Politica sistemului de management al informațiilor privind confidențialitatea

Politica sistemului de management al informațiilor privind confidențialitatea stabilește PIMS al organizației pentru prelucrarea informațiilor de identificare personală în contexte de operator de date, operator asociat, persoană împuternicită și persoană subîmputernicită. Scopul său declarat este de a defini cerințe obligatorii de guvernanță pentru stabilirea, implementarea, menținerea, monitorizarea și îmbunătățirea continuă a PIMS. Politica este concepută pentru a susține managementul responsabil, bazat pe risc și pe dovezi al prelucrării PII în toate rolurile PIMS aplicabile. Aceasta se aplică domeniului de aplicare al PIMS, contextului organizațional, părților interesate, limitelor, determinării rolurilor, politicii de confidențialitate, obiectivelor de confidențialitate, evaluării riscurilor privind confidențialitatea, tratamentului riscurilor privind confidențialitatea, Declarației de aplicabilitate PIMS, guvernanței, monitorizării, auditului intern, revizuirii de management, neconformității, acțiunii corective și dovezilor documentate necesare pentru a demonstra conformitatea și responsabilitatea. O caracteristică centrală a politicii este accentul pus pe responsabilitate definită. Conducerea de vârf trebuie să aprobe domeniul de aplicare al PIMS în REG01 înainte de implementarea inițială și în termen de 30 de zile de la orice modificare semnificativă, să aprobe anual politica și obiectivele PIMS în REG12 și să revizuiască performanța, riscurile deschise, neconformitățile, acțiunile corective și deciziile de îmbunătățire în cadrul revizuirii de management. Responsabilul pentru confidențialitate / Managerul PIMS menține înregistrările PIMS de bază, inclusiv aspectele de context, părțile interesate, obiectivele, Declarația de aplicabilitate, deciziile de tratament al riscurilor, indexul dovezilor, metricile, excepțiile, acțiunile corective și înregistrările de revizuire a politicii. Proprietarii de proces clasifică rolul PIMS al organizației pentru fiecare activitate de prelucrare a PII înainte de începerea prelucrării, iar proprietarii responsabili de furnizori / achiziții documentează alocarea responsabilităților pentru operatorul asociat, instrucțiunile clientului privind prelucrarea, relațiile de subîmputernicire aprobate, guvernanța furnizorilor și procesele relevante pentru PIMS furnizate extern. Politica leagă guvernanța PIMS de controlul operațional. Evaluarea riscurilor privind confidențialitatea trebuie inițiată înainte de începerea unei prelucrări PII noi sau modificate semnificativ, iar necesitatea DPIA trebuie determinată înainte ca prelucrarea cu risc ridicat sau modificată semnificativ, realizată de operatorul de date, să continue. Deciziile aprobate de tratament al riscurilor privind confidențialitatea sunt înregistrate înainte de implementarea tratamentului, iar proprietarii de sistem trebuie să confirme controalele operaționale PIMS înainte de intrarea în producție a sistemelor care prelucrează PII. Responsabilul cu securitatea informațiilor răspunde de documentarea bazei de referință aplicabile pentru securitatea PII și de menținerea stării implementării controalelor de securitate, conectând guvernanța confidențialității cu baza de referință pentru securitatea PII și cu Declarația de aplicabilitate. Această structură contribuie la menținerea alinierii dintre domeniul de aplicare, activitățile de prelucrare, aplicabilitatea controalelor, relațiile cu furnizorii și înregistrările de risc înainte de revizuirea de management și de schimbările legate de certificare. Politica definește, de asemenea, cerințe privind verificabilitatea prin audit și îmbunătățirea continuă. Responsabilul pentru confidențialitate / Managerul PIMS trebuie să mențină un index al dovezilor PIMS înainte de fiecare audit intern, să păstreze informațiile documentate conform cerințelor de retenție a dovezilor, să mențină trimestrial metricile de performanță și să raporteze starea obiectivelor înainte de revizuirea de management. Setul minim de măsurare include procentul activităților de prelucrare din domeniul de aplicare cu o clasificare curentă a rolului, procentul controalelor aplicabile cu stare curentă de implementare, neconformitățile deschise și acțiunile corective restante, precum și evaluările riscurilor privind confidențialitatea aflate în așteptarea aprobării. Revizorii din Auditul Intern / Conformitate trebuie să raporteze rezultatele revizuirii în termen de 15 zile lucrătoare, să eșantioneze caracterul complet al dovezilor în timpul auditurilor interne, să verifice dovezile de închidere a excepțiilor expirate și să verifice eficacitatea acțiunilor corective în termen de 30 de zile de la raportarea închiderii. Excepțiile, aplicarea și mentenanța sunt tratate ca procese PIMS formale, nu ca abateri informale. Excepțiile solicitate trebuie documentate înainte de apariția abaterii, evaluate din perspectiva riscurilor privind confidențialitatea înainte de aprobare și revizuite trimestrial până la închidere. Excepțiile care depășesc pragurile acceptate ale riscurilor privind confidențialitatea necesită aprobarea conducerii de vârf înainte de implementare. Neconformitățile suspectate trebuie înregistrate în termen de cinci zile lucrătoare, acțiunile corective majore restante trebuie escaladate către conducerea de vârf, iar neconformitățile majore nerezolvate trebuie revizuite la fiecare revizuire de management. Politica este revizuită anual și în termen de 30 de zile de la modificări semnificative juridice, organizaționale, de prelucrare, tehnologice sau ale domeniului de certificare, iar modificările aprobate sunt comunicate în REG11 în termen de 30 de zile de la publicare.