policy ISO 27701 PIMS Policy Pack

Privaatsusrollide, vastutusvaldkondade ja vastutuse poliitika

Määratlege PIMS-i privaatsusrollid, vastutus, tõendusmaterjal, eskaleerimine ja järelevalve vastutava töötleja, volitatud töötleja, tarnija ja auditi vastutusvaldkondades.

Ülevaade

Määratleb PIMS-i rollid, vastutuse, tõendusmaterjali, eskaleerimise, sõltumatuse ja läbivaatamise nõuded vastutava töötleja, volitatud töötleja, tarnija, süsteemi ja auditi vastutusvaldkondades.

Selge PIMS-i rollivastutus

Määratleb kanoonilised PIMS-i rollid, vastutuse struktuurid, volitustasemed ja määramisreeglid ilma uusi ametinimetusi loomata.

Tõendusmaterjalipõhine vastutus

Nõuab, et rollimäärangud, omanike kirjed, kinnitused, läbivaatamised, konfliktid ja parandusmeetmed kajastatakse määratletud tõendusmaterjali objektides.

Ülesannete lahusus ja sõltumatus

Kontrollib rollide kombineerimist, huvide konflikte, kompenseerivaid kontrollimeetmeid ning sõltumatu auditi või vastavuse läbivaatamise ootusi.

Loe täielikku ülevaadet (click to expand)
Privaatsusrollide, vastutusvaldkondade ja vastutuse poliitika määratleb, kuidas organisatsioon määrab, dokumenteerib, edastab, vaatab läbi ja parendab vastutusvaldkondi oma privaatsusteabe haldussüsteemis. Selle kohaldamisala hõlmab personali, funktsioone, süsteeme, tarnijaid, volitatud töötlejaid, alltöötlejaid ja kaasvastutava töötleja suhteid, mis osalevad PIMS-i kohaldamisalas isikut tuvastava teabe töötlemises või mõjutavad seda. Poliitika kohaldub vastutava töötleja, kaasvastutava töötleja, volitatud töötleja ja alltöötleja kontekstides, mistõttu on see asjakohane kõigi dokumendis kirjeldatud privaatsuse tegevusmudelite puhul. Samuti teeb see selgeks, et poliitika ei loo uusi organisatsioonilisi ametinimetusi; selle asemel määratleb see kanoonilised PIMS-i rollid, mida saab määrata olemasolevale personalile või funktsioonidele, kui nõutavad määramise, pädevuse, sõltumatuse ja huvide konflikti nõuded on dokumenteeritud. Poliitika kehtestab struktureeritud PIMS-i rollimudeli ja tõendusmaterjalipõhise vastutuse käsitluse. Tippjuhtkond peab enne esmast rakendamist ja seejärel kord aastas heaks kiitma REG01-s kajastatud kanoonilise rollimudeli. Privaatsusvaldkonna juht / PIMS-i juht haldab REG01-s nimelisi rollimääranguid, vastutuse ulatusi ja volitustasemeid, sealhulgas uuendusi pärast personali- või organisatsioonilisi muudatusi. Töötlemise omamine seotakse REG02-ga, kus protsessiomanikud / äriprotsesside omanikud määravad enne töötlemise alustamist vastutavad omanikud iga isikut tuvastava teabe töötlemise tegevuse jaoks ning süsteemiomanikud / rakenduste omanikud dokumenteerivad enne tootmiskeskkonda kasutuselevõttu vastutavad süsteemiomanikud. Tarnija, volitatud töötleja, alltöötleja, kolmanda osapoole andmete jagamise ja kaasvastutava töötleja suhte omamine registreeritakse REG08-s enne kaasamist või lepingu heakskiitmist. Poliitika keskne osa on rollide kombineerimise, ülesannete lahususe ja sõltumatuse haldus. Poliitika lubab praktilist rollide kombineerimist, sealhulgas väikestes ja keskmise suurusega ettevõtetes, kuid nõuab dokumenteerimist enne kombinatsioonide jõustumist. Rollide kombinatsioonid, mis hõlmavad privaatsusvaldkonna juhti / PIMS-i juhti, andmekaitseametnikku / privaatsusnõustajat, infoturbejuhti, intsidentidele reageerimise koordinaatorit või siseauditi / vastavuse läbivaatajat, nõuavad REG01-s tippjuhtkonna heakskiitu. Siseauditi / vastavuse läbivaataja peab enne iga auditi või vastavuse läbivaatamise algust REG12-s dokumenteerima sõltumatuse läbivaadatavast PIMS-i protsessist. Kui ülesannete lahususe konflikte ei ole võimalik vältida, tuleb registreerida kompenseerivad kontrollimeetmed ning andmekaitseametnik / privaatsusnõustaja peab sõltumatuse või huvide konflikti probleemid registreerima viie tööpäeva jooksul alates nende tuvastamisest. Poliitika määratleb ka vastutuse vastutava töötleja, kaasvastutava töötleja, volitatud töötleja ja alltöötleja vastutusvaldkondades. Vastutava töötleja töötlemine nõuab enne töötlemise alustamist REG02-s registreeritud vastutuse omamist, eesmärgi omamist ja tõendusmaterjali omamist. Kaasvastutava töötleja vastutusvaldkondade jaotus, volitatud töötleja kliendi juhise omamine, alltöötleja järelevalve omamine, heakskiidu staatus ja kolmanda osapoole vastutuse eskaleerimisteed hallatakse REG08 kaudu. Privaatsusvaldkonna juht / PIMS-i juht kontrollib REG02 ja REG08 rolliklassifikatsiooni kirjeid kord kvartalis ning 15 tööpäeva jooksul pärast olulist muudatust. Lisaks nõuab poliitika, et privaatsusnõu, isikut tuvastava teabe turvalisuse vastutuse sisend, rikkumise ja privaatsusintsidendi eskaleerimise vastutus, lahendamata vastutusvaidlused ning rollidega seotud eskaleerimised dokumenteeritakse määratletud tõendusmaterjali objektides. Juhtimine, mõõtmine, erandid, rakendamine ja haldus on vastutuse mudelisse integreeritud. Tippjuhtkond vaatab juhtkonna läbivaatamise käigus läbi täielikkuse, täitmata rollid, rollikonfliktid, vastutuse erandid ja mõõdikud. Privaatsusvaldkonna juht / PIMS-i juht teeb kord kvartalis vastutuse läbivaatamisi, jälgib täitmata ja kombineeritud rolle, esitab aruandeid rolliteadlikkuse lõpetamise kohta, haldab erandeid määratletud aegumispiirangutega ning registreerib puuduvad, ebatäpsed või aegunud määrangud mittevastavustena. Protsessiomanikud / äriprotsesside omanikud peavad takistama uue või muudetud isikut tuvastava teabe töötlemise tootmiskeskkonda kasutuselevõttu, kui nõutav rolli- ja vastutuse tõendusmaterjal puudub. Siseauditi / vastavuse läbivaatajad testivad rollide tõendusmaterjali, esitavad leiud ja kontrollivad parandusmeetmete tõhusust. Poliitika tuleb läbi vaadata kord aastas ning 30 päeva jooksul pärast PIMS-i rollimudeli olulist muudatust.

