Personal Information Management Systems (PIMS, BS 10012:2017+A1:2018) Auditor/Lead Auditor Training Course 個人資料管理系統稽核員/主導稽核員培訓課程

透過管理系統稽核與認證,組織可以展現其符合利害相關方對於法律 (例如,歐盟隱私權一般規範, 個人資料保護法)、規範標準 (例如,ISO, IEC, IEEE, BS)、合約義務 (例如,營業秘密保護)、政策與程序要求的最佳證明; 同時展現組織具備規劃、維運、持續改善管理系統風險、達成管理系統預期目標的能力

個人資料管理系統 (PIMS, BS 10012:2017) 稽核員 / 主任稽核員培訓課程

課程介紹 

隨著全球各國「個人資料保護法」的陸續實施  (台灣已自 2012 年 10 月起實施)、美國與歐盟之間的歐美隱私權屏障架構 (EU-U.S. Privacy Shield Framework) 與歐盟即將於 2018年 5 月 25 日全面實施的 一般資料保護規範 (General Data Protection Regulation, 679/2016, GDPR ),要求不論政府或者民間組織,有義務保護因為業務需要,所搜集、處理、利用的個人資料。(註:不論可以直接或間接識別到個人的資料,都屬於個人資料範圍)

因此,組織必須依法要建立一套系統化的管理機制 (例如,引用 BS 10012 個人資料管理系統),除了展現企業符合法令、法規要求 (例如,建立專人專責負責、個人資料盤點、教育訓練、溝通、告知等),另一方面,可以有效地落實個人資料保護控制措施 (例如,整合 ISO 27001 資訊安全管系統)。

完成並且考試通過 個人資料管理系統 (BS 10012) 稽核員/主任稽核員課程,是成為個人資料管理系統稽核員之必要條件之一。

參加本課程的學員,必須具備下列知識:

  1. 瞭解管理系統共同要求符合性標準 (ISO 19600)
    • 管理系統流程 (計畫-執行-確認-改善) 與 管理系統框架
    • 管理系統對於組織營運風險管理的要求
    • 管理系統對於高階與一般經理人如何展現領導能力的要求
    • 規劃管理系統時,必須考慮的項目
    • 管理系統需要那些支持、資源?
    • 管理系統日常維運要求、注意事項
    • 如何評估管理系統的有效性?
    • 如何改善管理系統?
  2. 瞭解下列個人資料管理系統標準 (BS 10012)
    • 個人資料保護法
    • 個人資料風險評鑑
    • 個人資料搜集、處理與利用過程
    • 個人資料保護原則與控制方法
    • 個人資料管理相關名詞與定義
    • 個人資料管理系統文件化資料
  3. 暸解 EU GDPR 個人資料處理原則:
    • 合法、公正、透明地處理
    • 僅依據明確、合法目的取得
    • 依據資料最小量原則,適切、相關
    • 正確性
    • 存儲與銷毀
    • 安全性
    • 維護資料主體 (自然人) 權利
  4. 瞭解管理系統稽核指引 (ISO 19011)
    • 稽核方案管理
    • 起始稽核
    • 如何執行文件審查
    • 如何準備現場稽核活動
    • 如何執行現場稽核活動
    • 稽核發現
    • 稽核報告
    • 如何執行稽核跟催
    • 稽核員能力
  5. 暸解管理系統稽核與驗證標準,例如 ISO/IEC 17021-1 管理系統驗證機構-認證規範

備註:課程認證考試內容,除了 BS 10012 之外,可能會跟本課程課前必備知識有關。如果需要,建議您參加我們提供的管理系統共同要求符合性指引 (ISO 19600)、管理系統稽核指引 (ISO 19011/CNS 14809)、歐盟一般數據保護法案 (EU GDPR)、個人資料管理系統 (BS 10012) 等基礎課程。

課程對象

管理系統是組織日常營運活動的一部份,任何參與組織營運活動的內、外部人員,對於國際標準的了解,皆有助於組織業務相關活動的推動與提升有效性。

本課程建議組織中,擔任下列功能的人員參加:

  • 資訊技術 (IT) 與信息安全 (IS) 相關經理人
  • 風險管理相關經理人
  • 公司治理、政策制定經理人
  • 諮詢、顧問
  • 稽核員

課程目標 

本課程結合課堂簡報、小組討論、經驗交流、角色扮演、情境演練等,透過參與式 (participated learning) 學習,培養學員下列的能力:

  • 了解個人資料管理系統 (BS 10012) 的目的、對組織帶來的益處、管理系統與相關標準、管理系統內部稽核、供應商稽核與第三方認證等要求。
  • 了解管理系統稽核指引 ISO 19011 (與認證規範  ISO 17021) 中,稽核員的角色與能力的要求,包含稽核計畫、執行、報告、發現追蹤到完成稽核。
  • 如何應用管理系統稽核指引 ISO 19011 (與認證規範  ISO 17021) 要求,進行個人資料管理系統稽核 (包含計畫、執行、報告、發現追蹤到完成稽核),以確保組織的個人資料管理系統的有效性,並符合 BS 10012 要求

課程效益

  • 組織具備根據標準 BS 10012,執行個人資料管理系統內部稽核的能力,符合認證要求。
  • 參與課程並通過考試學員,將獲得課程證書,展現執行個人資料管理系統稽核的專業知識與技能,具備擔任供應商稽核的能力。
  • 協助組織有效地執行個人資料管理系統稽核,有助於確保組織保護敏感資料 (例如,個人資料、公司商業機密等),符合利害相關方的期望與公司治理要求。
  • 了解現行個人資料管理系統與國際標準的差異,持續強化管理系統能力。
  • 符合個人資料管理系統稽核員認證基本要求。

課程大綱 

第一天, 個人資料管理系統要求 (PIMS, BS 10012)

  • 歐盟一般數據保護法案 (EU GDPR) 介紹 
  • 管理系統框架、流程 (計畫-執行-確認-改善)
  • 利益相關方與要求,包含法令、規範、合約、標準、政策與程序符合性要求
  • 管理系統範圍
  • 高階管理的領導能力要求與個人資料管理政策、目標
  • 管理系統範圍人員與職責
  • 管理系統需要的支持

第二天, 個人資料管理系統要求 (PIMS, BS 10012) 與 歐盟一般數據保護法案 (EU GDPR) 資料處理原則 (Personal Data Processing Principles)

  • 個人資料管理 (個人資料與流程清冊、資料控管者 (Data controller) 與處理者 (Data processor) 責任)
  • 個人資料保護影像評估 管理 (DPIA, data protection impact assessment) 要求、過程
  • 個人資料風險評鑑 (風險與風險擁有者鑑別、風險分析、風險評估)
  • 個人資料風險處理 (風險處理選項、控制措施、風險處理計畫、個人資料處理原則)
  • 個人資料管理系統文件化資料

第三天, 個人資料管理系統稽核指引 (ISO 19011) - 稽核過程演練 - 稽核 準備 與 計畫 

  • 稽核員 (Auditor) 角色與責任
  • 管理系統績效評估與持續改善機制
  • 不同形式的稽核,內部稽核、供應商稽核與第三方認證稽核要求
  • 稽核目的 (Audit purpose)
  • 稽核起始、準備與可行性評估
  • 稽核演練 - 第一階段稽核 (文件審查、第二階段稽核可行性評估)
  • 準備第二階段稽核 - 現場稽核計畫 (Audit plan)
  • 準備稽核工作文件 - 稽核查檢表 (Checklist) 與稽核軌跡 (Audit trail)

第四天, 個人資料管理系統稽核指引 (ISO 19011) - 稽核過程演練 - 稽核起始會議、執行現場稽核活動、稽核員角色與稽核技巧 演練

  • 起始會議 (Opening meeting)
  • 稽核過程演練 - 稽核場景 與 稽核員角色演練
  • 稽核技巧 (Audit skills) 演練 - 訪談、稽核證據 (Audit evidence) 搜集
  • 稽核發現 (Audit findings) 演練 - 包含符合(conformance)、缺失 (non-conformity) 與建議可改善事項 (OFI, opportunity for improvement)
  • 準備稽核報告 (Audit report) 

第五天, 個人資料管理系統稽核指引 (ISO 19011) - 稽核過程演練 - 稽核結束會議、稽核發現追蹤與認證 

  • 稽核結論 (Audit conclusion)
  • 結束會議 (Close meeting) 
  • 稽核發現追蹤 (Audit follow-up)
  • 管理系統認證
  • 稽核員課程考試

課程包含 

  • 授權課程媒體、講義 
  • 稽核員課程考試
  • 稽核員課程證書 (若考試成績未達通過標準,僅獲頒課程參加證書)

課程注意事項

  1. 請於上課前,完成課前知識評估 ],確認具備本課程相關知識。
  2. 課程時數:40 小時,每日課程時間:09:00 ~ 18:00 
  3. 上課期間,視課程進度需要,可能會有夜間作業。
  4. 課程人數限制:每班最低開課人數為 4 人,最多 20 位學員。
  5. 課程講義、簡報等,皆透過 www.TKSG.global 線上學習系統提供,上課地點必須提供高速上網服務,學員必須自備電腦或可上網設備 (例如筆記型電腦、平板)。

Last modified: Thursday, 1 October 2020, 4:42 PM