PII incidentų ir pažeidimų valdymo politika

PII incidentų ir pažeidimų valdymo politika apibrėžia, kaip organizacija identifikuoja PII incidentus ir PII pažeidimus, apie juos praneša, atlieka jų triažą, vertina, lokalizuoja, teikia pranešimus, dokumentuoja, uždaro juos bei tobulina veiklą po jų privačios informacijos apsaugos valdymo sistemos taikymo srityje. Jos deklaruojamas tikslas – užtikrinti, kad incidentai ir pažeidimai būtų tvarkomi nuosekliai, laiku, teisėtai, saugiai ir remiantis auditui tinkama įrodymų medžiaga. Politika taikoma duomenų valdytojo, bendro duomenų valdytojo, duomenų tvarkytojo ir subtvarkytojo kontekstuose ir apima sistemas, taikomąsias programas, paslaugas, procesus, tiekėjus, duomenų tvarkytojus, subtvarkytojus ir trečiąsias šalis, kurios tvarko, saugo, perduoda, palaiko, pasiekia arba kitaip veikia PII PIMS taikymo srityje. Pagrindinis politikos elementas yra integruotas įrodymų modelis. REG10 — PII incidentų ir pažeidimų registras yra pagrindinis įrodymų objektas incidentų ir pažeidimų valdymui, o pagalbiniai registrai suteikia kontekstą ir atsekamumą. REG01 palaiko taikymo srities, teisinių, sutartinių, sektoriaus, kliento ir pranešimų teikimo kontekstą. REG02 susieja paveiktas tvarkymo veiklas, PII kategorijas, duomenų subjektų kategorijas, tikslus ir sistemas. REG04 palaiko privatumo rizikų, DPIA ir liekamosios rizikos sąsajas. REG08 registruoja duomenų tvarkytojo, subtvarkytojo, kliento, tiekėjo ir trečiųjų šalių incidentų sąsajas. REG09 naudojamas, kai incidentai paveikia tarpvalstybinį tvarkymą, REG11 palaiko mokymų ir kompetencijos įrodymus, o REG12 fiksuoja audito, neatitikčių, korekcinių veiksmų ir tobulinimo įrodymų medžiagą. Ši struktūra padeda užtikrinti, kad incidentų įrašai nebūtų izoliuoti nuo platesnės PIMS. Politika nustato išsamius pasirengimo, priėmimo, klasifikavimo, pažeidimo vertinimo, lokalizavimo, atkūrimo, pranešimų, komunikacijos, įrodymų apsaugos ir įgytos patirties reikalavimus. Įtariami PII incidentai turi būti užregistruoti nedelsiant, o kiekvienas praneštas arba aptiktas įtariamas incidentas turi būti įrašytas į REG10 per vieną darbo dieną nuo gavimo arba anksčiau, kai gali būti inicijuojami pranešimo ar pranešimo klientui terminai. Saugumo įvykių, susijusių su PII, techninis triažas turi būti užbaigtas per 24 valandas nuo aptikimo, o kiekvienas REG10 įrašas per 24 valandas nuo priėmimo turi būti priskirtas vienai iš kategorijų: ne PII įvykis, įtariamas PII incidentas, patvirtintas PII incidentas arba patvirtintas PII pažeidimas, nebent būtų dokumentuota laukiančio klasifikavimo priežastis. Atliekant pažeidimo vertinimą, politika reikalauja identifikuoti paveiktas tvarkymo veiklas, PII kategorijas, duomenų subjektų kategorijas, sistemas, duomenų tvarkytojus, subtvarkytojus, perdavimo vietas ir privatumo rizikas prieš priimant galutinius sprendimus dėl pranešimų. Pranešimų ir komunikacijos pareigos atskiriamos pagal vaidmenį. Duomenų valdytojams politika reikalauja dokumentuotų sprendimų dėl pranešimo reguliuotojui kiekvieno patvirtinto PII pažeidimo atveju nepagrįstai nedelsiant, o pranešimas, nepranešimo pagrindimas arba delsimo pagrindimas turi būti saugomas REG10. Kai inicijuojama komunikacija paveiktiems duomenų subjektams, politika reikalauja užregistruoti turinį, auditoriją, laiką, teikimo būdą ir patvirtinimo įrodymus. Duomenų tvarkytojams ir subtvarkytojams politika reikalauja nepagrįstai nedelsiant ir per taikomus sutartinius terminus pranešti paveiktiems duomenų valdytojams, klientams, aukštesnės grandies duomenų tvarkytojams arba patvirtintais sutartiniais kanalais. Didelio poveikio PII incidentų atveju ji taip pat reikalauja, kai taikoma, įvertinti teisės, sektoriaus, finansų sektoriaus, kibernetinio saugumo, sutartinius, kliento ir paslaugos gavėjo pranešimo inicijavimo veiksnius. Valdysena, matavimas ir tobulinimas yra integruoti į procesą. Privatumo vadovas / PIMS vadovas yra incidentų ir pažeidimų valdymo proceso savininkas ir turi užtikrinti, kad REG10 būtų tvarkomas iki uždarymo. Reagavimo į incidentus koordinatorius valdo priėmimą, triažą, lokalizavimo darbo eigą, būsenos sekimą, uždarymą ir įgytą patirtį. Informacijos saugumo funkcija vadovauja techniniam tyrimui, lokalizavimui, pašalinimui, atkūrimui, įrodymų išsaugojimui ir pagrindinės priežasties analizei, kai dalyvauja sistemos arba saugumo kontrolės priemonės. Aukščiausioji vadovybė per 24 valandas nuo klasifikavimo gauna eskalavimą dėl patvirtintų didelio poveikio PII incidentų ir vadovybės peržiūros metu peržiūri didelio poveikio incidentus, praneštinus pažeidimus, vėluojančius korekcinius veiksmus ir esminį poveikį. Rodikliai apima incidentų apimtis, klasifikavimo ir lokalizavimo laiką, pranešimų savalaikiškumą, korekcinių veiksmų galiojimo trukmę, trečiųjų šalių reagavimo veiksmingumą ir pratybų užbaigimą. Politika taip pat reikalauja kasmetinės peržiūros, peržiūros po didelio poveikio incidentų arba patvirtintų pažeidimų ir kasmetinės vidaus audito peržiūros dėl įgyvendinimo.