系統簡介





系統簡介      
BS 10012是2009年英國發布的標準,此標準不論是公務機關、非營利組織或民營企業,都屬於個人資料的管理單位。管理單位有責任對於從事工作業務相關的個人資料的蒐集、利用、處理、傳遞、保存和銷毀。對於個人資料的存取、利用、傳遞等作業,任何執行過程的軌跡流程都應該有專責的人員或專責的單位。

BS 10012的標準要求個人資料的管理單位,應該在建立個人資料管理系統前先檢視管理單位的作業流程,再盤查作業流程中屬於「個人資料」,及建立「個人資料盤查清單」,明確定義管理單位所蒐集的個資。依據台灣個資法定義「個人資料」包括:自然人姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、連絡方式、財務狀況、社會活動等等。
 
個人資料依據屬性之不同科以區分其重要性,其中「」病歷、醫療、基因、性生活、健康檢查、犯罪前科」屬於特種個資,一般的管理單位不得蒐集。
個人資料應該清楚界定哪些資料該被保護,及其被保護的層級。例如,由誰存取、複製、傳遞個人資料,管理單位對於個人資料流經的過程必須能夠清楚掌握,依據個人資料的風險高低,進行適當地設置控管機制,管控個人資料的進出並做紀錄。
台灣的個資法已經在2010年5月頒布,對公務機關、非營利組織或民營企業都有管飯的衝擊與影響。尤其是現今電腦網路資訊發達,商業行銷與交易行為種類及數量繁多,企業應該積極著手制訂相關的管理辦法與購買必要的電腦軟硬體,避免客戶或員工的個人資料被洩漏、竊取或竄改等等。個資法的相應罰則也提醒企業不可忽視個資的重要性,以免引發經營的危機。 


■系統模型

  

■為何要推行BS 10012?

雖然BS 10012是一項英國的標準,但是英國標準一向都是走在各國家標準發布之前,也通常是國際標準的主要參考依據,且BS 10012是目前較為熟知的個人資料管理系統。個資法頒布後,為因應個資法對營運的衝擊,各管理單位勢必要有所作為。如果能將個資的管理整合為一個管理系統,而非單純僅考慮個資法,對管理單位應屬更正面積極的作為。

另外,由於台灣經濟是以對外貿易為主,與歐盟的往來相當頻繁,BS 10012在國際間有經常被引用的機會,對於與國外有生意往來的企業,特別應該注意BS10012中對於個資的規範。
目前台灣也已經發展屬於台灣自己的「臺灣個人資料保護與管理制度」(Taiwan Personal Information Protection and Administration System, TPIPAS),TPIPAS主要是以電子商務業為範疇的管理制度,在應用範圍上有些許的限制。 


■適用對象

期望建立一套完整的個資管理系統之公務機關、非營利組織或民營企業均適用。

  

■預期效益 

推行個人資料管理系統的目的包括:
★ 台灣個人資料保護法已經頒布,應該避免觸法
★ 保護組織中的個人資料,保障與組織往來之個人的權益
★ 加強商業行銷中個人隱私的保護,提升企業形象
★ 強化組織之人員的個資保護意識,降低個資洩漏風險
★ 對受委託單位進行督導與管理,免除違法

科建輔導優勢 





科建輔導優勢      
■ 相關管理系統整合的經驗豐富,例如與既有ISO 9001/ 內稽內控 /管理規章等等

■ 個資管理面與技術面的結合輔導,以完整的架構模式協助建置個資管理系統
■ 充分考量組織的資源與限制,量身訂做以符合組織的需求與能力
■ 科建顧問本身已經全面建構符合個資法要求的管理系統
 
■輔導模式

與其它系統關連性





BS 10012與組織的現行管理制度應該彼此緊密接。因為個資在作業流程中的蒐集、利用、處理、傳遞等等活動,都能夠整合為一個涵蓋面廣泛的個資管理系統。所以,有ISO 9001或其他品質管理系統、ISO 27001資訊安全管理系統、內控管理規範或流程等等,都是個資管理系統要相互整合的對象

