Politika systému řízení informací o soukromí

Politika systému řízení informací o soukromí zavádí PIMS organizace pro zpracování osobně identifikovatelných údajů v kontextech správce, společného správce, zpracovatele a dílčího zpracovatele. Jejím uvedeným účelem je definovat povinné požadavky na správu a řízení pro zavedení, implementaci, udržování, monitorování a neustálé zlepšování PIMS. Politika je navržena tak, aby podporovala odpovědné, rizikově orientované řízení zpracování PII napříč použitelnými rolemi PIMS, podložené důkazy. Vztahuje se na rozsah PIMS, organizační kontext, zainteresované strany, hranice, určení rolí, politiku ochrany soukromí, cíle ochrany soukromí, posouzení rizik pro soukromí, ošetření rizik pro soukromí, Prohlášení o použitelnosti PIMS, správu a řízení, monitorování, interní audit, přezkoumání vedením, neshodu, nápravná opatření a dokumentované důkazy potřebné k prokázání shody a odpovědnosti. Ústředním prvkem politiky je důraz na jasně definovanou odpovědnost. Vrcholové vedení musí schválit rozsah PIMS v REG01 před počáteční implementací a do 30 dnů od jakékoli významné změny, každoročně schválit politiku a cíle PIMS v REG12 a při přezkoumání vedením posoudit výkonnost, otevřená rizika, neshody, nápravná opatření a rozhodnutí o zlepšování. Vedoucí ochrany soukromí / manažer PIMS udržuje základní záznamy PIMS, včetně otázek kontextu, zainteresovaných stran, cílů, Prohlášení o použitelnosti, rozhodnutí o ošetření rizik, indexu důkazů, metrik, výjimek, nápravných opatření a záznamů o přezkumu politiky. Vlastníci procesů klasifikují roli PIMS organizace pro každou činnost zpracování PII před zahájením zpracování, zatímco vlastníci dodavatelů / pořizování dokumentují rozdělení odpovědnosti společných správců, pokyny zákazníka ke zpracování, schválená ujednání o dílčím zpracování, správu dodavatelů a externě poskytované procesy relevantní pro PIMS. Politika propojuje správu a řízení PIMS s provozním řízením. Posouzení rizik pro soukromí musí být zahájeno před zahájením nového nebo významně změněného zpracování PII a potřeba DPIA musí být určena před pokračováním vysoce rizikového nebo významně změněného zpracování v roli správce. Schválená rozhodnutí o ošetření rizik pro soukromí se zaznamenávají před implementací ošetření a vlastníci systémů musí před spuštěním do produkčního prostředí potvrdit provozní opatření PIMS pro systémy zpracovávající PII. Vedoucí informační bezpečnosti odpovídá za dokumentování použitelného základního souboru bezpečnostních opatření pro PII a za udržování stavu implementace bezpečnostních opatření, čímž propojuje správu a řízení ochrany soukromí se základním souborem bezpečnostních opatření pro PII a s Prohlášením o použitelnosti. Tato struktura pomáhá zajistit, aby rozsah, činnosti zpracování, použitelnost opatření, dodavatelská ujednání a záznamy o rizicích zůstaly sladěny před přezkoumáním vedením a změnami souvisejícími s certifikací. Politika také definuje požadavky na auditovatelnost a neustálé zlepšování. Vedoucí ochrany soukromí / manažer PIMS musí před každým interním auditem udržovat index důkazů PIMS, uchovávat dokumentované informace podle požadavků na uchovávání důkazů, čtvrtletně udržovat metriky výkonnosti a před přezkoumáním vedením reportovat stav cílů. Minimální sada měření zahrnuje procento činností zpracování v rozsahu s aktuální klasifikací rolí, procento použitelných opatření s aktuálním stavem implementace, otevřené neshody a nápravná opatření po termínu a posouzení rizik pro soukromí čekající na schválení. Přezkoumávající osoby interního auditu / souladu musí reportovat výsledky přezkumu do 15 pracovních dnů, při interních auditech vzorkově ověřovat úplnost důkazů, ověřovat důkazy o uzavření expirovaných výjimek a do 30 dnů od nahlášeného uzavření ověřit účinnost nápravných opatření. Výjimky, prosazování požadavků a údržba jsou řešeny jako formální procesy PIMS, nikoli jako neformální odchylky. Požadované výjimky musí být dokumentovány před tím, než dojde k odchylce, musí být posouzeny z hlediska rizik pro soukromí před schválením a musí být čtvrtletně přezkoumávány až do uzavření. Výjimky, které překračují přijaté prahové hodnoty rizik pro soukromí, vyžadují před implementací schválení vrcholového vedení. Podezření na neshody musí být zaznamenána do pěti pracovních dnů, závažná nápravná opatření po termínu musí být eskalována vrcholovému vedení a nevyřešené závažné neshody musí být přezkoumány při každém přezkoumání vedením. Samotná politika je přezkoumávána každoročně a do 30 dnů od významných změn právních, organizačních, zpracovatelských, technologických nebo změn rozsahu certifikace; schválené změny jsou komunikovány v REG11 do 30 dnů od zveřejnění.