十 05, 2019 CERT.Global 119次數

個人資料隱私管理 (PIMS, ISO/IEC 27701:2019) 稽核員/主導稽核員培訓課程

歐盟的一般數據保護法案 (EU GDPR) 開啟了全球隱私法規和合規性的新紀元。越來越多的隱私法規 (許多是根據 GDPR 制定的) 已在不同的司法管轄區 (無論是市場/行業還是地理位置) 中頒布。因此,組織必須實施相關的政策和程序,以確保遵守越來越多的隱私法規。此外,我們正處於快速數位化轉型之中,數據的收集和處理活動正在急劇地增加。數據量及與該數據有關的法規要求也持續同步增長,使各種類型組織的合規性變得越來越複雜。

個人資料隱私管理系統 (PIMS, ISO/IEC 27701) 國際標準,從資訊安全管理的角度出發,延伸您目前的資訊安全管理系統 (ISMS, ISO/IEC 27001:2013, ISO/IEC 27002),成為個人資料隱私管理系統 (PIMS),目的在幫助組織符合隱私法規要求。該標準概述了一套全面的運營控制措施,可以對應到各種法規,包括 EU GDPR。對應後,可以由隱私專業人員實施 PIMS 操作控制,並由內部或第三方稽核員進行稽核,從而獲得認證和全面的合規證明。 

課程介紹 

無論您的組織規模大小,是個人資料控制方 (controller) 還是處理方 (processor),您的組織都應考慮為自己的組織尋求認證,或者根據您的業務要求向供應商或供應商索取認證。這尤其適用於處理敏感或擁有大量個人數據的處理者。無論如何,您的組織應評估其業務需求,以確定其自身產品和服務是否有合適的個人資料隱私保護認證。

個人資料隱私管理系統 (PIMS, ISO/IEC 27701) 建立在資訊安全管理最廣泛採用的國際標準之一 (ISMS, ISO/IEC 27001) 的基礎之上。如果您的組織已經熟悉 ISO/IEC 27001,那麼將新的個人資料隱私管理整合到既有資訊安全管理系統將是合乎邏輯的、並且效率更高。 這意味著兩者的實施和稽核將更便宜,且更容易實現。

關於 ISMS (ISO/IEC 27001) 和 PIMS (ISO/IEC 27701) 之間的關係:

  • ISO/IEC 27001 是世界上使用最廣泛的 ISO 標準之一,許多公司已經通過了認證。
  • PIMS (ISO/IEC 27701) 包括個人資料控制方 (controller) 與處理方 (processor)  特定的控制措施,這些控制措施可幫助降低個人資料隱私保護與資訊安全之間的鴻溝。在組織中,這些控制措施可能是兩個獨立功能之整合的關鍵。
  • 個人資料隱私保護取決於安全性。同樣,PIMS (ISO/IEC 27701) 依賴於 ISO/IEC 27001 進行安全管理。PIMS (ISO/IEC 27701) 認證必須藉由延伸 ISMS (ISO/IEC 27001) 認證而獲得,並且不能獨立獲得。

 

參加本課程的學員,必須具備下列知識:

  1. 暸解管理系統的主要活動,包含高階管理人員的領導能力與責任、功能與管理活動之間的相互關係、營運目標與政策、目標、規劃、計畫執行、績效量測、定期審查、與持續改善等活動。
  2. 瞭解管理系統共同要求符合性標準 (ISO 19600)
    • 管理系統流程 (計畫-執行-確認-改善) 與 管理系統框架
    • 管理系統對於組織營運風險管理的要求
    • 管理系統對於高階與一般經理人如何展現領導能力的要求
    • 規劃管理系統時,必須考慮的項目
    • 管理系統需要那些支持、資源?
    • 管理系統日常維運要求、注意事項
    • 如何評估管理系統的有效性?
    • 如何改善管理系統?
  3. 瞭解下列資訊安全管理原則與概念:
    • 瞭解資訊安全的需要與重要性
    • 組織內,每位員工被賦予資訊安全的責任,與重要性
    • 管理階層承諾、利害相關方與要求
    • 資訊安全如何提高組織的價值與社會責任
    • 如何透過風險評鑑結果,決定適切的風險管控措施,並且達到風險可接受程度
    • 如何將資訊安全整合到組織的資訊、通訊網路、系統等,成為不可或缺的一部份
    • 資訊安全事件的預防、偵測活動
    • 確保組織落實資訊安全管理
    • 持續進行風險評估,並且進行適當的調整
  4. 瞭解管理系統稽核指引 (ISO 19011)
    • 稽核方案管理
    • 起始稽核
    • 如何執行文件審查
    • 如何準備現場稽核活動
    • 如何執行現場稽核活動
    • 稽核發現
    • 稽核報告
    • 如何執行稽核跟催
    • 稽核員能力
  5. 瞭解資訊安全管理系統標準 (ISO/IEC 27001):了解 ISO/IEC 27001 資訊安全管理系統要求 (包含 ISO/IEC 27002 資訊安全管理指引),以及 ISO/IEC 27000 資訊安全管理系統常用的名詞與定義。
  6. 暸解管理系統稽核與驗證標準,例如,ISO/IEC 17021-1 管理系統驗證機構-認證規範
  7. 學員必須先具備/完成資訊安全管理系統 (ISMS, ISO/IEC 27001, ISO/IEC 27002)  或 個人資料隱私管理 (PIMS, ISO/IEC 27701:2019) 基礎課程

