本文以下簡單比較臺灣國內主流與個人資料保護有關的管理制度(包含ISO2701、ISO27701、TPIPAS與BS10012):
個人資料保護管理制度規範大綱比較:
ISO27001 | ISO27701 | TPIPAS | BS10012 |
簡介 | 簡介 | 0.前言 | 0.前言 |
1.適用範圍 | 1.適用範圍 | 1.適用範圍 | 1.範圍 |
2.引用標準 | 2.引用標準 | 2.版本標示 | 2.參考規範 |
3.用語及定義 | 3.用語、定義與縮寫 4.一般要求 | 3.用語與定義 | 3.名詞、定義與縮寫 |
4.組織全景 | 5.2組織全景 | 4.要求事項 5.管理責任 | 4.組織全景 |
5.領導作為 | 5.3領導作為 | 4.要求事項 5.管理責任 | 5.領導作為 |
6.規劃 | 5.4規劃 | 4.要求事項 | 6.規劃 |
7.支援 | 5.5支援 | 4.要求事項 7.文件及紀錄之控管 | 7.支援 |
8.運作 | 5.6運作 | 4.要求事項 | 8.運作 |
9.績效評估 | 5.7績效評估 | 6.有效性量測 8.內部評量 9.1定期檢視 | 9.績效評估 |
10.改善 | 5.8改善 | 9.改善 | 10.改善 |
6.與ISO27002相關 的PIMS指引 7.對PII控制者於 ISO27002附加指引 8.對PII處理者於 ISO27002附加指引 |
補充說明:TPIPAS全名為台灣個人資料保護與管理制度
個人資料保護管理制度驗證事項比較:
ISO27001 | ISO27701 | TPIPAS | BS10012 | |
性質 | ISMS資訊安全管理系統 | PIMS個人資料隱私管理系統 | PIMS個人資料管理系統 | PIMS個人資訊管理系統 |
特色 | 著重資訊安全控制項 | 在ISO27001的基礎上架構個人資料隱私管理要求 | 基於我國個資法所制定 | 標準內容偏重歐盟一般資料保護規則GDPR |
驗證相關事項 | 可選擇就組織部分流程或組織進行驗證 | 驗證範圍必須通過ISO27001 | 可選擇就組織部分流程或部門進行驗證,然而 全組織通過驗證者,將會 取得我國的資料隱私保護標章dp.mark | 可選擇就組織部分流程或組織進行驗證 |
由上述比較表可以知道,其實目前國內關於個人資料保護管理制度規範內容大同小異,都是以PDCA為基礎的管理制度,因此組織在選擇管理制度與驗證通過需求時,可以考量自身規模、須遵循的法令、成本等因素。
例如該組織業務皆與我國有高度相關,可考慮導入TPIPAS並取得資料隱私保護標章,以證明組織本身個資管理與保護能力,以及符合個人資料保護法,倘選擇以國外法規為基礎的標準,可能導致組織同仁適用上的疑義,以及與我國法規遵循的不一致(例如我國與GDPR對於個人資料與特種個人資料的定義即有不同、GDPR甚至要求組織踐行諸多義務並賦予資料主體各種權利),相比之下,可能增加組織內許多無形的成本。
對「個人資料保護管理制度(PIMS)比較」的一則回應
迴響已關閉。