課程介紹 

隨著全球各國「個人資料保護法」的陸續實施  (台灣已自 2012 年 10 月起實施)、美國與歐盟之間的歐美隱私權屏障架構 (EU-U.S. Privacy Shield Framework) 與歐盟即將於 2018年 5 月 25 日全面實施的 一般資料保護規範 (General Data Protection Regulation, 679/2016, GDPR )，要求不論政府或者民間組織，有義務保護因為業務需要，所搜集、處理、利用的個人資料。(註：不論可以直接或間接識別到個人的資料，都屬於個人資料範圍)

因此，組織必須依法要建立一套系統化的管理機制 (例如，引用 BS 10012 個人資料管理系統)，除了展現企業符合法令、法規要求 (例如，建立專人專責負責、個人資料盤點、教育訓練、溝通、告知等)，另一方面，可以有效地落實個人資料保護控制措施 (例如，整合 ISO 27001 資訊安全管系統)。

完成並且考試通過 個人資料管理系統 (BS 10012) 稽核員/主任稽核員課程，是成為個人資料管理系統稽核員之必要條件之一。

參加本課程的學員，必須具備下列知識：

1. 瞭解管理系統共同要求符合性標準 (ISO 19600)
   
   • 管理系統流程 (計畫-執行-確認-改善) 與 管理系統框架
   • 管理系統對於組織營運風險管理的要求
   • 管理系統對於高階與一般經理人如何展現領導能力的要求
   • 規劃管理系統時，必須考慮的項目
   • 管理系統需要那些支持、資源？
   • 管理系統日常維運要求、注意事項
   • 如何評估管理系統的有效性？
   • 如何改善管理系統？
2. 瞭解下列個人資料管理系統標準 (BS 10012)
   • 個人資料保護法
   • 個人資料風險評鑑
   • 個人資料搜集、處理與利用過程
   • 個人資料保護原則與控制方法
   • 個人資料管理相關名詞與定義
   • 個人資料管理系統文件化資料
3. 暸解 EU GDPR 個人資料處理原則：
   • 合法、公正、透明地處理
   • 僅依據明確、合法目的取得
   • 依據資料最小量原則，適切、相關
   • 正確性
   • 存儲與銷毀
   • 安全性
   • 維護資料主體 (自然人) 權利
4. 瞭解管理系統稽核指引 (ISO 19011)
   • 稽核方案管理
   • 起始稽核
   • 如何執行文件審查
   • 如何準備現場稽核活動
   • 如何執行現場稽核活動
   • 稽核發現
   • 稽核報告
   • 如何執行稽核跟催
   • 稽核員能力
5. 暸解管理系統稽核與驗證標準，例如 ISO/IEC 17021-1 管理系統驗證機構-認證規範

備註：課程認證考試內容，除了 BS 10012 之外，可能會跟本課程課前必備知識有關。如果需要，建議您參加我們提供的管理系統共同要求符合性指引 (ISO 19600)、管理系統稽核指引 (ISO 19011/CNS 14809)、歐盟一般數據保護法案 (EU GDPR)、個人資料管理系統 (BS 10012) 等基礎課程。

課程對象

管理系統是組織日常營運活動的一部份，任何參與組織營運活動的內、外部人員，對於國際標準的了解，皆有助於組織業務相關活動的推動與提升有效性。

本課程建議組織中，擔任下列功能的人員參加：

• 資訊技術 (IT) 與信息安全 (IS) 相關經理人
• 風險管理相關經理人
• 公司治理、政策制定經理人
• 諮詢、顧問
• 稽核員

課程目標 

本課程結合課堂簡報、小組討論、經驗交流、角色扮演、情境演練等，透過參與式 (participated learning) 學習，培養學員下列的能力：

• 了解個人資料管理系統 (BS 10012) 的目的、對組織帶來的益處、管理系統與相關標準、管理系統內部稽核、供應商稽核與第三方認證等要求。
• 了解管理系統稽核指引 ISO 19011 (與認證規範  ISO 17021) 中，稽核員的角色與能力的要求，包含稽核計畫、執行、報告、發現追蹤到完成稽核。
• 如何應用管理系統稽核指引 ISO 19011 (與認證規範  ISO 17021) 要求，進行個人資料管理系統稽核 (包含計畫、執行、報告、發現追蹤到完成稽核)，以確保組織的個人資料管理系統的有效性，並符合 BS 10012 要求

