個人資料保護管理制度(PIMS)比較

本文以下簡單比較臺灣國內主流與個人資料保護有關的管理制度(包含ISO2701、ISO27701、TPIPAS與BS10012):

個人資料保護管理制度規範大綱比較:

ISO27001ISO27701TPIPASBS10012
簡介簡介0.前言0.前言
1.適用範圍1.適用範圍1.適用範圍1.範圍
2.引用標準2.引用標準2.版本標示2.參考規範
3.用語及定義3.用語、定義與縮寫
4.一般要求
3.用語與定義3.名詞、定義與縮寫
4.組織全景5.2組織全景4.要求事項
5.管理責任
4.組織全景
5.領導作為5.3領導作為4.要求事項
5.管理責任
5.領導作為
6.規劃5.4規劃4.要求事項6.規劃
7.支援5.5支援4.要求事項
7.文件及紀錄之控管
7.支援
8.運作5.6運作4.要求事項8.運作
9.績效評估5.7績效評估6.有效性量測
8.內部評量
9.1定期檢視
9.績效評估
10.改善5.8改善9.改善10.改善
6.與ISO27002相關
的PIMS指引
7.對PII控制者於
ISO27002附加指引
8.對PII處理者於
ISO27002附加指引

補充說明:TPIPAS全名為台灣個人資料保護與管理制度

個人資料保護管理制度驗證事項比較

ISO27001ISO27701TPIPASBS10012
性質ISMS資訊安全管理系統PIMS個人資料隱私管理系統PIMS個人資料管理系統PIMS個人資訊管理系統
特色著重資訊安全控制項在ISO27001的基礎上架構個人資料隱私管理要求基於我國個資法所制定標準內容偏重歐盟一般資料保護規則GDPR
驗證相關事項可選擇就組織部分流程或組織進行驗證驗證範圍必須通過ISO27001可選擇就組織部分流程或部門進行驗證,然而
全組織通過驗證者,將會
取得我國的資料隱私保護標章dp.mark
可選擇就組織部分流程或組織進行驗證

由上述比較表可以知道,其實目前國內關於個人資料保護管理制度規範內容大同小異,都是以PDCA為基礎的管理制度,因此組織在選擇管理制度與驗證通過需求時,可以考量自身規模、須遵循的法令、成本等因素。

例如該組織業務皆與我國有高度相關,可考慮導入TPIPAS並取得資料隱私保護標章,以證明組織本身個資管理與保護能力,以及符合個人資料保護法,倘選擇以國外法規為基礎的標準,可能導致組織同仁適用上的疑義,以及與我國法規遵循的不一致(例如我國與GDPR對於個人資料與特種個人資料的定義即有不同、GDPR甚至要求組織踐行諸多義務並賦予資料主體各種權利),相比之下,可能增加組織內許多無形的成本。

對「個人資料保護管理制度(PIMS)比較」的一則回應

迴響已關閉。