policy ISO 27701 PIMS Policy Pack

Finantssektori isikut tuvastava teabe intsidentide ja rikkumiste halduse poliitika

Finantssektori isikut tuvastava teabe intsidentide ja rikkumiste poliitika REG10 tõendusmaterjali, triaaži, teavitamise, aruandluse, taaste ja pideva täiustamise jaoks.

Ülevaade

See poliitika reguleerib finantssektori isikut tuvastava teabe intsidentide ja rikkumiste käsitlemist vastutava töötleja, kaasvastutava töötleja, volitatud töötleja ja alltöötleja rollides. See kasutab REG10-t peamise tõendusmaterjali registrina ning seob intsidendid riskide, töötlemiskirjete, tarnijate, edastuste, teavituste, aruandluse, koolituse, auditi ja parandusmeetmetega.

Finantssektori rikkumiste ohje

Määratleb, kuidas finantssektori isikut tuvastava teabe intsidendid tuvastatakse, neile tehakse triaaž, need ohjeldatakse, neist teavitatakse, need dokumenteeritakse ja suletakse.

REG10 tõendusmaterjali tugistruktuur

Kasutab REG10-t esmase intsidendi- ja rikkumisregistrina, mis on seotud kohaldamisala, riskide, edastuste, tarnijate, koolituse ja audititõendusega.

Rollipõhine vastutus

Määrab kohustused privaatsuse, turbe, intsidentidele reageerimise, äritegevuse, tarnijahalduse, auditi ja tippjuhtkonna rollidele.

Aruandlusotsuste tugi

Nõuab dokumenteeritud otsuseid rikkumisest teavitamise, isikuandmesubjekti teavitamise ja finantssektori aruandlust käivitavate asjaolude kohta.

