policy ISO 27701 PIMS Policy Pack

Πολιτική Διαχείρισης Περιστατικών και Παραβιάσεων Δεδομένων Προσωπικού Χαρακτήρα στον Χρηματοοικονομικό Τομέα

Πολιτική για περιστατικά και παραβιάσεις δεδομένων προσωπικού χαρακτήρα στον χρηματοοικονομικό τομέα, για τεκμήρια REG10, αρχική αξιολόγηση, γνωστοποίηση, αναφορά, ανάκαμψη και συνεχή βελτίωση.

Επισκόπηση

Η παρούσα πολιτική διέπει τον χειρισμό περιστατικών και παραβιάσεων δεδομένων προσωπικού χαρακτήρα στον χρηματοοικονομικό τομέα στους ρόλους του υπευθύνου επεξεργασίας, του από κοινού υπευθύνου επεξεργασίας, του εκτελούντος την επεξεργασία και του υπεργολάβου επεξεργασίας. Χρησιμοποιεί το REG10 ως το κύριο μητρώο τεκμηρίων και συνδέει τα περιστατικά με κινδύνους, αρχεία επεξεργασίας, προμηθευτές, διαβιβάσεις, γνωστοποιήσεις, αναφορά, εκπαίδευση, έλεγχο και διορθωτικά μέτρα.

Έλεγχος παραβιάσεων στον χρηματοοικονομικό τομέα

Ορίζει τον τρόπο με τον οποίο τα περιστατικά που αφορούν δεδομένα προσωπικού χαρακτήρα στον χρηματοοικονομικό τομέα αναγνωρίζονται, αξιολογούνται αρχικά, περιορίζονται, γνωστοποιούνται, τεκμηριώνονται και κλείνουν.

Βασικό πλαίσιο τεκμηρίων REG10

Χρησιμοποιεί το REG10 ως το κύριο μητρώο περιστατικών και παραβιάσεων, συνδεδεμένο με το πεδίο εφαρμογής, τους κινδύνους, τις διαβιβάσεις, τους προμηθευτές, την εκπαίδευση και τα ελεγκτικά τεκμήρια.

Λογοδοσία βάσει ρόλων

Αναθέτει καθήκοντα σε ρόλους ιδιωτικότητας, ασφάλειας, απόκρισης σε περιστατικά, επιχειρησιακούς ρόλους, ρόλους προμηθευτών, ελέγχου και Ανώτατης Διοίκησης.

Υποστήριξη αποφάσεων αναφοράς

Απαιτεί τεκμηριωμένες αποφάσεις για γνωστοποίηση παραβίασης, επικοινωνία με το υποκείμενο των δεδομένων προσωπικού χαρακτήρα και εναύσματα αναφοράς στον χρηματοοικονομικό τομέα.

