新知分享

  • 2019-11-20 淺談 BS 10012:2017
  • 1. 什麼是 BS 10012:2017?

    全名: BS 10012 資料保護 ─ 個人資訊管理系統之要求(British Standard 10012 Data protection – Specification for a personal information management system)。 10012:如同 ISO,歷年來已製定不同者的品質標準,並為不同的品質系統 命名。因此,「10012」並無數字上的特殊意義。 2017:代表這套系統是在 2017 年公佈的條文版本。英國標準學會 ( British Standards Institution, BSI ) 在 2017 年 3 月 31 日公布了標準。 BS 10012 適合於全球任何規模和行業的組織,尤其適合於對個人資訊管理與 保護要求極高的組織,如:金融、電信、醫療、學校、電子商務及其他具有 大量個人資訊的公務機關。BS 10012 對於為他方提供個人資訊處理的組織非 常有效,例如 IT 委外公司,它可以用來確保客戶所提供之個人資訊是在符 合法令規定下,受到最適當的保護

    2. 標準介紹

    新版 BS 10012:2017 修訂的主要目的是為調和歐盟於 2016 年 4 月 14 日所通 過的「一般資料保護規範(the European Union General Data Protection Regulation , GDPR)」 BSI 於 2009 年為因應英國於 1998 年所公布的 Data Protection Act 資料保 護法,發佈 BS 10012:2009 年版個人資訊管理系統,乃是希望藉由個人資訊 管理系統的建立,作為整體資訊治理基礎設施的一部分,使得可符合個人資 料保護法及產業之優良實務要求;BS 10012 標準(非僅限於資通訊科技技術 上的參考標準,更可作為各行各業維運的管理系統標準)與 ISO 29100:2011(惟較缺乏個資蒐集、處理、利用程序、營運面或紙本類個資安 全的管理規範, 較適用於 IT 服務業、資訊部門,或是透過網路蒐集個資的 產業(例如:電子商務),對於擁有大量紙本資料的企業而言,比較不適合。) 隱私保護框架不同,BS 10012 標準管理系統標準自 2000 年 ISO 9001 標準 改版後,已全面採 PDCA 循環來擬定標準內容。

    3. 有何效益?

    展示組織獨立的內部風險控制保證,繼而符合公司治理和營運持續的要求 -獨立地證明組織已經了解現行的法律法規要求 -提供競爭優勢,例如:透過滿足合約要求,向客戶展示對個人資訊的管理 已被重視 -獨立確認組織對國內個人資料保護法遵循的風險已透過管理流程規範程序 和文件,繼-而得到了適當的識別、評估和管理 -證明高階管理對個人資訊保護的承諾 -定期的稽核過程幫助組織持續監控和改善 註:這些益處對於只是簡單符合 BS 10012 的組織並不明顯

    免責聲明:

    轉載此文是出於傳遞更多訊息為目的,若有來源標註錯誤或侵犯了您的合法權益,請作者持權屬證明與本網聯繫,我們將及時更正、刪除,謝謝。

    參考資料

    https://www.isoleader.com.tw/home/iso-coaching-detail/BS10012

    https://www.bsigroup.com/LocalFiles/zh-tw/e-news/No161/BS-10012-2017-BSIOscar-Chang.pdf

     https://www.bsigroup.com/zh-TW/BS10012PIMS/ https://fsms.bsmi.gov.tw/cat/epaper/0610.html