policy ISO 27701 PIMS Policy Pack

PIMS nyomon követési, audit- és fejlesztési szabályzat

A PIMS nyomon követésének, auditjainak, vezetőségi felülvizsgálatának, helyesbítő intézkedéseinek és folyamatos fejlesztésének működtetése REG12-ben kezelt bizonyító anyagokkal és ISO/IEC 27701-gyel való összhangban.

Áttekintés

Ez a szabályzat meghatározza a PIMS nyomon követési, audit-, vezetőségi felülvizsgálati, meg nem felelési, helyesbítő intézkedési és folyamatos fejlesztési ciklusát. A bizonyító anyagokat a REG12-ben központosítja, támogató forrásként a REG01–REG11-nyilvántartásokat használja, és egyértelmű feladatokat rendel az adatvédelmi, audit-, biztonsági, beszállítói és vezetői szerepkörökhöz.

Bizonyító anyagokon alapuló PIMS-felügyelet

Meghatározza, hogyan kell a nyomon követési eredményeket, auditokat, felülvizsgálatokat, meg nem feleléseket és fejlesztéseket a REG12-ben összevonni és megőrizni.

Audit- és felülvizsgálati fegyelem

Kockázatalapú belső auditokat, függetlenségi ellenőrzéseket, vezetőségi felülvizsgálati bemeneteket és meghatározott határidőket vezet be az audit utókövetésére.

Folyamatos fejlesztési ciklus

A nyomon követést, incidenseket, adatvédelmi kockázatokat, beszállítói bizonyosságot és ismétlődő megállapításokat nyomon követett fejlesztési intézkedésekké alakítja.

Teljes áttekintés olvasása (click to expand)
A PIMS nyomon követési, audit- és fejlesztési szabályzat meghatározza a szervezet követelményeit az adatvédelmi információirányítási rendszer teljesítményének értékelésére a nyomon követés, mérés, elemzés, értékelés, belső audit, vezetőségi felülvizsgálat, meg nem felelések kezelése, helyesbítő intézkedés és folyamatos fejlesztés területén. Kimondott célja annak biztosítása, hogy a szervezet értékelje a PIMS teljesítményét, ellenőrizze a PIMS megfelelését, azonosítsa a meg nem feleléseket, helyesbítse a kontrollgyengeségeket, és objektív bizonyító anyagok alapján folyamatosan fejlessze a PIMS-t. A szabályzat a PIMS alkalmazási területén belül valamennyi PIMS-folyamatra, kontrollra, szabályzatra, nyilvántartásra, bizonyítékobjektumra, rendszerre, beszállítóra, adatfeldolgozóra, al-adatfeldolgozóra és adatmegosztási megállapodásra alkalmazandó. Kiterjed továbbá a szervezet adatkezelői, közös adatkezelői, adatfeldolgozói és al-adatfeldolgozói kontextusaira is, ezért mind az adatvédelmi irányítás, mind az operatív bizonyossági tevékenységek szempontjából releváns. A szabályzat meghatározó eleme az összevont bizonyítékmodell. A REG12 szolgál elsődleges helyszínként a nyomon követési program, a mutatódefiníciók, az auditprogram, az auditeredmények, a vezetőségi felülvizsgálati bizonyító anyagok, a meg nem felelések, a helyesbítő intézkedések, a kivételek és a fejlesztési intézkedések számára. A támogató bizonyító anyagok a REG01–REG11-nyilvántartásokból származnak, ideértve a REG02 adatkezelési tevékenységi bemeneteit, a REG03 biztonsági kontrollstátuszát, a REG04 adatvédelmi kockázati frissítéseit, a REG08 beszállítói és adatfeldolgozói bizonyossági bizonyító anyagait, a REG10 incidens- és adatsértési trendbemeneteit, valamint a REG11 képzési teljesítési státuszát. A szabályzat előírja, hogy az adatvédelmi vezető / PIMS-vezető minden PIMS-mutatóhoz a mérési ciklus kezdete előtt határozza meg a mérési módszereket, gyakoriságot, bizonyítóanyag-forrást, célértékeket és felelős szerepköröket, és negyedévente vonja össze az eredményeket. Az audit- és felülvizsgálati követelmények kockázatalapú tervezésre, dokumentált bizonyító anyagokra és függetlenségre épülnek. A belső ellenőrzési / megfelelőségi felülvizsgálónak éves, kockázatalapú PIMS belső auditprogramot kell készítenie a REG12-ben, és a terepmunka megkezdése előtt meg kell határoznia az audit célját, kritériumait, hatályát, módszerét, mintavételi alapját és jelentéstételi határidejét. Az auditori függetlenségi és összeférhetetlenségi ellenőrzéseket minden auditmegbízás előtt rögzíteni kell. Az audittevékenységek magukban foglalják az alkalmazandó PIMS-kontrollok bevezetési státuszának REG03 alapján történő tesztelését, a kiválasztott PII-adatkezelési bizonyítóanyag-minták rögzítését, valamint az eredmények dokumentálását az audit befejezését követő 15 munkanapon belül. Az elfogadott megállapításokhoz az auditeredmények elfogadásától számított 10 munkanapon belül helyesbítő intézkedési tulajdonosokat kell kijelölni a REG12-ben. A vezetőségi felülvizsgálat, a helyesbítő intézkedés és a fejlesztés szintén szigorúan szabályozott. A felső vezetésnek legalább évente egyszer PIMS vezetőségi felülvizsgálatot kell végeznie a REG12-ben, áttekintve a korábbi intézkedéseket, a PIMS teljesítménymutatóit, az adatvédelmi célkitűzések státuszát, a meg nem feleléseket, a helyesbítő intézkedéseket, a nyomon követési eredményeket, az auditeredményeket, az adatvédelmi kockázatokat, a beszállítói bizonyosságot és az érdekelt felektől származó változásbemeneteket. A meg nem feleléseket rögzíteni kell, a gyökérokokat és a helyesbítő intézkedési terveket be kell nyújtani, az esedékességi dátumokat és az elfogadási kritériumokat jóvá kell hagyni, a teljesítési bizonyító anyagokat meg kell őrizni, és a hatékonyságot ellenőrizni kell. A folyamatos fejlesztést a nyomon követési eredmények, az auditeredmények, az incidenstrendek, az adatvédelmi kockázati státusz, a beszállítói bizonyossági státusz és a helyesbítő intézkedési trendek negyedéves felülvizsgálata vezérli. Ha ugyanaz a megállapítási kategória 12 hónapon belül két vagy több alkalommal előfordul, a szabályzat rendszerszintű fejlesztési intézkedés létrehozását írja elő a REG12-ben.

