Miten liite A on jäsennelty standardissa ISO 27701:2025?
Liite A on normatiivinen, eli sen valvonta on vaatimus (eivät valinnaista ohjeistusta). Se on jaettu kolmeen taulukkoon organisaation roolin perusteella henkilötietojen käsittelyssä:
| Pöytä | Pätee | Hallintalaitteet | Kohdennusalueet |
|---|---|---|---|
| Taulukko A.1 | PII-ohjaimet | 31 | Oikeudellinen peruste, suostumus, henkilötietojen käsittelyyn liittyvät oikeudet, sisäänrakennettu tietosuoja, tiedonsiirrot |
| Taulukko A.2 | PII-käsittelijät | 18 | Asiakassopimukset, käsittelytarkoitukset, alihankkijoiden hallinta, tiedonannot |
| Taulukko A.3 | Sekä ohjaimet että prosessorit | 29 | Tietoturvakäytännöt, pääsynhallinta, tapausten hallinta, kryptografia, kehitysturvallisuus |
Jokaisella liitteen A mukaisella valvonnalla on vastaavat täytäntöönpano-ohjeet liitteessä B (esim. ohjeet valvonnalle) A.1.2.2 Tarkoituksen tunnistaminen ja dokumentointi löytyy kohdasta B.1.2.2). Organisaatioiden on sisällytettävä kaikki sovellettavat kontrollit sovellettavuuslausuntoonsa ja perusteltava mahdolliset poissulkemiset [lauseke 6.1.3 e)].
Mitä taulukko A.1 kattaa? (PII-ohjaimen säätimet)
Taulukko A.1 sisältää 31 säädintä ryhmitelty neljään tavoitteeseen. Nämä koskevat kaikkia organisaatioita, jotka määrittävät henkilötietojen käsittelyn tarkoitukset ja keinot.
Keräyksen ja käsittelyn edellytykset (A.1.2)
Tavoite: Osoittaa, että käsittely on laillista, että sillä on sovellettavien lainkäyttöalueiden mukainen oikeusperusta ja että sillä on selkeästi määritellyt ja lailliset tarkoitukset.
| Valvonta: | Otsikko |
|---|---|
| A.1.2.2 Tarkoituksen tunnistaminen ja dokumentointi | Tunnista ja dokumentoi tarkoitus |
| A.1.2.3 Oikeudellisen perustan tunnistaminen | Määritä laillinen peruste |
| A.1.2.4 Suostumuksen määrittäminen | Määritä, milloin ja miten suostumus hankitaan |
| A.1.2.5 Suostumuksen hankkiminen ja kirjaaminen | Hanki ja kirjaa suostumus |
| A.1.2.6 Tietosuojaan liittyvä vaikutustenarviointi | Tietosuojavaikutusten arviointi |
| A.1.2.7 Sopimukset henkilötietojen käsittelijöiden kanssa | Sopimukset henkilötietojen käsittelijöiden kanssa |
| A.1.2.8 Yhteinen henkilötietojen rekisterinpitäjä | Yhteinen PII-rekisterinpitäjä |
| A.1.2.9 Henkilötietojen käsittelyä koskevat tiedot | Henkilötietojen käsittelyyn liittyvät tiedot |
Henkilövakuutuksen päämiehiä koskevat velvollisuudet (A.1.3)
Tavoite: Varmistaa, että henkilötietojen käsittelystä vastaaville tahoille annetaan asianmukaiset tiedot heidän henkilötietojensa käsittelystä ja että kaikki muut sovellettavat velvoitteet täytetään.
