Polityka zarządzania udokumentowaną informacją i dowodami PIMS

Polityka zarządzania udokumentowaną informacją i dowodami PIMS określa obowiązkowe wymagania dotyczące kontroli pełnego cyklu życia udokumentowanej informacji systemu zarządzania informacjami o prywatności. Jej zakres obejmuje tworzenie, zatwierdzanie, wersjonowanie, ochronę, retencję, pobieranie, tłumaczenie, wycofywanie oraz dokumentowanie dowodów dotyczących zapisów PIMS. Polityka ma zastosowanie do polityk PIMS, rejestrów, udokumentowanych zatwierdzeń, zapisów dowodowych, dowodów z audytu, zapisów z przeglądów zarządzania, dowodów działań korygujących oraz kontrolowanych tłumaczeń wykorzystywanych do wykazania zgodności PIMS. Została opracowana dla kontekstów administratora, współadministratora, podmiotu przetwarzającego i podwykonawcy przetwarzania, dzięki czemu ma zastosowanie do ról, które organizacja może pełnić podczas przetwarzania PII. Centralnym elementem polityki jest oparcie się na kanonicznych obiektach dowodowych PIMS REG01–REG12 zamiast tworzenia odrębnego rejestru kontroli dokumentów. Polityka stanowi, że dowody kontroli udokumentowanej informacji są utrzymywane za pomocą tych obiektów dowodowych, przy czym REG03 i REG12 są używane szczególnie na potrzeby stosowalności zabezpieczeń, audytu, niezgodności, działań korygujących i dowodów doskonalenia. Takie podejście ma zapobiegać zbędnej biurokracji związanej z kontrolą dokumentów, przy jednoczesnym zachowaniu zapisów gotowych do audytu na potrzeby certyfikacji, programów zapewnienia dla klientów i ciągłego doskonalenia. REG12 jest szeroko wykorzystywany na potrzeby indeksu udokumentowanej informacji, poziomów dostępu, klasyfikacji wrażliwości, statusu zatwierdzenia, historii wersji, wniosków o pobranie, zatwierdzeń ujawnienia, kategorii retencji, statusu wycofania, wyjątków oraz śledzenia działań korygujących. Polityka ustanawia szczegółowe środki kontrolne dotyczące tworzenia, zatwierdzania, wersjonowania i publikacji. Przed opublikowaniem udokumentowanej informacji PIMS osoba odpowiedzialna za prywatność / Menedżer PIMS musi przypisać w REG12 identyfikator dokumentu, właściciela, numer wersji, status zatwierdzenia, datę wejścia w życie i datę przeglądu. Najwyższe kierownictwo musi zatwierdzać podstawowe polityki PIMS oraz istotne zmiany polityk przed publikacją, natomiast osoba odpowiedzialna za prywatność / Menedżer PIMS zatwierdza szablony dowodów lub osadzone sekcje rejestrów przed ich użyciem operacyjnym. Polityka wymaga również zapisania historii wersji i uzasadnienia zmian przed wydaniem oraz odnotowania komunikacji zatwierdzonych zmian w REG11 w ciągu 30 dni od publikacji. Jakość i identyfikowalność dowodów są traktowane jako wymagania operacyjne, a nie opcjonalne zadania dokumentacyjne. Osoba odpowiedzialna za prywatność / Menedżer PIMS musi określić konwencje nazewnictwa dowodów, kwartalnie oraz przed audytem zewnętrznym uzgadniać odniesienia do zabezpieczeń w REG03 z zapisami dowodowymi polityk, a także stosować zatwierdzoną konwencję nazewnictwa eksportu przed udostępnieniem dowodów na potrzeby audytu certyfikacyjnego, programów zapewnienia dla klientów lub odpowiedzi regulacyjnej. Właściciele procesów / właściciele biznesowi muszą zapewnić, aby dowody przetwarzania obejmowały właściciela dowodu, datę, odniesienie do czynności przetwarzania, status decyzji i status zatwierdzenia, zanim zostaną wykorzystane na potrzeby audytu. Audyt wewnętrzny / osoby przeprowadzające przeglądy zgodności muszą odnotowywać luki w kompletności, dokładności lub identyfikowalności podczas zaplanowanych audytów lub przeglądów zgodności. Polityka określa również środki kontrolne dotyczące dostępu, ochrony, pobierania, ujawniania, retencji, wycofywania, archiwizacji, utylizacji oraz kontroli wersji wielojęzycznych. Ograniczenia dostępu do repozytorium muszą zostać zapisane przed nadaniem dostępu i podlegać kwartalnemu przeglądowi, a dostęp do dowodów PIMS zawierających PII musi zostać zatwierdzony przed jego nadaniem. Ujawnienia dowodów audytorom zewnętrznym, klientom, podmiotom przetwarzającym, administratorom, organom nadzorczym lub innym stronom zewnętrznym wymagają zapisania zatwierdzenia oraz zakresu ujawnienia. Nieaktualne wersje muszą zostać wycofane w określonych ramach czasowych, poprzednie zatwierdzone wersje polityk muszą być zachowane, a archiwizacja lub usunięcie nie mogą nastąpić, dopóki nie zostaną sprawdzone zależności związane ze wstrzymaniem na potrzeby audytu, zabezpieczeniem prawnym, dochodzeniem dotyczącym incydentu lub działaniami korygującymi. Metryki, obsługa wyjątków, egzekwowanie postanowień polityki oraz wymagania corocznego przeglądu zapewniają, że udokumentowana informacja pozostaje aktualna, możliwa do pobrania, chroniona i dostosowana do potrzeb zgodności PIMS.