policy ISO 27701 PIMS Policy Pack

Privaatsusteabe haldussüsteemi poliitika

Kehtestage ISO/IEC 27701-ga kooskõlas olev PIMS-i juhtimine isikut tuvastava teabe töötlemiseks, tõendusmaterjali, privaatsusriskide, auditite ja pideva täiustamise jaoks.

Ülevaade

Määratleb kohustusliku ISO/IEC 27701-ga kooskõlas oleva PIMS-i juhtimise isikut tuvastava teabe töötlemise, rollide, privaatsusriskide, tõendusmaterjali, auditi, erandite ja pideva täiustamise jaoks.

ISO/IEC 27701 PIMS-i juhtimine

Määratleb kohustusliku juhtimise PIMS-i kehtestamiseks, rakendamiseks, haldamiseks, seireks ja täiustamiseks.

Tõendusmaterjalipõhine vastutus

Seob PIMS-i vastutused tõendusobjektidega, sealhulgas REG01, REG02, REG03, REG04, REG08, REG10, REG11 ja REG12.

Rollipõhised privaatsustoimingud

Määrab PIMS-i vastutuse tippjuhtkonna, privaatsus-, protsessi-, süsteemi-, turbe-, tarnija-, intsidendi- ja auditirollide lõikes.

Loe täielikku ülevaadet (click to expand)
Privaatsusteabe haldussüsteemi poliitika kehtestab organisatsiooni PIMS-i isikut tuvastava teabe töötlemiseks vastutava töötleja, kaasvastutava töötleja, volitatud töötleja ja alltöötleja kontekstides. Selle eesmärk on määratleda kohustuslikud juhtimisnõuded PIMS-i kehtestamiseks, rakendamiseks, haldamiseks, seireks ja pidevaks täiustamiseks. Poliitika toetab vastutuspõhist, riskipõhist ja tõendusmaterjalipõhist isikut tuvastava teabe töötlemise haldust kõigi kohaldatavate PIMS-i rollide lõikes. See hõlmab PIMS-i kohaldamisala, organisatsioonilist konteksti, huvitatud osapooli, piire, PIMS-i rollide määramist, privaatsuspoliitikat, privaatsuseesmärke, privaatsusriskide hindamist, privaatsusriskide käsitlemist, PIMS-i kohaldatavusavaldust, juhtimist, seiret, siseauditit, juhtkonna läbivaatamist, mittevastavust, parandusmeetmeid ja dokumenteeritud tõendusmaterjali, mida on vaja vastavuse ja vastutuse tõendamiseks. Poliitika keskne osa on määratletud vastutus. Tippjuhtkond peab kinnitama PIMS-i kohaldamisala REG01-s enne esmast rakendamist ja 30 päeva jooksul pärast olulist muudatust, kinnitama poliitika ja PIMS-i eesmärgid REG12-s igal aastal ning vaatama juhtkonna läbivaatamise käigus läbi toimivuse, avatud riskid, mittevastavused, parandusmeetmed ja parendusotsused. Privaatsusvaldkonna juht / PIMS-i juht haldab PIMS-i põhikirjeid, sealhulgas kontekstiküsimusi, huvitatud osapooli, eesmärke, kohaldatavusavaldust, riski käsitlemise otsuseid, tõendusmaterjali indeksit, mõõdikuid, erandeid, parandusmeetmeid ja poliitika läbivaatamise kirjeid. Protsessiomanikud klassifitseerivad organisatsiooni PIMS-i rolli iga isikut tuvastava teabe töötlemistegevuse kohta enne töötlemise algust, samas kui tarnija- ja hankevaldkonna omanikud dokumenteerivad kaasvastutava töötleja vastutusvaldkondade jaotuse, kliendi töötlemisjuhised, heakskiidetud alltöötlemise korraldused, tarnijajuhtimise ning väliselt osutatavad PIMS-i seisukohast asjakohased protsessid. Poliitika seob PIMS-i juhtimise operatiivse kontrolliga. Privaatsusriskide hindamine tuleb algatada enne uue või oluliselt muudetud isikut tuvastava teabe töötlemise algust ning DPIA vajadus tuleb määrata enne kõrge riskiga või oluliselt muudetud vastutava töötleja töötlemise jätkamist. Heakskiidetud privaatsusriskide käsitlemise otsused registreeritakse enne käsitlemise rakendamist ning süsteemiomanikud peavad kinnitama PIMS-i operatiivsed kontrollimeetmed enne isikut tuvastavat teavet töötlevate süsteemide tootmiskeskkonnas kasutuselevõttu. Infoturbe juht vastutab kohaldatava isikut tuvastava teabe turbekontrolli baastaseme dokumenteerimise ja turbekontrollide rakendamise staatuse haldamise eest, sidudes privaatsusjuhtimise isikut tuvastava teabe turbekontrolli baastaseme ja kohaldatavusavaldusega. See struktuur aitab tagada, et kohaldamisala, töötlemistegevused, kontrollimeetmete kohaldatavus, tarnijakokkulepped ja riskikirjed püsiksid kooskõlas enne juhtkonna läbivaatamist ja sertifitseerimisega seotud muudatusi. Poliitika määratleb ka auditeeritavuse ja pideva täiustamise nõuded. Privaatsusvaldkonna juht / PIMS-i juht peab enne iga siseauditit haldama PIMS-i tõendusmaterjali indeksit, säilitama dokumenteeritud teavet vastavalt tõendusmaterjali säilitamise nõuetele, haldama tulemusmõõdikuid kord kvartalis ja esitama eesmärkide staatuse enne juhtkonna läbivaatamist. Minimaalne mõõdikute kogum hõlmab kehtiva rolliklassifikatsiooniga kohaldamisalasse kuuluvate töötlemistegevuste osakaalu, kehtiva rakendamise staatusega kohaldatavate kontrollimeetmete osakaalu, avatud mittevastavusi ja tähtaja ületanud parandusmeetmeid ning kinnitamist ootavaid privaatsusriskide hindamisi. Siseauditi / vastavuse läbivaatajad peavad esitama läbivaatamise tulemused 15 tööpäeva jooksul, kontrollima siseauditite käigus valimipõhiselt tõendusmaterjali täielikkust, kontrollima aegunud erandite sulgemise tõendusmaterjali ning kontrollima parandusmeetmete tõhusust 30 päeva jooksul pärast sulgemisest teatamist. Erandeid, rakendamist ja haldamist käsitletakse ametlike PIMS-i protsessidena, mitte mitteametlike kõrvalekalletena. Taotletud erandid tuleb dokumenteerida enne kõrvalekalde tekkimist, hinnata privaatsusriski seisukohast enne heakskiitmist ning vaadata kord kvartalis läbi kuni sulgemiseni. Erandid, mis ületavad aktsepteeritud privaatsusriski künniseid, nõuavad enne rakendamist tippjuhtkonna heakskiitu. Kahtlustatavad mittevastavused tuleb registreerida viie tööpäeva jooksul, tähtaja ületanud suuremad parandusmeetmed tuleb eskaleerida tippjuhtkonnale ning lahendamata olulised mittevastavused tuleb läbi vaadata igal juhtkonna läbivaatamisel. Poliitika ise vaadatakse läbi igal aastal ning 30 päeva jooksul pärast olulisi õiguslikke, organisatsioonilisi, töötlemise, tehnoloogia või sertifitseerimise kohaldamisala muudatusi, kusjuures heakskiidetud muudatused edastatakse REG11-s 30 päeva jooksul pärast avaldamist.

