policy ISO 27701 PIMS Policy Pack

Finanšu sektora personas datu incidentu un pārkāpumu pārvaldības politika

Finanšu sektora personas datu incidentu un pārkāpumu politika REG10 pierādījumiem, triāžai, paziņošanai, ziņošanai, atjaunošanai un nepārtrauktai uzlabošanai.

Pārskats

Šī politika nosaka finanšu sektora personas datu incidentu un pārkāpumu apstrādi pārziņa, kopīgā pārziņa, apstrādātāja un apakšapstrādātāja lomās. Tā izmanto REG10 kā galveno pierādījumu reģistru un sasaista incidentus ar riskiem, apstrādes ierakstiem, piegādātājiem, datu nosūtīšanu, paziņojumiem, ziņošanu, apmācībām, auditu un korektīvo darbību.

Finanšu sektora pārkāpumu kontrole

Nosaka, kā tiek identificēti, triāžēti, ierobežoti, paziņoti, dokumentēti un slēgti finanšu sektora personas datu incidenti.

REG10 pierādījumu pamats

Izmanto REG10 kā galveno incidentu un pārkāpumu reģistru, kas sasaistīts ar darbības jomu, riskiem, datu nosūtīšanu, piegādātājiem, apmācībām un audita pierādījumiem.

Uz lomām balstīta pārskatatbildība

Piešķir pienākumus privātuma, drošības, reaģēšanas uz incidentiem, biznesa, piegādātāju, audita un augstākās vadības lomām.

Ziņošanas lēmumu atbalsts

Prasa dokumentētus lēmumus par paziņošanu par pārkāpumu, saziņu ar datu subjektu un finanšu sektora regulatīvās ziņošanas trigeriem.

Lasīt pilnu pārskatu (click to expand)
Finanšu sektora personas datu incidentu un pārkāpumu pārvaldības politika nosaka prasības personas datu incidentu un personas datu aizsardzības pārkāpumu identificēšanai, ziņošanai, triāžai, klasificēšanai, izvērtēšanai, ierobežošanai, paziņošanai, dokumentēšanai, slēgšanai un uzlabošanai finanšu sektora PIMS darbības jomās. Tā ir piemērojama, ja organizācija finanšu sektora kontekstā darbojas kā personas datu pārzinis, kopīgs pārzinis, apstrādātājs vai apakšapstrādātājs, un tā aptver arī sistēmas, lietojumprogrammas, pakalpojumus, procesus, piegādātājus, apstrādātājus, apakšapstrādātājus un trešās puses, kas apstrādā, glabā, pārsūta, atbalsta, piekļūst vai citādi ietekmē personas datus šajā darbības jomā. Politika ir skaidri izstrādāta kā finanšu sektora aizstājošais variants PII15 politikai, un tā prasa organizācijām tai pašai darbības jomai izvēlēties vai nu PII15, vai PII15-FS, lai izvairītos no pienākumu, reģistru un audita pierādījumu darba dublēšanas. Politikas mērķis ir nodrošināt, ka personas datu incidenti un pārkāpumi tiek apstrādāti konsekventi, savlaicīgi, likumīgi, droši un ar auditam gataviem pierādījumiem. REG10 — Personas datu incidentu un pārkāpumu reģistrs tiek noteikts kā galvenais pierādījumu objekts, savukārt atbalsta reģistri sasaista incidenta ierakstu ar plašāku PIMS pierādījumu modeli. REG01 tiek izmantots darbības jomas, ieinteresēto pušu, sektora, klientu, līgumiskā un ziņošanas konteksta noteikšanai. REG02 sasaista ietekmētās apstrādes darbības, personas datu kategorijas, datu subjektu kategorijas, nolūkus, sistēmas un pakalpojumus. REG03 fiksē Piemērojamības paziņojuma un kontroles pasākumu piemērojamības atjauninājumus, tostarp PII15 aizstāšanu ar PII15-FS. REG04 atbalsta privātuma risku, DPIA, atlikušā riska un riska apstrādes sasaisti, savukārt REG08, REG09, REG11 un REG12 aptver trešo pušu saskarnes, starptautisku datu nosūtīšanu, apmācības un audita vai korektīvās darbības pierādījumus. Operatīvi politika prasa katru ziņoto vai atklāto iespējamo finanšu sektora personas datu incidentu reģistrēt REG10 vienas darbdienas laikā pēc saņemšanas vai ātrāk, ja var tikt aktivizēti paziņošanas, klientu vai ziņošanas termiņi. Incidenti 24 stundu laikā pēc saņemšanas ir jāklasificē kā ar personas datiem nesaistīts notikums, iespējams personas datu incidents, apstiprināts personas datu incidents, apstiprināts personas datu aizsardzības pārkāpums, finanšu sektora personas datu incidents, būtisks finanšu sektora incidents, nozīmīgs kiberdrauds vai ieraksts ar gaidošu klasifikāciju. Pārkāpuma izvērtēšanā jāņem vērā ietekmētie personas dati, datu subjekti, sistēmas, pakalpojumi, apstrādes darbības, apstrādātāji, apakšapstrādātāji, datu nosūtīšana, riski, klienti, darījumu partneri un korektīvie pasākumi. Politika arī prasa pierādījumu saglabāšanu, ierobežošanu noteiktajos termiņos, atjaunošanas validāciju un dokumentētus slēgšanas lēmumus, kas ietver klasifikāciju, paziņošanas lēmumu, ierobežošanas statusu, atjaunošanas statusu, atlikušo risku, korektīvās darbības un pierādījumu pilnīgumu. Politika nošķir pārziņa, kopīgā pārziņa, apstrādātāja un apakšapstrādātāja pienākumus. Pārziņiem jāreģistrē lēmumi par paziņošanu par pārkāpumu, pēc nepieciešamības jāsagatavo pierādījumi paziņošanai uzraudzības iestādei un jāpārskata saziņa ar datu subjektiem, ja identificēts augsts risks. Apstrādātājiem un apakšapstrādātājiem jāizvērtē klienta norādījumi, līgumiskie paziņošanas pienākumi, augšupējās paziņošanas ķēdes un pierādījumu novirzīšanas prasības, uzturot ierakstus REG08 un REG10. Kopīgu pārziņu atbildībai jābūt koordinētai un dokumentētai pirms piemērojamo ārējās paziņošanas termiņu iestāšanās. Augstas ietekmes finanšu sektora personas datu incidentu un nozīmīgu kiberdraudu gadījumā reaģēšanas uz incidentiem koordinatoram jāizvērtē finanšu sektora regulatīvās ziņošanas trigeri un jāsaglabā lēmumu pierādījumi REG10. Pārvaldība, mērījumi un uzlabošana ir iekļauti politikas dzīves ciklā. Privātuma vadītājam / PIMS vadītājam atvērtie REG10 incidenti jāpārskata vismaz reizi nedēļā līdz to slēgšanai, un augstākajai vadībai 24 stundu laikā pēc klasificēšanas jāsaņem eskalācija par apstiprinātiem augstas ietekmes finanšu sektora incidentiem, būtiskiem incidentiem vai nozīmīgiem kiberdraudiem. Metrika ietver ikmēneša skaitu par iespējamiem un apstiprinātiem incidentiem, pārkāpumiem, būtiskiem finanšu sektora incidentiem un nozīmīgiem kiberdraudiem, kā arī paziņošanas par pārkāpumu savlaicīgumu, finanšu sektora ziņošanas savlaicīgumu, ierobežošanu, atjaunošanu, atjaunošanas validāciju un trešo pušu reaģēšanas veiktspēju. Politika papildus prasa ikgadēju pārskatīšanu, pārskatīšanu pēc incidenta pēc būtiskiem notikumiem, iekšējā audita pārskatīšanu, izņēmumu pārvaldību, piemērošanu, izmantojot REG12 neatbilstības, un korektīvu apmācību, izmantojot REG11, ja rodas informētības vai komunikācijas kļūmes.