課程效益

• 組織具備根據標準 BS 10012，執行個人資料管理系統內部稽核的能力，符合認證要求。
• 參與課程並通過考試學員，將獲得課程證書，展現執行個人資料管理系統稽核的專業知識與技能，具備擔任供應商稽核的能力。
• 協助組織有效地執行個人資料管理系統稽核，有助於確保組織保護敏感資料 (例如，個人資料、公司商業機密等)，符合利害相關方的期望與公司治理要求。
• 了解現行個人資料管理系統與國際標準的差異，持續強化管理系統能力。
• 符合個人資料管理系統稽核員認證基本要求。

課程大綱 

第一天, 個人資料管理系統要求 (PIMS, BS 10012)

• 歐盟一般數據保護法案 (EU GDPR) 介紹 
• 管理系統框架、流程 (計畫-執行-確認-改善)
• 利益相關方與要求，包含法令、規範、合約、標準、政策與程序符合性要求
• 管理系統範圍
• 高階管理的領導能力要求與個人資料管理政策、目標
• 管理系統範圍人員與職責
• 管理系統需要的支持

第二天, 個人資料管理系統要求 (PIMS, BS 10012) 與 歐盟一般數據保護法案 (EU GDPR) 資料處理原則 (Personal Data Processing Principles)

• 個人資料管理 (個人資料與流程清冊、資料控管者 (Data controller) 與處理者 (Data processor) 責任)
• 個人資料保護影像評估 管理 (DPIA, data protection impact assessment) 要求、過程
• 個人資料風險評鑑 (風險與風險擁有者鑑別、風險分析、風險評估)
• 個人資料風險處理 (風險處理選項、控制措施、風險處理計畫、個人資料處理原則)
• 個人資料管理系統文件化資料

第三天, 個人資料管理系統稽核指引 (ISO 19011) - 稽核過程演練 - 稽核 準備 與 計畫 

• 稽核員 (Auditor) 角色與責任
• 管理系統績效評估與持續改善機制
• 不同形式的稽核，內部稽核、供應商稽核與第三方認證稽核要求
• 稽核目的 (Audit purpose)
• 稽核起始、準備與可行性評估
• 稽核演練 - 第一階段稽核 (文件審查、第二階段稽核可行性評估)
• 準備第二階段稽核 - 現場稽核計畫 (Audit plan)
• 準備稽核工作文件 - 稽核查檢表 (Checklist) 與稽核軌跡 (Audit trail)

第四天, 個人資料管理系統稽核指引 (ISO 19011) - 稽核過程演練 - 稽核起始會議、執行現場稽核活動、稽核員角色與稽核技巧 演練

• 起始會議 (Opening meeting)
• 稽核過程演練 - 稽核場景 與 稽核員角色演練
• 稽核技巧 (Audit skills) 演練 - 訪談、稽核證據 (Audit evidence) 搜集
• 稽核發現 (Audit findings) 演練 - 包含符合(conformance)、缺失 (non-conformity) 與建議可改善事項 (OFI, opportunity for improvement)
• 準備稽核報告 (Audit report) 

第五天, 個人資料管理系統稽核指引 (ISO 19011) - 稽核過程演練 - 稽核結束會議、稽核發現追蹤與認證 

• 稽核結論 (Audit conclusion)
• 結束會議 (Close meeting) 
• 稽核發現追蹤 (Audit follow-up)
• 管理系統認證
• 稽核員課程考試