REPORT / 新聞稿

  • 2014.03.20

    雍興實業 通過BS 10012個人資訊管理系統驗證

    雍興實業(股)創始於民國二十九年,該公司為兆豐國際商業銀行99.556%投資的子公司,為金融機構轉投資之事業,從事金融業周邊整合事業服務,主要從事人力派遣服務業務及電腦列裝整合性服務業務。並於民國八十六年,成立列印裝封整合性作業處理中心,以一貫化的作業方式及高效率的IBM雷射印表機及自動化裝封機,來處理大量的資料列印及裝封作業。
    雍興實業對於客戶之個人資料保護至為重視,在個人資料保護法尚未實施前,內部即訂定相關之資訊安全與客戶個資保護管理相關管理制度,透過教育訓練與主管督導,在客戶個資及資訊安全管理及保護方面已有相當程度,個人資料保護法公告實施後,雍興實業即成立專案小組,積極研擬及調整內部管理規章,為能全方面檢視及統整公司既有做法,建立完善之管理系統,使公司日常之作業均能符合個人資料保護法之規定;在雍興實業羅又新董事長指示及全力支持下,領先同業導入BS10012個人資訊管理系統,並選定在國內輔導個人資訊管理統及個人資料保護法經驗豐富之科建顧問為輔導顧問團隊,在科建顧問師群及雍興個人資料保護組織委員會成員的共同努力下,歷經了個人資料盤點、法律法規符合度查檢、個資資安風險評鑑及因應、制度建立、實施及稽核改善等過程,建立了具備P-D-C-A管理循環及持續改進的完整管理系統,並通過法國標準協會(AFNOR)集團驗證並獲頒證書。
    羅董事長於該公司經營會議中期勉各級主管,通過驗證不是一項專案的結束,而是雍興實業個人資料保護管理制度全面符合國際標準要求及個人資料保護法規定的開始,期許全體主管及同仁,此時更應上緊發條,在制度的運作上,要透過教育訓練及溝通,使全體同仁能了解並遵照公司規定落實實施,各階主管必須定期稽核並提出持續改善計畫,使重視個人資料保護成為雍興的企業文化,進而獲得客戶肯定及創造口碑為雍興創造競爭優勢。
     

ARTICLES / 文章分享

  • 2012.02.07

    組織為何需要建置BS 10012個人資料管理系統?

    BS 10012是英國在2009年發布的規範(Specification),主要是針對個人資料的訊息保護,全名是『BS10012資料保護-個人資訊管理系統的規範』。BS 10012規範期望建構基於法規的最佳實務與符合性,是第一個個人資訊管理的標準。

     

    BS 10012 提供一個架構以達成個人資訊的有效管理,它可以被任何規模、產業的組織所使用,並可以適度地依據需要剪裁以符合組織的要求。對於訓練、風險管理、資料分享、保管及處置,與對第三者揭露…等皆涵蓋其中。

     

    台灣的『個人資料保護法』已經於2010年5月26日完成修訂,目前其施行細則還在舉行公聽會中,預計不久的將來,施行細則一經頒布,必然引起大眾的廣泛關注。當今資訊發達,不管是公營、民營的組織,也不論是營利或非營利的組織,都會因為不同的使用需求,取得來自個人的資料。這其實也是將個人資料暴露在風險之中,因為任何組織如果沒有妥善管理好取得的個人資料,引起個人資料的洩漏,未來極有可能造成訴訟,組織的風險也伴隨而至。

     

    因此,重視個人資料的保護將成為組織不可忽視的管理活動之一。而BS 10012是一套管理個人資料的系統,建置BS 10012並將個人資料保護法納入該管理系統中,以完整構築個人資料管理系統,是組織應該走的路。

     

    BS 10012標準的內容也是依據管理循環PDCA所構成,其中分成第0章到第6章,主要內容按照P、D、C、A的順序,內容分別列在第3章到第6章,包括第3章『規劃』、第4章『實行與運作』、第5章『監督與審查』及第6章『改善』等等。唯有透過系統性的管理機制,才能降低組織遭受個人資料保護法的風險與衝擊。

