Kaikki mitä sinun tarvitsee tietää ISO 27701:2025 -standardin päivityksestä

Christie Raen kirjoittama • 26 marraskuu 2025

Kansainvälinen standardisoimisjärjestö ISO on julkaissut päivitetyn standardin ISO/IEC 27701 -standardi yksityisyyden suojaa koskevien tietojen hallintaa varten lokakuussa 2025. Aiemmin laajennus ISO 27001 ja ISO 27002, ISO 27701:2025 -päivitys vahvistaa ISO 27701 itsenäisenä standardina.

Tässä blogissa tarkastelemme ISO 27701:2025 -standardin ja sen vuoden 2019 version välisiä eroja ja keskustelemme siitä, mitä ne merkitsevät yrityksellesi.

Mitä on muuttunut ISO 27701:2025 -standardissa?

ISO 27701 -standardin muuttuminen laajennuksesta itsenäiseksi standardiksi tuo mukanaan uuden otsikon; Tietoturva, kyberturvallisuus ja yksityisyyden suoja – Tietosuojatiedon hallintajärjestelmät, mikä heijastaa sen uutta asemaa. Tämä korvaa aiemman nimikkeen, Tietoturvatekniikat — Laajennus ISO/IEC 27001- ja ISO/IEC 27002 -standardeihin yksityisyyden suojaa koskevien tietojen hallintaa varten.

Ylimmän tason muutoksia ovat:

ISO 27701 on nyt standardi eikä ISO 27001 -standardin laajennus.
Hallintalausekkeet 4.1–10.2 on lisätty
Liitteet on nimetty uudelleen ja numeroitu uudelleen
Tietosuoja-asetukset pysyvät samoina, samoin vaatimuksin
Uusi liite, joka sisältää 29 tietoturvakontrollia, on lisätty
Uudet tietoturvakontrollit korvaavat ISO 27701:2019 -standardin kohdan 6.

Tutkimme näitä muutoksia tarkemmin.

ISO 27701:2019 - ISO 27701:2025 -lausekkeen uudelleenjärjestely

Standardia on uudistettu, ja siihen on lisätty ISO 27001- ja ISO 27002 -standardien mukaiset hallintalausekkeet 4.1–10.2.

Standardin edellinen versio, ISO 27701:2019, sisälsi lausekkeita, joissa yksityiskohtaisesti kuvattiin PIMS- (Privacy Information Management System) -kohtaisia vaatimuksia suhteessa ISO 27001 -standardiin, PIMS-kohtaisia vaatimuksia suhteessa ISO 27002 -standardiin, lisäohjeita henkilötietojen (PII) rekisterinpitäjille ja lisäohjeita henkilötietojen käsittelijöille.

1 §, soveltamisala viittaa nyt vaatimuksiin itsenäisen yksityisyyden suojan tiedonhallintajärjestelmän (PIMS) perustamiseksi, toteuttamiseksi, ylläpidoksi ja jatkuvaksi parantamiseksi sen sijaan, että PIMS rakennettaisiin ISO 27001- ja ISO 27002 -standardien laajennuksena.

2. kohta, viittaukset normatiivisiin määräyksiin sisältää lyhyemmän viiteluettelon, koska ISO 27701 on nyt standardi eikä laajennus. Vuoden 2025 päivitys viittaa vain standardiin ISO/IEC 29100. Tietotekniikka — Tietoturvatekniikat — Yksityisyyden suojan viitekehys.

Vuoden 2019 painoksesta poistettuja viitteitä ovat:

ISO/IEC 27000, Tietotekniikka — Tietoturvatekniikat — Tietoturvallisuuden hallintajärjestelmät — Yleiskatsaus ja sanasto
ISO/IEC 27001:2013, Tietotekniikka — Tietoturvatekniikat — Tietoturvallisuuden hallintajärjestelmät — Vaatimukset
ISO/IEC 27002:2013, Tietotekniikka — Tietoturvatekniikat — Tietoturvakontrollien käytännesäännöt.