| Valvonta: | Otsikko |
|---|---|
| A.1.3.2 Velvollisuudet henkilötietojen vakuutuksenottajia kohtaan | Henkilövastuuvakuutusten päämiehiin liittyvien velvoitteiden määrittäminen ja täyttäminen |
| A.1.3.3 Tietoja henkilötietojen käsittelijöille | Henkilötietojen määrittäminen päämiehille |
| A.1.3.4 Tietojen antaminen | Tietojen antaminen PII-päälliköille |
| A.1.3.5 Suostumuksen muuttaminen tai peruuttaminen | Tarjotaan mekanismi suostumuksen muuttamiseksi tai peruuttamiseksi |
| A.1.3.6 Vastusta henkilötietojen käsittelyä | Tarjoaa mekanismin henkilötietojen käsittelyn vastustamiseksi |
| A.1.3.7 Tietojen saaminen, korjaaminen tai poistaminen | Tietojen käyttö, korjaaminen tai poistaminen |
| A.1.3.8 Kolmansille osapuolille tiedottaminen | Henkilötietojen rekisterinpitäjien velvollisuus ilmoittaa kolmansille osapuolille |
| A.1.3.9 Henkilötietojen kopion toimittaminen | Käsiteltyjen henkilötietojen kopion toimittaminen |
| A.1.3.10 Pyyntöjen käsittely | Pyyntöjen käsittely |
| A.1.3.11 Automaattinen päätöksenteko | Automaattinen päätöksenteko |
Sisäänrakennettu yksityisyydensuoja ja oletusarvoinen yksityisyydensuoja (A.1.4)
Tavoite: Varmistaa, että prosessit ja järjestelmät on suunniteltu siten, että henkilötietojen kerääminen ja käsittely rajoittuu siihen, mikä on tarpeen tunnistetun tarkoituksen kannalta.
| Valvonta: | Otsikko |
|---|---|
| A.1.4.2 Rajakeräys | Rajoita keräämistä |
| A.1.4.3 Raja-arvojen käsittely | Rajoita käsittelyä |
| A.1.4.4 Tarkkuus ja laatu | Tarkkuus ja laatu |
| A.1.4.5 Henkilökohtaisten tietojen minimointi | PII-tietojen minimointitavoitteet |
| A.1.4.6 Tunnistamattomuuden poistaminen ja poistaminen | Henkilötietojen poistaminen ja tunnistamattomuus tietojen käsittelyn lopussa |
| A.1.4.7 Väliaikaistiedostot | Väliaikaiset tiedostot |
| A.1.4.8 Säilytys | Säilyttäminen |
| A.1.4.9 Hävittäminen | hävittäminen |
| A.1.4.10 PII-lähetysten ohjaimet | PII-lähetysohjaimet |
Henkilötietojen jakaminen, siirtäminen ja luovuttaminen (A.1.5)
Tavoite: Määrittää, jaetaanko, siirretäänkö tai luovutetaanko henkilötietoja sovellettavien velvoitteiden mukaisesti ja milloin ne jaetaan, siirretään.
| Valvonta: | Otsikko |
|---|---|
| A.1.5.2 Henkilötietojen siirron peruste | Määritä perusteet henkilötietojen siirrolle lainkäyttöalueiden välillä |
| A.1.5.3 Maat, joissa henkilötietoja siirretään | Maat ja kansainväliset järjestöt, joille henkilötietoja voidaan siirtää |
| A.1.5.4 Henkilötietojen siirtoa koskevat tiedot | Henkilötietojen siirtoa koskevat tiedot |
| A.1.5.5 Henkilötietojen luovutusten tiedot | Kolmansille osapuolille annettujen henkilötietojen tiedot |
Aloita helposti henkilökohtaisella tuote-esittelyllä
Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.
Mitä taulukko A.2 kattaa? (PII-prosessorin ohjausobjektit)
Taulukko A.2 sisältää 18 säädintä ryhmitelty neljään tavoitteeseen. Nämä koskevat kaikkia organisaatioita, jotka käsittelevät henkilötietoja henkilötietojen rekisterinpitäjän puolesta.
