policy ISO 27701 PIMS Policy Pack

Πολιτική Διαχείρισης Περιστατικών και Παραβιάσεων Δεδομένων Προσωπικού Χαρακτήρα

Διαχείριση περιστατικών και παραβιάσεων δεδομένων προσωπικού χαρακτήρα με τεκμήρια REG10, αρχική αξιολόγηση βάσει ρόλων, αποφάσεις γνωστοποίησης, περιορισμό, διδάγματα που αντλήθηκαν και αρχεία έτοιμα για έλεγχο.

Επισκόπηση

Η παρούσα πολιτική καθορίζει τον τρόπο με τον οποίο τα περιστατικά και οι παραβιάσεις δεδομένων προσωπικού χαρακτήρα αναφέρονται, αξιολογούνται, περιορίζονται, γνωστοποιούνται, τεκμηριώνονται, κλείνουν και βελτιώνονται. Χρησιμοποιεί το REG10 ως το κύριο μητρώο περιστατικών και συνδέει τα αρχεία με τεκμήρια επεξεργασίας, κινδύνου, προμηθευτών, διαβίβασης, εκπαίδευσης, ελέγχου και διορθωτικών ενεργειών.

Δομημένη απόκριση σε παραβιάσεις

Καθορίζει απαιτήσεις για λήψη, αρχική αξιολόγηση, εκτίμηση, περιορισμό, γνωστοποίηση, κλείσιμο και βελτίωση περιστατικών και παραβιάσεων δεδομένων προσωπικού χαρακτήρα.

Τεκμήρια έτοιμα για έλεγχο

Χρησιμοποιεί το REG10 ως το κύριο μητρώο περιστατικών και συνδέει τα τεκμήρια με αρχεία επεξεργασίας, κινδύνου, προμηθευτών, διαβίβασης, εκπαίδευσης και διορθωτικών ενεργειών.

Λογοδοσία βάσει ρόλων

Αναθέτει σαφείς αρμοδιότητες σε ρόλους ιδιωτικότητας, ασφάλειας, απόκρισης σε περιστατικά, συστημάτων, διεργασιών, προμηθευτών, ελέγχου και Ανώτατης Διοίκησης.

