Teisinės ir reglamentavimo atitikties politika

Teisinės ir reglamentavimo atitikties politika (P37) yra pagrindinė organizacijos valdysenos ir rizikos valdymo sistemos dalis. Pagrindinis jos tikslas – nustatyti privalomą ir sistemingą požiūrį, skirtą identifikuoti, valdyti ir įvykdyti visus teisinius, reglamentavimo ir sutartinius įsipareigojimus, susijusius su informacijos saugumu, duomenų privatumu ir operacine veikla. Politikos paskirtis – užkirsti kelią neatitikties rizikoms, kurios gali sukelti rimtas pasekmes, tokias kaip finansinės baudos, teisinė atsakomybė, organizacijos veiklos sutrikdymas ar reputacijos žala. Šiuo tikslu P37 tiesiogiai palaiko atitikties reikalavimų integravimą į valdysenos struktūras, rizikos valdymo programas, operacinius darbo srautus, projektų gyvavimo ciklus ir sistemų projektavimo sprendimus. Politika taikoma visai organizacijai – visiems departamentams, funkcijoms, verslo vienetams ir asmenims, veikiantiems subjekto vardu. Tai apima darbuotojus (nuolatinius ir laikinus), rangovus, konsultantus, praktikantus ir visus trečiųjų šalių tiekėjus ar partnerius, tvarkančius duomenis, sistemas ar reglamentavimo atsakomybes. Taikymo sritis apima atitiktį keliuose domenuose: informacijos saugumas (įskaitant tokias sistemas kaip ISO/IEC 27001, NIS2, DORA), duomenų privatumas (BDAR ir sektoriui būdingi teisės aktai), sektorinis reglamentavimas (finansų, sveikatos, automobilių), sutartiniai įsipareigojimai (konfidencialumo sutartys, paslaugų lygio susitarimai (SLA)) ir teisiniai reikalavimai, tokie kaip pranešimas apie incidentus, bendradarbiavimas su teisėsauga ar vidaus duomenų perdavimai. Svarbi politikos nauda – detalus vaidmenų ir atsakomybių paskirstymas, aiškiai išvardytas Vykdomajai vadovybei, Teisės ir atitikties funkcijoms, Vyriausiajam informacijos saugumo pareigūnui (CISO), vidaus auditui, departamentų vadovams ir visiems darbuotojams ar rangovams. Atsakomybės apima išsamaus atitikties įsipareigojimų registro palaikymą, poveikio vertinimų atlikimą, teisinių aiškinimų teikimą, kontrolės priemonių įgyvendinimą ir dalyvavimą periodinėse atitikties peržiūrose ir audituose. Kiekvienas įsipareigojimas susiejamas su konkrečiais politikos reikalavimais ir kontrolės priemonėmis organizacijos Informacijos saugumo valdymo sistemoje (ISVS), nustatant audito įrodymų saugojimo reikalavimus, testavimo dažnį ir aiškų savininkų priskyrimą. Valdysenos reikalavimai yra tvirti: centralizuotas atitikties registras turi būti atnaujinamas kas ketvirtį, atitiktis turi būti integruota projektuojant į visus sistemų ir politikų gyvavimo ciklus, reikšmingi teisinės rizikos pokyčiai reikalauja formalios patvirtinimo darbo eigos, o rizikos vertinimai, apimantys teisinius ir reglamentavimo domenus, turi būti atliekami kasmet. Politika taip pat aprašo tikslias reglamentavimo pokyčių valdymo procedūras, reikalaujančias kas mėnesį peržiūrėti taikomus teisinius pokyčius, komunikuoti atnaujinimus ir užtikrinti dokumentaciją ir audito pėdsaką. Trečiųjų šalių santykiai valdomi per privalomas sutarties sąlygas ir tiekėjų atitikties vertinimus. Atitikties mokymai yra organizacinis reikalavimas, kurį reikia sekti ir dokumentuoti Mokymosi valdymo sistemoje. Rizikos ir išimčių valdymo skyriai nustato, kad visos atitikties rizikos registruojamos Rizikų registre, o bet kokios politikos išimtys reikalauja dokumentuoto pagrindimo ir aukšto lygio patvirtinimo. Vykdymo užtikrinimo požiūriu neatitiktis gali lemti drausmines priemones ar teisinius veiksmus, su aiškiais reikalavimais dėl Pranešimų apie pažeidimus teikimo mechanizmo apsaugos. Dokumentas peržiūrimas kasmet, o papildomos peržiūros inicijuojamos esant esminiams teisiniams ar verslo pokyčiams, užtikrinant, kad organizacija išlaikytų aktualų suderinimą su visais taikomais teisės aktais, pramonės standartais ir reglamentavimo lūkesčiais.