Διαβάστε πλήρη επισκόπηση (click to expand)
Η Πολιτική Διαχείρισης Περιστατικών και Παραβιάσεων Δεδομένων Προσωπικού Χαρακτήρα στον Χρηματοοικονομικό Τομέα ορίζει απαιτήσεις για την αναγνώριση, αναφορά, αρχική αξιολόγηση, ταξινόμηση, αξιολόγηση, περιορισμό, γνωστοποίηση, τεκμηρίωση, κλείσιμο και βελτίωση σχετικά με περιστατικά που αφορούν δεδομένα προσωπικού χαρακτήρα και παραβιάσεις δεδομένων προσωπικού χαρακτήρα σε πεδία εφαρμογής PIMS του χρηματοοικονομικού τομέα. Εφαρμόζεται όταν ο οργανισμός ενεργεί ως υπεύθυνος επεξεργασίας, από κοινού υπεύθυνος επεξεργασίας, εκτελών την επεξεργασία ή υπεργολάβος επεξεργασίας σε περιβάλλον χρηματοοικονομικού τομέα και καλύπτει επίσης συστήματα, εφαρμογές, υπηρεσίες, διαδικασίες, προμηθευτές, εκτελούντες την επεξεργασία, υπεργολάβους επεξεργασίας και τρίτα μέρη που επεξεργάζονται, αποθηκεύουν, μεταδίδουν, υποστηρίζουν, έχουν πρόσβαση ή επηρεάζουν με άλλον τρόπο δεδομένα προσωπικού χαρακτήρα εντός του πεδίου εφαρμογής. Η πολιτική έχει σχεδιαστεί ρητά ως παραλλαγή αντικατάστασης του PII15 για τον χρηματοοικονομικό τομέα και απαιτεί από τους οργανισμούς να επιλέγουν είτε το PII15 είτε το PII15-FS για το ίδιο πεδίο εφαρμογής, ώστε να αποφεύγονται διπλές υποχρεώσεις, μητρώα και εργασίες ελεγκτικών τεκμηρίων. Σκοπός της πολιτικής είναι να διασφαλίζει ότι τα περιστατικά και οι παραβιάσεις δεδομένων προσωπικού χαρακτήρα αντιμετωπίζονται με συνέπεια, έγκαιρα, νόμιμα, με ασφάλεια και με τεκμήρια κατάλληλα για έλεγχο. Το REG10 — Μητρώο Περιστατικών και Παραβιάσεων Δεδομένων Προσωπικού Χαρακτήρα καθιερώνεται ως το κύριο αντικείμενο τεκμηρίων, ενώ τα υποστηρικτικά μητρώα συνδέουν την εγγραφή περιστατικού με το ευρύτερο μοντέλο τεκμηρίων του PIMS. Το REG01 χρησιμοποιείται για το πεδίο εφαρμογής, τα ενδιαφερόμενα μέρη, το κλαδικό, πελατειακό, συμβατικό και αναφορικό πλαίσιο. Το REG02 συνδέει τις επηρεαζόμενες δραστηριότητες επεξεργασίας, τις κατηγορίες δεδομένων προσωπικού χαρακτήρα, τις κατηγορίες υποκειμένων των δεδομένων προσωπικού χαρακτήρα, τους σκοπούς επεξεργασίας, τα συστήματα και τις υπηρεσίες. Το REG03 αποτυπώνει τη Δήλωση Εφαρμοσιμότητας και τις επικαιροποιήσεις της εφαρμοσιμότητας ελέγχων, συμπεριλαμβανομένης της αντικατάστασης του PII15 από το PII15-FS. Το REG04 υποστηρίζει τη σύνδεση με τον κίνδυνο ιδιωτικότητας, τη DPIA, τον υπολειπόμενο κίνδυνο και την αντιμετώπιση, ενώ τα REG08, REG09, REG11 και REG12 καλύπτουν διεπαφές τρίτων μερών, διεθνείς διαβιβάσεις, εκπαίδευση και τεκμήρια ελέγχου ή διορθωτικών ενεργειών. Σε επιχειρησιακό επίπεδο, η πολιτική απαιτεί κάθε αναφερόμενο ή εντοπισμένο ύποπτο περιστατικό που αφορά δεδομένα προσωπικού χαρακτήρα στον χρηματοοικονομικό τομέα να καταγράφεται στο REG10 εντός μίας εργάσιμης ημέρας από τη λήψη του ή νωρίτερα όταν ενδέχεται να ενεργοποιηθούν χρονοδιαγράμματα γνωστοποίησης, ενημέρωσης πελατών ή αναφοράς. Τα περιστατικά πρέπει να ταξινομούνται εντός 24 ωρών από την εισαγωγή τους ως συμβάν που δεν αφορά δεδομένα προσωπικού χαρακτήρα, ύποπτο περιστατικό που αφορά δεδομένα προσωπικού χαρακτήρα, επιβεβαιωμένο περιστατικό που αφορά δεδομένα προσωπικού χαρακτήρα, επιβεβαιωμένη παραβίαση δεδομένων προσωπικού χαρακτήρα, περιστατικό