BS 10012 個人資訊管理系統 Personal Information Management System , PIMS
什麼是 BS 10012 個人資訊管理系統 PIMS ?
全名: BS 10012 資料保護 ─ 個人資訊管理系統之要求(British Standard 10012 Data protection – Specification for a personal information management system),業界也常用 PIMS 之簡稱。
10012:如同ISO,歷年來已製定不同者的品質標準,並為不同的品質系統命名。因此,「10012」並無數字上的特殊意義。
2009:代表這套系統是在2009年公佈的條文版本。英國標準學會 ( British Standards Institution, BSI ) 在2009年5月31日公布了標準。
BS 10012:2009 標準可做為組織在建立個人資訊保護機制時的最佳參考,藉由標準所提供的基礎架構(Framework),配合PDCA 管理運作方法,能夠透過建立系統化的個人資訊管理制度,來達到保護個資的目的,更可進一步符合個資法規的要求。ISO 輔導
BS 10012 個人資訊管理系統 PIMS 是誰制定的?
BS 10012是由英國國家標準協會(British Standard Institute,BSI)根據OECD、APEC對於個人資訊管理制定而成。BSI 制定和貫徹統一的英國標準,許多標準被國際間廣為運用及認同,甚至許多標準更被提列為ISO國際認證系統,對於國際各領域之認證皆有相當之影響力。標準重大原則如下:
- 限制蒐集原則(Collection Limitation):經當事人人同意,以合法、公正方法於適當場所蒐集。
- 資料內容原則(Data Quality):合乎資料使用之目的,且確保資料之正確性、完整性和時效性。
- 目的明確化原則(Purpose Specification):進行蒐集的目的必須在蒐集的當時就請處說明,往後使用也必須受限於當初制定之目的,不得他用。
- 限制使用原則 (Use Limitation):若非(a).經資料當事人之同意(b).經法令法規許可,個人資料不得揭露、販賣或用於明訂於第三條明確目的以外的用途。
- 安全保護原則 (Security Safeguards):資料應採合理安全的保護措施,避免資料遺失、盜用、毀損、竄改或揭露的風險。
- 公開原則(Openness):對個人資料之公開、運用、政策等必須採取一般的公開政策。
- 個人參與原則(Individual Participation):當事人有權利:(a).向資料管理方確認是否保有自己資料,保有哪些相關資料;(b). 資料管理方在合理時間內、以合理價格、可接受的態度及可理解的形式,向本人聯絡溝通協調其資料之保有與使用;(c). 如果本人提出以上(a).(b).兩樣請求被資料管理人拒絕,儘可要求合理解釋,並有權質詢此拒絕;(d).有權質詢個人相關資料之外,若質詢不滿意可以要求刪除、校正、修改資料直到完整無誤為止。
- 責任義務原則(Accountability):資料管理方必須確保落實公司政策與執行措施以遵守上述各項原則。
ISO 輔導
BS 10012 個人資訊管理系統 PIMS 條文大綱
BS 10012內容共有7章,第0~2章為標準介紹、適用範圍與名詞定義之說明,第3~6章則為個人資訊管理制度的架構要求。
1.範疇 |
4.9適當、切題且不過度 4.9.1適當性 4.9.2切題且不過度 4.10正確性 4.11保留與處理 4.12個人權力 4.12.1個人之權力 4.12.2抱怨與申訴 4.13防護議題 4.13.1防護控制 4.13.2儲存與處理 4.13.3傳送 4.13.4讀取權之控管 4.13.5防護評估 4.13.6防護事件之管理 4.14個人資訊轉移至歐洲經濟區(EEA)外部 4.15透漏於第三方 4.16委外程序 4.17維護 |
2.名詞解釋與縮寫 |
|
3.個人資訊管理系統計畫(PIMS) 3.1建立及管理個人資訊管理系統 3.2個人資訊管理系統的範疇與目標 3.3個人資訊管理政策 3.4政策內容 3.5責任與權責 3.6資源提供 3.7於企業文化中導入個人資訊管理系統 |
|
4.個人資訊管理系統的執行與操作 4.1.要點 4.1.1高等管理階層 4.1.2政策符合度的日常責任 4.1.3資料防護代表 4.2個人資訊使用的鑑別與紀錄 4.2.1概要 4.2.2高風險個人資料 4.3訓練與認知 4.4風險管理 4.5個人資訊管理系統的即時更新 4.6告知 4.7公平及合法的程序 4.7.1個人資訊的收集與程序 4.7.2隱私公告及聲明之記錄 4.7.3隱私公告及聲明之時間點 4.7.4隱私公告及聲明之取得權限 4.7.5第三單位 4.8特殊用途個人資訊之程序 4.8.1基礎程序 4.8.2新用途之同意 4.8.3資料分享 4.8.4資料配對 |
|
5.個人資訊管理系統之監控與複審 5.1內部稽核 5.1.1稽核計畫 5.1.2稽核員選拔 5.1.3稽核要求 5.2管理審查
|
|
6.個人資訊管理系統之改進 6.1預防與矯正措施 6.1.1概要 6.1.2預防措施 6.1.3矯正措施 6.2持續改進 |
申辦 BS 10012 個人資訊管理系統 PIMS 交給領導力企管
領導力企管擁有眾多資訊安全系統輔導成功案例,並提供 BS 10012 個人資訊管理系統 PIMS 最佳解決方案,包括教育訓練(Training)、文件與管理流程建置(Implementing)、 驗證(Certification)、維護(Maintaining),歡迎立即與我們聯繫。ISO 輔導