Page 92 - 標檢局雙月刊195期
P. 92
「使用與應用ISO/IEC 27001在特定領域與服務之被認證的第3方認證規範 (The Use and Application of ISO/IEC 27001 for Sector/Service-Specific Third-Party Accredited Certifications,ISO/IEC DIS 27009:2015-07-27)」之附錄B(Annex B), 已以「個人資訊管理系統(Personal Information Management System,PIMS)」中的 「隱私衝擊評鑑(Privacy Impact Assessment,PIA)」為例闡明ISO/IEC 27009之運 用方式;根基於此,在第二節與第三節,分別探討ISO個人資料保護標準化之進 程及整合性安全管理系統(ISMS & PIMS)要求事項之脈絡;第四節,提出本文的 結論 [6], [9], [11]~[16],[18] 。 二、整合性(資訊)安全管理系統進程初探 圖2 判斷何時需要執行標準隱私評鑑(Standards Privacy Assessment, SPA) 資料來源:ISO/IEC JTC 1/SC 27/WG 5 SD4: 2014 說明:ISO/IEC 29100:2012(E)中用語為:隱私衝擊評鑑(Privacy Impact Assessment, PIA) ISO 自 2000 年起,即以試作 (Pilot)(2001~2005) 、制定 管理系統標準 86 Bureau of Standards, Metrology and Inspection
