policy ISO 27701 PIMS Policy Pack

Tietosuojaroolien, vastuiden ja osoitusvelvollisuuden politiikka

Määritä PIMS:n tietosuojaroolit, osoitusvelvollisuus, todentava aineisto, eskalointi ja valvonta rekisterinpitäjän, henkilötietojen käsittelijän, toimittajan ja auditoinnin vastuiden osalta.

Yleiskatsaus

Määrittää PIMS-roolit, osoitusvelvollisuuden, todentavan aineiston, eskaloinnin, riippumattomuuden ja katselmointivaatimukset rekisterinpitäjän, henkilötietojen käsittelijän, toimittajan, järjestelmän ja auditoinnin vastuissa.

Selkeä PIMS-roolien omistajuus

Määrittää kanoniset PIMS-roolit, osoitusvelvollisuusrakenteet, toimivaltatasot ja osoittamissäännöt ilman uusien tehtävänimikkeiden luomista.

Todentavaan aineistoon perustuva osoitusvelvollisuus

Edellyttää, että roolien osoittamiset, omistajatiedot, kuittaukset, katselmoinnit, ristiriidat ja korjaavat toimenpiteet kirjataan määriteltyihin näyttöobjekteihin.

Eriyttäminen ja riippumattomuus

Hallitsee roolien yhdistämistä, eturistiriitoja, kompensoivia hallintakeinoja sekä riippumattoman auditoinnin tai vaatimustenmukaisuuskatselmoinnin odotukset.

