policy ISO 27701 PIMS Policy Pack

Politika upravljanja incidentima u vezi s osobnim podacima i povredama osobnih podataka

Uređuje upravljanje incidentima u vezi s osobnim podacima i povredama osobnih podataka uz dokaze iz REG10, trijažu temeljenu na ulogama, odluke o obavješćivanju, ograničavanje, naučene lekcije i zapise spremne za reviziju.

Pregled

Ova politika definira kako se incidenti u vezi s osobnim podacima i povrede osobnih podataka prijavljuju, procjenjuju, ograničavaju, priopćavaju, dokumentiraju, zatvaraju i poboljšavaju. Koristi REG10 kao primarni registar incidenata i povezuje zapise s dokazima o obradi, riziku, dobavljačima, prijenosu, obuci, reviziji i korektivnim radnjama.

Strukturirani odgovor na povredu

Definira zahtjeve za zaprimanje, trijažu, procjenu, ograničavanje, obavješćivanje, zatvaranje i poboljšanje za incidente u vezi s osobnim podacima i povrede osobnih podataka.

Dokazi spremni za reviziju

Koristi REG10 kao primarni registar incidenata i povezuje dokaze s obradom, rizikom, dobavljačima, prijenosom, obukom i zapisima o korektivnim radnjama.

Odgovornost temeljena na ulogama

Dodjeljuje jasne odgovornosti ulogama za privatnost, sigurnost, odgovor na incidente, sustave, procese, dobavljače, reviziju i najviše rukovodstvo.

Pročitaj cijeli pregled (click to expand)
Politika upravljanja incidentima u vezi s osobnim podacima i povredama osobnih podataka definira kako organizacija identificira, prijavljuje, trijažira, procjenjuje, ograničava, priopćava, dokumentira, zatvara i poboljšava postupanje nakon incidenata u vezi s osobnim podacima i povreda osobnih podataka unutar opsega sustava upravljanja informacijama o privatnosti (PIMS). Njezina je svrha osigurati da se incidentima i povredama postupa dosljedno, pravodobno, zakonito, sigurno i uz dokaze spremne za reviziju. Politika se primjenjuje u kontekstima voditelja obrade, zajedničkog voditelja obrade, izvršitelja obrade i podizvršitelja obrade te obuhvaća sustave, aplikacije, usluge, procese, dobavljače, izvršitelje obrade, podizvršitelje obrade i treće strane koje obrađuju, pohranjuju, prenose, podržavaju, pristupaju ili na drugi način utječu na osobne podatke unutar opsega PIMS-a. Središnje obilježje politike njezin je integrirani model dokaza. REG10 — Registar incidenata u vezi s osobnim podacima i povreda osobnih podataka primarni je objekt dokaza za upravljanje incidentima i povredama, dok prateći registri osiguravaju kontekst i sljedivost. REG01 podržava kontekst opsega, pravnih, ugovornih, sektorskih, korisničkih i izvještajnih zahtjeva. REG02 povezuje zahvaćene aktivnosti obrade, kategorije osobnih podataka, kategorije ispitanika, svrhe i sustave. REG04 podržava poveznice s rizikom za privatnost, DPIA-om i preostalim rizikom. REG08 evidentira sučelja incidenata s izvršiteljima obrade, podizvršiteljima obrade, klijentima, dobavljačima i trećim stranama. REG09 se koristi kada incidenti utječu na prekograničnu obradu, REG11 podržava dokaze o obuci i kompetencijama, a REG12 obuhvaća reviziju, nesukladnost, korektivne radnje i dokaze o poboljšanju. Ova struktura pomaže osigurati da zapisi o incidentima nisu odvojeni od šireg PIMS-a. Politika utvrđuje detaljne zahtjeve za spremnost, zaprimanje, klasifikaciju, procjenu povrede, ograničavanje, oporavak, obavješćivanje, komunikacije, zaštitu dokaza i naučene lekcije. Sumnjivi incidenti u vezi s osobnim podacima moraju se evidentirati bez odgode, pri čemu se svaki prijavljeni ili otkriveni sumnjivi incident unosi u REG10 u roku od jednog radnog dana od zaprimanja ili ranije ako se mogu pokrenuti rokovi za obavješćivanje ili izvješćivanje klijenta. Tehnička trijaža sigurnosnih događaja koji uključuju osobne podatke mora se dovršiti u roku od 24 sata od otkrivanja, a svaki unos u REG10 mora se u roku od 24 sata od zaprimanja klasificirati kao događaj koji nije povezan s osobnim podacima, sumnjivi incident u vezi s osobnim podacima, potvrđeni incident u vezi s osobnim podacima ili potvrđena povreda osobnih podataka, osim ako je dokumentiran razlog za neriješenu klasifikaciju. Za procjenu povrede politika zahtijeva identifikaciju zahvaćenih aktivnosti obrade, kategorija osobnih podataka, kategorija ispitanika, sustava, izvršitelja obrade, podizvršitelja obrade, lokacija prijenosa i rizika za privatnost prije donošenja konačnih odluka o obavješćivanju. Obveze obavješćivanja i komunikacije razdvojene su prema ulozi. Za voditelje obrade politika zahtijeva dokumentirane odluke o regulatornom obavješćivanju za svaku potvrđenu povredu osobnih podataka bez nepotrebnog odgađanja, uz zadržavanje obavijesti, obrazloženja odluke o neobavješćivanju ili obrazloženja odgode u REG10. Kada se pokrene komunikacija prema zahvaćenim ispitanicima, politika zahtijeva evidentiranje sadržaja, ciljne skupine, vremena, načina dostave i dokaza o odobrenju. Za izvršitelje obrade i podizvršitelje obrade politika zahtijeva obavješćivanje zahvaćenih voditelja obrade, klijenata, uzvodnih izvršitelja obrade ili odobrenih ugovornih kanala bez nepotrebnog odgađanja i unutar primjenjivih ugovornih rokova. Za incidente visokog utjecaja u vezi s osobnim podacima također zahtijeva procjenu pravnih, sektorskih, financijsko-sektorskih, kibernetičko-sigurnosnih, ugovornih, korisničkih i primateljskih okidača izvješćivanja gdje je primjenjivo. Upravljanje, mjerenje i poboljšanje ugrađeni su u proces. Voditelj privatnosti / voditelj PIMS-a vlasnik je procesa upravljanja incidentima i povredama te mora osigurati održavanje REG10 do zatvaranja. Koordinator odgovora na incidente upravlja zaprimanjem, trijažom, radnim tokom ograničavanja, praćenjem statusa, zatvaranjem i naučenim lekcijama. Informacijska sigurnost vodi tehničku istragu, ograničavanje, uklanjanje prijetnje, oporavak, očuvanje dokaza i analizu temeljnog uzroka kada su uključeni sustavi ili sigurnosne kontrole. Najviše rukovodstvo prima eskalacije za potvrđene incidente visokog utjecaja u vezi s osobnim podacima u roku od 24 sata od klasifikacije te tijekom preispitivanja od strane uprave pregledava incidente visokog utjecaja, prijavljive povrede, zakašnjele korektivne radnje i značajne učinke. Metrike uključuju broj incidenata, vrijeme klasifikacije i ograničavanja, pravodobnost obavješćivanja, starenje korektivnih radnji, učinkovitost odgovora trećih strana i dovršetak vježbi. Politika također zahtijeva godišnji pregled, pregled nakon incidenta za incidente visokog utjecaja ili potvrđene povrede te godišnji pregled implementacije u okviru interne revizije.