που αφορά δεδομένα προσωπικού χαρακτήρα στον χρηματοοικονομικό τομέα, μείζον συμβάν στον χρηματοοικονομικό τομέα, σημαντική κυβερνοαπειλή ή καταχώριση με εκκρεμή ταξινόμηση. Η αξιολόγηση παραβίασης πρέπει να λαμβάνει υπόψη τα επηρεαζόμενα δεδομένα προσωπικού χαρακτήρα, τα υποκείμενα των δεδομένων προσωπικού χαρακτήρα, τα συστήματα, τις υπηρεσίες, τις δραστηριότητες επεξεργασίας, τους εκτελούντες την επεξεργασία, τους υπεργολάβους επεξεργασίας, τις διαβιβάσεις, τους κινδύνους, τους πελάτες, τους αντισυμβαλλομένους και τις ενέργειες αποκατάστασης. Η πολιτική απαιτεί επίσης διατήρηση τεκμηρίων, περιορισμό εντός καθορισμένων χρονικών πλαισίων, επικύρωση ανάκαμψης και τεκμηριωμένες αποφάσεις κλεισίματος που περιλαμβάνουν ταξινόμηση, απόφαση γνωστοποίησης, κατάσταση περιορισμού, κατάσταση ανάκαμψης, υπολειπόμενο κίνδυνο, διορθωτικές ενέργειες και πληρότητα τεκμηρίων. Η πολιτική διακρίνει τις υποχρεώσεις υπευθύνου επεξεργασίας, από κοινού υπευθύνου επεξεργασίας, εκτελούντος την επεξεργασία και υπεργολάβου επεξεργασίας. Οι υπεύθυνοι επεξεργασίας πρέπει να καταγράφουν αποφάσεις γνωστοποίησης παραβίασης, να προετοιμάζουν τεκμήρια γνωστοποίησης προς την εποπτική αρχή όταν απαιτείται και να ανασκοπούν την επικοινωνία με τα υποκείμενα των δεδομένων προσωπικού χαρακτήρα όταν εντοπίζεται υψηλός κίνδυνος. Οι εκτελούντες την επεξεργασία και οι υπεργολάβοι επεξεργασίας πρέπει να αξιολογούν τις εντολές πελάτη, τις συμβατικές υποχρεώσεις γνωστοποίησης, τις ανάντη αλυσίδες γνωστοποίησης και τις απαιτήσεις δρομολόγησης τεκμηρίων, με τα σχετικά αρχεία να τηρούνται στα REG08 και REG10. Οι αρμοδιότητες από κοινού υπευθύνων επεξεργασίας πρέπει να συντονίζονται και να τεκμηριώνονται πριν από τις εφαρμοστέες προθεσμίες εξωτερικής γνωστοποίησης. Για περιστατικά υψηλού αντικτύπου που αφορούν δεδομένα προσωπικού χαρακτήρα στον χρηματοοικονομικό τομέα και σημαντικές κυβερνοαπειλές, ο Συντονιστής Αντιμετώπισης Περιστατικών πρέπει να αξιολογεί τα εναύσματα αναφοράς στον χρηματοοικονομικό τομέα και να διατηρεί τεκμήρια απόφασης στο REG10. Η διακυβέρνηση, η μέτρηση και η βελτίωση ενσωματώνονται στον κύκλο ζωής της πολιτικής. Ο Επικεφαλής Ιδιωτικότητας / Υπεύθυνος PIMS πρέπει να ανασκοπεί τα ανοικτά περιστατικά REG10 τουλάχιστον εβδομαδιαία έως το κλείσιμό τους, και η Ανώτατη Διοίκηση πρέπει να λαμβάνει κλιμάκωση για επιβεβαιωμένα περιστατικά υψηλού αντικτύπου στον χρηματοοικονομικό τομέα, μείζονα περιστατικά ή σημαντικές κυβερνοαπειλές εντός 24 ωρών μετά την ταξινόμηση. Οι μετρικές περιλαμβάνουν μηνιαίες καταμετρήσεις ύποπτων και επιβεβαιωμένων περιστατικών, παραβιάσεων, μειζόνων συμβάντων στον χρηματοοικονομικό τομέα και σημαντικών κυβερνοαπειλών, καθώς και την έγκαιρη γνωστοποίηση παραβιάσεων, την έγκαιρη αναφορά στον χρηματοοικονομικό τομέα, τον περιορισμό, την ανάκαμψη, την επικύρωση αποκατάστασης και την απόδοση απόκρισης τρίτων μερών. Η πολιτική απαιτεί περαιτέρω ετήσια ανασκόπηση, ανασκόπηση μετά το περιστατικό ύστερα από μείζονα συμβάντα, ανασκόπηση από τον Εσωτερικό Έλεγχο, διαχείριση εξαιρέσεων, εφαρμογή μέσω μη συμμορφώσεων REG12 και διορθωτική εκπαίδευση μέσω REG11 όταν προκύπτουν αστοχίες ευαισθητοποίησης ή επικοινωνίας.