Loe täielikku ülevaadet (click to expand)
Finantssektori isikut tuvastava teabe intsidentide ja rikkumiste halduse poliitika määratleb nõuded isikut tuvastava teabe intsidentide ja isikut tuvastava teabe rikkumiste tuvastamiseks, neist teatamiseks, nende triaažiks, klassifitseerimiseks, hindamiseks, ohjeldamiseks, neist teavitamiseks, nende dokumenteerimiseks, sulgemiseks ja neist tulenevaks parendamiseks finantssektori PIMS-i kohaldamisalades. Seda kohaldatakse juhul, kui organisatsioon tegutseb finantssektori kontekstis isikut tuvastava teabe vastutava töötleja, kaasvastutava töötleja, volitatud töötleja või alltöötlejana, ning see hõlmab ka süsteeme, rakendusi, teenuseid, protsesse, tarnijaid, volitatud töötlejaid, alltöötlejaid ja kolmandaid osapooli, kes töötlevad, säilitavad, edastavad, toetavad, pääsevad juurde või mõjutavad muul viisil kohaldamisalas olevat isikut tuvastavat teavet. Poliitika on selgesõnaliselt kavandatud finantssektori asendusvariandina PII15-le ning see nõuab, et organisatsioonid valiksid sama kohaldamisala jaoks kas PII15 või PII15-FS, et vältida kohustuste, registrite ja audititõenduse töö dubleerimist. Poliitika eesmärk on tagada, et isikut tuvastava teabe intsidente ja rikkumisi käsitletakse järjepidevalt, viivitamata, seaduslikult, turvaliselt ja auditiks valmis tõendusmaterjaliga. REG10 — isikut tuvastava teabe intsidentide ja rikkumiste register kehtestatakse esmase tõendusobjektina, samal ajal kui toetavad registrid seovad intsidendikirje laiema PIMS-i tõendusmudeliga. REG01 kasutatakse kohaldamisala, huvitatud osapoolte, sektoripõhise, kliendi-, lepingulise ja aruandluskonteksti jaoks. REG02 seob mõjutatud töötlemistoimingud, isikut tuvastava teabe kategooriad, isikuandmesubjektide kategooriad, eesmärgid, süsteemid ja teenused. REG03 kajastab kohaldatavusavalduse ja kontrollimeetmete kohaldatavuse ajakohastusi, sealhulgas PII15 asendamist PII15-FS-iga. REG04 toetab privaatsusriski, DPIA, jääkriski ja riski käsitlemise seoseid, samas kui REG08, REG09, REG11 ja REG12 hõlmavad kolmandate osapoolte liideseid, rahvusvahelisi edastusi, koolitust ning auditi või parandusmeetmete tõendusmaterjali. Operatiivselt nõuab poliitika, et iga teatatud või tuvastatud võimalik finantssektori isikut tuvastava teabe intsident kantakse REG10-sse ühe tööpäeva jooksul alates selle vastuvõtmisest või varem, kui teavitamise, kliendi või aruandluse tähtajad võivad käivituda. Intsidendid tuleb klassifitseerida 24 tunni jooksul alates vastuvõtmisest kui isikut tuvastava teabega mitteseotud sündmus, kahtlustatav isikut tuvastava teabe intsident, kinnitatud isikut tuvastava teabe intsident, kinnitatud isikut tuvastava teabe rikkumine, finantssektori isikut tuvastava teabe intsident, suur finantssektori intsident, märkimisväärne küberoht või klassifitseerimist ootav kanne. Rikkumise hindamisel tuleb arvesse võtta mõjutatud isikut tuvastavat teavet, isikuandmesubjekte, süsteeme, teenuseid, töötlemistoiminguid, volitatud töötlejaid, alltöötlejaid, edastusi, riske, kliente, vastaspooli ja parandusmeetmeid. Poliitika nõuab ka tõendusmaterjali säilitamist, ohjeldamist määratletud tähtaegade jooksul, taaste valideerimist ning dokumenteeritud sulgemisotsuseid, mis hõlmavad klassifikatsiooni, teavitamisotsust, ohjeldamise staatust, taaste staatust, jääkriski, parandusmeetmeid ja tõendusmaterjali täielikkust. Poliitika eristab vastutava töötleja, kaasvastutava töötleja, volitatud töötleja ja alltöötleja kohustusi. Vastutavad töötlejad peavad registreerima rikkumisest teavitamise otsused, koostama vajaduse korral järelevalveasutusele teavitamise tõendusmaterjali ning vaatama üle isikuandmesubjektile suunatud teavituse, kui on tuvastatud kõrge risk. Volitatud töötlejad ja alltöötlejad peavad hindama kliendi juhiseid, lepingulisi teavitamiskohustusi, ülespoole suunatud teavitusahelaid ja tõendusmaterjali edastamise nõudeid, kusjuures kirjeid säilitatakse REG08-s ja REG10-s. Kaasvastutavate töötlejate vastutusalad tuleb koordineerida ja dokumenteerida enne kohaldatavaid väliseid teavitamistähtaegu. Suure mõjuga finantssektori isikut tuvastava teabe intsidentide ja märkimisväärsete küberohtude puhul peab intsidentidele reageerimise koordinaator hindama finantssektori regulatiivset aruandlust käivitavaid asjaolusid ning säilitama otsuse tõendusmaterjali REG10-s. Juhtimine, mõõtmine ja parendamine on poliitika elutsüklisse sisse ehitatud. Privaatsusvaldkonna juht / PIMS-i juht peab avatud REG10 intsidente vähemalt kord nädalas kuni sulgemiseni läbi vaatama ning tippjuhtkond peab saama eskalatsiooni kinnitatud suure mõjuga finantssektori intsidentide, suurte intsidentide või märkimisväärsete küberohtude kohta 24 tunni jooksul pärast klassifitseerimist. Mõõdikud hõlmavad kahtlustatavate ja kinnitatud intsidentide, rikkumiste, suurte finantssektori intsidentide ja märkimisväärsete küberohtude igakuist arvu, samuti rikkumisest teavitamise õigeaegsust, finantssektori aruandluse õigeaegsust, ohjeldamist, taastet, taastamise valideerimist ja kolmandate osapoolte reageerimise toimivust. Poliitika nõuab lisaks iga-aastast läbivaatamist, intsidendijärgset ülevaatust pärast suuri sündmusi, siseauditi läbivaatust, erandite haldust, rakendamist REG12 mittevastavuste kaudu ning REG11 kaudu paranduslikku koolitust, kui esinevad teadlikkuse või teabevahetuse tõrked.

