1. Инвентаризация информационных систем, персональных данных.

2. Оценка законности обработки персональных данных, наличия согласий субъектов на такую обработку (при необходимости).

3. Корректировка договоров с субъектами или заключение дополнительных соглашений (при необходимости).

4. Формирование перечней персональных данных (какие именно данные обрабатываются!).

5. Определение предельных сроков и условий прекращения обработки персональных данных.

6. Ограничение доступа работников предприятия и пользователей информационных систем к персональным данным.

7. Классификация информационных систем персональных данных (составление акта о классификации согласно Приказу №55/86/20).

8. Уведомление уполномоченного органа по защите прав субъектов персональных данных (Россвязькомнадзор).

9. Формирование модели угроз персональным данным (согласно типовой документации ФСТЭК).

10. Документальное регламентирование работы с персональными данными (разработка орг. документов).

11. Приведение системы защиты персональных данных в соответствие с требованиями регуляторов (проектирование и внедрение):

• a. разработка частного технического задания и технического проекта на систему защиты персональных данных;
• b. установка и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
• c. обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
• d. учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
• e. учет лиц, допущенных к работе с персональными данными в информационной системе.

12. Эксплуатация информационной системы персональных данных, мониторинг, выявление и реагирование на инциденты информационной безопасности.