個人資料隱私管理系統 (PIMS, ISO/IEC 27701) 國際標準，從資訊安全管理的角度出發，延伸您目前的資訊安全管理系統 (ISMS, ISO/IEC 27001:2013) 與 擴充資訊安全控制指引 (ISO/IEC 27002:2013) 成為個人資料隱私管理系統 (PIMS)，目的在幫助組織符合隱私法規要求。該標準概述了一套全面的運營控制措施，可以對應到各種法規，包括 EU GDPR。對應後，可以由隱私專業人員實施 PIMS 操作控制，並由內部或第三方稽核員進行稽核，從而獲得認證和全面的合規證明。 

課程介紹 

無論您的組織規模大小，是個人資料控制方 (controller) 還是處理方 (processor)，您的組織都應考慮為自己的組織尋求認證，或者根據您的業務要求向供應商或供應商索取認證。這尤其適用於處理敏感或擁有大量個人數據的處理者。無論如何，您的組織應評估其業務需求，以確定其自身產品和服務是否有合適的個人資料隱私保護認證。

個人資料隱私管理系統 (PIMS, ISO/IEC 27701) 建立在資訊安全管理最廣泛採用的國際標準之一 (ISMS, ISO/IEC 27001) 的基礎之上。如果您的組織已經熟悉 ISO/IEC 27001，那麼將新的個人資料隱私管理整合到既有資訊安全管理系統將是合乎邏輯的、並且效率更高。 這意味著兩者的實施和稽核將更便宜，且更容易實現。

關於 ISMS (ISO/IEC 27001) 和 PIMS (ISO/IEC 27701) 之間的關係：

• ISO/IEC 27001 是世界上使用最廣泛的 ISO 標準之一，許多公司已經通過了認證。
• PIMS (ISO/IEC 27701) 包括個人資料控制方 (controller) 與處理方 (processor)  特定的控制措施，這些控制措施可幫助降低個人資料隱私保護與資訊安全之間的鴻溝。在組織中，這些控制措施可能是兩個獨立功能之整合的關鍵。
• 個人資料隱私保護取決於安全性。同樣，PIMS (ISO/IEC 27701) 依賴於 ISO/IEC 27001 進行安全管理。PIMS (ISO/IEC 27701) 認證必須藉由延伸 ISMS (ISO/IEC 27001) 認證而獲得，並且不能獨立獲得。

參加本課程的學員，必須具備下列知識：

a) 管理系統

• 管理系統流程 (計畫-執行-確認-改善, PDCA)
• 暸解管理系統的主要活動，包含高階管理人員的領導能力與責任、功能與管理活動之間的相互關係、營運目標與政策、目標、規劃、計畫執行、績效量測、定期審查、與持續改善等活動。

b) 資訊安全管理

了解以下資訊安全管理原則和概念：

• 對資訊安全需求的認知;
• 資訊安全的責任配置;
• 納入管理階層承諾和關注方的利益;
• 提升社會價值;
• 使用風險評估的結果，來確定適當的控制措施以達到可接受的風險水平;
• 將資訊安全納入網絡和系統的基本要素;
• 積極預防與偵測資訊安全事件;
• 確保採用全面的資訊安全管理方法;
• 持續重新評估資訊安全並視需要進行修改;
• 了解相關國家和地方的個人資料保護相關法規和要求。
  

c) ISO/IEC 27001

• 了解 ISO/IEC 27001（與 ISO/IEC 27002）的要求以及 ISO/IEC 27000 中常用資訊安全管理術語和定義，這些知識可以通過完成 CQI/IRCA 認證的 ISMS 基礎培訓課程或同等課程獲得.
• 學員必須先具備/完成資訊安全管理系統 (ISMS, ISO/IEC 27001, ISO/IEC 27002)  或 個人資料隱私管理 (PIMS, ISO/IEC 27701) 基礎課程

備註：課程認證考試內容，除了資訊安全管理系統 (ISMS, ISO/IEC 27001)之外，可能會跟本課程課前必備知識有關。如果需要，建議您參加我們提供的管理系統共同要求符合性指引 (ISO 19600)、管理系統稽核指引 (ISO 19011)、個人資料隱私管理 (PIMS, ISO/IEC 27701) 等基礎課程。

課程對象

管理系統是組織日常營運活動的一部份，任何參與組織營運活動的內、外部人員，對於國際標準的了解，皆有助於組織業務相關活動的推動與提升有效性。

本課程建議組織中，擔任下列功能的人員參加：

• 公司治理、政策制定經理人
• 資訊技術 (IT) 與信息安全 (IS) 相關經理人
• 風險管理相關經理人
• 個人資料隱私保護官 (DPO, Data Protection Officer)、代表 (Representative)
• 諮詢、顧問
• 稽核員

