Politica de monitorizare, audit și îmbunătățire a PIMS

Politica de monitorizare, audit și îmbunătățire a PIMS definește cerințele organizației pentru evaluarea performanței Sistemului de management al informațiilor privind confidențialitatea în ceea ce privește monitorizarea, măsurarea, analiza, evaluarea, auditul intern, revizuirea de management, gestionarea neconformităților, acțiunea corectivă și îmbunătățirea continuă. Scopul său declarat este de a asigura faptul că organizația evaluează performanța PIMS, verifică conformitatea PIMS, identifică neconformități, corectează puncte slabe de control și îmbunătățește continuu PIMS utilizând dovezi obiective. Politica se aplică tuturor proceselor, controalelor, politicilor, registrelor, obiectelor de dovezi, sistemelor, furnizorilor, persoanelor împuternicite, persoanelor subîmputernicite și relațiilor de partajare a datelor din domeniul de aplicare al PIMS. Aceasta acoperă și contextele organizației de operator de date, operator asociat, persoană împuternicită și persoană subîmputernicită, fiind relevantă atât pentru guvernanța confidențialității, cât și pentru activitățile operaționale de asigurare. O caracteristică definitorie a politicii este modelul său consolidat de dovezi. REG12 este utilizat ca locație principală pentru programul de monitorizare, definițiile metricilor, programul de audit, rezultatele auditului, dovezile revizuirii de management, neconformitățile, acțiunile corective, excepțiile și acțiunile de îmbunătățire. Dovezile suport provin de la REG01 până la REG11, inclusiv intrări privind activitățile de prelucrare din REG02, starea controalelor de securitate din REG03, actualizări ale riscurilor privind confidențialitatea din REG04, dovezi privind asigurarea furnizorilor și a persoanelor împuternicite din REG08, intrări privind tendințele incidentelor și ale încălcărilor securității datelor din REG10 și starea finalizării instruirii din REG11. Politica impune Responsabilului de confidențialitate / Managerului PIMS să definească metodele de măsurare, frecvența, sursa dovezilor, țintele și rolurile responsabile pentru fiecare metrică PIMS înainte de începerea ciclului de măsurare și să consolideze trimestrial rezultatele. Cerințele de audit și revizuire sunt structurate în jurul planificării bazate pe risc, al dovezilor documentate și al independenței. Revizorul de audit intern / conformitate trebuie să pregătească în REG12 un program anual de audit intern PIMS bazat pe risc și să definească obiectivul, criteriile, domeniul de aplicare, metoda, baza de eșantionare și termenul de raportare înainte de începerea activităților de audit pe teren. Independența auditorului și verificările privind conflictul de interese trebuie înregistrate înaintea fiecărei atribuiri de audit. Activitățile de audit includ testarea stării de implementare a controalelor PIMS aplicabile în raport cu REG03, înregistrarea eșantioanelor selectate de dovezi privind prelucrarea PII și documentarea rezultatelor în termen de 15 zile lucrătoare de la finalizarea auditului. Constatărilor acceptate trebuie să li se atribuie proprietari ai acțiunilor corective în REG12 în termen de 10 zile lucrătoare de la acceptarea rezultatelor auditului. Revizuirea de management, acțiunea corectivă și îmbunătățirea sunt, de asemenea, controlate strict. Conducerea de vârf trebuie să efectueze revizuirea de management PIMS cel puțin anual în REG12, analizând acțiunile anterioare, metricile de performanță PIMS, starea obiectivelor privind confidențialitatea, neconformitățile, acțiunile corective, rezultatele monitorizării, rezultatele auditului, riscurile privind confidențialitatea, asigurarea furnizorilor și intrările privind modificările referitoare la părțile interesate. Neconformitățile trebuie înregistrate, cauzele principale și planurile de acțiune corectivă trebuie transmise, termenele-limită și criteriile de acceptare trebuie aprobate, dovezile finalizării trebuie păstrate, iar eficacitatea trebuie verificată. Îmbunătățirea continuă este determinată de revizuirea trimestrială a rezultatelor monitorizării, a rezultatelor auditului, a tendințelor incidentelor, a stării riscurilor privind confidențialitatea, a stării asigurării furnizorilor și a tendințelor acțiunilor corective. Atunci când aceeași categorie de constatare apare de două sau mai multe ori într-un interval de 12 luni, politica impune crearea unei acțiuni de îmbunătățire sistemică în REG12.