Jogi és szabályozási megfelelési szabályzat

A Jogi és szabályozási megfelelési szabályzat (P37) a szervezet irányítási és kockázatkezelési keretrendszerének alapvető eleme. Elsődleges célja egy kötelező és szisztematikus megközelítés kialakítása valamennyi, az információbiztonság, az adatvédelem és az operatív tevékenységek szempontjából releváns jogi, szabályozási és szerződéses követelmény azonosítására, kezelésére és teljesítésére. A szabályzat célja a meg nem felelés kockázatainak megelőzése, amelyek súlyos következményekkel járhatnak, például pénzügyi bírságokkal, jogi felelősséggel, szervezeti működési zavarokkal vagy reputációs kárral. Ennek érdekében a P37 közvetlenül támogatja a megfelelési előírások integrációját az irányítási struktúrákba, a kockázatkezelési programokba, az operatív munkafolyamatokba, a projekt-életciklusokba és a rendszertervezési döntésekbe. A szabályzat szervezeti szinten alkalmazandó valamennyi szervezeti egységre, funkcióra, üzleti egységre és a szervezet nevében eljáró személyre. Ide tartoznak a munkavállalók (állandó és ideiglenes), vállalkozók, tanácsadók, gyakornokok, valamint minden harmadik fél beszállító vagy partner, akik adatokat, rendszereket vagy szabályozási felelősségeket kezelnek. Hatókörét tekintve több területen szabályozza a megfelelést: információbiztonság (beleértve az ISO/IEC 27001, NIS2, DORA keretrendszereket), adatvédelem (GDPR és ágazatspecifikus jogszabályok), ágazati szabályozás (pénzügy, egészségügy, autóipar), szerződéses követelmények (titoktartási megállapodás, szolgáltatási szint megállapodások (SLA-k)), valamint jogi követelmények, mint az incidensértesítés, a bűnüldöző szervekkel való együttműködés vagy a határokon átnyúló adattovábbítás. A szabályzat egyik kulcsfontosságú előnye a szerepkörök és felelősségek részletes hozzárendelése, amely egyértelműen felsorolásra kerül a felső vezetés, a megfelelés és a jogi és megfelelőségi funkciók, az információbiztonsági vezető (CISO), a belső audit, az osztályvezetők, valamint valamennyi munkatárs vagy vállalkozó számára. A felelősségek közé tartozik egy átfogó megfelelési kötelezettségek nyilvántartásának fenntartása, hatásvizsgálatok elvégzése, jogi értelmezések biztosítása, kontrollok bevezetése, valamint részvétel az időszakos megfelelőségi felülvizsgálatokban és auditokban. Minden kötelezettség a szervezet információbiztonsági irányítási rendszerében szereplő konkrét szabályzati követelményekhez és kontrollokhoz van leképezve, auditbizonyíték-megőrzési előírásokkal, tesztelési gyakorisággal és a tulajdonosok egyértelmű kijelölésével. Az irányítási előírások erősek: egy központosított megfelelési nyilvántartást negyedévente frissíteni kell, a megfelelésnek tervezésből beépített módon kell megjelennie minden rendszer- és szabályzat-életciklusban, a jelentős jogi kockázati változások formális jóváhagyást igényelnek, és a jogi és szabályozási területeket lefedő kockázatértékeléseket évente el kell végezni. A szabályzat pontos szabályozási változáskezelési eljárásokat is leír, amelyek megkövetelik az alkalmazandó jogi fejlemények havi felülvizsgálatát, a frissítések kommunikálását és részletes ellenőrzési nyomvonal fenntartását. A harmadik fél kapcsolatok kezelése kötelező szerződéses kikötéseken és beszállítói megfelelőségi értékeléseken keresztül történik. A megfelelőségi képzés szervezeti követelmény, amelyet a tanulásmenedzsment rendszerben kell nyomon követni és dokumentálni. A kockázat- és kivételkezelési szakaszok előírják, hogy minden megfelelési kockázatot a kockázati nyilvántartásban kell rögzíteni, és bármely szabályzati kivétel dokumentált indoklást és felső szintű jóváhagyást igényel. Az érvényesítés tekintetében a meg nem felelés fegyelmi eljárásokhoz vagy jogi lépésekhez vezethet, kifejezett protokollokkal a visszaélés-bejelentési mechanizmus védelmére. A dokumentum éves felülvizsgálat tárgya, továbbá további felülvizsgálatokat indítanak kulcsfontosságú jogi vagy üzleti változások esetén, biztosítva, hogy a szervezet naprakész összhangban maradjon minden releváns jogszabállyal, iparági szabványokkal és szabályozói elvárással.