Politica de gestionare a incidentelor și încălcărilor securității PII

Politica de gestionare a incidentelor și încălcărilor securității PII definește modul în care o organizație identifică, raportează, triază, evaluează, conține, notifică, documentează, închide și îmbunătățește gestionarea incidentelor privind PII și a încălcărilor securității PII în cadrul domeniului de aplicare al Sistemului de management al informațiilor privind confidențialitatea. Scopul declarat este de a asigura gestionarea incidentelor și încălcărilor în mod consecvent, prompt, legal, securizat și cu dovezi pregătite pentru audit. Politica se aplică în contexte de operator, operator asociat, persoană împuternicită și persoană subîmputernicită și se extinde la sisteme, aplicații, servicii, procese, furnizori, persoane împuternicite, persoane subîmputernicite și terți care prelucrează, stochează, transmit, susțin, accesează sau afectează în alt mod PII în domeniul de aplicare al PIMS. O caracteristică centrală a politicii este modelul integrat de dovezi. REG10 — Registrul incidentelor și încălcărilor securității PII este obiectul principal de dovezi pentru gestionarea incidentelor și încălcărilor, iar registrele-suport furnizează context și trasabilitate. REG01 susține contextul privind domeniul de aplicare, obligațiile legale, cerințele contractuale, sectoriale, ale clienților și de raportare. REG02 corelează activitățile de prelucrare afectate, categoriile de PII, categoriile de persoane vizate, scopurile și sistemele. REG04 susține corelarea cu evaluarea riscurilor privind confidențialitatea, DPIA și riscul rezidual. REG08 înregistrează interfețele de incident cu persoanele împuternicite, persoanele subîmputernicite, clienții, furnizorii și terții. REG09 se utilizează atunci când incidentele afectează prelucrări transfrontaliere, REG11 susține dovezile privind instruirea și competența, iar REG12 captează dovezile privind auditul, neconformitatea, acțiunea corectivă și îmbunătățirea. Această structură ajută la asigurarea faptului că înregistrările incidentelor nu sunt izolate de PIMS mai larg. Politica stabilește cerințe detaliate pentru pregătire, primire, clasificare, evaluarea încălcării securității datelor, conținere, recuperare, notificare, comunicări, protecția dovezilor și lecții învățate. Incidentele suspectate privind PII trebuie înregistrate prompt, fiecare incident suspectat raportat sau detectat fiind introdus în REG10 în termen de o zi lucrătoare de la primire sau mai devreme atunci când pot fi declanșate termene de notificare sau de raportare către client. Triajul tehnic al evenimentelor de securitate care implică PII trebuie finalizat în termen de 24 de ore de la detectare, iar fiecare înregistrare REG10 trebuie clasificată ca eveniment fără PII, incident suspectat privind PII, incident confirmat privind PII sau încălcare confirmată a securității PII în termen de 24 de ore de la primire, cu excepția cazului în care motivul clasificării în așteptare este documentat. Pentru evaluarea încălcării securității datelor, politica impune identificarea activităților de prelucrare afectate, a categoriilor de PII, a categoriilor de persoane vizate, a sistemelor, persoanelor împuternicite, persoanelor subîmputernicite, locațiilor de transfer și riscurilor privind confidențialitatea înainte de finalizarea deciziilor de notificare. Obligațiile de notificare și comunicare sunt separate pe roluri. Pentru operatori, politica impune decizii documentate de notificare către autoritățile de reglementare pentru fiecare încălcare confirmată a securității PII, fără întârzieri nejustificate, cu notificarea, justificarea lipsei notificării sau justificarea întârzierii păstrată în REG10. Atunci când este declanșată comunicarea către persoanele vizate afectate, politica impune înregistrarea conținutului, publicului-țintă, momentului, metodei de livrare și dovezilor de aprobare. Pentru persoanele împuternicite și persoanele subîmputernicite, politica impune notificarea operatorilor afectați, clienților, persoanelor împuternicite din amonte sau canalelor contractuale aprobate fără întârzieri nejustificate și în termenele contractuale aplicabile. Pentru incidentele privind PII cu impact ridicat, aceasta impune și evaluarea declanșatorilor de raportare juridici, sectoriali, din sectorul financiar, de securitate cibernetică, contractuali, ai clienților și ai beneficiarilor serviciilor, acolo unde este aplicabil. Guvernanța, măsurarea și îmbunătățirea sunt integrate în proces. Responsabilul pentru confidențialitate / Managerul PIMS deține procesul de gestionare a incidentelor și încălcărilor și trebuie să asigure menținerea REG10 până la închidere. Coordonatorul răspunsului la incidente gestionează primirea, triajul, fluxul de lucru pentru conținere, urmărirea stării, închiderea și lecțiile învățate. Securitatea informației conduce investigația tehnică, conținerea, eradicarea, recuperarea, păstrarea dovezilor și analiza cauzei principale atunci când sunt implicate sisteme sau controale de securitate. Conducerea de vârf primește escaladări pentru incidentele confirmate privind PII cu impact ridicat în termen de 24 de ore de la clasificare și revizuiește incidentele cu impact ridicat, încălcările raportabile, acțiunile corective restante și impacturile semnificative în cadrul revizuirii de management. Metricile includ volumele de incidente, timpii de clasificare și conținere, promptitudinea notificărilor, vechimea acțiunilor corective, performanța răspunsului terților și finalizarea exercițiilor. Politica impune, de asemenea, revizuire anuală, analiză post-incident după incidente cu impact ridicat sau încălcări confirmate și revizuirea anuală prin audit intern a implementării.