Politika správy zdokumentovaných informácií a dôkazov PIMS

Politika správy zdokumentovaných informácií a dôkazov PIMS definuje povinné požiadavky na riadenie úplného životného cyklu zdokumentovaných informácií systému manažérstva ochrany súkromia. Jej rozsah zahŕňa vytváranie, schvaľovanie, verziovanie, ochranu, uchovávanie, vyhľadávanie, preklad, stiahnutie z používania a preukazovanie záznamov PIMS. Politika sa vzťahuje na politiky PIMS, registre, zdokumentované schválenia, dôkazové záznamy, auditné dôkazy, záznamy z preskúmania manažmentom, dôkazy o nápravných opatreniach a riadené preklady používané na preukázanie zhody PIMS. Je vypracovaná pre kontexty prevádzkovateľa, spoločného prevádzkovateľa, sprostredkovateľa a ďalšieho sprostredkovateľa, vďaka čomu je uplatniteľná naprieč rolami, ktoré organizácia môže zastávať pri spracúvaní PII. Ústredným prvkom politiky je jej opieranie sa o kanonické dôkazové objekty PIMS REG01 až REG12 namiesto vytvárania samostatného registra riadenia dokumentácie. Politika stanovuje, že dôkazy o riadení zdokumentovaných informácií sa udržiavajú prostredníctvom týchto dôkazových objektov, pričom REG03 a REG12 sa osobitne používajú na uplatniteľnosť kontrol, audit, nezhody, nápravné opatrenia a dôkazy o zlepšovaní. Tento prístup má zabrániť zbytočnej administratívnej záťaži pri riadení dokumentácie a zároveň zachovať záznamy pripravené na audit pre certifikáciu, uistenie zákazníkov a neustále zlepšovanie. REG12 sa rozsiahlo používa na index zdokumentovaných informácií, úrovne prístupu, klasifikácie citlivosti, stav schválenia, evidenciu verzií, žiadosti o vyhľadanie, schválenia poskytnutia, kategórie uchovávania, stav stiahnutia z používania, výnimky a sledovanie nápravných opatrení. Politika stanovuje podrobné kontroly pre vytváranie, schvaľovanie, verziovanie a zverejňovanie. Pred zverejnením zdokumentovaných informácií PIMS musí vedúci ochrany súkromia / manažér PIMS v REG12 priradiť identifikátor dokumentu, vlastníka, číslo verzie, stav schválenia, dátum účinnosti a dátum preskúmania. Vrcholový manažment musí pred zverejnením schváliť základné politiky PIMS a podstatné zmeny politík, zatiaľ čo vedúci ochrany súkromia / manažér PIMS schvaľuje šablóny dôkazov alebo vložené časti registrov pred ich prevádzkovým použitím. Politika tiež vyžaduje, aby bola pred vydaním zaznamenaná evidencia verzií a odôvodnenie zmeny a aby bola komunikácia schválených zmien zaznamenaná v REG11 do 30 dní od zverejnenia. Kvalita dôkazov a sledovateľnosť sa považujú za prevádzkové požiadavky, nie za voliteľné dokumentačné úlohy. Vedúci ochrany súkromia / manažér PIMS musí definovať konvencie pomenúvania dôkazov, štvrťročne a pred externým auditom zosúladiť odkazy na kontroly v REG03 so záznamami dôkazov politík a pred zdieľaním dôkazov pre certifikačný audit, uistenie zákazníkov alebo regulačnú reakciu uplatniť schválenú konvenciu pomenúvania exportov. Vlastníci procesov / vlastníci podniku musia zabezpečiť, aby dôkazy o spracúvaní pred použitím na účely auditu obsahovali vlastníka dôkazu, dátum, odkaz na spracovateľskú činnosť, stav rozhodnutia a stav schválenia. Vnútorný audit / preskúmavatelia súladu musia počas plánovaných auditov alebo preskúmaní súladu zaznamenávať medzery v úplnosti, presnosti alebo sledovateľnosti. Politika ďalej definuje kontroly pre prístup, ochranu, vyhľadávanie, poskytnutie, uchovávanie, stiahnutie z používania, archiváciu, likvidáciu a viacjazyčné riadenie verzií. Obmedzenia prístupu k úložisku musia byť zaznamenané pred udelením prístupu a preskúmané štvrťročne; prístup k dôkazom PIMS obsahujúcim PII musí byť schválený pred jeho udelením. Poskytnutie dôkazov externým audítorom, zákazníkom, sprostredkovateľom, prevádzkovateľom, dozorným orgánom alebo iným externým stranám vyžaduje zaznamenanie schválenia a rozsahu poskytnutia. Zastarané verzie musia byť stiahnuté z používania v stanovených lehotách, predchádzajúce schválené verzie politík musia byť zachované a archivácia alebo výmaz sa nesmú uskutočniť, kým sa neoveria závislosti od auditného pozastavenia výmazu, právnej blokácie, vyšetrovania incidentu alebo nápravných opatrení. Metriky, ošetrenie výnimiek, uplatňovanie politiky a požiadavky na ročné preskúmanie zabezpečujú, aby zdokumentované informácie zostali aktuálne, vyhľadateľné, chránené a zosúladené s potrebami zhody PIMS.