Διαβάστε πλήρη επισκόπηση (click to expand)
Η Πολιτική Διαχείρισης Περιστατικών και Παραβιάσεων Δεδομένων Προσωπικού Χαρακτήρα καθορίζει τον τρόπο με τον οποίο ένας οργανισμός αναγνωρίζει, αναφέρει, αξιολογεί αρχικά, εκτιμά, περιορίζει, γνωστοποιεί, τεκμηριώνει, κλείνει και βελτιώνεται μετά από περιστατικά που αφορούν δεδομένα προσωπικού χαρακτήρα και παραβιάσεις δεδομένων προσωπικού χαρακτήρα εντός του πεδίου εφαρμογής του Συστήματος Διαχείρισης Πληροφοριών Ιδιωτικότητας. Ο δηλωμένος σκοπός της είναι να διασφαλίζει ότι τα περιστατικά και οι παραβιάσεις αντιμετωπίζονται με συνέπεια, έγκαιρα, νόμιμα, με ασφάλεια και με τεκμήρια έτοιμα για έλεγχο. Η πολιτική εφαρμόζεται σε πλαίσια υπευθύνου επεξεργασίας, από κοινού υπευθύνου επεξεργασίας, εκτελούντος την επεξεργασία και υπεργολάβου επεξεργασίας, και εκτείνεται σε συστήματα, εφαρμογές, υπηρεσίες, διεργασίες, προμηθευτές, εκτελούντες την επεξεργασία, υπεργολάβους επεξεργασίας και τρίτα μέρη που επεξεργάζονται, αποθηκεύουν, διαβιβάζουν, υποστηρίζουν, προσπελάζουν ή επηρεάζουν με άλλο τρόπο δεδομένα προσωπικού χαρακτήρα εντός του πεδίου εφαρμογής του PIMS. Κεντρικό χαρακτηριστικό της πολιτικής είναι το ενσωματωμένο μοντέλο τεκμηρίων. Το REG10 — Μητρώο Περιστατικών και Παραβιάσεων Δεδομένων Προσωπικού Χαρακτήρα είναι το κύριο αντικείμενο τεκμηρίων για τη διαχείριση περιστατικών και παραβιάσεων, ενώ τα υποστηρικτικά μητρώα παρέχουν πλαίσιο και ιχνηλασιμότητα. Το REG01 υποστηρίζει το πεδίο εφαρμογής, καθώς και το νομικό, συμβατικό, τομεακό, πελατειακό και αναφορικό πλαίσιο. Το REG02 συνδέει τις επηρεαζόμενες δραστηριότητες επεξεργασίας, τις κατηγορίες δεδομένων προσωπικού χαρακτήρα, τις κατηγορίες υποκειμένων των δεδομένων προσωπικού χαρακτήρα, τους σκοπούς και τα συστήματα. Το REG04 υποστηρίζει τη σύνδεση με τον κίνδυνο ιδιωτικότητας, τη DPIA και τον υπολειπόμενο κίνδυνο. Το REG08 καταγράφει διεπαφές περιστατικών με εκτελούντες την επεξεργασία, υπεργολάβους επεξεργασίας, πελάτες, προμηθευτές και τρίτα μέρη. Το REG09 χρησιμοποιείται όταν τα περιστατικά επηρεάζουν διασυνοριακή επεξεργασία, το REG11 υποστηρίζει τεκμήρια εκπαίδευσης και επάρκειας, και το REG12 αποτυπώνει τεκμήρια ελέγχου, μη συμμορφώσεων, διορθωτικών ενεργειών και βελτίωσης. Η δομή αυτή συμβάλλει ώστε τα αρχεία περιστατικών να μην απομονώνονται από το ευρύτερο PIMS. Η πολιτική θέτει αναλυτικές απαιτήσεις για ετοιμότητα, λήψη περιστατικών, ταξινόμηση, αξιολόγηση παραβίασης, περιορισμό, ανάκαμψη, γνωστοποίηση, επικοινωνίες, προστασία τεκμηρίων και διδάγματα που αντλήθηκαν. Τα ύποπτα περιστατικά που αφορούν δεδομένα προσωπικού χαρακτήρα πρέπει να καταγράφονται έγκαιρα, με κάθε αναφερόμενο ή ανιχνευθέν ύποπτο περιστατικό να εισάγεται στο REG10 εντός μίας εργάσιμης ημέρας από τη λήψη ή νωρίτερα όταν ενδέχεται να ενεργοποιηθούν χρονοδιαγράμματα γνωστοποίησης ή αναφοράς προς πελάτη. Η τεχνική αρχική αξιολόγηση συμβάντων ασφάλειας που αφορούν δεδομένα προσωπικού χαρακτήρα πρέπει να ολοκληρώνεται εντός 24 ωρών από την ανίχνευση, και κάθε καταχώριση REG10 πρέπει να ταξινομείται ως συμβάν που δεν αφορά δεδομένα προσωπικού χαρακτήρα, ύποπτο περιστατικό που αφορά δεδομένα προσωπικού χαρακτήρα, επιβεβαιωμένο περιστατικό που αφορά δεδομένα προσωπικού χαρακτήρα ή επιβεβαιωμένη παραβίαση δεδομένων προσωπικού χαρακτήρα εντός 24 ωρών από τη λήψη, εκτός εάν τεκμηριώνεται ο λόγος εκκρεμούς ταξινόμησης. Για την αξιολόγηση παραβίασης, η πολιτική απαιτεί την αναγνώριση των επηρεαζόμενων δραστηριοτήτων επεξεργασίας, κατηγοριών δεδομένων προσωπικού χαρακτήρα, κατηγοριών υποκειμένων των δεδομένων προσωπικού χαρακτήρα, συστημάτων, εκτελούντων την επεξεργασία, υπεργολάβων επεξεργασίας, τοποθεσιών διαβίβασης και κινδύνων ιδιωτικότητας πριν από την οριστικοποίηση των αποφάσεων γνωστοποίησης. Οι υποχρεώσεις γνωστοποίησης και επικοινωνίας διαχωρίζονται ανά ρόλο. Για τους υπευθύνους επεξεργασίας, η πολιτική απαιτεί τεκμηριωμένες αποφάσεις γνωστοποίησης προς ρυθμιστικές αρχές για κάθε επιβεβαιωμένη παραβίαση δεδομένων προσωπικού χαρακτήρα χωρίς αδικαιολόγητη καθυστέρηση, με τη γνωστοποίηση, την αιτιολόγηση μη γνωστοποίησης ή την αιτιολόγηση καθυστέρησης να διατηρούνται στο REG10. Όταν ενεργοποιείται επικοινωνία προς τα επηρεαζόμενα υποκείμενα των δεδομένων προσωπικού χαρακτήρα, η πολιτική απαιτεί την καταγραφή του περιεχομένου, του κοινού, του χρόνου, της μεθόδου παράδοσης και των τεκμηρίων έγκρισης. Για εκτελούντες την επεξεργασία και υπεργολάβους επεξεργασίας, η πολιτική απαιτεί γνωστοποίηση προς τους επηρεαζόμενους υπευθύνους επεξεργασίας, πελάτες, ανάντη εκτελούντες την επεξεργασία ή εγκεκριμένους συμβατικούς διαύλους χωρίς αδικαιολόγητη καθυστέρηση και εντός των εφαρμοστέων συμβατικών προθεσμιών. Για περιστατικά υψηλού αντικτύπου που αφορούν δεδομένα προσωπικού χαρακτήρα, απαιτεί επίσης αξιολόγηση νομικών, τομεακών, χρηματοοικονομικού τομέα, κυβερνοασφάλειας, συμβατικών, πελατειακών και σχετικών με αποδέκτες υπηρεσιών εναυσμάτων αναφοράς, όπου εφαρμόζεται. Η διακυβέρνηση, η μέτρηση και η βελτίωση ενσωματώνονται στη διαδικασία. Ο Επικεφαλής Ιδιωτικότητας / Υπεύθυνος PIMS έχει την κυριότητα της διαδικασίας διαχείρισης περιστατικών και παραβιάσεων και πρέπει να διασφαλίζει ότι το REG10 τηρείται έως το κλείσιμο. Ο Συντονιστής Αντιμετώπισης Περιστατικών διαχειρίζεται τη λήψη, την αρχική αξιολόγηση, τη ροή εργασίας περιορισμού, την παρακολούθηση κατάστασης, το κλείσιμο και τα διδάγματα που αντλήθηκαν. Η Ασφάλεια Πληροφοριών ηγείται της τεχνικής διερεύνησης, του περιορισμού, της εξάλειψης, της ανάκαμψης, της διατήρησης τεκμηρίων και της ανάλυσης βασικής αιτίας όταν εμπλέκονται συστήματα ή έλεγχοι ασφάλειας. Η Ανώτατη Διοίκηση λαμβάνει κλιμάκωση για επιβεβαιωμένα περιστατικά υψηλού αντικτύπου που αφορούν δεδομένα προσωπικού χαρακτήρα εντός 24 ωρών από την ταξινόμηση και ανασκοπεί περιστατικά υψηλού αντικτύπου, κοινοποιητέες παραβιάσεις, εκπρόθεσμες διορθωτικές ενέργειες και ουσιώδεις επιπτώσεις κατά την ανασκόπηση της Διοίκησης. Οι μετρικές περιλαμβάνουν όγκους περιστατικών, χρόνους ταξινόμησης και περιορισμού, έγκαιρη γνωστοποίηση, παλαιότητα διορθωτικών ενεργειών, απόδοση απόκρισης τρίτων μερών και ολοκλήρωση ασκήσεων. Η πολιτική απαιτεί επίσης ετήσια ανασκόπηση, ανασκόπηση μετά το περιστατικό μετά από περιστατικά υψηλού αντικτύπου ή επιβεβαιωμένες παραβιάσεις, και ετήσια ανασκόπηση της υλοποίησης από τον εσωτερικό έλεγχο.

