BS 10012:2017個人資訊管理系統新版標準已發布

  BS 10012:2009個人資訊管理系統近期轉版,英國標準協會已於2017年3月31日發布BS 10012:2017新版標準,此次修改主要係為遵循歐盟一般資料保護規則GDPR (General Data Protection Regulation )之規定。為了讓企業組織能更有效率整合內部已導入之多項標準,新標準採用ISO/IEC附錄SL之高階架構(High Level Structure),該架構為通用於各管理系統的規範框架。

  2017新版架構由原本的6章變為為10章,新架構如下:

  • 第1章 範圍
  • 第2章 引用規範
  • 第3章 專有名詞與定義
  • 第4章 組織背景
  • 第5章 領導統御
  • 第6章 規劃
  • 第7章 支援
  • 第8章 營運
  • 第9章 績效指標
  • 第10章 改善

  新標準主要修改內容如下:

  1. 個資盤點單需增加「法規」盤點項目,且應載明個資流向(軌跡紀錄)。
  2. 風險管理架構參酌ISO 31000:2009修改。
  3. 組織增設資料保護官(Data Protection Officer, DPO)。
  4. 個資蒐集、處理及利用:
    (1)蒐集前須先告知當事人並取得其同意。
    (2)蒐集應有必要性且最小化。
    (3)兒童個資蒐集、利用須先經監護人同意。
    (4)若個資利用目的為開放資料(Open data)須作去識別化。
  5. 個資必須維持正確且最新。
  6. 個資保存不超過處理目的存在必要之期限(保存期限)。
  7. 增加個資完整性與機密性要求。
  8. 預先諮詢與授權,例如:網頁有使用cookies需明確告知瀏覽者。
  9. 個資管理目標與量測,包括欲導入範圍、現況評估等有效性目標。
  10. 增添文件管理規範。

  BS 10012:2009版本將於2018年5月25日廢止,公司驗證轉版的過渡期為24個月,因此2019年3月未轉版者證書失效。

相關連結
你可能會想參加
※ BS 10012:2017個人資訊管理系統新版標準已發布, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=7792&no=64&tp=1 (最後瀏覽日:2026/06/17)
引註此篇文章
你可能還會想看
歐盟設立歐洲研究院(European Research Council)對前瞻性研究提供經費補助

  歐盟最近宣布其新設立的歐洲研究院(European Research Council, ERC),自2月底開始運作。ERC是依據歐盟第七期研發綱要計畫(Seventh Framework Programme for Research and Technological Development, FP7)下之子計畫-”理念”計畫("Ideas" programme)所設立。2006年底通過的歐盟第七期研發綱要計畫,揭示歐盟在2007至2013年間的科技研發政策、研發投入的重點領域與經費挹注情形。與PF6相較,PF7經費大幅成長,每年平均成長至少達40%,單是2013年一年,經費成長更高達75%。   ERC是第一個泛歐的經費補助機構,設立目的是為了贊助前瞻科學領域的研究活動。在設立第一年,歐盟挹注於ERC的經費即高達3億歐元,在FP7計畫的七年期間,ERC總計取得7.5 billion的經費。隨著ERC的設立,歐盟首度有了專為前瞻性研究量身訂作的經費補助運作機制,亦即交由歐洲科學界菁英,也就是由22位聲譽卓著的科學界菁英所組成的科學諮詢會(Scientific Council)自主管理,官僚系統不得對之表示意見。 歐盟希望藉由ERC的設立,促使科學界得以對最具有原創性的科學想法深入研究,以突破當前之知識界線,進而協助解決歐盟在社會、環境、經濟面所面臨之挑戰。

日本總務省公布「2010次世代寬頻整備策略」

  日本總務省遵照其「u化日本政策報告」(2004年12月公布)以及IT策略本部「IT新改革策略」(今年1月公布)之規劃方向,8月11日正式對外公布「2010次世代寬頻整備策略」,以2010年該國寬頻覆蓋率超過百分之九十,作為寬頻基礎建設整備之政策目標。 詳言之,依照前開策略之記載,一則希望2008年底該國所有市町村均得接取寬頻,以求消弭目前尚有部分地區根本無從接取寬頻之區域落差現象,再則預計2010年底,全國能有超過百分之九十的家庭得以接取上傳下載雙向速度均超過30Mbps之超高速寬頻。於此過程,固然原則上係由民間主導相關整備活動之進行,惟官方亦應本諸技術中立之立場,施行適切之競爭政策,規劃吸引業者投資之誘因;其中,位處偏遠、投資效益可能偏低之地區,宜藉由中央、地方、居民、業者等各界相互交流合作,並配合技術層面之進展,妥善進行。另外,宣導整備成果、開發創新應用、維繫安全環境等,均屬重要,亦應於前開寬頻整備過程一併積極推動,以利後效。

