近年来,几乎所有的组织实现有效信息管理的需求变得愈加迫切并有挑战性。人们普遍认为信息(特别是个人信息)是一种资产。但是它也可能成为一种责任 – 按前英国信息部长Richard Thomas说法, -如果管理不当,它将成为对人有害而无一利的责任。
虽然新的技术进步使企业更容易收集大量的个人资料,并在此基础上向其客户提供更优质的服务。但与此同时,也给人们带来另一个困扰就是人们对对个人隐私的担心,而企业只有通过行之有效的信息管理才能有效地应对各业面临的越来越艰巨的挑战。
在英国,按照英国数据保护法(1998)的要求各组织必须对个人数据加以保护。而具体负责制定本法实施指南的机构是英国标准协会BSI。 1998年,BSI专门召集了来自各企业、政府和公共部门的专家制定个人个人信息管理的实施指南。这一活动最终产生了BIO 0012英国数据保护法实施指南。
2007年,专家们发现各行业需要有一个更为正式的文件提出具体了管理体系要求以便各业实施。就是在这种情况下,BS 10012信息管理 - 个人信息管理系统规范诞生了。
BS 10012
BS 10012的目的是向行业提供个人信息管理的基础和并帮助人们对信息管理活动树立信心。无论是通过内审还是外审员,企业能依据此标准通过有效的符合行评审活动证实企业是否满足相关数据保护立法的要求并与行业通行的良好运行模式一致,在此基础上证明组织对于数据管理的承诺。
引用标准的说法,其目的是:“使各组织建立个人信息管理体系,并将其作为整体信息管理基础架构的一个有机组成部分。该体系将为企业保持和改进数据保护活动合规性,帮助其遵从良好运行模式提供一个行之有效的运行结构。”
BS 10012适宜于各类规模和不同的行业部门,可供那些在组织内负责建立、实施和保持个人信息管理的专业人员使用。标准适用于目前成熟的PDCA模式,并作为个人信息管理运行结构的基础,并能与企业现有的信息管理架构兼容。
标准涉及的管理体系包括以下要素:
- 个人信息管理方针的制定和批准
- 体系责任及职责的分配
- 提供来体系运行必要的资源
- 个人信息的识别,包括组织管理的高风险信息
- 工人处理个人信息员工的培训及意识
- 个人信息管理的风险评估
- 信息处理专员室通告要求
- 公平和合法的处理
- 充足性,相关性,准确性和保留
- 个人权利
- 个人信息安全
- 海外信息传递
- 外包处理的使用
- 体系的监测和改进
应该指出,一个组织可以有一个或多个个人信息管理系统,这取决于它的规模和复杂性。
像其它类似的标准,BS 10012不是一个强制性标准。标准没有对体系运行提出具体的要求,而为体系的建立提供一个架构,在这一架构下组织能实现有效地管理个人信息。标准重点是确保组织提供足够的指南和资源(如人员配备),并为信息处理营造一个积极的文化空间。
若组织决定按BS 10012的架构建立其体系,应确定体系涉及的范围以实现最有效地满足标准的架构造要求。例如,组织将需要进行自己的风险评估。在进行风险评估时,组织应选择自身的内部风险评估方法或其它有效实施风险评估的工具,如由于信息专员室发布的隐私影响评估指南。
新标准将人员、方针和技术确定为信息管理解决方案中关键的要素,只要组织能按照标准建立管理架构,就有助于组织更好地满足信息保护法规及良好运行模式指南的要求。