Lue koko yleiskatsaus (click to expand)
Tietosuojaroolien, vastuiden ja osoitusvelvollisuuden politiikka määrittää, miten organisaatio osoittaa, dokumentoi, viestii, katselmoi ja parantaa vastuita henkilötietojen hallintajärjestelmässä. Sen soveltamisala kattaa henkilöstön, toiminnot, järjestelmät, toimittajat, henkilötietojen käsittelijät, alikäsittelijät ja yhteisrekisterinpitäjäsuhteet, jotka osallistuvat henkilötietojen käsittelyyn tai vaikuttavat siihen PIMS:n soveltamisalassa. Politiikkaa sovelletaan rekisterinpitäjän, yhteisrekisterinpitäjän, henkilötietojen käsittelijän ja alikäsittelijän konteksteissa, minkä vuoksi se on relevantti asiakirjassa kuvatuille tietosuojan toimintamalleille kokonaisuudessaan. Siinä myös selvennetään, ettei se luo uusia organisaation tehtävänimikkeitä; sen sijaan se määrittää kanoniset PIMS-roolit, jotka voidaan osoittaa olemassa olevalle henkilöstölle tai toiminnoille, kun vaaditut osoittamista, pätevyyttä, riippumattomuutta ja eturistiriitoja koskevat vaatimukset on dokumentoitu. Politiikka muodostaa jäsennetyn PIMS-roolimallin ja todentavaan aineistoon perustuvan osoitusvelvollisuuden lähestymistavan. Ylimmän johdon tulee hyväksyä kanoninen roolimalli REG01:ssä ennen ensimmäistä toteutusta ja sen jälkeen vuosittain. Privacy Lead / PIMS Manager ylläpitää nimettyjä roolien osoittamisia, vastuiden soveltamisaloja ja toimivaltatasoja REG01:ssä, mukaan lukien henkilöstö- tai organisaatiomuutosten jälkeiset päivitykset. Käsittelyn omistajuus liitetään REG02:een, jossa prosessien omistajat / liiketoimintavastaavat osoittavat vastuunalaiset omistajat kullekin henkilötietojen käsittelytoimelle ennen käsittelyn alkamista ja järjestelmäomistajat / sovellusomistajat dokumentoivat vastuunalaiset järjestelmäomistajat ennen tuotantokäyttöönottoa. Toimittajan, henkilötietojen käsittelijän, alikäsittelijän, kolmannen osapuolen tietojen jakamisen ja yhteisrekisterinpitäjäsuhteen omistajuus kirjataan REG08:ssa ennen käyttöönottoa tai sopimuksen hyväksyntää. Keskeinen osa politiikkaa on roolien yhdistämisen, eriyttämisen ja riippumattomuuden hallinta. Politiikka sallii käytännöllisen roolien yhdistämisen, myös pienissä ja keskisuurissa organisaatioissa, mutta edellyttää dokumentointia ennen yhdistelmien voimaantuloa. Roolien yhdistelmät, joihin sisältyy Privacy Lead / PIMS Manager, tietosuojavastaava / tietosuojaneuvonantaja, tietoturvavastaava, tietoturvapoikkeamiin reagoinnin koordinaattori tai sisäinen tarkastus / vaatimustenmukaisuuskatselmoija, edellyttävät ylimmän johdon hyväksyntää REG01:ssä. Sisäisen tarkastuksen / vaatimustenmukaisuuskatselmoijan tulee dokumentoida riippumattomuus katselmoitavasta PIMS-prosessista REG12:ssa ennen jokaista auditointia tai vaatimustenmukaisuuskatselmointia. Jos eriyttämisristiriitoja ei voida välttää, kompensoivat hallintakeinot tulee kirjata, ja tietosuojavastaavan / tietosuojaneuvonantajan tulee kirjata riippumattomuutta tai eturistiriitoja koskevat huolenaiheet viiden arkipäivän kuluessa tunnistamisesta. Politiikka määrittää myös osoitusvelvollisuuden rekisterinpitäjän, yhteisrekisterinpitäjän, henkilötietojen käsittelijän ja alikäsittelijän vastuissa. Rekisterinpitäjän käsittely edellyttää vastuun omistajuuden, tarkoituksen omistajuuden ja todentavan aineiston omistajuuden kirjaamista REG02:ssa ennen käsittelyn alkamista. Yhteisrekisterinpitäjän vastuunjako, henkilötietojen käsittelijän asiakkaan ohjeen omistajuus, alikäsittelijän valvonnan omistajuus, hyväksyntätila ja kolmannen osapuolen vastuun eskalointipolut hallitaan REG08:n kautta. Privacy Lead / PIMS Manager varmentaa rooliluokituksen tallenteet REG02:ssa ja REG08:ssa neljännesvuosittain ja 15 arkipäivän kuluessa olennaisesta muutoksesta. Politiikka edellyttää lisäksi, että tietosuojaa koskeva neuvonta, henkilötietojen tietoturvavastuun syöte, tietoturvaloukkauksen ja henkilötietopoikkeaman eskalointivastuu, ratkaisemattomat vastuukiistat ja rooleihin liittyvät eskaloinnit dokumentoidaan määriteltyihin näyttöobjekteihin. Hallinnointi, mittaaminen, poikkeukset, soveltaminen ja ylläpito on sisällytetty osoitusvelvollisuusmalliin. Ylin johto katselmoi kattavuuden, täyttämättömät roolit, rooliristiriidat, osoitusvelvollisuuden poikkeukset ja mittarit johdon katselmoinnin aikana. Privacy Lead / PIMS Manager tekee neljännesvuosittaiset osoitusvelvollisuuskatselmoinnit, seuraa täyttämättömiä ja yhdistettyjä rooleja, raportoi roolitietoisuuden suorittamisen, hallitsee poikkeuksia määritellyin voimassaolorajoin sekä kirjaa puuttuvat, virheelliset tai vanhentuneet osoittamiset poikkeamina. Prosessien omistajien / liiketoimintavastaavien tulee estää uuden tai muuttuneen henkilötietojen käsittelyn tuotantokäyttöönotto, jos vaadittu rooleja ja osoitusvelvollisuutta koskeva todentava aineisto puuttuu. Sisäinen tarkastus / vaatimustenmukaisuuskatselmoijat testaavat rooleja koskevan todentavan aineiston, raportoivat havainnot ja varmentavat korjaavien toimenpiteiden tehokkuuden. Itse politiikka tulee katselmoida vuosittain ja 30 päivän kuluessa olennaisesta muutoksesta PIMS-roolimalliin.

