ГОСТ Р 53647.6— 2012
5.1.1 Планирование аудита
Планирование, установление и поддержка программы аудита по мониторингу и анализу
результативности и эффективности обработки организацией персональной информации должны
проводиться с учетом политики в области персональной информации.
Программа аудита должна включать в себя проверку всех элементов обработки персональной
информации, а также информации с высоким уровнем риска (см. п. 4.2.2) и обработки персональной
информации подрядчиками (см. п. 4.16).
5.1.2 Выбор аудиторов
Объективность и независимость аудита должны быть основаны на правильном выборе
аудиторов и управлении программами аудита.
Примечание - Для крупных организаций и организаций, обрабатывающих персональную информацию с
высоким уровнем риска (см. пункт 4.2.2), следует рассмотреть варианты проведения регулярного внешнего
аудита.
5.1.3 Требования к аудиту
Аудит должен проводиться через запланированные интервалы времени и предусматривать
проверку:
a) функционирования СМПИ в соответствии с политикой и установленными процедурами:
b
) внедрения и функционирования СМПИ в соответствии с технологическими требованиями.
Отчеты об аудите должны быть представлены руководству организации, в котором должны
быть указаны все значимые отклонения от политики и (или) установленных процедур.
В отчетах об аудите должны быть идентифицированы вопросы, связанные с методами или
процессами, которые могут повлиять на соблюдение политики в области персональной информации.
5.2 Анализ со стороны руководства
Анализ СМПИ со стороны руководства должен проводиться регулярно, а также в случае
существенных изменений для обеспечения устойчивого развития, адекватности и эффективности
системы.
Анализ со стороны руководства должен включать следующую информацию:
a)обратную связь, полученную от потребителей СМПИ;
b
)идентификации персоналом опасных событий и их эскалации;
c)результатах аудита;
d)записях анализа процедур;
e)результатах модернизации и (или) замены технологий;
f)формальных запросах об оценке регулирующими органами;
д)обработке претензий:
h)случаях нарушений/инцидентов безопасности.
Анализ со стороны руководства должен представлять подробную информацию в отношении
возможных изменений СМПИ, например, путем идентификации изменений в политике, процедурах и
(или) методах, которые могут повлиять на обеспечение соответствия.
После внесения существенных изменений в СМПИ аудит должен проводиться в кратчайшие
сроки.
6 Улучшение СМПИ
Цель: Организация должна улучшать результативность и эффективность СМПИ путем
выполнения корректирующих и предупреждающих действий.
6.1 Предупреждающие и корректирующие действия
6.1.1 Общие положения
Организация должна постоянно улучшать СМПИ путем реализации предупреждающих и
корректирующих действий.
Все предлагаемые изменения и/или улучшения должны быть оценены до начала их внедрения,
чтобы обеспечить выполнение требований политики менеджмента персональной информации.
Изменения, которые могут негативно повлиять на возможность демонстрировать соблюдение
законодательных и обязательных требований и передового опыта в области защиты данных
(например, перевод персональной информации в новый формат хранения файлов), необходимо
анализировать с целью определения их влияния на обеспечение соответствия.
13