Διάγραμμα Πολιτικής

Διάγραμμα ροής διαδικασίας που παρουσιάζει τη λήψη περιστατικού που αφορά δεδομένα προσωπικού χαρακτήρα, την καταγραφή στο REG10, την αρχική αξιολόγηση, την αξιολόγηση παραβίασης, τον περιορισμό και την ανάκαμψη, τις αποφάσεις γνωστοποίησης, τη διατήρηση τεκμηρίων, το κλείσιμο, τα διδάγματα που αντλήθηκαν, τις διορθωτικές ενέργειες REG12 και την ανασκόπηση της Διοίκησης.

Κάντε κλικ στο διάγραμμα για προβολή σε πλήρες μέγεθος

Περιεχόμενα

Πεδίο εφαρμογής, ορισμοί και κανόνες εφαρμοσιμότητας

Απαιτήσεις μητρώου περιστατικών και παραβιάσεων REG10

Κριτήρια ταξινόμησης και αξιολόγησης παραβίασης

Περιορισμός, εξάλειψη, ανάκαμψη και επικύρωση

Γνωστοποίηση, επικοινωνίες και τήρηση αρχείων

Διδάγματα που αντλήθηκαν, μετρικές, έλεγχος και συνεχής βελτίωση

Συμμόρφωση με πλαίσιο

🛡️ Υποστηριζόμενα πρότυπα & πλαίσια

Αυτό το προϊόν είναι ευθυγραμμισμένο με τα ακόλουθα πλαίσια συμμόρφωσης, με λεπτομερείς αντιστοιχίσεις ρητρών και ελέγχων.

