Я согласен что можно сделать план мероприятий - и это хорошо но трудоемко.
Проще установить порядок контроля, и ответственное подразделение в общих словах - результат - ст.18.1. выполнена: осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора; Под аудитом соответствия - проведение самооценки уровня ИБ (там и программа и план и ответственные...)
Проще установить порядок контроля, и ответственное подразделение в общих словах - результат - ст.18.1. выполнена: осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора; Под аудитом соответствия - проведение самооценки уровня ИБ (там и программа и план и ответственные...)