Käytäntökaavio

Prosessikaavio, joka näyttää PIMS-roolien osoittamisen hyväksynnän, käsittelyn ja järjestelmäomistajuuden kirjaamisen, toimittajasuhteiden vastuunjaon, rooliviestinnän ja kuittauksen, neljännesvuosittaisen katselmoinnin, poikkeusten käsittelyn, auditointikatselmoinnin ja korjaavat toimenpiteet.

Napsauta kaaviota nähdäksesi sen täydessä koossa

Sisältö

PIMS-roolimalli ja osoittamissäännöt

Roolien yhdistämistä, eriyttämistä ja riippumattomuutta koskevat vaatimukset

Rekisterinpitäjän, yhteisrekisterinpitäjän, henkilötietojen käsittelijän ja alikäsittelijän osoitusvelvollisuus

Neuvontaan, tietoturvaan, poikkeamiin, toimittajiin ja eskalointiin liittyvä osoitusvelvollisuus

Osoitusvelvollisuuden todentava aineisto, viestintä ja roolin kuittaus

Mittareita, poikkeuksia, soveltamista ja katselmointia koskevat vaatimukset

Kehysmääräysten noudattaminen

🛡️ Tuetut standardit ja kehykset

Tämä tuote on linjassa seuraavien vaatimustenmukaisuuskehysten kanssa, yksityiskohtaisilla lauseke- ja valvontamappingeillä.

Kehys Katetut lausekkeet / Kontrollit
ISO/IEC 27701:2025
Clause 4.1Clause 5.1Clause 5.3Clause 7.2Clause 7.3Clause 7.4Clause 7.5Clause 8.1Clause 9.2Clause 9.3Clause 10.2Annex A.1.2.7Annex A.1.2.8Annex A.1.2.9Annex A.2.2.2Annex A.2.2.3
EU GDPR
Article 5(2)Article 24Article 26Article 28Article 30Article 37Article 38Article 39
ISO/IEC 29100:2020
Clause 4.1Clause 4.2Clause 5.12
ISO/IEC 29151:2022
Clause 6.1.2Clause 6.1.3
ISO/IEC 27002:2022
Control 5.2Control 5.3

Liittyvät käytännöt

Henkilötietojen hallintajärjestelmän politiikka

Tarjoaa laajemman PIMS-hallinnoinnin perustan, jota tämä rooli- ja osoitusvelvollisuuspolitiikka tukee.

Käsittelytoimien luettelon ja oikeusperusteen politiikka

Yhdistää käsittelytoimet vastuunalaisiin omistajiin ja rooliluokituksen tallenteisiin REG02:ssa.

Henkilötietojen käsittelijän, alikäsittelijän ja kolmannen osapuolen tietosuojahallinnan politiikka

Yhdenmukaistaa vastuunjaon henkilötietojen käsittelijöiden, alikäsittelijöiden, kolmansien osapuolten kanssa jakamisen ja yhteisrekisterinpitäjäsuhteiden osalta REG08:ssa.

Tietosuojakoulutus-, tietoisuus- ja pätevyyspolitiikka

Tukee politiikan vaatimuksia roolikohtaisesta tietosuojatietoisuudesta ja kuittausta koskevasta näytöstä REG11:ssä.

PIMS:n dokumentoidun tiedon ja todentavan aineiston hallintapolitiikka

Tukee dokumentoitua todentavan aineiston mallia, jota käytetään roolien osoittamisissa, katselmoinneissa, poikkeuksissa ja korjaavissa toimenpiteissä.

PIMS:n seuranta-, auditointi- ja parantamispolitiikka

Tukee riippumatonta katselmointia, auditointihavaintoja, johdon katselmointia ja roolien osoitusvelvollisuuskontrollien parantamista.

