Politika tas-Sigurtà tal-PII u tal-Kontroll tal-Aċċess

Il-Politika tas-Sigurtà tal-PII u tal-Kontroll tal-Aċċess tiddefinixxi r-rekwiżiti speċifiċi tal-organizzazzjoni għall-PII għall-protezzjoni tal-informazzjoni personali f’sistemi, applikazzjonijiet, servizzi, apparati, ambjenti cloud u proċessi operattivi. Tapplika fejn il-PII tinħażen, tiġi trażmessa, ipproċessata, aċċessata, amministrata jew protetta, u tkopri kuntesti ta’ kontrollur, kontrollur konġunt, proċessur u subproċessur. Il-politika hija mfassla b’mod espliċitu biex tintegra ma’ prattiki eżistenti tas-sigurtà tal-informazzjoni, mhux biex tissostitwixxi Sistema ta’ Ġestjoni tas-Sigurtà tal-Informazzjoni sħiħa, politika tas-sigurtà tan-netwerk, politika dwar l-iżvilupp sigur, politika tal-backup, politika tal-endpoint, politika tas-sigurtà tal-cloud, standard kriptografiku, proċedura tal-ġestjoni tal-vulnerabbiltajiet jew proċedura ta’ rispons għall-inċidenti. L-għan ewlieni tagħha huwa li tiżgura li l-PII tkun protetta b’kontrolli tas-sigurtà u tal-aċċess xierqa, allinjati mar-riskju u li jistgħu jiġu awditjati tul l-ipproċessar kollu. Biex tappoġġja dan l-għan, il-politika tistabbilixxi linja bażi tas-sigurtà tal-PII u teħtieġ evidenza traċċabbli permezz ta’ REG02, REG08, REG10 u REG12. Dan il-mudell ta’ evidenza huwa ċentrali għall-politika: logs operattivi, outputs ta’ għodod tas-sigurtà, esportazzjonijiet tar-rieżami tal-aċċess, rapporti tal-vulnerabbiltajiet u evidenza tal-konfigurazzjoni jistgħu jiġu mehmuża mal-oġġetti kanoniċi tal-evidenza, miġbura fil-qosor fihom jew referenzjati minnhom, iżda ma jiġux ittrattati bħala reġistri separati tal-PIMS. Dan jippermetti lill-organizzazzjoni turi li l-kontrolli huma ppjanati, implimentati, rieżaminati, immonitorjati u mtejba mingħajr ma jiġu duplikati reġistri tas-sigurtà. Il-politika tistabbilixxi rekwiżiti dettaljati għall-kontroll tal-aċċess, l-awtentikazzjoni u l-aċċess privileġġjat. L-aċċess għall-PII għandu jkun ristrett għal rwoli approvati u utenti awtorizzati rreġistrati jew traċċabbli f’REG02 jew REG12, u l-għan tan-negozju għandu jiġi approvat qabel ma jingħata l-aċċess. Sistemi tal-PII b’impatt għoli jew sensittivi jeħtieġu rieżamijiet tal-aċċess tal-utenti mill-inqas kull tliet xhur, filwaqt li sistemi oħra tal-PII jeħtieġu rieżami mill-inqas darba fis-sena. L-aċċess għandu jitneħħa jew jiġi emendat fi żmien jum tax-xogħol wieħed wara bidla fir-rwol, terminazzjoni, tlestija ta’ kuntratt jew meta l-aċċess ma jibqax meħtieġ. L-aċċess privileġġjat jeħtieġ ġustifikazzjoni, kamp ta’ applikazzjoni u approvazzjoni dokumentati qabel jingħata, b’rieżami ta’ kull xahar għal sistemi tal-PII b’impatt għoli jew sensittivi u rieżami kull tliet xhur għal sistemi oħra tal-PII. Il-politika tindirizza wkoll l-aspettattivi tekniċi tas-sigurtà għall-awtentikazzjoni, l-iċċifrar, il-ħażna sigura, il-logging, il-monitoraġġ, il-konfigurazzjoni, il-ġestjoni tal-vulnerabbiltajiet, l-aċċess tal-endpoint u l-aċċess għall-cloud. Identitajiet uniċi tal-utenti huma meħtieġa għal kontijiet b’aċċess għall-PII, u awtentikazzjoni b’saħħitha hija meħtieġa għal aċċess privileġġjat, remot, amministrattiv jew għall-PII b’impatt għoli. Iċċifrar jew protezzjoni kumpensatorja approvata għandhom jiġu definiti qabel ma PII b’impatt għoli, sensittiva jew trażmessa esternament tinħażen, tiġi trażmessa jew issir aċċessibbli. Il-kamp ta’ applikazzjoni tal-logging għandu jkopri avvenimenti ta’ awtentikazzjoni, avvenimenti ta’ aċċess, azzjonijiet privileġġjati, attività ta’ esportazzjoni tal-PII u bidliet materjali fil-konfigurazzjoni. L-istatus tal-konfigurazzjoni u l-kopertura tal-vulnerabbiltajiet għandhom jiġu rreġistrati f’REG12, b’vulnerabbiltajiet ta’ riskju għoli mhux solvuti li jaffettwaw il-PII rreġistrati fi żmien ħamest ijiem tax-xogħol mill-verifika. Ir-responsabbiltajiet ta’ governanza huma assenjati lit-Tmexxija Għolja, ir-Responsabbli tal-Privatezza / Maniġer tal-PIMS, Data Protection Officer / Konsulent tal-Privatezza, Responsabbli tas-Sigurtà tal-Informazzjoni, Sid tal-Proċess / Sid tan-Negozju, Sid tas-Sistema / Sid tal-Applikazzjoni, Sid tal-Fornitur / tal-Akkwist, Koordinatur tar-Rispons għall-Inċidenti u Reviżur tal-Awditjar Intern / tal-Konformità. Il-politika teħtieġ rieżamijiet trimestrali tal-kompletezza tal-evidenza f’REG02, REG08, REG10 u REG12, rieżami trimestrali tal-effettività tal-linja bażi u tal-lakuni mhux solvuti, u kampjunar tal-awditjar tar-rieżamijiet tal-aċċess, tar-rieżamijiet tal-aċċess privileġġjat, tal-evidenza tal-logging u tal-evidenza tal-konfigurazzjoni. L-eċċezzjonijiet għandhom jiġu rreġistrati qabel l-attivazzjoni, jinkludu skadenza, kontroll kumpensatorju u data tar-rieżami, u jirċievu approvazzjoni mit-Tmexxija Għolja meta jaffettwaw PII b’impatt għoli, PII sensittiva, aċċess privileġġjat, iċċifrar, logging jew vulnerabbiltajiet ta’ riskju għoli mhux solvuti.