備註:課程認證考試內容,除了資訊安全管理系統 (ISMS, ISO/IEC 27001)之外,可能會跟本課程課前必備知識有關。如果需要,建議您參加我們提供的管理系統共同要求符合性指引 (ISO 19600)、管理系統稽核指引 (ISO 19011)、個人資料隱私管理 (PIMS, ISO/IEC 27701) 等基礎課程

課程對象

管理系統是組織日常營運活動的一部份,任何參與組織營運活動的內、外部人員,對於國際標準的了解,皆有助於組織業務相關活動的推動與提升有效性。

本課程建議組織中,擔任下列功能的人員參加:

  • 公司治理、政策制定經理人
  • 資訊技術 (IT) 與信息安全 (IS) 相關經理人
  • 風險管理相關經理人
  • 個人資料隱私保護官 (DPO, Data Protection Officer)、代表 (Representative)
  • 諮詢、顧問
  • 稽核員

課程目標 

本課程結合課堂簡報、小組討論、經驗交流、角色扮演、情境演練等,透過參與式 (participated learning) 學習,培養學員下列的能力:

  • 了解資訊安全管理與個人資料隱私保護管理系統的目的、對組織帶來的益處、管理系統與相關標準、管理系統內部稽核、供應商稽核與第三方認證等要求。
  • 了解管理系統稽核指引 ISO 19011 (與認證規範  ISO 17021) 中,稽核員的角色與能力的要求,包含稽核計畫、執行、報告、發現追蹤到完成稽核。
  • 如何應用管理系統稽核指引 ISO 19011 (與認證規範  ISO 17021) 要求,進行資訊安全管理系統稽核 (包含稽核計畫、執行、報告、發現追蹤到完成稽核),以確保組織的資訊安全管理系統的有效性,並符合國際標準 ISO 27001 (或 ISO 27002)、PIMS (ISO/IEC 27701) 要求

課程效益

  • 組織具備根據國際標準 ISO/IEC 27001、PIMS (ISO/IEC 27701) ,執行資訊安全管理系統內部稽核的能力,符合認證要求。
  • 參與課程並通過考試學員,將獲得課程證書,展現執行資訊安全管理與個人資料隱私保護管理系統稽核的專業知識與技能,具備擔任供應商稽核的能力。
  • 協助組織有效地執行資訊安全管理與個人資料隱私保護管理系統稽核,有助於確保組織保護敏感資料 (例如,個人資料、公司商業機密等),符合利害相關方的期望與公司治理要求。
  • 了解現行資訊安全管理與個人資料隱私保護管理系統與國際標準的差異,持續強化管理系統能力。
  • 符合資訊安全管理與個人資料隱私保護管理系統稽核員認證基本要求

課程大綱 

第一天, 資訊安全管理系統 (ISMS, ISO/IEC 27001) 延伸 個人資料隱私管理 (PIMS, ISO/IEC 27701) 要求

  • 管理系統框架、結構與流程導向 (PDCA)
  • 管理系統合規風險管理 - 組織營運風險 與 個人資料隱私保護管理要求
    • 了解組織經營內、外部環境,利害相關方、要求與期望 (包含法令、規範、合約、標準、政策與程序符合性要求)
    • 管理系統範圍
    • 管理系統範圍
  • 領導統御能力與承諾
    • 高階管理展現領導能力、管理系統政策與目標
    • 管理系統支持與文件化資訊
    • 個人資料控制方(Controller)處理方 (Processor)
  • 管理系統合規風險管理 - 資訊安全與個人資料處理風險管理
    • 資訊資產與個人資料管理 (資產清冊、資產擁有者)
    • 資訊安全與個人資料風險管理要求與過程
    • 風險評鑑 (鑑別風險、風險擁有者、風險分析、風險評估)
    • 風險處理 (風險處理選項、適用性聲明 (SoA)、風險處理計畫)
    • 個人資料隱私管理 (PIMS, ISO/IEC 27701) 控制措施
  • 管理系統運行與個人資料處理注意事項
  • 管理系統績效評估與持續改善機制