Dijagram politike

Dijagram toka procesa koji prikazuje zaprimanje incidenta u vezi s osobnim podacima, evidentiranje u REG10, trijažu, procjenu povrede, ograničavanje i oporavak, odluke o obavješćivanju, očuvanje dokaza, zatvaranje, naučene lekcije, korektivne radnje u REG12 i preispitivanje od strane uprave.

Kliknite na dijagram za prikaz u punoj veličini

Sadržaj

Opseg, definicije i pravila primjenjivosti

Zahtjevi za registar incidenata i povreda REG10

Kriteriji klasifikacije i procjene povrede

Ograničavanje, uklanjanje prijetnje, oporavak i provjera

Obavješćivanje, komunikacije i vođenje zapisa

Naučene lekcije, metrike, revizija i kontinuirano poboljšanje

Usklađenost s okvirom

🛡️ Podržani standardi i okviri

Ovaj je proizvod usklađen sa sljedećim okvirima usklađenosti s detaljnim mapiranjem klauzula i kontrola.

Okvir Pokrivene klauzule / Kontrole
ISO/IEC 27701:2025
Clause 7.4Clause 7.5Clause 8.1Clause 8.2Clause 8.3Clause 9.1Clause 10.2Annex A.3.11Annex A.3.12Annex A.3.13Annex A.3.14Annex A.2.2.2Annex A.2.2.6
EU GDPR
Article 5(2)Article 24Article 26Article 28Article 32Article 33Article 34Article 39
ISO/IEC 29100:2020
Clause 5.11Clause 5.12
ISO/IEC 29151:2022
Clause 16.1.2Clause 16.1.3
ISO/IEC 27002:2022
Control 5.24Control 5.25Control 5.26Control 5.27Control 5.28
ISO/IEC 27035-1:2023
Clause 5.2Clause 5.3Clause 5.4Clause 5.5Clause 5.6
ISO/IEC 27035-2:2023
Clause 4Clause 6Clause 10Clause 11Clause 12
ISO/IEC 27035-3:2020
Clause 7Clause 8Clause 9Clause 10Clause 11Clause 12
ISO/IEC 27018:2020
Annex A.10.1
NIS2 Directive (EU) 2022/2555
Article 23
DORA Regulation (EU) 2022/2554
Article 17Article 18Article 19

Povezane politike

Politika popisa aktivnosti obrade i pravne osnove

Procjena incidenta ovisi o utvrđivanju zahvaćenih aktivnosti obrade, kategorija osobnih podataka, ispitanika, svrha i sustava.