Keräyksen ja käsittelyn edellytykset (A.2.2)
| Valvonta: | Otsikko |
|---|---|
| A.2.2.2 Asiakassopimus | Asiakassopimus |
| A.2.2.3 Organisaation tarkoitus | Organisaation tarkoitukset |
| A.2.2.4 Markkinointi ja mainonta | Markkinoinnin ja mainonnan käyttö |
| A.2.2.5 Rikkova ohje | Rikkova ohje |
| A.2.2.6 Asiakkaan velvollisuudet | Asiakkaan velvollisuudet |
| A.2.2.7 Henkilötietojen käsittelyä koskevat tiedot | Henkilötietojen käsittelyyn liittyvät tiedot |
Henkilövakuutuksen päämiehiä koskevat velvollisuudet (A.2.3)
| Valvonta: | Otsikko |
|---|---|
| A.2.3.2 Velvollisuudet henkilötietojen vakuutuksenottajia kohtaan | Noudata henkilötietojen käsittelijöiden velvoitteita |
Sisäänrakennettu yksityisyydensuoja ja oletusarvoinen yksityisyydensuoja (A.2.4)
| Valvonta: | Otsikko |
|---|---|
| A.2.4.2 Väliaikaistiedostot | Väliaikaiset tiedostot |
| A.2.4.3 Palautus, siirto tai hävittäminen | Henkilötietojen palauttaminen, siirtäminen tai hävittäminen |
| A.2.4.4 PII-lähetysten ohjaimet | PII-lähetysohjaimet |
Henkilötietojen jakaminen, siirtäminen ja luovuttaminen (A.2.5)
| Valvonta: | Otsikko |
|---|---|
| A.2.5.2 Henkilötietojen siirron peruste | Henkilötietojen siirron peruste lainkäyttöalueiden välillä |
| A.2.5.3 Maat, joissa henkilötietoja siirretään | Maat ja kansainväliset järjestöt, joille henkilötietoja voidaan siirtää |
| A.2.5.4 Henkilötietojen luovutusten tiedot | Kolmansille osapuolille annettujen henkilötietojen tiedot |
| A.2.5.5 Henkilötietojen luovutuspyynnöt | Henkilötietojen luovutuspyyntöjen ilmoittaminen |
| A.2.5.6 Oikeudellisesti sitovat tiedonannot | Oikeudellisesti sitovat henkilötietojen luovutukset |
| A.2.5.7 Alihankkijoiden julkistaminen | Henkilötietojen käsittelyyn käytettyjen alihankkijoiden julkistaminen |
| A.2.5.8 Alihankkijoiden palkkaaminen | Alihankkijan palkkaaminen henkilötietojen käsittelyyn |
| A.2.5.9 Alihankkijan vaihtaminen | Alihankkijan vaihto henkilötietojen käsittelyyn |
Mitä taulukko A.3 kattaa? (Jaetut tietoturvakontrollit)
Taulukko A.3 sisältää 29 säädintä jotka koskevat sekä henkilötietojen rekisterinpitäjiä että käsittelijöitä. Nämä ovat tietoturvakontrolleja, joilla on erityisiä henkilötietojen käsittelyvaatimuksia.