Διάγραμμα Πολιτικής

Διάγραμμα ροής διαδικασίας που δείχνει την εισαγωγή περιστατικού που αφορά δεδομένα προσωπικού χαρακτήρα στον χρηματοοικονομικό τομέα στο REG10, την ταξινόμηση, την αξιολόγηση παραβίασης, τον περιορισμό, τις αποφάσεις γνωστοποίησης ή αναφοράς, τη διατήρηση τεκμηρίων, το κλείσιμο, τα διδάγματα που αντλήθηκαν και τις συνδέσεις διορθωτικών ενεργειών με υποστηρικτικά μητρώα.

Κάντε κλικ στο διάγραμμα για προβολή σε πλήρες μέγεθος

Περιεχόμενα

Κανόνες ενεργοποίησης πεδίου εφαρμογής και PII15-FS

Μοντέλο τεκμηρίων περιστατικών και παραβιάσεων REG10

Απαιτήσεις αρχικής αξιολόγησης, ταξινόμησης και αξιολόγησης παραβίασης

Παρακολούθηση περιορισμού, ανάκαμψης και αντικτύπου υπηρεσιών

Γνωστοποίηση, επικοινωνία και αναφορά στον χρηματοοικονομικό τομέα

Διδάγματα που αντλήθηκαν, διορθωτικά μέτρα και μετρικές

Συμμόρφωση με πλαίσιο

🛡️ Υποστηριζόμενα πρότυπα & πλαίσια

Αυτό το προϊόν είναι ευθυγραμμισμένο με τα ακόλουθα πλαίσια συμμόρφωσης, με λεπτομερείς αντιστοιχίσεις ρητρών και ελέγχων.

Πλαίσιο Καλυπτόμενες ρήτρες / Έλεγχοι
ISO/IEC 27701:2025
Clause 7.4Clause 7.5Clause 8.1Clause 8.2Clause 8.3Clause 9.1Clause 10.2Annex A.3.11Annex A.3.12Annex A.3.13Annex A.3.14Annex A.2.2.2Annex A.2.2.6
EU GDPR
Article 5(2)Article 24Article 26Article 28Article 32Article 33Article 34Article 39
DORA Regulation (EU) 2022/2554
Article 17Article 18Article 19Article 20
NIS2 Directive (EU) 2022/2555
Article 23
ISO/IEC 29100:2020
Clause 5.11Clause 5.12
ISO/IEC 29151:2022
Clause 16.1.2Clause 16.1.3
ISO/IEC 27002:2022
Control 5.24Control 5.25Control 5.26Control 5.27Control 5.28
ISO/IEC 27035-1:2023
Clause 5.2Clause 5.3Clause 5.4Clause 5.5Clause 5.6
ISO/IEC 27035-2:2023
Clause 4Clause 6Clause 10Clause 11Clause 12
ISO/IEC 27035-3:2020
Clause 7Clause 8Clause 9Clause 10Clause 11Clause 12
ISO/IEC 27018:2020
Annex A.10.1

