Polityka monitorowania, audytu i doskonalenia PIMS

Polityka monitorowania, audytu i doskonalenia PIMS określa wymagania organizacji dotyczące oceny wyników systemu zarządzania informacjami o prywatności w zakresie monitorowania, pomiarów, analizy, oceny, audytu wewnętrznego, przeglądu zarządzania, obsługi niezgodności, działań korygujących i ciągłego doskonalenia. Jej deklarowanym celem jest zapewnienie, aby organizacja oceniała wyniki PIMS, weryfikowała zgodność PIMS, identyfikowała niezgodności, korygowała słabości kontroli i stale doskonaliła PIMS z wykorzystaniem obiektywnych dowodów. Polityka ma zastosowanie do wszystkich procesów, zabezpieczeń, polityk, rejestrów, obiektów dowodowych, systemów, dostawców, podmiotów przetwarzających, podwykonawców przetwarzania oraz uzgodnień dotyczących udostępniania danych w zakresie PIMS. Obejmuje również konteksty organizacji jako administratora, współadministratora, podmiotu przetwarzającego i podwykonawcy przetwarzania, dzięki czemu jest istotna zarówno dla ładu prywatności, jak i działań zapewnienia operacyjnego. Cechą wyróżniającą politykę jest skonsolidowany model dowodowy. REG12 jest wykorzystywany jako podstawowa lokalizacja programu monitorowania, definicji metryk, programu audytu, wyników audytu, dowodów przeglądu zarządzania, niezgodności, działań korygujących, wyjątków i działań doskonalących. Dowody wspierające pochodzą z REG01–REG11, w tym dane wejściowe dotyczące czynności przetwarzania z REG02, status zabezpieczeń z REG03, aktualizacje ryzyka dla prywatności z REG04, dowody zapewnienia dotyczące dostawców i podmiotów przetwarzających z REG08, dane wejściowe dotyczące trendów incydentów i naruszeń z REG10 oraz status ukończenia szkoleń z REG11. Polityka wymaga, aby osoba odpowiedzialna za prywatność / menedżer PIMS określiła metody pomiaru, częstotliwość, źródło dowodów, cele i role rozliczalne dla każdej metryki PIMS przed rozpoczęciem cyklu pomiarowego oraz konsolidowała wyniki kwartalnie. Wymagania dotyczące audytu i przeglądu są zorganizowane wokół planowania opartego na ryzyku, udokumentowanych dowodów i niezależności. Osoba dokonująca przeglądu z ramienia audytu wewnętrznego / zgodności musi przygotować roczny program audytu wewnętrznego PIMS oparty na ryzyku w REG12 oraz określić cel, kryteria, zakres, metodę, podstawę doboru próby i termin raportowania przed rozpoczęciem czynności audytowych. Przed każdym przydziałem audytowym należy zarejestrować kontrole niezależności audytora i konfliktu interesów. Działania audytowe obejmują testowanie statusu wdrożenia mających zastosowanie zabezpieczeń PIMS względem REG03, rejestrowanie wybranych próbek dowodów przetwarzania PII oraz dokumentowanie wyników w terminie 15 dni roboczych po zakończeniu audytu. Zaakceptowane ustalenia muszą mieć przypisanych właścicieli działań korygujących w REG12 w terminie 10 dni roboczych od akceptacji wyniku audytu. Przegląd zarządzania, działania korygujące i doskonalenie również podlegają ścisłej kontroli. Najwyższe kierownictwo musi przeprowadzać przegląd zarządzania PIMS co najmniej raz w roku w REG12, analizując wcześniejsze działania, metryki wyników PIMS, status celów prywatności, niezgodności, działania korygujące, wyniki monitorowania, wyniki audytu, ryzyka dla prywatności, zapewnienie dostawców oraz dane wejściowe dotyczące zmian u zainteresowanych stron. Niezgodności muszą być rejestrowane, przyczyny źródłowe i plany działań korygujących zgłaszane, terminy realizacji i kryteria akceptacji zatwierdzane, dowody zakończenia przechowywane, a skuteczność weryfikowana. Ciągłe doskonalenie jest napędzane kwartalnym przeglądem wyników monitorowania, wyników audytu, trendów incydentów, statusu ryzyka dla prywatności, statusu zapewnienia dostawców i trendów działań korygujących. Jeżeli ta sama kategoria ustaleń wystąpi dwa lub więcej razy w ciągu 12 miesięcy, polityka wymaga utworzenia systemowego działania doskonalącego w REG12.