標準簡介
《一般資料保護規則》(GDPR)是歐盟於 2018 年 5 月 25 日生效的全面性資料隱私法。它規範組織如何收集、使用、儲存、分享和保護歐盟和歐洲經濟區(EEA)內個人的個人資料。儘管為歐盟法規,GDPR 具有域外效力——全球任何處理歐盟居民個人資料的組織都必須遵守。此法規從根本上改變了全球資料隱私方法,賦予個人對其個人資訊前所未有的控制權,並對資料控制者和處理者施加嚴格的問責要求。
GDPR 建立在七項核心原則之上:合法性、公平性和透明度;目的限制;資料最小化;準確性;儲存限制;完整性和保密性;以及問責制。組織必須具備合法的處理依據(如同意、合約、法律義務或合法利益),實施適當的技術和組織措施以確保資料安全,對高風險處理進行資料保護影響評估(DPIA),在需要時任命資料保護官,並在 72 小時內向監管機關報告資料外洩事件。不合規可能導致最高 2000 萬歐元或全球年營業額 4% 的罰款,以較高者為準。此法規亦賦予個人權利,包括存取權、更正權、刪除權(被遺忘權)、資料可攜性權以及反對處理權。
shield
適用範圍
適用於各種規模和產業的組織,涵蓋保密性、完整性和可用性的保護。
account_tree
結構
遵循高階結構(HLS),確保與 ISO 9001 等其他 ISO 管理系統標準無縫整合。
verified
認證
組織在成功完成資訊安全管理系統的外部稽核後,可取得認可的認證。
list_alt 核心要求(第 4-10 條款)
- 組織的背景
- 領導與承諾
- 規劃與風險評估
- 支援與認知
- 營運
- 績效評估
- 持續改進