumentování výsledků do 15 pracovních dnů po dokončení auditu. K přijatým zjištěním musí být do 10 pracovních dnů od přijetí výsledku auditu přiřazeni vlastníci nápravných opatření v REG12. Přezkoumání vedením, nápravná opatření a zlepšování jsou rovněž přísně řízeny. Vrcholové vedení musí alespoň jednou ročně provést přezkoumání PIMS vedením v REG12 a přezkoumat předchozí opatření, metriky výkonnosti PIMS, stav cílů ochrany soukromí, neshody, nápravná opatření, výsledky monitorování, výsledky auditů, rizika pro soukromí, zajištění dodavatelů a vstupy ke změnám od zainteresovaných stran. Neshody musí být zaznamenány, kořenové příčiny a plány nápravných opatření předloženy, termíny splnění a akceptační kritéria schváleny, důkazy o dokončení uchovány a účinnost ověřena. Neustálé zlepšování je řízeno čtvrtletním přezkumem výsledků monitorování, výsledků auditů, trendů incidentů, stavu rizik pro soukromí, stavu zajištění dodavatelů a trendů nápravných opatření. Pokud se stejná kategorie zjištění vyskytne dvakrát nebo vícekrát během 12 měsíců, politika vyžaduje vytvoření systémového opatření ke zlepšení v REG12.