policy ISO 27701 PIMS Policy Pack

Politica di gestione delle informazioni documentate e delle evidenze del PIMS

Controlla i documenti e le evidenze del PIMS per l'approvazione, il versioning, l'accesso, la conservazione, il recupero per audit e registrazioni pronte per ISO/IEC 27701.

Panoramica

Questa politica definisce come le informazioni documentate del PIMS e le evidenze sono create, approvate, sottoposte a versioning, protette, recuperate, conservate, tradotte, ritirate e sottoposte ad audit. Utilizza REG01 fino a REG12 per mantenere evidenze tracciabili e pronte per la certificazione nei contesti di titolare del trattamento, contitolare del trattamento, responsabile del trattamento e sub-responsabile.

Controllo delle evidenze pronto per l'audit

Definisce come le evidenze del PIMS sono create, denominate, protette, recuperate, conservate e collegate da REG01 a REG12.

Approvazione e versioning tracciabili

Richiede identificativi, proprietari, versioni, stato di approvazione, date di entrata in vigore, date di riesame e motivazione delle modifiche prima della pubblicazione.

Responsabilità PIMS chiare

Assegna i compiti relativi alle informazioni documentate ai ruoli privacy, sicurezza, processo, sistema, approvvigionamento, audit e alta direzione.

Leggi panoramica completa (click to expand)
La Politica di gestione delle informazioni documentate e delle evidenze del PIMS definisce requisiti obbligatori per controllare l'intero ciclo di vita delle informazioni documentate del Sistema di gestione delle informazioni sulla privacy. Il suo ambito di applicazione copre creazione, approvazione, versioning, protezione, conservazione, recupero, traduzione, ritiro ed evidenziazione delle registrazioni del PIMS. La politica si applica a politiche PIMS, registri, approvazioni documentate, registrazioni delle evidenze, evidenze dell'audit, registrazioni dei riesami della direzione, evidenze delle azioni correttive e traduzioni controllate utilizzate per dimostrare la conformità del PIMS. È redatta per i contesti di titolare del trattamento, contitolare del trattamento, responsabile del trattamento e sub-responsabile, e risulta quindi applicabile ai diversi ruoli che un'organizzazione può ricoprire nel trattamento di dati personali. Un elemento centrale della politica è l'utilizzo degli elementi di evidenza PIMS canonici da REG01 a REG12, anziché la creazione di un registro separato per il controllo documentale. La politica stabilisce che le evidenze del controllo delle informazioni documentate siano mantenute tramite tali elementi di evidenza, con REG03 e REG12 utilizzati in modo specifico per l'applicabilità dei controlli, l'audit, la non conformità, le azioni correttive e le evidenze di miglioramento. Questo approccio mira a evitare una burocrazia documentale non necessaria, preservando al tempo stesso registrazioni pronte per l'audit a supporto della certificazione, dell'assurance verso i clienti e del miglioramento continuo. REG12 è utilizzato in modo esteso per l'indice delle informazioni documentate, i livelli di accesso, le classificazioni di sensibilità, lo stato di approvazione, la cronologia delle versioni, le richieste di recupero, le approvazioni di comunicazione, le categorie di conservazione, lo stato di ritiro, le eccezioni e il tracciamento delle azioni correttive. La politica stabilisce controlli dettagliati per creazione, approvazione, versioning e pubblicazione. Prima di pubblicare informazioni documentate del PIMS, il Responsabile privacy / Responsabile del PIMS deve assegnare in REG12 un identificativo del documento, un proprietario, un numero di versione, uno stato di approvazione, una data di entrata in vigore e una data di riesame. L'alta direzione deve approvare le politiche PIMS principali e le modifiche sostanziali alle politiche prima della pubblicazione, mentre il Responsabile privacy / Responsabile del PIMS approva i modelli di evidenza o le sezioni di registro integrate prima dell'uso operativo. La politica richiede inoltre che la cronologia delle versioni e la motivazione delle modifiche siano registrate prima del rilascio e che la comunicazione delle modifiche approvate sia registrata in REG11 entro 30 giorni dalla pubblicazione. La qualità e la tracciabilità delle evidenze sono trattate come requisiti operativi, non come attività documentali facoltative. Il Responsabile privacy / Responsabile del PIMS deve definire convenzioni di denominazione delle evidenze, riconciliare trimestralmente e prima degli audit esterni i riferimenti ai controlli in REG03 rispetto alle registrazioni delle evidenze delle politiche, e applicare la convenzione approvata per la denominazione delle esportazioni prima che le evidenze siano condivise per audit di certificazione, assurance verso i clienti o risposta regolatoria. I proprietari del processo / titolari dell'attività devono garantire che le evidenze di trattamento includano il proprietario dell'evidenza, la data, il riferimento all'attività di trattamento, lo stato della decisione e lo stato di approvazione prima che siano utilizzate ai fini dell'audit. I revisori di audit interno / conformità devono registrare lacune di completezza, accuratezza o tracciabilità durante gli audit pianificati o i riesami di conformità. La politica definisce inoltre controlli per accesso, protezione, recupero, comunicazione, conservazione, ritiro, archiviazione, smaltimento e controllo delle versioni multilingue. Le restrizioni di accesso al repository devono essere registrate prima della concessione dell'accesso e riesaminate trimestralmente; l'accesso alle evidenze PIMS contenenti dati personali deve essere approvato prima di essere concesso. Le comunicazioni di evidenze ad auditor esterni, clienti, responsabili del trattamento, titolari del trattamento, autorità di controllo o altre parti esterne richiedono l'approvazione e la registrazione dell'ambito della comunicazione. Le versioni obsolete devono essere ritirate entro tempistiche definite, le precedenti versioni approvate delle politiche devono essere conservate e l'archiviazione o la cancellazione non devono avvenire finché non siano state verificate eventuali dipendenze da sospensione per audit, conservazione legale, indagine sugli incidenti o azioni correttive. Metriche, gestione delle eccezioni, applicazione della politica e requisiti di riesame annuale assicurano che le informazioni documentate restino aggiornate, recuperabili, protette e allineate alle esigenze di conformità del PIMS.