Σχετικές πολιτικές

Πολιτική Διαχείρισης Περιστατικών και Παραβιάσεων

Βασική πολιτική περιστατικών και παραβιάσεων την οποία το PII15-FS αντικαθιστά για το ίδιο πεδίο εφαρμογής PIMS στον χρηματοοικονομικό τομέα.

Πολιτική Αξιολόγησης Κινδύνου Ιδιωτικότητας και DPIA

Οι αξιολογήσεις παραβίασης συνδέουν τα πραγματικά περιστατικά με τον κίνδυνο ιδιωτικότητας, τη DPIA, τον υπολειπόμενο κίνδυνο και τα τεκμήρια αντιμετώπισης στο REG04.

Πολιτική Διαχείρισης Εκτελούντων την Επεξεργασία, Υπεργολάβων Επεξεργασίας και Τρίτων Μερών σε Θέματα Ιδιωτικότητας

Οι επικοινωνίες τρίτων μερών για περιστατικά, τα αιτήματα τεκμηρίων και οι συμβατικές γνωστοποιήσεις καταγράφονται μέσω των REG08 και REG10.

Πολιτική Ασφάλειας και Ελέγχου Πρόσβασης

Οι προληπτικοί έλεγχοι και οι ανιχνευτικοί έλεγχοι ασφάλειας υποστηρίζουν την ανίχνευση, τον περιορισμό, την ανάκαμψη και τη διατήρηση τεκμηρίων για περιστατικά που αφορούν δεδομένα προσωπικού χαρακτήρα.

Πολιτική Διαχείρισης Τεκμηριωμένων Πληροφοριών και Τεκμηρίων PIMS

Ο χειρισμός περιστατικών εξαρτάται από πλήρεις, προστατευμένες και ιχνηλάσιμες τεκμηριωμένες πληροφορίες σε όλο το REG10 και τα συναφή αντικείμενα τεκμηρίων.

Πολιτική Παρακολούθησης, Ελέγχου και Βελτίωσης PIMS

Τα διδάγματα που αντλήθηκαν, ο Εσωτερικός Έλεγχος, οι μη συμμορφώσεις, οι διορθωτικές ενέργειες και η ανασκόπηση της Διοίκησης δρομολογούνται μέσω του REG12.

Σχετικά με τις Πολιτικές της Clarysec - Πολιτική Διαχείρισης Περιστατικών και Παραβιάσεων Δεδομένων Προσωπικού Χαρακτήρα στον Χρηματοοικονομικό Τομέα

Η Πολιτική Διαχείρισης Περιστατικών και Παραβιάσεων Δεδομένων Προσωπικού Χαρακτήρα στον Χρηματοοικονομικό Τομέα θεσπίζει ένα επιχειρησιακό πλαίσιο PIMS για τον χειρισμό ύποπτων και επιβεβαιωμένων περιστατικών και παραβιάσεων δεδομένων προσωπικού χαρακτήρα σε πεδία εφαρμογής χρηματοοικονομικού τομέα. Ορίζει τον τρόπο με τον οποίο τα περιστατικά καταγράφονται, ταξινομούνται, αξιολογούνται, περιορίζονται, γνωστοποιούνται, αναφέρονται, τεκμηριώνονται, κλείνουν και βελτιώνονται. Η πολιτική αναθέτει σαφή λογοδοσία στην Ανώτατη Διοίκηση, στον Επικεφαλής Ιδιωτικότητας / Υπεύθυνο PIMS, στον Συντονιστή Αντιμετώπισης Περιστατικών, στον Επικεφαλής Ασφάλειας Πληροφοριών, στον Υπεύθυνο Προστασίας Δεδομένων / Σύμβουλο Ιδιωτικότητας, στον Ιδιοκτήτη Συστήματος ή Ιδιοκτήτη Εφαρμογής, στον Ιδιοκτήτη Διεργασίας ή Επιχειρησιακό Ιδιοκτήτη, στον Υπεύθυνο Προμηθευτών / Προμηθειών και στον Ανασκοπητή Εσωτερικού Ελέγχου / Συμμόρφωσης. Χρησιμοποιεί το REG10 ως το κύριο αντικείμενο τεκμηρίων και συνδέει τις εγγραφές περιστατικών με τα REG01, REG02, REG03, REG04, REG08, REG09, REG11 και REG12 όπου αυτό ενεργοποιείται από τα πραγματικά περιστατικά.