Tietoa Clarysecin käytännöistä - Tietosuojaroolien, vastuiden ja osoitusvelvollisuuden politiikka

Tämä politiikka määrittää organisaation PIMS-roolimallin, osoitusvelvollisuusrakenteen, vastuiden osoittamissäännöt, roolien yhdistämissäännöt, eskalointiodotukset ja todentavaa aineistoa koskevat vaatimukset tietosuojan hallinnoinnille. Sitä sovelletaan henkilöstöön, toimintoihin, järjestelmiin, toimittajiin, henkilötietojen käsittelijöihin, alikäsittelijöihin ja yhteisrekisterinpitäjäsuhteisiin, jotka osallistuvat henkilötietojen käsittelyyn tai vaikuttavat siihen PIMS:n soveltamisalassa. Politiikka osoittaa vastuita rooleille, kuten ylin johto, Privacy Lead / PIMS Manager, prosessien omistajat / liiketoimintavastaavat, järjestelmäomistajat / sovellusomistajat, toimittaja- / hankintaomistajat, tietosuojavastaava / tietosuojaneuvonantaja, tietoturvavastaava, tietoturvapoikkeamiin reagoinnin koordinaattori ja sisäinen tarkastus / vaatimustenmukaisuuskatselmoija. Se käyttää näyttöobjekteja REG01, REG02, REG08, REG11 ja REG12 roolien osoittamisten, käsittelyn ja suhteiden omistajuuden, viestinnän, tietoisuuden, riippumattomuuden, katselmointien, poikkeusten, poikkeamien ja korjaavien toimenpiteiden dokumentointiin.

Kanoniset PIMS-roolit

Määrittää tietosuojan hallinnointiroolit, jotka voidaan osoittaa olemassa olevalle henkilöstölle tai toiminnoille dokumentoidulla soveltamisalalla ja toimivallalla.

Roolien näyttöobjektit

Käyttää näyttöobjekteja REG01, REG02, REG08, REG11 ja REG12 osoittamisten, omistajuuden, tietoisuuden, katselmointien ja toimenpiteiden todentamiseen.

Riippumaton katselmointi

Edellyttää, että auditoinnin tai vaatimustenmukaisuuskatselmoijat dokumentoivat riippumattomuuden ennen kunkin PIMS-auditoinnin tai vaatimustenmukaisuuskatselmoinnin aloittamista.

Poikkeuskontrollit

Edellyttää, että roolien osoitusvelvollisuutta koskevat poikkeukset arvioidaan, hyväksytään tarvittaessa, rajataan ajallisesti, suljetaan tai arvioidaan uudelleen.

Usein kysytyt kysymykset

Suunniteltu johtajille, johtajien toimesta

Tämän käytännön on laatinut tietoturvajohtaja, jolla on yli 25 vuoden kokemus ISMS-viitekehysten käyttöönotosta ja auditoinnista globaaleissa organisaatioissa. Se ei ole pelkkä asiakirja, vaan puolustettava viitekehys, joka kestää auditorin tarkastelun.

Laatinut asiantuntija, jolla on seuraavat pätevyydet:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Kattavuus & Aiheet

🏢 Kohdeosastot

Tietosuoja lakiasiat vaatimustenmukaisuus IT-turvallisuus tietosuojavastaavan toimisto

🏷️ Aiheen kattavuus

Henkilötietojen hallintajärjestelmä rekisterinpitäjän ja henkilötietojen käsittelijän vastuut kolmansien osapuolten hallinta käsittelytoimien tallenteet vaatimustenmukaisuuden hallinta politiikkojen hallinta sisäinen tarkastus
€79

Kertaosto

Välitön lataus
Elinikäiset päivitykset

Tämä käytäntö on 1/25 täydellisessä ISO/IEC 27701 PIMS -paketissa

Säästä 52%

Hanki kaikki 25 PIMS-käytäntöä, täydellinen rekisterisarja ja yksityiskohtainen toteutussuunnitelma hintaan €799 erikseen ostettujen €1 675 sijaan.

Katso täydellinen 27701-paketti →
Privacy Roles, Responsibilities and Accountability Policy

Tuotetiedot

Tyyppi: policy
Luokka: ISO 27701 PIMS Policy Pack
Standardit: 5