Irányelv-diagram

Folyamatábra, amely az éves PIMS nyomon követési terv jóváhagyását, a REG02, REG03, REG08, REG10 és REG11 nyilvántartásokból származó negyedéves bizonyítóanyag-gyűjtést, a REG12-ben történő összevonást, a kockázatalapú belső auditot, a vezetőségi felülvizsgálatot, a meg nem felelés rögzítését, a helyesbítő intézkedés ellenőrzését és a folyamatos fejlesztés nyomon követését mutatja.

Kattintson a diagramra a teljes méret megtekintéséhez

Tartalom

PIMS nyomon követési és mérési keretrendszer

Kockázatalapú belső auditprogram

Vezetőségi felülvizsgálati követelmények

Meg nem felelések és helyesbítő intézkedések kezelése

Folyamatos fejlesztés nyomon követése

Mutatók, kivételek, betartatás és felülvizsgálati szabályok

Keretrendszer-megfelelőség

🛡️ Támogatott szabványok és keretrendszerek

Ez a termék a következő megfelelőségi keretrendszerekhez igazodik, részletes záradék- és vezérlőleképezésekkel.

Keretrendszer Lefedett záradékok / Vezérlők
ISO/IEC 27701:2025
Clause 6.2Clause 7.5Clause 8.1Clause 9.1Clause 9.2Clause 9.3Clause 10.1Clause 10.2Annex A.1.2.9Annex A.2.2.2
EU GDPR
Article 5(2)Article 24Article 28Article 30Article 32Article 39
ISO/IEC 29100:2020
Clause 5.12
ISO/IEC 29151:2022
Clause 18.2.2Clause 18.2.3Clause 18.2.4
ISO/IEC 27001:2022
Clause 9.1Clause 9.2Clause 9.3Clause 10.1Clause 10.2
ISO/IEC 27002:2022
Control 5.35Control 5.36
ISO 19011:2018
Clause 4Clause 5Clause 6Clause 7

Kapcsolódó irányelvek

Adatvédelmi információirányítási rendszer szabályzata

Meghatározza azt az átfogó PIMS-struktúrát, amelyet ez a nyomon követési, audit- és fejlesztési ciklus értékel.

Adatvédelmi kockázatértékelési és DPIA szabályzat

Adatvédelmi kockázati és DPIA-bemeneteket biztosít a nyomon követéshez, a vezetőségi felülvizsgálathoz és a fejlesztési intézkedésekhez.

Adatfeldolgozói, al-adatfeldolgozói és harmadik féllel fennálló adatvédelmi kapcsolatok kezelésére vonatkozó szabályzat

Biztosítja az adatfeldolgozói, al-adatfeldolgozói, harmadik féllel kapcsolatos bizonyossági és beszállítói bizonyító anyagokat, amelyeket e szabályzat alapján felül kell vizsgálni.

