一提到“PIMS”，大多数人会想到温布尔登网球锦标赛等赛事上供应的夏季饮料。但是它也是对于各行各业而言都很重要的一个缩略词。个人信息管理系统(PIMS)是信息技术时代必不可少的一种新型管理系统。为了确保在管理这些系统的过程中保持质量和一致性，已经编写了相关的标准。
民众大都意识到保护自己个人信息的必要性。不慎泄露个人信息可产生的后果由身份窃取、财务损失或者来自他人的侵扰性、妨害性接触。但是，持有个人信息的任何组织都有法律义务对信息进行适当的管理。这一义务适用于所有个人信息、客户、员工和供应商，因此，所有组织需要评估规定如何适用于它们。
业务经理(尤其是在欧盟地区)要熟悉GDPR，即通用数据保护条例(General Data Protection Regulation)。这一条例旨在强制实施保护个人和组织的数据保护级别。这是一项以法律用语制定的冗长规定，具有广泛和一般参考意义。但为了能够应用良好的数据管理，文字越简洁、内容越详细的标准就越有用。BS 10012个人信息管理系统就是这种标准。该标准的有效段落简述如下。

4.组织背景
ISO 9001或AS 9100标准的用户熟悉对组织背景的定义。在此情况下，它将定义“利益相关方”和有关个人信息的系统范围。

5.领导力与员工参与
组织的管理人员必须参与PIMS的规划和监测。他们必须确保以合法方式收集和存储信息，并确保将这些要求传达给组织内的工作人员。管理者必须监测系统的性能，并确保取得必要的成果。

6.规划
规划必须取得必要的成果并最大限度降低第4部分所述的风险。规划应该确认PIMS范围内有哪些流程，哪些部门负责实施，哪些人会收到或者有权限访问个人信息。必须明确地了解谁是数据控制者、谁是数据处理者，GDPR中定义了这些术语。

7.资源
任何管理系统都需要得到充足的资源，而且新的要求不能始终为现有的工作人员所理解。至少还需要提供有关个人数据管理以及有关规例意识的培训。应制定程序确保对人员的能力进行评估，并确保通过培训和从经验中所得的知识保留在组织内。

8.运作
应在高层管理人员中任命一名数据保护官(DPO)和代表，负责数据保护事务。
该部分列出了PIMS的所有文件要求。

9.性能评估
为了贯彻计划—执行—检查—行动原则，必须对PIMS的性能进行检查和评估。评估将带来改变，从而持续改进数据保护。评估包括对PIMS的内部审核。

10.改进
每一种管理系统必须寻求进一步改进，以更好地满足规定的要求，并跟上不断变化的业务环境。PIMS必须能够进行变更管理，而且应该向内部或外部审查人员提供此类变更的证据。

这种对标准的简要描述概括了管理个人信息时所采取的方法。所有组织需要根据规定确立自己的责任，大部分将需要落实一种完善的个人信息管理系统。

如有疑问，请联系: paul@mfn.li

标准论坛
作者：Paul Huyton，MFN全球课程导师
更多信息，请参见 www.mfn.li/cn/trainers