Politikas diagramma

Procesa plūsmas diagramma, kas parāda finanšu sektora personas datu incidenta ievadi REG10, klasifikāciju, pārkāpuma izvērtēšanu, ierobežošanu, paziņošanas vai ziņošanas lēmumus, pierādījumu saglabāšanu, slēgšanu, gūtās atziņas un korektīvās darbības sasaistes ar atbalsta reģistriem.

Noklikšķiniet uz diagrammas, lai skatītu pilnā izmērā

Saturs

Darbības joma un PII15-FS aktivizēšanas noteikumi

REG10 incidentu un pārkāpumu pierādījumu modelis

Triāžas, klasifikācijas un pārkāpuma izvērtēšanas prasības

Ierobežošanas, atjaunošanas un pakalpojumu ietekmes izsekošana

Paziņošana, komunikācija un finanšu sektora ziņošana

Gūtās atziņas, korektīvā darbība un metrika

Atbilstība ietvaram

🛡️ Atbalstītie standarti un ietvari

Šis produkts ir saskaņots ar šādiem atbilstības ietvariem ar detalizētu klauzulu un kontroles kartēšanu.

Ietvars Aplūkotās klauzulas / Kontroles
ISO/IEC 27701:2025
Clause 7.4Clause 7.5Clause 8.1Clause 8.2Clause 8.3Clause 9.1Clause 10.2Annex A.3.11Annex A.3.12Annex A.3.13Annex A.3.14Annex A.2.2.2Annex A.2.2.6
EU GDPR
Article 5(2)Article 24Article 26Article 28Article 32Article 33Article 34Article 39
DORA Regulation (EU) 2022/2554
Article 17Article 18Article 19Article 20
NIS2 Directive (EU) 2022/2555
Article 23
ISO/IEC 29100:2020
Clause 5.11Clause 5.12
ISO/IEC 29151:2022
Clause 16.1.2Clause 16.1.3
ISO/IEC 27002:2022
Control 5.24Control 5.25Control 5.26Control 5.27Control 5.28
ISO/IEC 27035-1:2023
Clause 5.2Clause 5.3Clause 5.4Clause 5.5Clause 5.6
ISO/IEC 27035-2:2023
Clause 4Clause 6Clause 10Clause 11Clause 12
ISO/IEC 27035-3:2020
Clause 7Clause 8Clause 9Clause 10Clause 11Clause 12
ISO/IEC 27018:2020
Annex A.10.1

Saistītās politikas

Incidentu un pārkāpumu pārvaldības politika

Pamata incidentu un pārkāpumu politika, ko PII15-FS aizstāj tai pašai finanšu sektora PIMS darbības jomai.