Poliitika diagramm

Protsessivooskeem, mis näitab PIMS-i rollimäärangu heakskiitmist, töötlemise ja süsteemi omamise registreerimist, tarnijasuhte vastutusvaldkondade jaotust, rolliteabe edastamist ja kinnitamist, kvartaalset läbivaatamist, erandite käsitlemist, auditi läbivaatamist ja parandusmeetmeid.

Klõpsake diagrammil, et vaadata seda täissuuruses

Sisu

PIMS-i rollimudel ja määramisreeglid

Rollide kombineerimise, ülesannete lahususe ja sõltumatuse nõuded

Vastutava töötleja, kaasvastutava töötleja, volitatud töötleja ja alltöötleja vastutus

Nõustamise, turbe, intsidendi, tarnija ja eskaleerimise vastutus

Vastutuse tõendusmaterjal, teabevahetus ja rolli kinnitus

Mõõdikute, erandite, rakendamise ja läbivaatamise nõuded

Raamistiku vastavus

🛡️ Toetatud standardid ja raamistikud

See toode on kooskõlas järgmiste vastavusraamistikkudega, üksikasjalike klauslite ja kontrolli kaardistustega.

Raamistik Kaetud klauslid / Kontrollid
ISO/IEC 27701:2025
Clause 4.1Clause 5.1Clause 5.3Clause 7.2Clause 7.3Clause 7.4Clause 7.5Clause 8.1Clause 9.2Clause 9.3Clause 10.2Annex A.1.2.7Annex A.1.2.8Annex A.1.2.9Annex A.2.2.2Annex A.2.2.3
EU GDPR
Article 5(2)Article 24Article 26Article 28Article 30Article 37Article 38Article 39
ISO/IEC 29100:2020
Clause 4.1Clause 4.2Clause 5.12
ISO/IEC 29151:2022
Clause 6.1.2Clause 6.1.3
ISO/IEC 27002:2022
Control 5.2Control 5.3

Seotud poliitikad

Privaatsusteabe haldussüsteemi poliitika

Annab laiema PIMS-i juhtimise aluse, mida see rollide ja vastutuse poliitika toetab.

Töötlemisregistri ja õigusliku aluse poliitika

Seob töötlemistoimingud vastutavate omanike ja rolliklassifikatsiooni kirjetega REG02-s.

