Polityka zarządzania incydentami PII i naruszeniami ochrony PII

Polityka zarządzania incydentami PII i naruszeniami ochrony PII określa, w jaki sposób organizacja identyfikuje, zgłasza, poddaje triage'owi, ocenia, powstrzymuje, notyfikuje, dokumentuje, zamyka oraz doskonali działania po incydentach PII i naruszeniach ochrony PII w zakresie systemu zarządzania informacjami o prywatności. Jej wskazanym celem jest zapewnienie, aby incydenty i naruszenia były obsługiwane spójnie, terminowo, zgodnie z prawem, bezpiecznie oraz z wykorzystaniem dowodów gotowych do audytu. Polityka ma zastosowanie w kontekstach administratora, współadministratora, podmiotu przetwarzającego i podwykonawcy przetwarzania oraz obejmuje systemy, aplikacje, usługi, procesy, dostawców, podmioty przetwarzające, podwykonawców przetwarzania i strony trzecie, które przetwarzają, przechowują, transmitują, wspierają, uzyskują dostęp do PII lub w inny sposób wpływają na PII w zakresie PIMS. Centralnym elementem polityki jest zintegrowany model dowodowy. REG10 — Rejestr incydentów PII i naruszeń ochrony PII jest podstawowym obiektem dowodowym dla zarządzania incydentami i naruszeniami, natomiast rejestry wspierające zapewniają kontekst i identyfikowalność. REG01 wspiera kontekst zakresu, prawny, umowny, sektorowy, klienta i sprawozdawczy. REG02 łączy dotknięte czynności przetwarzania, kategorie PII, kategorie osób, których dane dotyczą, cele i systemy. REG04 wspiera powiązanie z ryzykiem dla prywatności, DPIA i ryzykiem rezydualnym. REG08 rejestruje interfejsy incydentowe dotyczące podmiotów przetwarzających, podwykonawców przetwarzania, klientów, dostawców i stron trzecich. REG09 jest używany, gdy incydenty wpływają na przetwarzanie transgraniczne, REG11 wspiera dowody szkoleń i kompetencji, a REG12 obejmuje dowody audytu, niezgodności, działań korygujących i doskonalenia. Taka struktura pomaga zapewnić, że zapisy incydentów nie są odizolowane od szerszego PIMS. Polityka ustanawia szczegółowe wymagania dotyczące gotowości, przyjmowania zgłoszeń, klasyfikacji, oceny naruszenia, powstrzymania, odzyskiwania, powiadamiania, komunikacji, ochrony materiału dowodowego i wyciągniętych wniosków. Podejrzewane incydenty PII muszą być odnotowywane niezwłocznie, a każdy zgłoszony lub wykryty podejrzewany incydent musi zostać wprowadzony do REG10 w ciągu jednego dnia roboczego od otrzymania albo wcześniej, jeżeli mogą zostać uruchomione terminy powiadomienia lub raportowania do klienta. Techniczny triage zdarzeń bezpieczeństwa informacji obejmujących PII musi zostać zakończony w ciągu 24 godzin od wykrycia, a każdy wpis REG10 musi zostać sklasyfikowany jako zdarzenie niezwiązane z PII, podejrzewany incydent PII, potwierdzony incydent PII albo potwierdzone naruszenie ochrony PII w ciągu 24 godzin od przyjęcia, chyba że udokumentowano powód oczekującej klasyfikacji. W zakresie oceny naruszenia polityka wymaga zidentyfikowania dotkniętych czynności przetwarzania, kategorii PII, kategorii osób, których dane dotyczą, systemów, podmiotów przetwarzających, podwykonawców przetwarzania, lokalizacji transferu i ryzyk dla prywatności przed finalizacją decyzji dotyczących powiadomień. Obowiązki dotyczące powiadomień i komunikacji są rozdzielone według roli. W przypadku administratorów polityka wymaga udokumentowanych decyzji dotyczących zgłoszeń regulacyjnych dla każdego potwierdzonego naruszenia ochrony PII bez zbędnej zwłoki, przy czym powiadomienie, uzasadnienie braku powiadomienia albo uzasadnienie opóźnienia musi być zachowane w REG10. Jeżeli wymagana jest komunikacja z dotkniętymi osobami, których dane dotyczą, polityka wymaga odnotowania treści, odbiorców, terminu, metody dostarczenia i dowodów zatwierdzenia. W przypadku podmiotów przetwarzających i podwykonawców przetwarzania polityka wymaga powiadomienia dotkniętych administratorów, klientów, nadrzędnych podmiotów przetwarzających albo zatwierdzonych kanałów umownych bez zbędnej zwłoki oraz w obowiązujących terminach umownych. W przypadku incydentów PII o istotnym wpływie wymaga również oceny prawnych, sektorowych, finansowych, dotyczących cyberbezpieczeństwa, umownych, klienckich oraz dotyczących odbiorców usług przesłanek raportowania, gdy mają zastosowanie. Ład zarządczy, pomiar i doskonalenie są wbudowane w proces. Osoba odpowiedzialna za prywatność / Menedżer PIMS odpowiada za proces zarządzania incydentami i naruszeniami oraz musi zapewnić utrzymywanie REG10 aż do zamknięcia. Koordynator reagowania na incydenty zarządza przyjmowaniem zgłoszeń, triage'em, procesem powstrzymania, śledzeniem statusu, zamknięciem i wyciągniętymi wnioskami. Bezpieczeństwo informacji prowadzi techniczne dochodzenie, powstrzymanie, usunięcie zagrożenia, odzyskiwanie, zabezpieczenie materiału dowodowego i analizę przyczyny źródłowej, gdy zaangażowane są systemy lub zabezpieczenia. Najwyższe kierownictwo otrzymuje eskalację dotyczącą potwierdzonych incydentów PII o istotnym wpływie w ciągu 24 godzin od klasyfikacji oraz dokonuje przeglądu incydentów o istotnym wpływie, naruszeń podlegających zgłoszeniu, przeterminowanych działań korygujących i istotnych wpływów podczas przeglądu zarządzania. Metryki obejmują wolumeny incydentów, terminy klasyfikacji i powstrzymania, terminowość powiadomień, wiek działań korygujących, skuteczność reakcji stron trzecich oraz ukończenie ćwiczeń. Polityka wymaga również corocznego przeglądu, przeglądu po incydencie po incydentach o istotnym wpływie lub potwierdzonych naruszeniach oraz corocznego przeglądu wdrożenia w ramach audytu wewnętrznego.