Έλεγχος κύκλου ζωής περιστατικού

Καλύπτει την εισαγωγή, την ταξινόμηση, την αξιολόγηση, τον περιορισμό, την ανάκαμψη, τη γνωστοποίηση, το κλείσιμο και τη βελτίωση.

Τεκμήρια κατάλληλα για έλεγχο

Απαιτεί αρχεία REG10 με πραγματικά περιστατικά, χρονικά στοιχεία, ενέργειες, αποφάσεις, γνωστοποιήσεις, τεκμήρια αναφοράς και κατάσταση κλεισίματος.

Καθορισμένοι ρόλοι PIMS

Κατανέμει καθήκοντα σε ρόλους ιδιωτικότητας, ασφάλειας, απόκρισης σε περιστατικά, επιχειρησιακούς ρόλους, ρόλους προμηθευτών, ελέγχου και διοίκησης.

Εναύσματα χρηματοοικονομικού τομέα

Απαιτεί την αξιολόγηση αποφάσεων αναφοράς για μείζον συμβάν και σημαντική κυβερνοαπειλή, όπου εφαρμόζεται.

Συχνές ερωτήσεις

Σχεδιασμένο για Ηγέτες, από Ηγέτες

Η παρούσα πολιτική έχει συνταχθεί από ηγετικό στέλεχος ασφάλειας με περισσότερα από 25 έτη εμπειρίας στην υλοποίηση και τον έλεγχο πλαισίων ISMS σε παγκόσμιους οργανισμούς. Δεν έχει σχεδιαστεί απλώς ως έγγραφο, αλλά ως ένα τεκμηριωμένο πλαίσιο που αντέχει στον έλεγχο των ελεγκτών.

Συντάχθηκε από ειδικό που κατέχει:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Κάλυψη & Θέματα

🏢 Τμήματα-στόχοι

Ιδιωτικότητα Νομικό Τμήμα Συμμόρφωση Ασφάλεια Πληροφορικής Κίνδυνος

🏷️ Θεματική κάλυψη

Διαχείριση παραβιάσεων Διαχείριση περιστατικών Διαχείριση πληροφοριών ιδιωτικότητας Επεξεργασία δεδομένων προσωπικού χαρακτήρα Διαχείριση τρίτων μερών Διαχείριση κινδύνων Διαχείριση συμμόρφωσης
€89

Εφάπαξ αγορά

Άμεση λήψη
Ενημερώσεις εφ' όρου ζωής

Αυτή η πολιτική είναι 1 από 25 στο πλήρες πακέτο ISO/IEC 27701 PIMS

Εξοικονομήστε 52%

Αποκτήστε και τις 25 πολιτικές PIMS, το πλήρες σύνολο μητρώων και ένα λεπτομερές σχέδιο υλοποίησης για €799, αντί για €1.675 ξεχωριστά.

Δείτε το πλήρες πακέτο 27701 →
Financial Sector PII Incident and Breach Management Policy

Λεπτομέρειες προϊόντος

Τύπος: policy
Κατηγορία: ISO 27701 PIMS Policy Pack
Πρότυπα: 11