Politica privind rolurile, responsabilitățile și responsabilitatea în materie de confidențialitate

Politica privind rolurile, responsabilitățile și responsabilitatea în materie de confidențialitate definește modul în care organizația atribuie, documentează, comunică, revizuiește și îmbunătățește responsabilitățile în cadrul Sistemului de management al informațiilor privind confidențialitatea. Domeniul său de aplicare acoperă personalul, funcțiile, sistemele, furnizorii, persoanele împuternicite, persoanele subîmputernicite și relațiile de operator asociat care participă la prelucrarea PII sau o influențează în domeniul de aplicare al PIMS. Politica se aplică în contexte de operator, operator asociat, persoană împuternicită și persoană subîmputernicită, fiind relevantă pentru întregul set de modele operaționale de confidențialitate descrise în document. De asemenea, clarifică faptul că nu creează noi titluri de post organizaționale; în schimb, definește roluri PIMS canonice care pot fi atribuite personalului sau funcțiilor existente atunci când cerințele obligatorii privind atribuirea, competența, independența și conflictele de interese sunt documentate. Politica stabilește un model structurat de roluri PIMS și o abordare a responsabilității bazată pe dovezi. Conducerea de vârf trebuie să aprobe modelul canonic de roluri în REG01 înainte de implementarea inițială și anual ulterior. Responsabilul pentru confidențialitate / Managerul PIMS menține în REG01 atribuirile nominale de roluri, domeniile de responsabilitate și nivelurile de autoritate, inclusiv actualizările care urmează schimbărilor de personal sau schimbărilor organizaționale. Deținerea prelucrării este corelată cu REG02, unde Proprietarii de proces / proprietarii de business atribuie proprietari responsabili pentru fiecare activitate de prelucrare a PII înainte de începerea prelucrării, iar proprietarii de sistem / proprietari de aplicații documentează proprietarii de sistem responsabili înainte de intrarea în producție. Deținerea responsabilității pentru furnizori, persoane împuternicite, persoane subîmputernicite, partajarea datelor cu terți și relațiile de operator asociat este înregistrată în REG08 înainte de integrare sau de aprobarea acordului. O parte centrală a politicii este gestionarea combinărilor de roluri, a separării și a independenței. Politica permite combinarea practică a rolurilor, inclusiv pentru organizații mici și mijlocii, dar impune documentarea înainte ca aceste combinări să producă efecte. Combinările de roluri care implică Responsabilul pentru confidențialitate / Managerul PIMS, Responsabilul cu protecția datelor / Consilierul pentru confidențialitate, Responsabilul cu securitatea informațiilor, Coordonatorul răspunsului la incidente sau Revizorul de audit intern / conformitate necesită aprobarea Conducerii de vârf în REG01. Revizorul de audit intern / conformitate trebuie să documenteze independența față de procesul PIMS revizuit în REG12 înainte de fiecare audit sau revizuire de conformitate. Atunci când conflictele de separare a atribuțiilor nu pot fi evitate, trebuie înregistrate controale compensatorii, iar Responsabilul cu protecția datelor / Consilierul pentru confidențialitate trebuie să înregistreze preocupările privind independența sau conflictele de interese în termen de cinci zile lucrătoare de la identificare. Politica definește, de asemenea, responsabilitatea pentru obligațiile de operator, operator asociat, persoană împuternicită și persoană subîmputernicită. Prelucrarea realizată de operator necesită înregistrarea deținerii responsabilității, deținerea scopului și deținerea dovezilor în REG02 înainte de începerea prelucrării. Alocarea responsabilităților de operator asociat, deținerea instrucțiunilor clientului pentru persoana împuternicită, deținerea supravegherii persoanelor subîmputernicite, statutul aprobării și căile de escaladare a responsabilității terților sunt gestionate prin REG08. Responsabilul pentru confidențialitate / Managerul PIMS verifică trimestrial și în termen de 15 zile lucrătoare de la orice modificare semnificativă înregistrările de clasificare a rolurilor din REG02 și REG08. Politica impune în continuare ca recomandările privind confidențialitatea, contribuțiile privind responsabilitatea pentru securitatea PII, responsabilitatea de escaladare a încălcărilor securității datelor și a incidentelor de confidențialitate, disputele nerezolvate privind responsabilitatea și escaladările legate de roluri să fie documentate în obiecte de dovezi definite. Guvernanța, măsurarea, excepțiile, aplicarea și mentenanța sunt integrate în modelul de responsabilitate. Conducerea de vârf revizuiește completitudinea, rolurile neocupate, conflictele de roluri, excepțiile de responsabilitate și metricile în cadrul revizuirii de management. Responsabilul pentru confidențialitate / Managerul PIMS efectuează revizuiri trimestriale ale responsabilității, urmărește rolurile neocupate și combinate, raportează finalizarea conștientizării pe roluri, gestionează excepțiile cu limite de expirare definite și înregistrează atribuirile lipsă, inexacte sau depășite ca neconformități. Proprietarii de proces / proprietarii de business trebuie să prevină intrarea în producție a prelucrărilor PII noi sau modificate atunci când lipsesc dovezile obligatorii privind rolurile și responsabilitatea. Revizorii de audit intern / conformitate testează dovezile privind rolurile, raportează constatările și verifică eficacitatea acțiunilor corective. Politica însăși trebuie revizuită anual și în termen de 30 de zile de la o modificare semnificativă a modelului de roluri PIMS.