PIMS-seurannan, auditoinnin ja parantamisen politiikka

PIMS-seurannan, auditoinnin ja parantamisen politiikka määrittää organisaation vaatimukset henkilötietojen hallintajärjestelmän suorituskyvyn arvioimiseksi seurannan, mittaamisen, analyysin, arvioinnin, sisäisen auditoinnin, johdon katselmoinnin, poikkeamien käsittelyn, korjaavien toimenpiteiden ja jatkuvan parantamisen osalta. Sen tarkoituksena on varmistaa, että organisaatio arvioi PIMS:n suorituskykyä, todentaa PIMS:n vaatimustenmukaisuuden, tunnistaa poikkeamat, korjaa kontrollipuutteet ja parantaa PIMS:ää jatkuvasti objektiivisen todentavan aineiston perusteella. Politiikkaa sovelletaan kaikkiin PIMS-prosesseihin, kontrolleihin, politiikkoihin, rekistereihin, todentavan aineiston kohteisiin, järjestelmiin, toimittajiin, henkilötietojen käsittelijöihin, alikäsittelijöihin ja tietojen jakamisen järjestelyihin PIMS:n soveltamisalassa. Se kattaa myös organisaation rekisterinpitäjän, yhteisrekisterinpitäjän, henkilötietojen käsittelijän ja alikäsittelijän kontekstit, joten se on merkityksellinen sekä tietosuojan hallinnoinnin että operatiivisen varmentamisen kannalta. Politiikan keskeinen piirre on sen konsolidoitu todentavan aineiston malli. REG12 toimii ensisijaisena sijaintina seurantaohjelmalle, mittarimäärittelyille, auditointiohjelmalle, auditointituloksille, johdon katselmoinnin todentavalle aineistolle, poikkeamille, korjaaville toimenpiteille, poikkeuksille ja parantamistoimille. Tukevat todentavat aineistot tulevat REG01–REG11-rekistereistä, mukaan lukien REG02:n käsittelytoimien syötteet, REG03:n tietoturvakontrollien tila, REG04:n tietosuojariskien päivitykset, REG08:n toimittajien ja henkilötietojen käsittelijöiden varmentamisnäyttö, REG10:n poikkeama- ja tietoturvaloukkaustrendien syötteet sekä REG11:n koulutussuoritusten tila. Politiikka edellyttää, että tietosuojavastaava / PIMS-päällikkö määrittää kullekin PIMS-mittarille mittausmenetelmät, tiheyden, todentavan aineiston lähteen, tavoitteet ja vastuulliset roolit ennen mittaussyklin alkamista sekä konsolidoi tulokset neljännesvuosittain. Auditointi- ja katselmointivaatimukset rakentuvat riskiperusteisen suunnittelun, dokumentoidun todentavan aineiston ja riippumattomuuden ympärille. Sisäisen tarkastuksen / vaatimustenmukaisuuden katselmoijan tulee laatia vuosittainen riskiperusteinen PIMS:n sisäinen auditointiohjelma REG12:ssa ja määrittää tavoite, kriteerit, soveltamisala, menetelmä, otosperuste ja raportoinnin määräaika ennen auditoinnin kenttätyön aloittamista. Auditoijan riippumattomuus ja eturistiriitatarkastukset on kirjattava ennen jokaista auditointitoimeksiantoa. Auditointitoimiin sisältyvät sovellettavien PIMS-kontrollien toteutustilan testaaminen REG03:a vasten, valittujen henkilötietojen käsittelyä koskevien todentavan aineiston otosten kirjaaminen sekä tulosten dokumentointi 15 työpäivän kuluessa auditoinnin valmistumisesta. Hyväksytyille havainnoille on osoitettava korjaavien toimenpiteiden omistajat REG12:ssa 10 työpäivän kuluessa auditointituloksen hyväksymisestä. Myös johdon katselmointi, korjaavat toimenpiteet ja parantaminen ovat tiukasti hallittuja. Ylimmän johdon tulee toteuttaa PIMS:n johdon katselmointi vähintään vuosittain REG12:ssa ja katselmoida aiemmat toimenpiteet, PIMS:n suorituskykymittarit, tietosuojatavoitteiden tila, poikkeamat, korjaavat toimenpiteet, seurantatulokset, auditointitulokset, tietosuojariskit, toimittajien varmentaminen ja sidosryhmien muutossyötteet. Poikkeamat on kirjattava, juurisyyt ja korjaavien toimenpiteiden suunnitelmat toimitettava, määräpäivät ja hyväksymiskriteerit hyväksyttävä, valmistumista koskeva todentava aineisto säilytettävä ja vaikuttavuus varmennettava. Jatkuvaa parantamista ohjaa seurantatulosten, auditointitulosten, poikkeamatrendien, tietosuojariskien tilan, toimittajien varmentamisen tilan ja korjaavien toimenpiteiden trendien neljännesvuosittainen katselmointi. Kun sama havaintoluokka esiintyy vähintään kaksi kertaa 12 kuukauden aikana, politiikka edellyttää järjestelmätason parantamistoimen luomista REG12:een.