Mitä jaettuja tietoturvakontrolleja on ISO 27701:2025 -standardissa?
Taulukko A.3 ISO 27701:2025 liite A määrittelee 29 tietoturvatoimenpidettä, joita sovelletaan kaikkiin henkilötietoja käsitteleviin organisaatioihin riippumatta siitä, toimivatko ne rekisterinpitäjänä, käsittelijänä vai molempina.
Nämä kontrollit korvasivat vuoden 2019 painoksen 6. kohdan yli 90 alakohtaa. Vuoden 2025 painoksessa säilytettiin vain ne kontrollit, jotka vaativat henkilötietoihin liittyvää erityistä käyttöönotto-ohjeistusta, ja ne yhdistettiin yhdeksi kohdennetuksi kokonaisuudeksi. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten vuosilta 2019–2025.
Kunkin kontrollin toteutusohjeet ovat liitteen B osiossa B.3 (esim. ohjeet A.3.3 Tietoturvakäytännöt (on kohdassa B.3.3).
Täydellinen luettelo taulukon A.3 säätimistä
| Valvonta: | Otsikko | Yhteenveto |
|---|---|---|
| A.3.3 Tietoturvakäytännöt | Tietoturvakäytännöt | Määrittele, hyväksy ja tiedota henkilötietojen käsittelyyn liittyvistä tietoturvakäytännöistä |
| A.3.4 Käyttöoikeusroolit | Tietoturvaroolit ja -vastuut | Määritä ja kohdista henkilökohtaisten tietojen käsittelyyn liittyvät käyttöoikeusroolit ja vastuut |
| A.3.5 Tietojen luokitus | Tietojen luokitus | Luokittele tiedot henkilötietojen perusteella luottamuksellisuuden, eheyden ja saatavuuden perusteella |
| A.3.6 Tietojen merkitseminen | Tietojen merkitseminen | Kehitä merkintämenettelyjä, jotka ottavat huomioon henkilötietojen luokittelun |
| A.3.7 Tiedonsiirto | Tietojen siirto | Laadi henkilötietojen siirtoa koskevat säännöt, menettelyt ja sopimukset |
| A.3.8 Identiteetinhallinta | Identiteettihallinta | Hallitse henkilötietojen käsittelyyn liittyvien identiteettien koko elinkaarta |
| A.3.9 Käyttöoikeudet | Käyttöoikeudet | Henkilötietojen käyttöoikeuksien myöntäminen, tarkistaminen, muokkaaminen ja poistaminen |
| A.3.10 Toimittajasopimukset | Tietoturvan huomioiminen toimittajasopimuksissa | Määrittele henkilötietojen käsittelyä koskevat turvallisuusvaatimukset jokaisen toimittajan kanssa |
| A.3.11 Tapahtumahallinta | Tapahtumanhallinnan suunnittelu ja valmistelu | Suunnittele ja valmistaudu henkilötietoihin liittyvien tietoturvapoikkeamien hallintaan |
| A.3.12 Tietoturvapoikkeamiin reagointi | Tietoturvahäiriöihin reagointi | Reagoi henkilötietoihin liittyviin tietoturvapoikkeamiin dokumentoitujen menettelyjen mukaisesti |
| A.3.13 Lakisääteiset ja sääntelyyn liittyvät vaatimukset | Lakisääteiset, lakisääteiset, säädökset ja sopimusvaatimukset | Dokumentoi henkilötietojen käsittelyn turvallisuuteen liittyvät lakisääteiset ja sääntelyyn liittyvät vaatimukset |
| A.3.14 Tietueiden suojaus | Tietueiden suojaus | Suojaa henkilötietojen käsittelyä koskevat tiedot katoamiselta, tuhoutumiselta ja luvattomalta käytöltä |
| A.3.15 Riippumaton arviointi | Riippumaton tietoturvatarkastus | Tarkista itsenäisesti lähestymistapa henkilötietoihin liittyvän turvallisuuden hallintaan |
| A.3.16 Käytäntöjen noudattaminen | Käytäntöjen, sääntöjen ja standardien noudattaminen | Tarkista säännöllisesti henkilötietojen käsittelyä koskevien turvallisuuskäytäntöjen noudattaminen |