Volitatud töötleja, alltöötleja ja kolmanda osapoole privaatsushalduse poliitika

Ühtib vastutusvaldkondade jaotusega volitatud töötlejate, alltöötlejate, kolmanda osapoolega jagamise ja kaasvastutava töötleja suhete puhul REG08-s.

Privaatsuskoolituse, teadlikkuse ja pädevuse poliitika

Toetab poliitika nõudeid rollipõhise privaatsusteadlikkuse ja kinnituse tõendusmaterjali kohta REG11-s.

PIMS-i dokumenteeritud teabe ja tõendusmaterjali halduse poliitika

Toetab dokumenteeritud tõendusmaterjali mudelit, mida kasutatakse rollimäärangute, läbivaatamiste, erandite ja parandusmeetmete jaoks.

PIMS-i seire, auditi ja parendamise poliitika

Toetab rollivastutuse kontrollimeetmete sõltumatut läbivaatamist, auditileide, juhtkonna läbivaatamist ja parendamist.

Claryseci poliitikate kohta - Privaatsusrollide, vastutusvaldkondade ja vastutuse poliitika

See poliitika määratleb organisatsiooni PIMS-i rollimudeli, vastutuse struktuuri, vastutusvaldkondade määramise reeglid, rollide kombineerimise reeglid, eskaleerimise ootused ja tõendusmaterjali nõuded privaatsuse juhtimiseks. See kohaldub personalile, funktsioonidele, süsteemidele, tarnijatele, volitatud töötlejatele, alltöötlejatele ja kaasvastutava töötleja suhetele, mis osalevad PIMS-i kohaldamisalas isikut tuvastava teabe töötlemises või mõjutavad seda. Poliitika määrab vastutusvaldkonnad rollidele, sealhulgas tippjuhtkond, privaatsusvaldkonna juht / PIMS-i juht, protsessiomanikud / äriprotsesside omanikud, süsteemiomanikud / rakenduste omanikud, tarnijate / hangete omanikud, andmekaitseametnik / privaatsusnõustaja, infoturbejuht, intsidentidele reageerimise koordinaator ja siseauditi / vastavuse läbivaataja. See kasutab tõendusmaterjali objekte REG01, REG02, REG08, REG11 ja REG12, et dokumenteerida rollimäärangud, töötlemise ja suhte omamine, teabevahetus, teadlikkus, sõltumatus, läbivaatamised, erandid, mittevastavused ja parandusmeetmed.

Kanoonilised PIMS-i rollid

Määratleb privaatsuse juhtimise rollid, mida saab määrata olemasolevale personalile või funktsioonidele dokumenteeritud kohaldamisala ja volitustega.

Rollide tõendusmaterjali objektid

Kasutab REG01, REG02, REG08, REG11 ja REG12 määrangute, omamise, teadlikkuse, läbivaatamiste ja tegevuste tõendamiseks.

Sõltumatu läbivaatamine

Nõuab, et auditi või vastavuse läbivaatajad dokumenteeriksid sõltumatuse enne iga PIMS-i auditi või vastavuse läbivaatamise algust.

Erandite kontrollimeetmed

Nõuab, et rollivastutuse erandeid hinnatakse, vajaduse korral heaks kiidetakse, ajaliselt piiratakse, suletakse või hinnatakse uuesti.

Korduma kippuvad küsimused

Loodud juhtidele, juhtide poolt

Selle poliitika on koostanud turbejuht, kellel on üle 25 aasta kogemust ISMS-raamistike juurutamisel ja auditeerimisel globaalsetes organisatsioonides. See ei ole mõeldud vaid dokumendina, vaid kaitstava raamistikuna, mis peab vastu audiitori kontrollile.

Koostanud ekspert järgmiste kvalifikatsioonidega:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Katvus ja teemad

🏢 Sihtosakond

Privaatsus õigus vastavus IT-turve andmekaitseametniku büroo

🏷️ Temaatiline katvus

Privaatsusteabe haldus vastutava töötleja ja volitatud töötleja vastutusvaldkonnad kolmanda osapoole haldus töötlemistoimingute kirjed vastavushaldus poliitikahaldus siseaudit
€79

Ühekordne ost

Kohene allalaadimine
Eluaegsed uuendused

See poliitika on 1 25-st täielikus ISO/IEC 27701 PIMS-paketis

Säästke 52%

Hankige kõik 25 PIMS-poliitikat, täielik registrikomplekt ja üksikasjalik rakenduskava hinnaga €799 üksikult ostetava €1 675 asemel.

Vaata täielikku 27701 paketti →
Privacy Roles, Responsibilities and Accountability Policy

Toote üksikasjad

Tüüp: policy
Kategooria: ISO 27701 PIMS Policy Pack
Standardid: 5