Poliitika diagramm

Protsessivoo skeem, mis näitab PIMS-i juhtimist alates kohaldamisala ja konteksti määratlemisest, rolliklassifikatsioonist, privaatsuseesmärkidest ja kontrollimeetmete kohaldatavusest, riskihindamisest ja DPIA läbivaatamisest, operatiivsetest kontrollimeetmetest ja tarnijajuhtimisest, tõendusmaterjali kogumisest, mõõdikutest, siseauditist, juhtkonna läbivaatamisest, parandusmeetmetest ja pidevast täiustamisest.

Klõpsake diagrammil, et vaadata seda täissuuruses

Sisu

PIMS-i kohaldamisala, kontekst ja organisatsioonilised piirid

PIMS-i rollide määramine vastutava töötleja, kaasvastutava töötleja, volitatud töötleja ja alltöötleja tegevuste jaoks

Privaatsuseesmärgid ja PIMS-i kohaldatavusavaldus

Privaatsusriskide hindamine, riski käsitlemine ja DPIA juhtimine

Tõendusmaterjali indeks, siseaudit, mittevastavuse ja parandusmeetmete nõuded

Mõõdikud, erandid, rakendamine, läbivaatamise ja haldamise nõuded

Raamistiku vastavus

🛡️ Toetatud standardid ja raamistikud

See toode on kooskõlas järgmiste vastavusraamistikkudega, üksikasjalike klauslite ja kontrolli kaardistustega.

Raamistik Kaetud klauslid / Kontrollid
ISO/IEC 27701:2025
Clause 4.1Clause 4.2Clause 4.3Clause 4.4Clause 5.1Clause 5.2Clause 5.3Clause 6.1.1Clause 6.1.2Clause 6.1.3Clause 6.2Clause 6.3Clause 7.1Clause 7.2Clause 7.3Clause 7.4Clause 7.5Clause 8.1Clause 8.2Clause 8.3Clause 9.1Clause 9.2Clause 9.3Clause 10.1Clause 10.2Annex A.1.2.2Annex A.1.2.3Annex A.1.2.6Annex A.1.2.8Annex A.1.2.9Annex A.2.2.2Annex A.2.2.3Annex A.3.3
EU GDPR
Article 5(2)Article 24Article 26Article 28Article 30Article 32Article 35
ISO/IEC 29100:2020
Clause 4.7Clause 5.1Clause 5.11Clause 5.12
ISO/IEC 29134:2020
Clause 1Clause 5.1Clause 6.2Clause 6.3
ISO/IEC 29151:2022
Clause 4.1Clause 4.2Annex A.2
ISO/IEC 27557:2022
Clause 4Clause 5.2Clause 5.3Clause 5.4.1

Seotud poliitikad

Privaatsusrollide, vastutuste ja vastutuse poliitika

Toetab PIMS-i vastutusstruktuuri, määratledes privaatsusrollid, vastutused ja volitused.

