PIMS uzraudzības, audita un uzlabošanas politika

PIMS uzraudzības, audita un uzlabošanas politika nosaka organizācijas prasības privātuma informācijas pārvaldības sistēmas veiktspējas novērtēšanai uzraudzības, mērīšanas, analīzes, izvērtēšanas, iekšējā audita, vadības pārskatīšanas, neatbilstību apstrādes, korektīvo darbību un nepārtrauktas uzlabošanas ietvaros. Tās noteiktais mērķis ir nodrošināt, ka organizācija novērtē PIMS veiktspēju, pārbauda PIMS atbilstību, identificē neatbilstības, labo kontroles pasākumu vājās vietas un nepārtraukti uzlabo PIMS, izmantojot objektīvus pierādījumus. Politika attiecas uz visiem PIMS procesiem, kontroles pasākumiem, politikām, reģistriem, pierādījumu objektiem, sistēmām, piegādātājiem, apstrādātājiem, apakšapstrādātājiem un datu koplietošanas kārtībām PIMS darbības jomā. Tā aptver arī organizācijas pārziņa, kopīgā pārziņa, apstrādātāja un apakšapstrādātāja kontekstus, padarot to nozīmīgu gan privātuma pārvaldībai, gan operatīvā apliecinājuma darbībām. Politikas noteicošā iezīme ir tās konsolidētais pierādījumu modelis. REG12 tiek izmantots kā primārā vieta uzraudzības programmai, metriku definīcijām, audita programmai, audita rezultātiem, vadības pārskata pierādījumiem, neatbilstībām, korektīvajām darbībām, izņēmumiem un uzlabošanas darbībām. Atbalsta pierādījumi nāk no REG01 līdz REG11, tostarp apstrādes darbību ievaddati no REG02, drošības kontroles pasākumu statuss no REG03, privātuma risku atjauninājumi no REG04, piegādātāju un apstrādātāju apliecinājuma pierādījumi no REG08, incidentu un pārkāpumu tendenču ievaddati no REG10 un apmācību pabeigšanas statuss no REG11. Politika prasa, lai Privātuma vadītājs / PIMS vadītājs pirms mērījumu cikla sākuma katrai PIMS metrikai definētu mērīšanas metodes, biežumu, pierādījumu avotu, mērķus un pārskatatbildīgās lomas un reizi ceturksnī konsolidētu rezultātus. Audita un pārskatīšanas prasības ir strukturētas ap uz risku balstītu plānošanu, dokumentētiem pierādījumiem un neatkarību. Iekšējā audita / atbilstības pārskatītājam REG12 jāsagatavo ikgadēja uz risku balstīta PIMS iekšējā audita programma un pirms pārbaudes uz vietas sākuma jādefinē mērķis, kritēriji, darbības joma, metode, izlases pamats un ziņošanas termiņš. Pirms katra audita uzdevuma jāreģistrē auditoru neatkarības un interešu konflikta pārbaudes. Audita darbības ietver piemērojamo PIMS kontroles pasākumu ieviešanas statusa testēšanu pret REG03, atlasīto personas datu apstrādes pierādījumu izlašu reģistrēšanu un rezultātu dokumentēšanu 15 darbdienu laikā pēc audita pabeigšanas. Pieņemtajiem konstatējumiem REG12 jāpiešķir korektīvo darbību īpašnieki 10 darbdienu laikā pēc audita rezultātu akceptēšanas. Vadības pārskatīšana, korektīvās darbības un uzlabošana arī tiek stingri kontrolētas. Augstākajai vadībai vismaz reizi gadā REG12 jāveic PIMS vadības pārskatīšana, pārskatot iepriekšējās darbības, PIMS veiktspējas metriku, privātuma mērķu statusu, neatbilstības, korektīvās darbības, uzraudzības rezultātus, audita rezultātus, privātuma riskus, piegādātāju apliecinājumu un ieinteresēto pušu izmaiņu ievaddatus. Neatbilstības jāreģistrē, jāiesniedz pamatcēloņi un korektīvās darbības plāni, jāapstiprina noteiktie termiņi un pieņemšanas kritēriji, jāglabā pabeigšanas pierādījumi un jāpārbauda efektivitāte. Nepārtrauktu uzlabošanu virza reizi ceturksnī veikta uzraudzības rezultātu, audita rezultātu, incidentu tendenču, privātuma risku statusa, piegādātāju apliecinājuma statusa un korektīvo darbību tendenču pārskatīšana. Ja viena un tā pati konstatējumu kategorija 12 mēnešu laikā rodas divas vai vairāk reizes, politika prasa REG12 izveidot sistēmisku uzlabošanas darbību.