Πλαίσιο Καλυπτόμενες ρήτρες / Έλεγχοι
ISO/IEC 27701:2025
Clause 7.4Clause 7.5Clause 8.1Clause 8.2Clause 8.3Clause 9.1Clause 10.2Annex A.3.11Annex A.3.12Annex A.3.13Annex A.3.14Annex A.2.2.2Annex A.2.2.6
EU GDPR
Article 5(2)Article 24Article 26Article 28Article 32Article 33Article 34Article 39
ISO/IEC 29100:2020
Clause 5.11Clause 5.12
ISO/IEC 29151:2022
Clause 16.1.2Clause 16.1.3
ISO/IEC 27002:2022
Control 5.24Control 5.25Control 5.26Control 5.27Control 5.28
ISO/IEC 27035-1:2023
Clause 5.2Clause 5.3Clause 5.4Clause 5.5Clause 5.6
ISO/IEC 27035-2:2023
Clause 4Clause 6Clause 10Clause 11Clause 12
ISO/IEC 27035-3:2020
Clause 7Clause 8Clause 9Clause 10Clause 11Clause 12
ISO/IEC 27018:2020
Annex A.10.1
NIS2 Directive (EU) 2022/2555
Article 23
DORA Regulation (EU) 2022/2554
Article 17Article 18Article 19

Σχετικές πολιτικές

Πολιτική Απογραφής Επεξεργασίας και Νομικής Βάσης

Η αξιολόγηση περιστατικού εξαρτάται από την αναγνώριση των επηρεαζόμενων δραστηριοτήτων επεξεργασίας, κατηγοριών δεδομένων προσωπικού χαρακτήρα, υποκειμένων των δεδομένων προσωπικού χαρακτήρα, σκοπών και συστημάτων.

Πολιτική Αξιολόγησης Κινδύνου Ιδιωτικότητας και DPIA

Η αξιολόγηση παραβίασης και η βελτίωση μετά το περιστατικό βασίζονται στη σύνδεση με τον κίνδυνο ιδιωτικότητας, τη DPIA, τον υπολειπόμενο κίνδυνο και την αντιμετώπιση κινδύνου.

Πολιτική Διαχείρισης Ιδιωτικότητας Εκτελούντων την Επεξεργασία, Υπεργολάβων Επεξεργασίας και Τρίτων Μερών

Η διαδικασία περιστατικών απαιτεί συντονισμό με εκτελούντες την επεξεργασία, υπεργολάβους επεξεργασίας, προμηθευτές, πελάτες και άλλα τρίτα μέρη.

Πολιτική Διεθνών Διαβιβάσεων

Τα περιστατικά που επηρεάζουν διασυνοριακή επεξεργασία πρέπει να συνδέονται με τοποθεσίες διαβίβασης και αρχεία διεθνών διαβιβάσεων.

Πολιτική Ασφάλειας και Ελέγχου Πρόσβασης

Η τεχνική αρχική αξιολόγηση, ο περιορισμός, η εξάλειψη, η ανάκαμψη και η διατήρηση τεκμηρίων εξαρτώνται από ελέγχους ασφάλειας και ελέγχους πρόσβασης.

Πολιτική Παρακολούθησης, Ελέγχου και Βελτίωσης PIMS

Τα διδάγματα που αντλήθηκαν, οι διορθωτικές ενέργειες, η ανασκόπηση ελέγχου, η ανασκόπηση της Διοίκησης και η συνεχής βελτίωση αποτελούν βασικά αποτελέσματα κλεισίματος.

Σχετικά με τις Πολιτικές της Clarysec - Πολιτική Διαχείρισης Περιστατικών και Παραβιάσεων Δεδομένων Προσωπικού Χαρακτήρα