第二天, 資訊安全管理 (ISO/IEC 27002) 延伸 個人資料隱私管理 (PIMS, ISO/IEC 27701) 要求、管理系統稽核指引(ISO 19011)、驗證稽核 (ISO 17021) 要求

  • 資訊安全延伸個人資料處理風險控制措施
  • 個人資料控制方(Controller) 特定風險控制措施
  • 個人資料處理方 (Processor) 特定風險控制措施
  • 稽核小組成員角色、能力與責任
  • 不同形式的稽核,內部稽核、供應商稽核與第三方認證稽核要求

第三天, 管理系統稽核指引 (ISO 19011) - 稽核過程演練 - 稽核準備 與 計畫 

  • 稽核方案與稽核目的
  • 稽核起始、準備與可行性評估
  • 稽核演練 - 第一階段稽核 (文件審查、第二階段稽核可行性評估)
  • 準備第二階段稽核 - 現場稽核計畫
  • 準備稽核工作文件 - 稽核查檢表與稽核軌跡

第四天, 管理系統稽核指引 (ISO 19011) - 稽核過程演練 - 稽核起始會議、執行現場稽核活動、稽核員角色與稽核技巧 演練

  • 起始會議 (Opening meeting)
  • 稽核過程演練 - 稽核場景 與 稽核員角色演練
  • 稽核技巧演練 - 訪談、客觀證據搜集
  • 稽核發現演練 - 包含符合(conformance)、缺失 (non-conformity) 與建議可改善事項 (OFI, opportunity for improvement)
  • 準備稽核報告

第五天, 管理系統稽核指引 (ISO 19011) - 稽核過程演練 - 稽核結束會議、稽核發現追蹤與認證 

  • 稽核結論
  • 結束會議 (Close meeting) 
  • 稽核發現追蹤 
  • 管理系統認證
  • 稽核員課程考試

課程包含 

  • 授權課程媒體、講義 
  • 稽核員課程考試
  • 稽核員課程證書 (若考試成績未達通過標準,僅獲頒課程參加證書)

課程注意事項

  1. 請於上課前,完成 [課前知識評估],確認具備本課程相關知識。
  2. 每日課程時間:09:00 ~ 18:00 
  3. 上課期間,視課程進度需要,可能會有夜間作業。
  4. 課程人數限制:每班最低開課人數為 4 人,最多 20 位學員。
  5. 課程講義、簡報等,皆透過 www.TKSG.global 線上學習系統提供,上課地點必須提供高速上網服務,學員必須自備電腦或可上網設備 (例如筆記型電腦、平板)。
  6. 課程報名與聯繫:Email住址會使用灌水程式保護機制。你需要啟動Javascript才能觀看它

附加資訊

Venue (地點): 大中華區
Time (時間): 課程時數:
5 天 (40 小時)
09:00 ~ 18:00
Facilitator (講師): 授權講師

相關項目

資訊安全管理系統 (ISMS, ISO/IEC 27001:2013) 高階基礎課程
資訊安全管理系統 (ISMS, ISO/IEC 27001:2013) 高階基礎課程

資訊安全管理系統要求,包含,資訊安全法規與技術符合性、資訊安全風險管理、資訊資產管理、資訊安全控制(環境與基礎設施、設備、人員、通訊、網絡、系統、應用程式)、資安事件管理、營運持續過程中的資訊安全管理...等

十 05, 2019
資訊安全管理系統 (ISMS, ISO/IEC 27001:2013) 暨個人資料隱私管理 (PIMS, ISO/IEC 27701:2019) 基礎培訓課程
資訊安全管理系統 (ISMS, ISO/IEC 27001:2013) 暨個人資料隱私管理 (PIMS, ISO/IEC 27701:2019) 基礎培訓課程

歐盟的一般數據保護法案 (EU GDPR) 開啟了全球隱私法規和合規性的新紀元。越來越多的隱私法規 (許多是根據 GDPR 制定的) 已在不同的司法管轄區 (無論是市場/行業還是地理位置) 中頒布。因此,組織必須實施相關的政策和程序,以確保遵守越來越多的隱私法規。此外,我們正處於快速數位化轉型之中,數據的收集和處理活動正在急劇地增加。數據量及與該數據有關的法規要求也持續同步增長,使各種類型組織的合規性變得越來越複雜。