Politika procjene rizika za privatnost i DPIA-e

Procjena povrede i poboljšanje nakon incidenta oslanjaju se na povezanost s rizikom za privatnost, DPIA-om, preostalim rizikom i obradom rizika.

Politika upravljanja privatnošću za izvršitelje obrade, podizvršitelje obrade i treće strane

Proces postupanja s incidentima zahtijeva koordinaciju s izvršiteljima obrade, podizvršiteljima obrade, dobavljačima, klijentima i drugim trećim stranama.

Politika međunarodnih prijenosa

Incidenti koji utječu na prekograničnu obradu moraju biti povezani s lokacijama prijenosa i zapisima o međunarodnim prijenosima.

Politika sigurnosti i kontrole pristupa

Tehnička trijaža, ograničavanje, uklanjanje prijetnje, oporavak i očuvanje dokaza ovise o sigurnosnim kontrolama i kontroli pristupa.

Politika praćenja, revizije i poboljšanja PIMS-a

Naučene lekcije, korektivne radnje, revizijski pregled, preispitivanje od strane uprave i kontinuirano poboljšanje ključni su izlazni rezultati zatvaranja.

O Clarysec politikama - Politika upravljanja incidentima u vezi s osobnim podacima i povredama osobnih podataka

Ova politika uspostavlja operativni okvir PIMS-a za upravljanje incidentima u vezi s osobnim podacima i povredama osobnih podataka od zaprimanja do zatvaranja i poboljšanja. Definira odgovornosti za najviše rukovodstvo, voditelja privatnosti / voditelja PIMS-a, službenika za zaštitu podataka / savjetnika za privatnost, koordinatora odgovora na incidente, voditelja informacijske sigurnosti, vlasnika sustava / vlasnika aplikacije, vlasnika procesa / vlasnika poslovanja, vlasnika dobavljača / nabave te pregledavatelja iz interne revizije / funkcije usklađenosti. Politika koristi REG10 kao primarni registar incidenata u vezi s osobnim podacima i povreda osobnih podataka te povezuje incidente s objektima dokaza, uključujući REG01, REG02, REG03, REG04, REG08, REG09, REG11 i REG12. Podržava kontekste voditelja obrade, zajedničkog voditelja obrade, izvršitelja obrade i podizvršitelja obrade zahtijevajući procjenu povrede specifičnu za ulogu, obavješćivanje, komunikacije, očuvanje dokaza, korektivne radnje, metrike, reviziju i preispitivanje od strane uprave.

Radni tok usmjeren na REG10

Koristi REG10 kao primarni registar za činjenice o incidentu, klasifikaciju, odluke, radnje, obavijesti, dokaze i zatvaranje.

Pravila za voditelje i izvršitelje obrade

Razdvaja obveze voditelja obrade, zajedničkog voditelja obrade, izvršitelja obrade i podizvršitelja obrade za procjenu, obavješćivanje i komunikaciju.

Definirane uloge za odgovor

Dodjeljuje dužnosti kroz funkcije privatnosti, sigurnosti, odgovora na incidente, sustava, procesa, dobavljača, revizije i najvišeg rukovodstva.

Povezanost s kontinuiranim poboljšanjem

Zahtijeva naučene lekcije, korektivne radnje, metrike, internu reviziju i preispitivanje od strane uprave radi djelotvornosti upravljanja incidentima.

Često postavljana pitanja

Izrađeno za lidere, od lidera

Ovu politiku izradio je sigurnosni lider s više od 25 godina iskustva u implementaciji i auditiranju ISMS okvira u globalnim organizacijama. Osmišljena je ne samo kao dokument, već kao obrambeni okvir koji izdržava revizorski nadzor.

Izradio stručnjak s sljedećim kvalifikacijama:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pokrivenost i teme

🏢 Ciljni odjeli

privatnost pravni poslovi usklađenost IT sigurnost ured službenika za zaštitu podataka

🏷️ Tematska pokrivenost

upravljanje informacijama o privatnosti upravljanje povredama upravljanje incidentima upravljanje rizicima upravljanje trećim stranama upravljanje usklađenošću praćenje i mjerenje
€59

Jednokratna kupnja

Trenutno preuzimanje
Doživotna ažuriranja

Ova politika je 1 od 25 u kompletnom ISO/IEC 27701 PIMS paketu

Uštedite 52%

Nabavite svih 25 PIMS politika, kompletan set registara i detaljan plan implementacije za €799, umjesto €1.675 pojedinačno.

Pogledaj kompletni 27701 paket →
PII Incident and Breach Management Policy

Pojedinosti o proizvodu

Vrsta: policy
Kategorija: ISO 27701 PIMS Policy Pack
Standardi: 11