PIMS stebėsenos, audito ir tobulinimo politika

PIMS stebėsenos, audito ir tobulinimo politika apibrėžia organizacijos reikalavimus, taikomus privačios informacijos apsaugos valdymo sistemos veiksmingumo vertinimui per stebėseną, matavimą, analizę, vertinimą, vidaus auditą, vadovybės peržiūrą, neatitikčių tvarkymą, korekcinius veiksmus ir nuolatinį tobulinimą. Joje nurodytas tikslas – užtikrinti, kad organizacija vertintų PIMS veiksmingumą, tikrintų PIMS atitiktį, identifikuotų neatitiktis, taisytų kontrolės priemonių trūkumus ir nuolat tobulintų PIMS naudodama objektyvius įrodymus. Politika taikoma visiems PIMS procesams, kontrolės priemonėms, politikoms, registrams, įrodymų objektams, sistemoms, tiekėjams, duomenų tvarkytojams, subtvarkytojams ir duomenų dalijimosi susitarimams PIMS taikymo srityje. Ji taip pat apima organizacijos duomenų valdytojo, bendro duomenų valdytojo, duomenų tvarkytojo ir subtvarkytojo kontekstus, todėl yra aktuali tiek privatumo valdysenai, tiek operacinio patikinimo veikloms. Išskirtinis politikos bruožas yra konsoliduotas įrodymų modelis. REG12 naudojamas kaip pagrindinė vieta stebėsenos programai, rodiklių apibrėžtims, audito programai, audito rezultatams, vadovybės peržiūros įrodymams, neatitiktims, korekciniams veiksmams, išimtims ir tobulinimo veiksmams. Pagalbiniai įrodymai gaunami iš REG01–REG11, įskaitant tvarkymo veiklos įvestis iš REG02, saugumo kontrolės būseną iš REG03, privatumo rizikos atnaujinimus iš REG04, tiekėjų ir duomenų tvarkytojų patikinimo įrodymus iš REG08, incidentų ir pažeidimų tendencijų įvestis iš REG10 ir mokymų baigimo būseną iš REG11. Politika reikalauja, kad privatumo vadovas / PIMS vadovas prieš prasidedant matavimo ciklui kiekvienam PIMS rodikliui apibrėžtų matavimo metodus, dažnį, įrodymų šaltinį, tikslus ir atskaitingus vaidmenis, o rezultatus konsoliduotų kas ketvirtį. Audito ir peržiūros reikalavimai struktūruoti pagal rizika grindžiamą planavimą, dokumentuotus įrodymus ir nepriklausomumą. Vidaus audito / atitikties peržiūrą atliekantis asmuo turi parengti metinę rizika grindžiamą PIMS vidaus audito programą REG12 registre ir prieš pradedant darbą vietoje apibrėžti tikslą, kriterijus, taikymo sritį, metodą, imties pagrindą ir ataskaitos pateikimo terminą. Auditoriaus nepriklausomumo ir interesų konflikto patikros turi būti įrašytos prieš kiekvieną audito užduotį. Audito veiklos apima taikomų PIMS kontrolės priemonių įgyvendinimo būsenos testavimą pagal REG03, atrinktų asmens duomenų tvarkymo įrodymų pavyzdžių registravimą ir rezultatų dokumentavimą per 15 darbo dienų po audito užbaigimo. Dėl priimtų išvadų korekcinių veiksmų savininkai REG12 registre turi būti priskirti per 10 darbo dienų nuo audito rezultatų priėmimo. Vadovybės peržiūra, korekciniai veiksmai ir tobulinimas taip pat yra griežtai kontroliuojami. Aukščiausioji vadovybė turi bent kartą per metus REG12 registre atlikti PIMS vadovybės peržiūrą, peržiūrėdama ankstesnius veiksmus, PIMS veiksmingumo rodiklius, privatumo tikslų būseną, neatitiktis, korekcinius veiksmus, stebėsenos rezultatus, audito rezultatus, privatumo rizikas, tiekėjų patikinimą ir suinteresuotųjų šalių pokyčių įvestis. Neatitiktys turi būti registruojamos, pagrindinės priežastys ir korekcinių veiksmų planai pateikiami, terminai ir priėmimo kriterijai patvirtinami, užbaigimo įrodymai saugomi, o veiksmingumas tikrinamas. Nuolatinį tobulinimą lemia kas ketvirtį atliekama stebėsenos rezultatų, audito rezultatų, incidentų tendencijų, privatumo rizikos būsenos, tiekėjų patikinimo būsenos ir korekcinių veiksmų tendencijų peržiūra. Kai ta pati išvadų kategorija per 12 mėnesių pasitaiko du kartus ar daugiau, politika reikalauja REG12 registre sukurti sisteminį tobulinimo veiksmą.