3 §, termit, määritelmät ja lyhenteet on laajennettu standardin laajemman soveltamisalan vuoksi, ja siinä on nyt viittauksia tavoitteisiin, intressitahoihin jne. muiden ISO-standardien mukaisesti.

Lauseke 4 on nyt organisaation kontekstissa. Tämä lauseke edellyttää organisaatioilta, että ne määrittävät sisäiset ja ulkoiset tekijät, jotka liittyvät niiden kykyyn saavuttaa henkilötietojen hallintajärjestelmänsä (PIMS) tarkoitetut tulokset. Niiden on myös määritettävä sidosryhmien tarpeet ja odotukset, määritettävä henkilötietojen hallintajärjestelmänsä laajuus ja sitten luotava, toteutettava, ylläpidettävä ja parannettava henkilötietojen hallintajärjestelmäänsä.

Lauseke 5 on nyt johto, joka korvaa vuoden 2019 standardin ISO 27001 mukaiset PIMS-kohtaiset vaatimukset. Tämän lausekkeen tarkoituksena on varmistaa, että ylin johto osoittaa johtajuutta ja sitoutumista PIMS-järjestelmään, laatii sopivan tietosuojakäytännön ja delegoi roolit, vastuut ja valtuudet asianmukaisesti.

Lauseke 6 on nyt suunnittelu, korvaa vuoden 2019 standardiin liittyvät ISO 27002 -standardiin liittyvät PIMS-kohtaiset vaatimukset. Tämä lauseke keskittyy toimiin riskien ja mahdollisuuksien käsittelemiseksi, mukaan lukien yksityisyyteen liittyvien riskien arviointi ja käsittely. Organisaatioiden on myös asetettava yksityisyyteen liittyvät tavoitteet ja suunniteltava niiden saavuttamista sekä suunniteltava muutoksia PIMS-järjestelmään.

Lauseke 7 on nyt tuki, ...korvaa ISO 27002 -standardin mukaisen PII-rekisterinpitäjille tarkoitetun lisäohjeistuksen. Tämä lauseke edellyttää organisaatioilta, että PIMS-järjestelmien perustamista, käyttöönottoa, ylläpitoa ja jatkuvaa parantamista varten on käytettävissä asianmukaiset resurssit, osaaminen, tietoisuus, viestintä ja dokumentoitu tieto.

Lauseke 8 on nyt toiminta, joka korvaa henkilötietojen käsittelijöille annetun ISO 27002 -standardin mukaisen lisäohjeistuksen. Lauseke edellyttää organisaatioilta vaatimustenmukaisuusvaatimusten täyttämiseksi tarvittavien prosessien suunnittelua, toteuttamista ja valvontaa. Se edellyttää myös organisaatioilta yksityisyyden suojaa koskevien riskien arviointien suorittamista ja yksityisyyden suojaa koskevien riskien käsittelyjen toteuttamista.

Kohta 9, suorituskyvyn arviointi on standardin uusi lisäys. Tämä kohta keskittyy seurantaan, mittaamiseen, analysointiin ja arviointiin, mukaan lukien sisäiset tarkastukset ja johdon katselmukset.

10. kohta, parannuson myös uusi lisäys standardiin. Se edellyttää organisaatioilta toimia PIMS-järjestelmiensä jatkuvaksi parantamiseksi.

11 §, lisätietoja liitteistä on uusi lisäys ja sisältää tietoa liitteistä C, D, E ja F.

Liitteiden muutokset

ISO 27701 -standardin liitteet on nimetty uudelleen ja numeroitu uudelleen, mutta yksityisyyden suojan toimenpiteet ovat pysyneet samoina ja sisältävät samat vaatimukset. Liite A on yhdistetty yhdeksi, kun se aiemmin oli kaksi erillistä liitettä henkilötietojen käsittelijöille ja rekisterinpitäjille.

Uusia tietoturvallisuuden kontrolleja on kuitenkin lisätty.