英國成立英國衛生與社會照護資訊中心整合政府醫療資訊

  隨著英國國家健康服務(National Health Service, NHS)的改革,衛生和社會照護法(The Health and Social Care Act 2012)第九部分第二章,規範成立英國衛生與社會照護資訊中心(The Health and Social Care Information Centre, HSCIC)作為政府醫療資訊公開、整合與管理單位,此項規定於今(2013)年4月1日生效。   HSCIC並非正式的政府部會,而屬於執行行政法人(Executive Non Departmental Public Bodies),向衛生部長(Secretary of State for Health)負責,其職責除了蒐集、分析和傳播國家資料暨統計資訊以外,同時亦進行國家各層級的醫療資訊基礎設施的整合,作為醫療資訊數據公開的門戶;此外,HSCIC利用其行政法人的特性,將醫療組織視為客戶,提供不同的服務和產品,以協助其達到所需的資訊管理需求。透過HSCIS對於資訊的整合再公開,有助於在增進政府資訊透明性的同時,亦保障了資訊流動的效率和安全性。   其中HSCIC對於敏感性資料之應用,特別設立資料近用諮詢小組(Data Access Advisory Group, DAAG)予以處理。資料諮詢小組是每月定期由HSCIC所主持的獨立運作團體,須向HSCIC委員會負責。當HSCIC面臨敏感性資料或可識別個人資料之應用(包括是為了研究目的,和為了促進病人的醫療照護所需之應用)時,即交由資料近用諮詢小組會議來討論,以確保揭露該項資訊的風險降到最低。   從HSCIC的組織任務能輕易地發現其具有強大整合醫療資訊之功能,其未來發展勢必與過往飽受爭議的醫療資訊應用息息相關,因此相當值得我們持續觀察HSCIC的後續動態。

Refuah公司與紐約總檢察長達成和解並投資120萬美元保護病人資料

紐約州總檢察長Letitia James於2024年1月5日與健康照護服務業者Refuah Health Center, Inc.(下稱Refuah公司)達成和解,主因為該公司遭受勒索軟體攻擊(ransomware attack),約25萬紐約州民個資遭到洩漏。和解協議要求Refuah公司支付共計45 萬美元之民事懲罰金及費用(penalties and costs),且應投資 120 萬美元加強網路安全(cybersecurity)。 Refuah公司主要業務為經營三家醫療機構和五輛行動醫療車(mobile medical vans)。2021 年 5 月,Refuah公司遭到勒索軟體攻擊,網路攻擊者得以近用數千名病人的資料,取得了包含姓名、地址、電話號碼、社會保險號碼、駕照號碼、出生日期、金融帳號、醫療保險號碼等資料。 依據檢察長辦公室的調查顯示,攻擊者之所以得近用這些資料,原因為 Refuah公司未採取適當安全維護措施,包括:未停用不活躍之使用者帳號(inactive user accounts);未定期更換使用者帳號憑證(user account credentials);未限制員工僅得近用其業務所必需之資源和資料;未使用多重要素驗證(multi-factor authentication)以及未加密病人資料。 依據協議內容,Refuah公司同意投資 120 萬美元,用於開發和維護更強大的資訊安全計畫(information security programs),以更妥適地保護病人資料。該協議還要求Refuah公司應: 1.維護全面的資訊安全計畫,以保護消費者資料的安全性、機密性和完整性; 2.實施並持續更新消費者資料近用限制相關政策和程序; 3.遠端近用資源和資料應使用多重要素驗證; 4.定期更新近用資源和資料的憑證; 5.至少每半年進行一次稽核,確保使用者僅近用其業務所必需之資源和資料; 6.對所有儲存或傳輸的消費者資料進行加密; 7.實施控制措施,監控和記錄公司網路和系統的所有安全和操作活動;以及 8.制定、實施和持續更新全面的事故應變計畫。 Refuah公司還須向州政府支付共計45 萬美元之民事懲罰金及費用,其中 10 萬美元將在該公司投入 120 萬美元開發和維護其資訊安全計畫後,得暫緩支付。

TOP