| A.3.17 Turvallisuustietoisuus ja -koulutus | Tietoturvatietoisuus, koulutus ja koulutus | Tarjoa asianmukaista turvallisuustietoisuuskoulutusta henkilötietojen käsittelyyn liittyen |
| A.3.18 Salassapitosopimukset | Luottamuksellisuus- tai salassapitosopimukset | Tunnista, dokumentoi ja tarkista henkilötietojen suojaa koskevat salassapitosopimukset |
| A.3.19 Tyhjä työpöytä ja selkeä näyttö | Selkeä pöytä ja selkeä näyttö | Määrittele ja valvo tyhjän työpöydän ja tyhjän näytön sääntöjä henkilökohtaisia tietoja tarjoaville tiloille |
| A.3.20 Tallennusvälineet | Tallennusvälineet | Hallitse henkilötietoja sisältäviä tallennusvälineitä koko niiden elinkaaren ajan |
| A.3.21 Laitteiden turvallinen hävittäminen | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö | Varmista, että henkilötiedot on poistettu laitteista ennen niiden hävittämistä tai uudelleenkäyttöä |
| A.3.22 Käyttäjän päätelaitteet | Käyttäjän päätelaitteet | Suojaa käyttäjän päätelaitteissa olevia henkilötietoja |
| A.3.23 Suojattu todennus | Turvallinen todennus | Toteuta suojattu todennus henkilötietojen käsittelyjärjestelmille |
| A.3.24 Tietojen varmuuskopiointi | Tietojen varmuuskopiointi | Ylläpidä ja testaa henkilötietojen ja niihin liittyvien järjestelmien varmuuskopioita |
| A.3.25 Lokikirjaus | Hakkuu | Tuottaa, tallentaa, suojata ja analysoida henkilötietojen käsittelytoimien lokeja |
| A.3.26 Kryptografian käyttö | Salaustekniikan käyttö | Määrittele ja toteuta salaussäännöt henkilötietojen käsittelyä varten |
| A.3.27 Turvallisen kehityksen elinkaari | Turvallinen kehityksen elinkaari | Laadi säännöt henkilötietojen käsittelyjärjestelmien turvalliselle kehittämiselle |
| A.3.28 Sovelluksen tietoturva | Sovelluksen suojausvaatimukset | Tunnista henkilötietoihin liittyvät turvallisuusvaatimukset sovelluksia kehitettäessä tai hankittaessa |
| A.3.29 Turvallinen järjestelmäarkkitehtuuri | Turvallinen järjestelmäarkkitehtuuri ja suunnitteluperiaatteet | Laadi periaatteet turvallisten henkilötietojen käsittelyjärjestelmien suunnittelulle |
| A.3.30 Ulkoistettu kehitys | Ulkoistettu kehitys | Ohjaa, valvo ja tarkista ulkoistettujen henkilötietojen käsittelyjärjestelmien kehitystä |
| A.3.31 Testitiedot | Testitiedot | Valitse, suojaa ja hallinnoi testitietoja asianmukaisesti henkilötietojen käsittelyä varten |
Aloita helposti henkilökohtaisella tuote-esittelyllä
Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.
Miten nämä kontrollit liittyvät vuoden 2019 versioon?
Taulukossa A.3 olevat 29 kontrollia ovat vuoden 2019 painoksen kohdan 6 suoria jälkeläisiä. Vuoden 2019 Lauseke 6 sisälsi yli 90 alakohtaa, joista useimmat viittasivat ISO 27002 -standardin mukaisiin kontrolleihin. Vuoden 2025 painoksessa poistettiin alakohdat, joissa ei ollut henkilötietoja koskevia erityisohjeita (fyysinen turvallisuus, verkon turvallisuus, haittaohjelmien torjunta, liiketoiminnan jatkuvuus jne.), ja loput kontrollit yhdistettiin.