課程目標 

本課程結合課堂簡報、小組討論、經驗交流、角色扮演、情境演練等，透過參與式 (participated learning) 學習，培養學員下列的能力：

• 了解資訊安全管理與個人資料隱私保護管理系統的目的、對組織帶來的益處、管理系統與相關標準、管理系統內部稽核、供應商稽核與第三方認證等要求。
• 了解管理系統稽核指引 ISO 19011 (與認證規範  ISO 17021) 中，稽核員的角色與能力的要求，包含稽核計畫、執行、報告、發現追蹤到完成稽核。
• 如何應用管理系統稽核指引 ISO 19011 (與認證規範  ISO 17021) 要求，進行資訊安全管理系統稽核 (包含稽核計畫、執行、報告、發現追蹤到完成稽核)，以確保組織的資訊安全管理系統的有效性，並符合國際標準 ISO 27001 (或 ISO 27002)、PIMS (ISO/IEC 27701) 要求

課程效益

• 組織具備根據國際標準 ISO/IEC 27001、PIMS (ISO/IEC 27701) ，執行資訊安全管理系統內部稽核的能力，符合認證要求。
• 參與課程並通過考試學員，將獲得課程證書，展現執行資訊安全管理與個人資料隱私保護管理系統稽核的專業知識與技能，具備擔任供應商稽核的能力。
• 協助組織有效地執行資訊安全管理與個人資料隱私保護管理系統稽核，有助於確保組織保護敏感資料 (例如，個人資料、公司商業機密等)，符合利害相關方的期望與公司治理要求。
• 了解現行資訊安全管理與個人資料隱私保護管理系統與國際標準的差異，持續強化管理系統能力。
• 符合資訊安全管理與個人資料隱私保護管理系統稽核員認證基本要求

課程大綱 

第一天, 資訊安全管理系統 (ISMS, ISO/IEC 27001) 延伸 個人資料隱私管理 (PIMS, ISO/IEC 27701) 要求

• 管理系統框架、結構與流程導向 (PDCA)
• 管理系統合規風險管理 - 組織營運風險 與 個人資料隱私保護管理要求
  • 了解組織經營內、外部環境，利害相關方、要求與期望 (包含法令、規範、合約、標準、政策與程序符合性要求)
  • 管理系統範圍
  • 管理系統範圍
• 領導統御能力與承諾
  • 高階管理展現領導能力、管理系統政策與目標
  • 管理系統支持與文件化資訊
  • 個人資料控制方(Controller) 與處理方 (Processor)
• 管理系統合規風險管理 - 資訊安全與個人資料處理風險管理
  • 資訊資產與個人資料隱私管理 (資產清冊、資產擁有者)
  • 資訊安全與個人資料隱私風險管理要求與過程
  • 風險評鑑 (鑑別風險、風險擁有者、風險分析、風險評估)
  • 風險處理 (風險處理選項、適用性聲明 (SoA)、風險處理計畫)
• 資訊安全管理系統 - 附錄 A 控制目標與控制措施

第二天, 資訊安全管理 (ISO/IEC 27002) 延伸 個人資料隱私管理 (PIMS, ISO/IEC 27701) 要求、管理系統稽核指引(ISO 19011)、驗證稽核 (ISO 17021-1) 要求

• 個人資料隱私管理 (PIMS, ISO/IEC 27701, 附錄 A) - 個人資料控制方(Controller) 特定風險控制措施
  
• 個人資料隱私管理 (PIMS, ISO/IEC 27701, 附錄 B) - 個人資料處理方 (Processor) 特定風險控制措施
• 管理系統運行與個人資料處理
• 管理系統績效評估與持續改善機制
• 稽核小組成員角色、能力與責任
• 不同形式的稽核，內部稽核、供應商稽核與第三方認證稽核要求

第三天, 管理系統稽核指引 (ISO 19011) - 稽核過程演練 - 稽核準備 與 計畫 

• 稽核方案與稽核目的
• 稽核起始、準備與可行性評估
• 稽核演練 - 第一階段稽核 (文件審查、第二階段稽核可行性評估)
• 準備第二階段稽核 - 現場稽核計畫
• 準備稽核工作文件 - 稽核查檢表與稽核軌跡

第四天, 管理系統稽核指引 (ISO 19011) - 稽核過程演練 - 稽核起始會議、執行現場稽核活動、稽核員角色與稽核技巧 演練

• 起始會議 (Opening meeting)
• 稽核過程演練 - 稽核場景 與 稽核員角色演練
• 稽核技巧演練 - 訪談、客觀證據搜集
• 稽核發現演練 - 包含符合(conformance)、缺失 (non-conformity) 與建議可改善事項 (OFI, opportunity for improvement)
• 準備稽核報告

第五天, 管理系統稽核指引 (ISO 19011) - 稽核過程演練 - 稽核結束會議、稽核發現追蹤與認證 

• 稽核結論
• 結束會議 (Close meeting) 
• 稽核發現追蹤 
• 管理系統認證
• 稽核員課程考試

課程包含 

• 授權課程媒體、講義 
• 稽核員課程考試
• 稽核員課程證書 (若考試成績未達通過標準，僅獲頒課程參加證書)

課程注意事項

• 課程要求與參加指引如下:
• [ 一般課堂課程 (Classroom-based) 參加指引 ]
• [ 遠距教學課程 (VILT) 參加指引 ]

如果有任何其他需求，歡迎您與我們聯繫：info@tksg.global