Diagramma della Policy

Diagramma di flusso del processo che mostra il ciclo di vita delle informazioni documentate del PIMS: definire l'indice REG12, classificare le evidenze, approvare e sottoporre a versioning i documenti, proteggere gli accessi, recuperare le evidenze, conservare o ritirare le registrazioni, sottoporre ad audit la tracciabilità e registrare i miglioramenti.

Fare clic sul diagramma per visualizzarlo a dimensione completa

Contenuto

Indice delle informazioni documentate del PIMS in REG12

Creazione, approvazione, versioning e pubblicazione

Denominazione, qualità e tracciabilità delle evidenze

Accesso, protezione, recupero e comunicazione

Conservazione, ritiro, archiviazione e smaltimento

Traduzione e controllo delle versioni multilingue

Conformità ai framework

🛡️ Standard e framework supportati

Questo prodotto è allineato ai seguenti framework di conformità, con mappature dettagliate di clausole e controlli.

Framework Clausole / Controlli coperti
ISO/IEC 27701:2025
Clause 6.1.3Clause 7.5Clause 8.1Clause 9.1Clause 9.2Clause 9.3Clause 10.2Annex A.1.2.9Annex A.2.2.2Annex A.3.14
EU GDPR
Article 5(2)Article 24Article 28Article 30Article 32
ISO/IEC 29100:2020
Clause 5.12
ISO/IEC 29151:2022
Clause 18.1.4
ISO/IEC 27001:2022
Clause 7.5
ISO/IEC 27002:2022
Control 5.33Control 5.34

Politiche correlate

Politica del Sistema di gestione delle informazioni sulla privacy

Fornisce il quadro di riferimento PIMS complessivo supportato da questa politica sulle informazioni documentate e sulle evidenze.

Politica sui ruoli, le responsabilità e la responsabilizzazione in materia di privacy

Definisce la responsabilizzazione dei ruoli necessaria per gestire titolarità delle evidenze, approvazione, riesame e requisiti di vigilanza.

Politica sull'inventario dei trattamenti e sulla base giuridica

Le evidenze di trattamento in REG02 dipendono da registrazioni accurate dell'inventario, metadati del proprietario, stato ed evidenze di approvazione.

Politica di gestione privacy dei responsabili del trattamento, dei sub-responsabili e delle terze parti

Supporta le evidenze in REG08 relative a responsabili del trattamento, sub-responsabili, condivisione con terze parti e istruzioni del cliente fornite esternamente.

Politica di sicurezza e controllo degli accessi

Si collega alle restrizioni di accesso al repository, all'approvazione dell'accesso alle evidenze contenenti dati personali e ai controlli di protezione per le registrazioni del PIMS.

Politica di monitoraggio, audit e miglioramento del PIMS

È correlata al recupero delle evidenze dell'audit, ai test di tracciabilità, alle non conformità, alle azioni correttive e alle evidenze di miglioramento.

Informazioni sulle Policy Clarysec - Politica di gestione delle informazioni documentate e delle evidenze del PIMS

Questa politica stabilisce un quadro operativo per la gestione delle informazioni documentate e delle evidenze del PIMS lungo il relativo ciclo di vita. Definisce requisiti per identificativi dei documenti, titolarità, approvazione, versioning, pubblicazione, denominazione delle evidenze, tracciabilità, controllo degli accessi, protezione del repository, recupero, comunicazione, conservazione, ritiro, archiviazione, smaltimento, controllo delle traduzioni, eccezioni, applicazione della politica, riesame e miglioramento continuo utilizzando REG01 fino a REG12.

Controllo del ciclo di vita

Copre creazione, approvazione, versioning, protezione, conservazione, recupero, traduzione, ritiro e smaltimento.

Evidenze protette

Richiede restrizioni di accesso, classificazione della sensibilità, approvazione della comunicazione e riesami della protezione del repository.

Registrazioni tracciabili

Collega politiche, controlli, attività di trattamento, approvazioni, audit, non conformità e azioni correttive.

Supporto alla certificazione

Supporta la preparazione agli audit assicurando che le evidenze possano essere localizzate, verificate, recuperate e collegate agli obblighi.

Domande frequenti

Creato per Leader, dai Leader

Questa policy è stata redatta da un leader della sicurezza con oltre 25 anni di esperienza nell’implementazione e nell’audit di framework ISMS per organizzazioni globali. È progettata non solo come documento, ma come un framework difendibile che resiste alla verifica degli auditor.

Redatto da un esperto in possesso di:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Copertura & Argomenti

🏢 Dipartimenti target

Privacy conformità sicurezza IT audit ufficio DPO

🏷️ Copertura tematica

Gestione delle informazioni sulla privacy registrazioni delle attività di trattamento classificazione dei dati conservazione e smaltimento dei dati gestione della conformità gestione delle politiche audit interno
€49

Acquisto una tantum

Download immediato
Aggiornamenti a vita

Questa policy è 1 di 25 nel Pacchetto PIMS ISO/IEC 27701 completo

Risparmia il 52%

Ottieni tutte le 25 policy PIMS, il set completo di registri e un piano di implementazione dettagliato per €799, invece di €1.675 acquistandole singolarmente.

Vedi Pacchetto 27701 completo →
PIMS Documented Information and Evidence Management Policy

Dettagli prodotto

Tipo: policy
Categoria: ISO 27701 PIMS Policy Pack
Standard: 6