個人資料隱私管理系統 (PIMS, ISO/IEC 27701) 國際標準,從資訊安全管理的角度出發,延伸您目前的資訊安全管理系統 (ISMS, ISO/IEC 27001:2013, ISO/IEC 27002),涵蓋個人資料隱私管理,包含,管理過程合規要求(目標、政策、風險管理、資源等管理要求),與技術合規(安全風險控制措施)要求,例如,環境與基礎設施、設備、人員、通訊、網絡、系統、應用程式、資安事件管理、營運持續過程中的資訊安全與個人資料隱私保護管理...等。

十 05, 2019
Personal Information Management System (PIMS, BS 10012:2017) Implementation Training Course 個人資料管理系統建置課程
Personal Information Management System (PIMS, BS 10012:2017) Implementation Training Course 個人資料管理系統建置課程

本課程是學習個人資料管理系統 (PIMS) 的最佳入門課程。學員可經由課程了解個人資訊的重要性,及國內法令法規要求,對個人資料保護範圍、原則、方法有初步且正確的認知。

十 05, 2019
雲服務資訊安全管理 (ISO/IEC 27017) 與 雲服務個人數據保護 (ISO/IEC 27018) 基礎課程
雲服務資訊安全管理 (ISO/IEC 27017) 與 雲服務個人數據保護 (ISO/IEC 27018) 基礎課程

延伸您的資訊安全管理系統到雲服務,包含,資訊安全法規與技術符合性、資訊安全風險管理、資訊資產管理、資訊安全控制(環境與基礎設施、設備、人員、通訊、網絡、系統、應用程式)、資安事件管理、營運持續過程中的資訊安全管理...等。隨著科技的逐漸成熟,組織、客戶對雲服務的需求也越來越明顯,IT 服務的範圍,也從原本的組織延伸到雲服務。

十 05, 2019
歐盟一般數據保護法案 (EU GDPR) 與 歐盟電子通信數據保護法案 (EU ePrivacy Regulation) 合規實務課程
歐盟一般數據保護法案 (EU GDPR) 與 歐盟電子通信數據保護法案 (EU ePrivacy Regulation) 合規實務課程

本課程是了解 歐盟 一般數據保護法案 (EU GDPR (General Data Protection Regulation) 的最佳入門課程。學員可經由課程了解個人資料的重要性,及國內法令法規要求,對個人資料保護範圍、原則、方法有初步且正確的認知。

十 05, 2019
資訊安全風險管理 (ISRM, ISO/IEC 27005) 實務課程
資訊安全風險管理 (ISRM, ISO/IEC 27005) 實務課程

介紹什麼是資訊安全風險管理,以及風險管理的主要活動,包含風險管理原則與要求、風險鑑別、衝擊與可能性分析、嚴重程度評估、風險處理策略、過程溝通、風險監控...等。

十 05, 2019
資訊安全風險管理 (ISRM, ISO/IEC 27005) 基礎課程
資訊安全風險管理 (ISRM, ISO/IEC 27005) 基礎課程

介紹什麼是資訊安全風險管理,以及風險管理的主要活動,包含風險管理原則與要求、風險鑑別、衝擊與可能性分析、嚴重程度評估、風險處理策略、過程溝通、風險監控...等。

十 05, 2019
歐盟一般數據保護法案 (EU GDPR) 與 歐盟電子通信數據保護法案 (EU ePrivacy Regulation) 隱私保護官 (DPO) 合規培訓課程
歐盟一般數據保護法案 (EU GDPR) 與 歐盟電子通信數據保護法案 (EU ePrivacy Regulation) 隱私保護官 (DPO) 合規培訓課程

本課程是了解 歐盟 一般數據保護法案 (EU GDPR (General Data Protection Regulation) 的最佳入門課程。學員可經由課程了解個人資料的重要性,及國內法令法規要求,對個人資料保護範圍、原則、方法有初步且正確的認知。

十 05, 2019
歐盟一般數據保護法案 (EU GDPR) 與 歐盟電子通信數據保護法案 (ePrivacy Regulation) 基礎課程
歐盟一般數據保護法案 (EU GDPR) 與 歐盟電子通信數據保護法案 (ePrivacy Regulation) 基礎課程

本課程是了解 歐盟一般數據保護法案 (EU General Data Protection Regulation, 679/2016, GDPR ) 的最佳入門課程。學員可經由課程了解個人數據的重要性,及國內法令法規要求,對個人數據保護範圍、原則、方法有初步且正確的認知。

十 05, 2019
Go to top
JSN Educare is designed by JoomlaShine.com | powered by JSN Sun Framework