Töötlemise registri ja õigusliku aluse poliitika

Seob PIMS-i rollide määramise ja töötlemise vastutuse registri ja õigusliku aluse kirjetega.

Privaatsusriskide hindamise ja DPIA poliitika

Annab üksikasjaliku privaatsusriskide hindamise ja DPIA juhtimise, millele PIMS-i poliitika viitab.

Lõimitud andmekaitse ja vaikimisi andmekaitse poliitika

Toetab PIMS-i operatiivseid kontrollimeetmeid uue või muudetud töötlemise ning isikut tuvastavat teavet töötlevate süsteemide jaoks.

Volitatud töötleja, alltöötleja ja andmete jagamise poliitika

Toetab volitatud töötleja, alltöötleja, kaasvastutava töötleja ja andmete jagamise juhtimiskirjeid, mida PIMS nõuab.

Turbe- ja juurdepääsukontrolli poliitika

Seob PIMS-i kohaldatavusavalduse kohaldatava isikut tuvastava teabe turbekontrolli baastasemega.

Claryseci poliitikate kohta - Privaatsusteabe haldussüsteemi poliitika

See privaatsusteabe haldussüsteemi poliitika kehtestab organisatsiooni PIMS-i isikut tuvastava teabe töötlemiseks vastutava töötleja, kaasvastutava töötleja, volitatud töötleja ja alltöötleja kontekstides. See määratleb juhtimisnõuded PIMS-i kehtestamiseks, rakendamiseks, haldamiseks, seireks ja pidevaks täiustamiseks ning määrab selge vastutuse tippjuhtkonnale, privaatsusvaldkonna juhile / PIMS-i juhile, protsessiomanikele, süsteemiomanikele, tarnija- ja hankevaldkonna omanikele, infoturbele, intsidentidele reageerimisele ning sõltumatutele auditi- või vastavuse läbivaatajatele. Poliitika kasutab tõendusobjekte, sealhulgas REG01, REG02, REG03, REG04, REG08, REG10, REG11 ja REG12, et toetada vastutuspõhist, riskipõhist ja tõendusmaterjalipõhist isikut tuvastava teabe töötlemise haldust kogu PIMS-i elutsükli jooksul.

Määratletud PIMS-i kohaldamisala

Nõuab, et heakskiidetud kohaldamisala, kontekst, huvitatud osapooled, piirid ja protsesside koostoimed oleksid hallatud REG01-s.

Selge rollivastutus

Määrab ülesanded tippjuhtkonnale, privaatsus-, protsessi-, süsteemi-, turbe-, tarnija-, intsidendi- ja auditirollidele.

Riskipõhine toimimine

Nõuab privaatsusriskide hindamist, DPIA vajaduse määramist ja heakskiidetud käsitlemist enne asjakohase töötlemise jätkamist.

Auditiks valmis tõendusmaterjal

Haldab tõendusmaterjali indekseid, rakendamise staatust, läbivaatamise kirjeid, mittevastavusi ja parandusmeetmeid määratletud registrites.

Korduma kippuvad küsimused

Loodud juhtidele, juhtide poolt

Selle poliitika on koostanud turbejuht, kellel on üle 25 aasta kogemust ISMS-raamistike juurutamisel ja auditeerimisel globaalsetes organisatsioonides. See ei ole mõeldud vaid dokumendina, vaid kaitstava raamistikuna, mis peab vastu audiitori kontrollile.

Koostanud ekspert järgmiste kvalifikatsioonidega:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Katvus ja teemad

🏢 Sihtosakond

Privaatsus õigus vastavus IT-turve audit

🏷️ Temaatiline katvus

Privaatsusteabe haldus isikut tuvastava teabe töötlemine privaatsuse mõjuhindamine töötlemistoimingute kirjed vastutava töötleja ja volitatud töötleja vastutused riskijuhtimine pidev täiustamine
€79

Ühekordne ost

Kohene allalaadimine
Eluaegsed uuendused

See poliitika on 1 25-st täielikus ISO/IEC 27701 PIMS-paketis

Säästke 52%

Hankige kõik 25 PIMS-poliitikat, täielik registrikomplekt ja üksikasjalik rakenduskava hinnaga €799 üksikult ostetava €1 675 asemel.

Vaata täielikku 27701 paketti →
Privacy Information Management System Policy

Toote üksikasjad

Tüüp: policy
Kategooria: ISO 27701 PIMS Policy Pack
Standardid: 6