| Valvonta: | Otsikko |
|---|---|
| A.3.3 Tietoturvakäytännöt | Tietoturvakäytännöt |
| A.3.4 Käyttöoikeusroolit | Tietoturvaroolit ja -vastuut |
| A.3.5 Tietojen luokitus | Tietojen luokitus |
| A.3.6 Tietojen merkitseminen | Tietojen merkitseminen |
| A.3.7 Tiedonsiirto | Tietojen siirto |
| A.3.8 Identiteetinhallinta | Identiteettihallinta |
| A.3.9 Käyttöoikeudet | Käyttöoikeudet |
| A.3.10 Toimittajasopimukset | Tietoturvan huomioiminen toimittajasopimuksissa |
| A.3.11 Tapahtumahallinta | Tietoturvaloukkausten hallinnan suunnittelu ja valmistelu |
| A.3.12 Tietoturvapoikkeamiin reagointi | Tietoturvahäiriöihin reagointi |
| A.3.13 Lakisääteiset ja sääntelyyn liittyvät vaatimukset | Lakisääteiset, lakisääteiset, säädökset ja sopimusvaatimukset |
| A.3.14 Tietueiden suojaus | Tietueiden suojaus |
| A.3.15 Riippumaton arviointi | Riippumaton tietoturvatarkastus |
| A.3.16 Käytäntöjen noudattaminen | Tietoturvakäytäntöjen, sääntöjen ja standardien noudattaminen |
| A.3.17 Turvallisuustietoisuus ja -koulutus | Tietoturvatietoisuus, koulutus ja koulutus |
| A.3.18 Salassapitosopimukset | Luottamuksellisuus- tai salassapitosopimukset |
| A.3.19 Tyhjä työpöytä ja selkeä näyttö | Selkeä pöytä ja selkeä näyttö |
| A.3.20 Tallennusvälineet | Tallennusvälineet |
| A.3.21 Laitteiden turvallinen hävittäminen | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
| A.3.22 Käyttäjän päätelaitteet | Käyttäjän päätelaitteet |
| A.3.23 Suojattu todennus | Turvallinen todennus |
| A.3.24 Tietojen varmuuskopiointi | Tietojen varmuuskopiointi |
| A.3.25 Lokikirjaus | Hakkuu |
| A.3.26 Kryptografian käyttö | Salaustekniikan käyttö |
| A.3.27 Turvallisen kehityksen elinkaari | Turvallinen kehityksen elinkaari |
| A.3.28 Sovelluksen tietoturva | Sovelluksen suojausvaatimukset |
| A.3.29 Turvallinen järjestelmäarkkitehtuuri | Turvallinen järjestelmäarkkitehtuuri ja suunnitteluperiaatteet |
| A.3.30 Ulkoistettu kehitys | Ulkoistettu kehitys |
| A.3.31 Testitiedot | Testitiedot |
Vapauta itsesi laskentataulukoiden vuorten vallasta
Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.
Miten liite A ja liite B toimivat yhdessä?
Liitteessä A määritellään valvontatavoitteet ja valvontalausunnot (”mitä”). Liite B sisältää täytäntöönpanoa koskevia ohjeita (”miten”). Jokaisella liitteen A mukaisella ohjausobjektilla on vastaava liitteen B lauseke, jolla on sama numerointi:
- Valvonta: A.1.2.2 Tarkoituksen tunnistaminen ja dokumentointi (Määritä ja dokumentoi tarkoitus) → Ohjeistus osoitteessa B.1.2.2
- Valvonta: A.2.2.2 Asiakassopimus (Asiakassopimus) → Ohjeistus osoitteessa B.2.2.2
- Valvonta: A.3.3 Tietoturvakäytännöt (Tietoturvallisuutta koskevat käytännöt) → Ohjeistus osoitteessa B.3.3
Kun otat käyttöön kontrollimekanismia, lue sekä liitteen A vaatimus että liitteen B ohjeistus yhdessä. Liite B on luokiteltu normatiiviseksi, vaikka siinä käytetäänkin "pitäisi"-sanaa "täytyy"-sanan sijaan, mutta tilintarkastajat odottavat toteutuksen olevan tarkoituksen mukainen.
Miten liite A liittyy muihin liitteisiin?
Standardi sisältää neljä lisäliitettä, jotka yhdistävät liitteen A kontrollit ulkoisiin kehyksiin:
- Liite C — Yhdistää hallintalaitteet ISO/IEC 29100 -standardin 11 yksityisyydensuojaperiaatteeseen
- Liite D - Yhdistää hallintalaitteet GDPR-artikkeleihin (Artiklat 5–35 ja 44–49)
- Liite E — Yhdistää ohjausobjektit standardien ISO/IEC 27018 (pilviprosessorit) ja ISO/IEC 29151 (henkilökohtaisten tietojen suojaus) mukaisiksi
- Liite F - Yhdistää vuoden 2025 ohjausobjektit ISO 27701:2019 -standardin vastaaviin
Nämä kartoitukset ovat informatiivisia (eivät normatiivisia), mutta ne ovat korvaamattomia organisaatioille, joiden on osoitettava noudattavansa useita viitekehyksiä samanaikaisesti.