Η παρούσα πολιτική θεσπίζει ένα επιχειρησιακό πλαίσιο PIMS για τη διαχείριση περιστατικών και παραβιάσεων δεδομένων προσωπικού χαρακτήρα από τη λήψη έως το κλείσιμο και τη βελτίωση. Καθορίζει αρμοδιότητες για την Ανώτατη Διοίκηση, τον Επικεφαλής Ιδιωτικότητας / Υπεύθυνο PIMS, τον Υπεύθυνο Προστασίας Δεδομένων / Σύμβουλο Ιδιωτικότητας, τον Συντονιστή Αντιμετώπισης Περιστατικών, τον Επικεφαλής Ασφάλειας Πληροφοριών, τον Ιδιοκτήτη Συστήματος / Ιδιοκτήτη Εφαρμογής, τον Ιδιοκτήτη Διεργασιών / Ιδιοκτήτη της Επιχείρησης, τον Ιδιοκτήτη Προμηθευτών / Προμηθειών και τον Ανασκοπητή Εσωτερικού Ελέγχου / Συμμόρφωσης. Η πολιτική χρησιμοποιεί το REG10 ως το κύριο Μητρώο Περιστατικών και Παραβιάσεων Δεδομένων Προσωπικού Χαρακτήρα και συνδέει τα περιστατικά με αντικείμενα τεκμηρίων, συμπεριλαμβανομένων των REG01, REG02, REG03, REG04, REG08, REG09, REG11 και REG12. Υποστηρίζει πλαίσια υπευθύνου επεξεργασίας, από κοινού υπευθύνου επεξεργασίας, εκτελούντος την επεξεργασία και υπεργολάβου επεξεργασίας, απαιτώντας αξιολόγηση παραβίασης ανά ρόλο, γνωστοποίηση, επικοινωνίες, διατήρηση τεκμηρίων, διορθωτικές ενέργειες, μετρικές, έλεγχο και ανασκόπηση της Διοίκησης.

Ροή εργασίας με επίκεντρο το REG10

Χρησιμοποιεί το REG10 ως το κύριο μητρώο για πραγματικά περιστατικά, ταξινόμηση, αποφάσεις, ενέργειες, γνωστοποιήσεις, τεκμήρια και κλείσιμο.

Κανόνες υπευθύνου και εκτελούντος την επεξεργασία

Διαχωρίζει τις υποχρεώσεις υπευθύνου επεξεργασίας, από κοινού υπευθύνου επεξεργασίας, εκτελούντος την επεξεργασία και υπεργολάβου επεξεργασίας για αξιολόγηση, γνωστοποίηση και επικοινωνία.

Καθορισμένοι ρόλοι απόκρισης

Αναθέτει καθήκοντα σε λειτουργίες ιδιωτικότητας, ασφάλειας, απόκρισης σε περιστατικά, συστημάτων, διεργασιών, προμηθευτών, ελέγχου και Ανώτατης Διοίκησης.

Σύνδεση με συνεχή βελτίωση

Απαιτεί διδάγματα που αντλήθηκαν, διορθωτικές ενέργειες, μετρικές, εσωτερικό έλεγχο και ανασκόπηση της Διοίκησης για την αποτελεσματικότητα της διαχείρισης περιστατικών.

Συχνές ερωτήσεις

Σχεδιασμένο για Ηγέτες, από Ηγέτες

Η παρούσα πολιτική έχει συνταχθεί από ηγετικό στέλεχος ασφάλειας με περισσότερα από 25 έτη εμπειρίας στην υλοποίηση και τον έλεγχο πλαισίων ISMS σε παγκόσμιους οργανισμούς. Δεν έχει σχεδιαστεί απλώς ως έγγραφο, αλλά ως ένα τεκμηριωμένο πλαίσιο που αντέχει στον έλεγχο των ελεγκτών.

Συντάχθηκε από ειδικό που κατέχει:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Κάλυψη & Θέματα

🏢 Τμήματα-στόχοι

Ιδιωτικότητα Νομικό Τμήμα Συμμόρφωση Ασφάλεια Πληροφορικής Γραφείο Υπευθύνου Προστασίας Δεδομένων

🏷️ Θεματική κάλυψη

Διαχείριση πληροφοριών ιδιωτικότητας Διαχείριση παραβιάσεων Διαχείριση περιστατικών Διαχείριση κινδύνων Διαχείριση τρίτων μερών Διαχείριση συμμόρφωσης Παρακολούθηση και μέτρηση
€59

Εφάπαξ αγορά

Άμεση λήψη
Ενημερώσεις εφ' όρου ζωής

Αυτή η πολιτική είναι 1 από 25 στο πλήρες πακέτο ISO/IEC 27701 PIMS

Εξοικονομήστε 52%

Αποκτήστε και τις 25 πολιτικές PIMS, το πλήρες σύνολο μητρώων και ένα λεπτομερές σχέδιο υλοποίησης για €799, αντί για €1.675 ξεχωριστά.

Δείτε το πλήρες πακέτο 27701 →
PII Incident and Breach Management Policy

Λεπτομέρειες προϊόντος

Τύπος: policy
Κατηγορία: ISO 27701 PIMS Policy Pack
Πρότυπα: 11