  • 2016.04.25

    個人資料保護專欄(五)-個人資訊管理系統(BS 10012)

    個人資訊管理系統(BS 10012)

    目的:

      英國個人資料保護領域的關鍵立法是《1998年資料保護法》(Data Protection Act 1998, DPA),該法令實踐了適用於「個人資料」的一項歐洲指令,而根據《1998年資料保護法》的定義,「個人資料」係指可識別存活之人有關的資訊。

      《1998年資料保護法》是由資訊委員管制和施行,負責促進個人資訊之保護,職責包括核定指引來推動優良實務,裁決符合條件的訴怨,提供資訊給個人和組織,並在法律被違反時採取適當行動。資訊委員有權調查訴怨、評估相關處理方式是否符合《1998年資料保護法》,並核發資訊和施行通知。

      個人資訊管理系統(Personal Information Management System, PIMS, BS 10012)使用「個人資訊」取代「個人資料」,目的是讓組織能夠備妥個人資訊管理系統,作為整體資訊治理基礎設施的一部分。同時,本標準乃是為任何規模及部門的組織而設計,只要是在組織內負責發起、實行和維持個人資訊管理系統的人員均可使用。目的是為個人資訊的管理提供一個共同的基礎,進而對個人資訊的管理產生信心,並讓內部和外部的評估人員有效評估組織遵循資料保護法律及優良實務的狀況。

      本標準採用管理循環「計畫、執行、查核及處置(Plan-Do-Check-Act)」,可以提供一個架構讓組織能維持和改善對資料保護法律及優良實務的遵循

    待續…

  • 2016.10.28

    個人資料保護專欄(十一)-個人資訊管理系統(BS 10012)法規架構及重點說明

    國際個人資料保護管理系統內容說明

    一、  個人資訊管理系統(BS 10012)

     

     

     

    1、      法規架構:

    於個人資訊管理系統(Personal Information Management System, PIMS, BS 10012)(以下簡稱本系統)規範中,主要可分為以下章節架構:

    (1)     簡介(Introduction);

    (2)     範圍(Scope);

    (3)     名詞、定義與縮寫(Terms, definitions and abbreviations);

    (4)     規劃個人資訊管理系統(Planning for a personal information management system(PIMS));

    (5)     實行與運作個人資訊管理系統(Implementing and operating the PIMS);

    (6)     監督與審查個人資訊管理系統(Monitoring and reviewing the PIMS);

    (7)     改善個人資訊管理系統(Improving the PIMS)。

    2、      法規內容重點說明:

    本系統架構乃是基於英國《1998年資料保護法》﹝1﹞該法令實踐了一項歐洲指令﹝2﹞且是用於「個人資料」,而根據《1998年資料保護法》的定義,個人資料係指與可識別存活之人有關的資訊。本英國標準使用「個人資訊」取代「個人資料」。

    而其中對於個人資訊管理系統(BS 10012)最基本的八大資料保護原則,更揭櫫「資料控制者」對於其所保有之個人資料必須:

    (1)     個人資料不可以非法或不公正方式蒐集、處理(fairly and lawfully processed);

    (2)     個人資料僅為具體指明的目的取得,且不得受到不符合此等目的的方法處理(obtained only for specified purposes and not further processed in a manner incompatible with those purposes);

    (3)     個人資料應以充分、相關,而非逾越其原本之目的處理(adequate, relevant and not excessive);

    (4)     個人資料應正確且最新(accurate and up-to-date);

    (5)     個人資料保留時間不超過必要程度(not kept for longer than is necessary);

    (6)     個人資料處理方式應符合法律賦予個人的權利,包括標的存取權(right of subject access ,processed in line with the rights afforded to individuals under the legislation, including the right of subject access);

    (7)     組織應採取適當的資料保護技術和措施,防止個人資料遺失或毀壞(kept secure);