Miksi valita ISMS.online standardin ISO 27701:2025 liitteen A mukaisesti?
ISMS.online tarjoaa sinulle jäsennellyn ja auditoitavan tavan toteuttaa jokainen liitteen A mukainen valvonta:
Vertaile, miten johtavat alustat tukevat liitteen A käyttöönottoa meidän vaatimustenmukaisuusohjelmistojen vertailu.
- Valmiiksi rakennetut ohjaussarjat — Kaikki 78 ohjausobjektia on kartoitettu ja valmiina sovellettavuuslausuntaasi varten
- Todisteiden yhdistäminen — Liitä käytännöt, riskinarvioinnit, auditointitulokset ja -tiedot suoraan kuhunkin valvontaan
- Roolipohjaiset näkymät — Suodata ohjausobjektit roolisi mukaan (rekisterinpitäjä, käsittelijä tai molemmat), jotta näet vain soveltuvat kohteet
- Aukon seuranta — Merkitse jokainen kontrolli toteutetuksi, osittain toteutetuksi tai ei sovelletaksi perusteluineen
- Kehysten välinen kartoitus — Katso, miten kukin ohjausobjekti vastaa GDPR, ISO 27001 ja muut käyttämäsi viitekehykset
- Tarkastusvalmiit viennit — Laadi soveltuvuuslausunto ja todistusaineisto ulkopuolisille tilintarkastajille
UKK
Pitääkö minun ottaa käyttöön kaikki 78 liitteen A mukaista valvontaa?
Ei välttämättä. Sinun on sisällytettävä sovellettavuuslausuntoosi kaikki rooliisi (rekisterinpitäjä, käsittelijä tai molemmat) sovellettavat suojatoimet. Kaikki poikkeukset on perusteltava. Suojatoimia voidaan sulkea pois, jos niitä ei pidetä tarpeellisina riskinarvioinnissasi tai jos sovellettavat lakisääteiset vaatimukset eivät niitä edellytä.
Mitä eroa on liitteillä A ja B?
Liite A sisältää kontrollin tavoitteet ja kontrollilausekkeet (vaatimukset). Liite B sisältää kunkin kontrollin toteutusohjeita. Liite A on normatiivinen (pakollinen); liitteen B ohjeistus on normatiivinen ja siinä käytetään "pitäisi"-sanastoa antaakseen toteutussuosituksia, joita tilintarkastajat odottavat käsiteltävän.
Mistä tiedän, mikä taulukko koskee organisaatiotani?
Jos määrität henkilötietojen käsittelyn tarkoitukset ja keinot, Taulukko A.1 (rekisterinpitäjän valvonta) on voimassa. Jos käsittelet henkilötietoja toisen organisaation puolesta, Taulukko A.2 (käsittelijän suojaus) on voimassa. Taulukko A.3 (jaettu hallinta) koskee molempia rooleja. Monet organisaatiot toimivat sekä rekisterinpitäjinä että käsittelijöinä eri käsittelytoimissa.
Miten vuoden 2025 ohjausobjektit vastaavat vuoden 2019 versiota?
Liitteessä F on täydellinen vastaavuustaulukko molempiin suuntiin. Taulukossa F.1 vuoden 2025 tarkastukset on yhdistetty vuoden 2019 vastineisiin. Taulukossa F.2 vuoden 2019 tarkastukset on yhdistetty vuoden 2025 vastineisiin. Katso lisätietoja. Liitteen F kirjeenvaihto-opas koko kartoitusta varten.
Opi dokumentoimaan ohjausobjektien valintasi Soveltamislausunto-opas.
Jokainen kontrolli vaatii tukevaa näyttöä — katso lisätietoja tarkastusevidenssin vaatimukset opas tilintarkastajien odotuksiin.