Poliitika diagramm

Protsessivooskeem, mis näitab finantssektori isikut tuvastava teabe intsidendi vastuvõtmist REG10-sse, klassifitseerimist, rikkumise hindamist, ohjeldamist, teavitamis- või aruandlusotsuseid, tõendusmaterjali säilitamist, sulgemist, õppetunde ning parandusmeetmete seoseid toetavate registritega.

Klõpsake diagrammil, et vaadata seda täissuuruses

Sisu

Kohaldamisala ja PII15-FS-i aktiveerimise reeglid

REG10 intsidendi- ja rikkumistõenduse mudel

Triaaži, klassifitseerimise ja rikkumise hindamise nõuded

Ohjeldamise, taaste ja teenuse mõju jälgimine

Teavitamine, kommunikatsioon ja finantssektori aruandlus

Õppetunnid, parandusmeetmed ja mõõdikud

Raamistiku vastavus

🛡️ Toetatud standardid ja raamistikud

See toode on kooskõlas järgmiste vastavusraamistikkudega, üksikasjalike klauslite ja kontrolli kaardistustega.

Raamistik Kaetud klauslid / Kontrollid
ISO/IEC 27701:2025
Clause 7.4Clause 7.5Clause 8.1Clause 8.2Clause 8.3Clause 9.1Clause 10.2Annex A.3.11Annex A.3.12Annex A.3.13Annex A.3.14Annex A.2.2.2Annex A.2.2.6
EU GDPR
Article 5(2)Article 24Article 26Article 28Article 32Article 33Article 34Article 39
DORA Regulation (EU) 2022/2554
Article 17Article 18Article 19Article 20
NIS2 Directive (EU) 2022/2555
Article 23
ISO/IEC 29100:2020
Clause 5.11Clause 5.12
ISO/IEC 29151:2022
Clause 16.1.2Clause 16.1.3
ISO/IEC 27002:2022
Control 5.24Control 5.25Control 5.26Control 5.27Control 5.28
ISO/IEC 27035-1:2023
Clause 5.2Clause 5.3Clause 5.4Clause 5.5Clause 5.6
ISO/IEC 27035-2:2023
Clause 4Clause 6Clause 10Clause 11Clause 12
ISO/IEC 27035-3:2020
Clause 7Clause 8Clause 9Clause 10Clause 11Clause 12
ISO/IEC 27018:2020
Annex A.10.1

Seotud poliitikad

Intsidentide ja rikkumiste halduse poliitika

Baastaseme intsidentide ja rikkumiste poliitika, mille PII15-FS asendab sama finantssektori PIMS-i kohaldamisala puhul.

Privaatsusriskide hindamise ja DPIA poliitika

Rikkumise hindamised seovad intsidendi asjaolud privaatsusriski, DPIA, jääkriski ja käsitlemise tõendusmaterjaliga REG04-s.

Volitatud töötleja, alltöötleja ja kolmandate osapoolte privaatsuse halduse poliitika

Kolmandate osapoolte intsidentidega seotud kommunikatsioon, tõendusmaterjali taotlused ja lepingulised teavitused registreeritakse REG08 ja REG10 kaudu.

Turbe ja juurdepääsukontrolli poliitika

Ennetavad ja tuvastavad turbekontrollid toetavad isikut tuvastava teabe intsidentide tuvastamist, ohjeldamist, taastet ja tõendusmaterjali säilitamist.