Uudet tietoturvakontrollit

29 uutta tietoturvakontrollia löytyvät taulukosta A.3 – Henkilökohtaisesti tunnistettujen tietojen rekisterinpitäjien ja käsittelijöiden kontrollitavoitteet ja kontrollit. Kontrollit sisältävät seuraavat:

Tietoturvakäytännöt
Tietojen luokitus
Identiteettihallinta
Käyttöoikeudet
Tietoturvan huomioiminen toimittajasopimuksissa
Tietoturvatietoisuus, koulutus ja koulutus

Ja enemmän.

Olen jo ISO 27701 -sertifioitu, mitä tämä tarkoittaa minulle?

Uuteen ISO 27701 -standardiin siirtymisen määräaika on lokakuu 2028. Monet uuden ISO 27701:2025 -päivityksen tietoturvakontrollit ovat kuitenkin suoraan linjassa ISO 27001 -standardin vaatimusten kanssa. Tämän seurauksena organisaatiot, jotka ovat jo sertifioitu ISO 27701 -standardin mukaisesti ISO 27001 -standardin laajennuksena, voivat kokea siirtymisen ISO 27701:2025 -standardiin erillisenä standardina suhteellisen saumattomaksi.

Vahvista tietosuojaasentaasi jo tänään

Tietosuoja on keskeinen osa IO:n vaatimustenmukaisuusprosessia: tietoturva, tietosuoja ja tekoälyn hallinta, jotka kaikki tukevat organisaation sietokykyä. Organisaatiot, jotka omaksuvat kyberturvallisuuden sietokyvyn, nousevat nopeasti toimialansa johtajiksi ja saavuttavat kilpailuedun. Päivitetty ISO 27701 -standardi tukee tietosuojatiedonhallintajärjestelmän rakentamista ja tietosuojakäytäntöjen parantamista kokonaisvaltaisesti.

IO-alusta ja -työkalut ovat valmiina tukemaan sinua jo nyt. Ne auttavat sinua ymmärtämään muutoksia, tarkistavat niiden vaikutuksen organisaatiosi tietosuojatavoitteisiin, antavat käyttöönotto-ohjeita ja siirtyvät sertifiointiisi. Hyödynnä vaatimustenmukaisuusetusi jo tänään – varaa demosi!

Christie Rae

Christie on sisältömarkkinoinnin asiantuntija ISMS.onlinessa. Yli seitsemän vuoden kokemuksella hän pyrkii kirjoittamaan informatiivista, mukaansatempaavaa sisältöä ja on työskennellyt useilla eri aloilla, mukaan lukien kyberturvallisuus, ohjelmistot palveluna, tekniikka ja lääketeollisuus.

Lue lisää Christie Raelta

tietoverkkoturvallisuus 29 joulukuu 2025

tietoturvan tilaa koskeva raportti 11 keskeistä tilastoa ja trendiä oikeusalalla banneri

Tietoturvallisuuden tilaraportti: 11 keskeistä tilastoa ja trendiä oikeusalalla

Vuoden 2025 tietoturvallisuuden tilaa koskeva raportti paljasti monimutkaiset kyberhaasteet ja -mahdollisuudet, joita turvallisuusjohtajat ovat kohdanneet viimeisten 12 vuoden aikana ...

Christie Rae

tietoverkkoturvallisuus 17 joulukuu 2025

Tietoturvan tilaraportti 11 keskeistä tilastoa ja trendiä valmistus- ja yleishyödyllisten palvelujen alalla banneri

Tietoturvallisuuden tilaraportti: 11 keskeistä tilastoa ja trendiä valmistus- ja yleishyödyketeollisuudelle

Tämän vuoden tietoturvaraportti paljasti lukuisat haasteet ja mahdollisuudet, joita tietoturvajohtajat ovat kohdanneet viimeisten 12 kuukauden aikana...

Christie Rae

tietoverkkoturvallisuus 10 joulukuu 2025