    (8)     不在未受到適當保護的情況下被移轉到境外的國家(not transferred without adequate protection)。

    待續…

  • 2016.10.28

    個人資料保護專欄(十二)-個人資訊管理系統(BS 10012)維持與提升符合資料保護之法規與良好實踐之架構

    個人資料保護專欄(十二)-個人資訊管理系統(BS 10012)維持與提升符合資料保護之法規與良好實踐之架構 作者:科建顧問
     

      

    個人資訊管理系統(BS 10012)具體說明對個人資料保護管理系統的各項要求,提供了一個架構,讓組織能維持和改善對資料保護法及優良實務的遵循,目的便是希望協助組織建立個人資訊管理系統(BS 10012),作為整體資訊治理基礎的一部分,並應用「Plan」、「Do」、「Check」及「Act」循環「計畫、執行、查核及處置(PDCA)」,提供一個維持與提升符合資料保護之法規與良好實踐之架構,關於本系統之說明敘述如下:

     

    規劃個人資訊管理系統(BS 10012):

                                                            ①.  定義組織中本系統的範圍與目的:例如建立個人資料保護要點;

                                                            ②.  建立個資保護管理政策:政策應聲明適用範圍,例如全組織或部分單位;

                                                            ③.  指派適當人員角色職責:例如指派一至多位專業人員負責平時運作;

                                                            ④.  提供足夠的資源:組織在建置、實施、運作及維護本系統過程中,應提供所需的資源;

                                                            ⑤.  將本系統與組織文化契合:例如與組織現有的管理制度、程序進行整合運作,降低對人員日常作業的衝擊影響。

    (1)    建置與運作個人資訊管理系統(BS 10012):

                                                        ①.  指派負責人員:確保組織依據其個資管理政策,指派適當的負責人員;

                                                        ②.  識別與記錄個資的用途:個資之識別可從業務流程或服務目錄著手,主要辨別個資對於流程與活動利害關係人的風險,分析個資的類別,在其不同生命週期的型態、相關文件、支援系統及彼此間的介面,做為後續風險評鑑的重要輸入來源;

                                                          ③.  教育與認知:確保所有人員能夠認知其在處理個資時的職責;

                                                          ④.  風險評鑑:確保組織認知當在處理特定類型的個資時之相關風險;

                                                          ⑤.  其他本系統日常運作活動:包括公平與合法的處理個資、告知流程、維持本系統為最新狀態、當事人權利、個資保留與銷毀、委外處理流程、對第三方揭露、安全議題及資料正確性等資料。

    (2)    監督與檢視個人資訊管理系統(BS 10012):

                                                            ①.  內部稽核:例如稽核規劃、稽核員選擇及稽核要求等;

                                                            ②.  管理審查:審查項目應來自個資管理系統使用者之回饋意見、人員所發現並呈報之風險、稽核結果、程序審查紀錄、技術升級或更換的結果、主管機關的正式評鑑要求、抱怨處理及已發生的違反安全事故等。

    (3)    改善個人資訊管理系統(BS 10012):

                                                              ①. 預防措施與矯正行動:所有變更或改善的建議,應於實施前進行評估,以符合政策上的要求;

                                                              ②. 持續改善活動:透過稽核結果、矯正預防措施及定期檢視的作法,以持續改善本系統的有效性。

    (4)    PDCA方法論:

    管理循環「計畫、執行、查核及處置(Plan-Do-Check-Act)」,PDCA方法論,說明如下:

                                                                   ①.  計劃(Plan):建立個人資料保護管理制度之政策、目標及相關程序;

                                                                   ②.  執行(Do):個人資料保護管理制度之實施;

                                                                   ③.  檢查(Check):依據個人資料保護管理制度之政策、目標及要求,評估與監督流程及其產出,並將結果回報給最高管理階層加以審查;

                                                                   ④.  行動(Act):採取措施,以持續改善個人資料保護管理制度之績效。

     

    …待續

Q & A / 問答集

ALBUMS / 活動花絮

PROJECT / 輔導實例