Privātuma risku izvērtēšanas un DPIA politika

Pārkāpumu izvērtēšana sasaista incidenta faktus ar privātuma risku, DPIA, atlikušo risku un riska apstrādes pierādījumiem REG04.

Apstrādātāju, apakšapstrādātāju un trešo pušu privātuma pārvaldības politika

Trešo pušu incidentu komunikācija, pierādījumu pieprasījumi un līgumiskie paziņojumi tiek reģistrēti, izmantojot REG08 un REG10.

Drošības un piekļuves kontroles politika

Preventīvie un atklājošie drošības kontroles pasākumi atbalsta personas datu incidentu atklāšanu, ierobežošanu, atjaunošanu un pierādījumu saglabāšanu.

PIMS dokumentētās informācijas un pierādījumu pārvaldības politika

Incidentu apstrāde ir atkarīga no pilnīgas, aizsargātas un izsekojamas dokumentētas informācijas REG10 un saistītajos pierādījumu objektos.

PIMS uzraudzības, audita un uzlabošanas politika

Gūtās atziņas, iekšējais audits, neatbilstības, korektīvās darbības un vadības pārskatīšana tiek novirzīti, izmantojot REG12.

Par Clarysec politikām - Finanšu sektora personas datu incidentu un pārkāpumu pārvaldības politika

Finanšu sektora personas datu incidentu un pārkāpumu pārvaldības politika izveido operatīvu PIMS ietvaru iespējamu un apstiprinātu personas datu incidentu un pārkāpumu apstrādei finanšu sektora darbības jomās. Tā nosaka, kā incidenti tiek reģistrēti, klasificēti, izvērtēti, ierobežoti, paziņoti, par tiem ziņots, pierādīti, slēgti un uzlaboti. Politika piešķir skaidru pārskatatbildību augstākajai vadībai, privātuma vadītājam / PIMS vadītājam, reaģēšanas uz incidentiem koordinatoram, informācijas drošības vadītājam, datu aizsardzības speciālistam / privātuma konsultantam, sistēmas vai lietotnes īpašniekam, procesa vai biznesa īpašniekam, piegādātāja / iepirkuma īpašniekam un iekšējā audita / atbilstības pārskatītājam. Tā izmanto REG10 kā galveno pierādījumu objektu un sasaista incidentu ierakstus ar REG01, REG02, REG03, REG04, REG08, REG09, REG11 un REG12, ja to nosaka incidenta fakti.

Incidenta dzīves cikla kontrole

Aptver saņemšanu, klasifikāciju, izvērtēšanu, ierobežošanu, atjaunošanu, paziņošanu, slēgšanu un uzlabošanu.

Auditam gatavi pierādījumi

Prasa REG10 ierakstus ar faktiem, laiku, darbībām, lēmumiem, paziņojumiem, ziņošanas pierādījumiem un slēgšanas statusu.

Definētas PIMS lomas

Piešķir pienākumus privātuma, drošības, reaģēšanas uz incidentiem, biznesa, piegādātāju, audita un vadības lomām.

Finanšu sektora trigeri

Prasa izvērtēt lēmumus par būtisku incidentu un nozīmīgu kiberdraudu ziņošanu, ja tie ir piemērojami.

Biežāk uzdotie jautājumi

Izstrādāts līderiem, līderu veidots

Šo politiku ir izstrādājis drošības līderis ar vairāk nekā 25 gadu pieredzi ISMS ietvaru ieviešanā un auditēšanā globālos uzņēmumos. Tā ir paredzēta ne tikai kā dokuments, bet kā aizstāvams ietvars, kas iztur auditoru pārbaudi.

Izstrādājis eksperts ar šādām kvalifikācijām:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pārklājums un tēmas

🏢 Mērķa departamenti

Privātums juridiskās lietas atbilstība IT drošība riski

🏷️ Tematiskais pārklājums

Pārkāpumu pārvaldība incidentu pārvaldība privātuma informācijas pārvaldība personas datu apstrāde trešo pušu pārvaldība risku pārvaldība atbilstības pārvaldība
€89

Vienreizējs pirkums

Tūlītēja lejupielāde
Mūža atjauninājumi

Šī politika ir 1 no 25 pilnajā ISO/IEC 27701 PIMS komplektā

Ietaupiet 52%

Saņemiet visas 25 PIMS politikas, pilnu reģistru komplektu un detalizētu ieviešanas plānu par €799, nevis €1 675, iegādājoties atsevišķi.

Skatīt pilno 27701 komplektu →
Financial Sector PII Incident and Breach Management Policy

Produkta informācija

Veids: policy
Kategorija: ISO 27701 PIMS Policy Pack
Standarti: 11