Finansų sektoriaus PII incidentų ir pažeidimų valdymo politika

Finansų sektoriaus PII incidentų ir pažeidimų valdymo politika apibrėžia reikalavimus PII incidentams ir PII pažeidimams finansų sektoriaus PIMS taikymo srityse identifikuoti, pranešti, triažuoti, klasifikuoti, vertinti, lokalizuoti, apie juos pranešti, juos dokumentuoti, uždaryti ir iš jų tobulinti veiklą. Ji taikoma, kai organizacija finansų sektoriaus kontekste veikia kaip PII duomenų valdytojas, bendras duomenų valdytojas, duomenų tvarkytojas arba subtvarkytojas, taip pat apima sistemas, taikomąsias programas, paslaugas, procesus, tiekėjus, duomenų tvarkytojus, subtvarkytojus ir trečiąsias šalis, kurios tvarko, saugo, perduoda, palaiko, pasiekia arba kitaip daro poveikį PII taikymo srityje. Politika aiškiai parengta kaip finansų sektoriui skirta PII15 pakeičianti versija ir reikalauja, kad organizacijos tai pačiai taikymo sričiai pasirinktų arba PII15, arba PII15-FS, kad būtų išvengta dubliuojamų įpareigojimų, registrų ir audito įrodymų darbų. Politikos tikslas – užtikrinti, kad PII incidentai ir pažeidimai būtų tvarkomi nuosekliai, laiku, teisėtai, saugiai ir su tinkamais auditui įrodymais. REG10 — PII incidentų ir pažeidimų registras nustatomas kaip pagrindinis įrodymų objektas, o pagalbiniai registrai susieja incidento įrašą su platesniu PIMS įrodymų modeliu. REG01 naudojamas taikymo srities, suinteresuotųjų šalių, sektoriaus, klientų, sutartiniam ir ataskaitų teikimo kontekstui. REG02 susieja paveiktas tvarkymo veiklas, PII kategorijas, duomenų subjektų kategorijas, tikslus, sistemas ir paslaugas. REG03 fiksuoja taikytinumo pareiškimą ir kontrolės priemonių taikymo atnaujinimus, įskaitant PII15 pakeitimą PII15-FS. REG04 palaiko privatumo rizikos, DPIA, liekamosios rizikos ir rizikos tvarkymo sąsajas, o REG08, REG09, REG11 ir REG12 apima trečiųjų šalių sąsajas, tarptautinius perdavimus, mokymus ir audito arba korekcinių veiksmų įrodymus. Operaciniu požiūriu politika reikalauja, kad kiekvienas praneštas arba aptiktas įtariamas finansų sektoriaus PII incidentas būtų įrašytas į REG10 per vieną darbo dieną nuo gavimo arba anksčiau, kai gali būti aktyvuoti pranešimų, klientų informavimo arba ataskaitų teikimo terminai. Incidentai per 24 valandas nuo gavimo turi būti klasifikuojami kaip ne PII įvykis, įtariamas PII incidentas, patvirtintas PII incidentas, patvirtintas PII pažeidimas, finansų sektoriaus PII incidentas, reikšmingas finansų sektoriaus incidentas, reikšminga kibernetinė grėsmė arba klasifikavimo laukiantis įrašas. Pažeidimo vertinimas turi apimti paveiktą PII, duomenų subjektus, sistemas, paslaugas, tvarkymo veiklas, duomenų tvarkytojus, subtvarkytojus, perdavimus, rizikas, klientus, sandorio šalis ir taisomuosius veiksmus. Politika taip pat reikalauja įrodymų išsaugojimo, lokalizavimo per apibrėžtus terminus, atkūrimo validavimo ir dokumentuotų uždarymo sprendimų, kurie apima klasifikavimą, sprendimą dėl pranešimo, lokalizavimo būseną, atkūrimo būseną, liekamąją riziką, korekcinius veiksmus ir įrodymų išsamumą. Politika atskiria duomenų valdytojo, bendro duomenų valdytojo, duomenų tvarkytojo ir subtvarkytojo įpareigojimus. Duomenų valdytojai turi registruoti sprendimus dėl pranešimų apie pažeidimus, parengti priežiūros institucijos informavimo įrodymus, kai to reikalaujama, ir peržiūrėti komunikaciją su duomenų subjektais, kai nustatoma didelė rizika. Duomenų tvarkytojai ir subtvarkytojai turi vertinti kliento nurodymus, sutartinius pranešimų įpareigojimus, aukštynkryptes pranešimų grandines ir įrodymų nukreipimo reikalavimus, o įrašai turi būti tvarkomi REG08 ir REG10. Bendrų duomenų valdytojų atsakomybės turi būti koordinuojamos ir dokumentuojamos iki taikomų išorinių pranešimų terminų. Didelio poveikio finansų sektoriaus PII incidentų ir reikšmingų kibernetinių grėsmių atvejais reagavimo į incidentus koordinatorius turi įvertinti finansų sektoriaus reglamentavimo ataskaitų teikimo paleidiklius ir išsaugoti sprendimo įrodymus REG10. Valdysena, matavimas ir tobulinimas yra integruoti į politikos gyvavimo ciklą. Privatumo vadovas / PIMS vadovas turi peržiūrėti atvirus REG10 incidentus bent kartą per savaitę iki jų uždarymo, o aukščiausioji vadovybė per 24 valandas po klasifikavimo turi gauti eskalaciją dėl patvirtintų didelio poveikio finansų sektoriaus incidentų, reikšmingų incidentų arba reikšmingų kibernetinių grėsmių. Rodikliai apima mėnesinius įtariamų ir patvirtintų incidentų, pažeidimų, reikšmingų finansų sektoriaus incidentų ir reikšmingų kibernetinių grėsmių skaičius, taip pat pranešimų apie pažeidimus savalaikiškumą, finansų sektoriaus ataskaitų teikimo savalaikiškumą, lokalizavimą, atkūrimą, atkūrimo validavimą ir trečiųjų šalių reagavimo veiksmingumą. Politika taip pat reikalauja metinės peržiūros, peržiūros po incidento po reikšmingų įvykių, vidaus audito peržiūros, išimčių valdymo, įgyvendinimo per REG12 neatitiktis ir taisomųjų mokymų per REG11, kai atsiranda informuotumo arba komunikacijos nesėkmių.