Politica de management al informațiilor documentate ale PIMS și al dovezilor

Politica de management al informațiilor documentate ale PIMS și al dovezilor definește cerințe obligatorii pentru controlul întregului ciclu de viață al informațiilor documentate ale Sistemului de management al informațiilor privind confidențialitatea. Domeniul său de aplicare acoperă crearea, aprobarea, versionarea, protecția, retenția, regăsirea, traducerea, retragerea și evidențierea înregistrărilor PIMS. Politica se aplică politicilor PIMS, registrelor, aprobărilor documentate, înregistrărilor de dovezi, dovezilor de audit, înregistrărilor revizuirilor de management, dovezilor privind acțiunile corective și traducerilor controlate utilizate pentru a demonstra conformitatea PIMS. Este redactată pentru contexte de operator de date, operator asociat, persoană împuternicită și persoană subîmputernicită, ceea ce o face aplicabilă rolurilor pe care o organizație le poate avea atunci când prelucrează PII. O caracteristică centrală a politicii este utilizarea obiectelor canonice de dovadă PIMS REG01 până la REG12, în locul creării unui registru de control al documentelor separat. Politica stabilește că dovezile privind controlul informațiilor documentate sunt menținute prin aceste obiecte de dovadă, REG03 și REG12 fiind utilizate în mod specific pentru aplicabilitatea controalelor, audit, neconformitate, acțiune corectivă și dovezi de îmbunătățire. Această abordare urmărește să prevină birocrația inutilă aferentă controlului documentelor, păstrând în același timp înregistrări pregătite pentru audit pentru certificare, programe de asigurare solicitate de clienți și îmbunătățire continuă. REG12 este utilizat extensiv pentru indexul informațiilor documentate, niveluri de acces, clasificări ale sensibilității, statut de aprobare, istoric al versiunilor, solicitări de regăsire, aprobări de divulgare, categorii de retenție, statut de retragere, excepții și urmărirea acțiunilor corective. Politica stabilește controale detaliate pentru creare, aprobare, versionare și publicare. Înainte de publicarea informațiilor documentate ale PIMS, Responsabilul pentru confidențialitate / Managerul PIMS trebuie să atribuie în REG12 un identificator de document, proprietar, număr de versiune, statut de aprobare, data intrării în vigoare și data revizuirii. Conducerea de vârf trebuie să aprobe politicile PIMS de bază și modificările semnificative ale politicilor înainte de publicare, în timp ce Responsabilul pentru confidențialitate / Managerul PIMS aprobă șabloanele de dovezi sau secțiunile de registru încorporate înainte de utilizarea operațională. Politica impune, de asemenea, ca istoricul versiunilor și justificarea modificărilor să fie înregistrate înainte de lansare, iar comunicarea modificărilor aprobate să fie înregistrată în REG11 în termen de 30 de zile de la publicare. Calitatea și trasabilitatea dovezilor sunt tratate ca cerințe operaționale, nu ca sarcini opționale de documentare. Responsabilul pentru confidențialitate / Managerul PIMS trebuie să definească convenții de denumire a dovezilor, să reconcilieze trimestrial și înaintea auditului extern referințele controalelor din REG03 cu înregistrările de dovezi ale politicilor și să aplice convenția aprobată de denumire la export înainte ca dovezile să fie partajate pentru audit de certificare, programe de asigurare solicitate de clienți sau răspuns de reglementare. Proprietarii de proces / proprietarii activității organizației trebuie să se asigure că dovezile privind prelucrarea includ proprietarul dovezii, data, referința activității de prelucrare, statutul deciziei și statutul aprobării înainte de a fi utilizate pentru audit. Auditorii interni / revizorii de conformitate trebuie să înregistreze lacunele privind caracterul complet, exactitatea sau trasabilitatea în timpul auditurilor programate sau al revizuirilor de conformitate. Politica definește, de asemenea, controale pentru acces, protecție, regăsire, divulgare, retenție, retragere, arhivare, eliminare și controlul versiunilor multilingve. Restricțiile de acces la depozit trebuie înregistrate înainte de acordarea accesului și revizuite trimestrial, iar accesul la dovezile PIMS care conțin PII trebuie aprobat înainte de acordare. Divulgările de dovezi către auditori externi, clienți, persoane împuternicite, operatori de date, autorități de supraveghere sau alte părți externe necesită înregistrarea aprobării și a domeniului divulgării. Versiunile învechite trebuie retrase în termenele definite, versiunile anterioare aprobate ale politicilor trebuie păstrate, iar arhivarea sau ștergerea nu trebuie să aibă loc până când nu au fost verificate dependențele privind blocarea pentru audit, blocarea legală, investigația incidentelor sau acțiunile corective. Metricile, gestionarea excepțiilor, aplicarea și cerințele de revizuire anuală asigură faptul că informațiile documentate rămân actuale, regăsibile, protejate și aliniate cu nevoile de conformitate PIMS.