PIMS-i dokumenteeritud teabe ja tõendusmaterjali halduse poliitika

Intsidentide käsitlemine sõltub täielikust, kaitstud ja jälgitavast dokumenteeritud teabest REG10-s ning seotud tõendusobjektides.

PIMS-i seire, auditi ja parendamise poliitika

Õppetunnid, siseaudit, mittevastavused, parandusmeetmed ja juhtkonna läbivaatamine suunatakse REG12 kaudu.

Claryseci poliitikate kohta - Finantssektori isikut tuvastava teabe intsidentide ja rikkumiste halduse poliitika

Finantssektori isikut tuvastava teabe intsidentide ja rikkumiste halduse poliitika kehtestab operatiivse PIMS-i raamistiku kahtlustatavate ja kinnitatud isikut tuvastava teabe intsidentide ning rikkumiste käsitlemiseks finantssektori kohaldamisalades. See määratleb, kuidas intsidendid registreeritakse, klassifitseeritakse, hinnatakse, ohjeldatakse, neist teavitatakse, nende kohta aru antakse, neid tõendatakse, suletakse ja parendatakse. Poliitika määrab selge vastutuse tippjuhtkonna, privaatsusvaldkonna juhi / PIMS-i juhi, intsidentidele reageerimise koordinaatori, infoturbejuhi, andmekaitseametniku / privaatsusnõustaja, süsteemi- või rakenduse omaniku, protsessi- või äriomaniku, tarnija-/hankeomaniku ning siseauditi / vastavuse läbivaataja vahel. See kasutab REG10-t esmase tõendusobjektina ning seob intsidendikirjed REG01, REG02, REG03, REG04, REG08, REG09, REG11 ja REG12-ga, kui intsidendi asjaolud seda tingivad.

Intsidendi elutsükli ohje

Hõlmab vastuvõttu, klassifitseerimist, hindamist, ohjeldamist, taastet, teavitamist, sulgemist ja parendamist.

Auditiks valmis tõendusmaterjal

Nõuab REG10 kirjeid asjaolude, ajastuse, tegevuste, otsuste, teavituste, aruandluse tõendusmaterjali ja sulgemisstaatusega.

Määratletud PIMS-i rollid

Jaotab kohustused privaatsuse, turbe, intsidentidele reageerimise, äritegevuse, tarnijahalduse, auditi ja juhtimise rollide vahel.

Finantssektori käivitavad asjaolud

Nõuab vajaduse korral suure intsidendi ja märkimisväärse küberohu aruandlusotsuste hindamist.

Korduma kippuvad küsimused

Loodud juhtidele, juhtide poolt

Selle poliitika on koostanud turbejuht, kellel on üle 25 aasta kogemust ISMS-raamistike juurutamisel ja auditeerimisel globaalsetes organisatsioonides. See ei ole mõeldud vaid dokumendina, vaid kaitstava raamistikuna, mis peab vastu audiitori kontrollile.

Koostanud ekspert järgmiste kvalifikatsioonidega:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Katvus ja teemad

🏢 Sihtosakond

Andmekaitse Õigus Vastavus IT-turve Risk

🏷️ Temaatiline katvus

Rikkumiste haldus Intsidendihaldus Privaatsusteabe haldus Isikuandmete töötlemine Kolmandate osapoolte haldus Riskijuhtimine Vastavuse haldus
€89

Ühekordne ost

Kohene allalaadimine
Eluaegsed uuendused

See poliitika on 1 25-st täielikus ISO/IEC 27701 PIMS-paketis

Säästke 52%

Hankige kõik 25 PIMS-poliitikat, täielik registrikomplekt ja üksikasjalik rakenduskava hinnaga €799 üksikult ostetava €1 675 asemel.

Vaata täielikku 27701 paketti →
Financial Sector PII Incident and Breach Management Policy

Toote üksikasjad

Tüüp: policy
Kategooria: ISO 27701 PIMS Policy Pack
Standardid: 11