PII-biztonsági és hozzáférés-szabályozási szabályzat

PII-biztonsági kontrollstátuszt és technikai kontrollbizonyítékot biztosít a PIMS nyomon követéséhez és auditjaihoz.

PII-incidens- és adatsértés-kezelési szabályzat

Adatvédelmi incidenstrendeket és tanulságokat biztosít, amelyek a helyesbítő intézkedéseket és a folyamatos fejlesztést támogatják.

PIMS dokumentált információ- és bizonyítékkezelési szabályzat

Meghatározza a dokumentált információkra és bizonyító anyagokra vonatkozó gyakorlatokat, amelyek támogatják a REG12-t és a forrásként használt bizonyító anyagok sértetlenségét.

A Clarysec irányelveiről - PIMS nyomon követési, audit- és fejlesztési szabályzat

Az adatvédelmi irányítás nem működik megfelelően, ha egymástól elszakított tájékoztatók, űrlapok és jogi nyilatkozatok összességeként kezelik. A hatékony ISO/IEC 27701 bevezetés olyan adatvédelmi információirányítási rendszert igényel, amely összekapcsolja a PII-adatkezelést, a jogalapot, az adatkezelői és adatfeldolgozói szerepköröket, az adatvédelmi kockázatot, a DPIA-kat, a bizonyító anyagokat, a nyomon követést és a folyamatos fejlesztést. Ez a szabályzatcsomag operatív adatvédelmi keretrendszerként készült, nem általános dokumentációs csomagként. Egyértelmű PIMS-elszámoltathatóságot határoz meg gyakorlati vállalati szerepkörök között, például a felső vezetés, az adatvédelmi vezető / PIMS-vezető, a folyamatgazdák, a rendszergazdák, a beszállítói / beszerzési tulajdonosok, az információbiztonság és a független felülvizsgálók számára. Minden követelmény egyedileg számozott, auditálható pontként van megfogalmazva, és meghatározott bizonyítékobjektumokhoz kapcsolódik, például REG01, REG02, REG03, REG04, REG08, REG11 és REG12. A struktúra támogatja az adatkezelői, közös adatkezelői, adatfeldolgozói és al-adatfeldolgozói kontextusokat, segítve a szervezeteket a PII-adatkezelés elszámoltatható, kockázatalapú és bizonyító anyagokkal alátámasztott irányításának bemutatásában a teljes PIMS életciklusa során.

REG12-központú felügyelet

A nyomon követési, audit-, felülvizsgálati, helyesbítő intézkedési és fejlesztési bizonyító anyagokat a REG12-ben vonja össze.

Független audit támogatása

Audittervezést, bizonyítóanyag-mintavételt, függetlenségi ellenőrzéseket és dokumentált auditeredményeket ír elő.

Helyesbítő intézkedések kontrollja

Meghatározza a gyökérok-elemzést, az intézkedéstervezést, a teljesítési bizonyító anyagokat és a hatékonyság ellenőrzését.

Meghatározott elszámoltathatóságok

Felelősségeket rendel az adatvédelmi, audit-, biztonsági, folyamat-, beszállítói, incidens- és vezetői szerepkörökhöz.

Gyakran ismételt kérdések

Vezetőknek, vezetők által

Ez az irányelv egy biztonsági vezető által készült, aki több mint 25 éves tapasztalattal rendelkezik ISMS keretrendszerek bevezetésében és auditálásában globális vállalatoknál. Nem csupán dokumentumként készült, hanem olyan védhető keretrendszerként, amely megfelel az auditorok vizsgálatának.

Az alábbi képesítésekkel rendelkező szakértő készítette:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Lefedettség és témák

🏢 Célterületek

Adatvédelem Megfelelés Audit Kockázatkezelés DPO-iroda

🏷️ Témafedezet

Adatvédelmi információirányítás Nyomon követés és mérés Belső audit Folyamatos fejlesztés Megfeleléskezelés Kockázatkezelés Szabályzatkezelés
€49

Egyszeri vásárlás

Azonnali letöltés
Élethosszig tartó frissítések

Ez a szabályzat 1 a 25-ből a teljes ISO/IEC 27701 PIMS-csomagban

52% megtakarítás

Szerezze meg mind a 25 PIMS-szabályzatot, a teljes nyilvántartáskészletet és egy részletes bevezetési tervet €799-ért €1 675 helyett, ha egyenként vásárolja meg.

Teljes 27701-csomag megtekintése →
PIMS Monitoring, Audit and Improvement Policy

Termék részletei

Típus: policy
Kategória: ISO 27701 PIMS Policy Pack
Szabványok: 7