Täydellinen kartoitus, katso Liitteen F vastaavuustaulukko.
Kenen on toteutettava taulukko A.3?
Jokaisen ISO 27701:2025 -sertifiointia hakevan organisaation on otettava huomioon taulukko A.3 riippumatta siitä, toimiiko se henkilötietojen rekisterinpitäjänä vai käsittelijänä. Nämä toimenpiteet muodostavat tietosuojan hallintajärjestelmän tietoturvallisuuden perustan.
Jos sinulla on myös ISO 27001 -standardi, monet näistä kontrolleista ovat jo tuttuja. Keskeinen ero on se, että taulukko A.3 lisää jokaiselle kontrollille PII-kohtaiset vaatimukset – esimerkiksi A.3.25 Lokikirjaus (Lokikirjaus) edellyttää erityisesti sen kirjaamista, kuka on käyttänyt minkäkin henkilötietojen käsittelijän tietoja ja mitä muutoksia niihin on tehty.
Miksi valita ISMS.online jaettuja suojausasetuksia varten?
ISMS.online auttaa sinua toteuttamaan taulukon A.3 muiden vaatimustenmukaisuusvaatimusten rinnalla:
- Integroitu ISO 27001 -standardin kanssa — Jos sinulla on jo ISO 27001 -standardin mukaisia kontrollitoimia, katso, missä taulukossa A.3 on lisätty PII-kohtaisia vaatimuksia ilman päällekkäistä työtä.
- Politiikan hallinta — Laatii, hyväksyy, jakaa ja seuraa henkilötietoihin liittyvien turvallisuuskäytäntöjen kuittausta
- Tapahtumien hallinta — Kirjaa, arvioi ja reagoi henkilötietoihin liittyviin tietoturvahäiriöihin ilmoitusten seurannan avulla
- Toimittajien hallinta — Seuraa toimittajasopimuksia, turvallisuusvaatimuksia ja vaatimustenmukaisuuden tilaa
- Tarkastustyökalut — Suunnittele riippumattomat arvioinnit ja vaatimustenmukaisuuden tarkastukset taulukon A.3 vaatimusten mukaisesti
- Todisteiden yhdistäminen — Liitä käytännöt, menettelytavat ja tarkastustulokset suoraan kuhunkin kontrolliin
UKK
Miksi komponentteja on vain 29, kun vuoden 2019 painoksessa oli yli 90 alakohtaa?
Vuoden 2019 painoksessa viitattiin kaikkiin ISO 27002 -standardin mukaisiin kontrollitekijöihin, joihin tehtiin henkilötietoihin liittyviä lisäyksiä. Monissa alakohdissa todettiin yksinkertaisesti "ei lisäohjeita". Vuoden 2025 painoksessa nämä poistettiin ja säilytettiin vain 29 kontrollitekijää, jotka vaativat erityisiä henkilötietojen käyttöönotto-ohjeita, mikä teki laajuudesta tarkemman ja auditoitavamman.
Tarvitsenko taulukkoa A.3, jos minulla on jo ISO 27001 -standardi?
Kyllä. Taulukossa A.3 esitetyt kontrollit ovat ISO 27701 -standardin erityisvaatimuksia, eivät ISO 27001 -standardin mukaisia. Ne lisäävät henkilötietoihin keskittyviä vaatimuksia olemassa olevien tietoturvanhallintajärjestelmien lisäksi. Suuri osa ISO 27001 -standardin mukaisista todisteista ja toteutuksesta on kuitenkin suoraan relevanttia.
Mitä tapahtui fyysisille turvatoimille ja haittaohjelmien torjunnalle?
Ne poistettiin standardista ISO 27701:2025, koska ne eivät vaatineet henkilötietoja koskevaa erityistä käyttöönotto-ohjeistusta. Jos sinulla on ISO 27001 -standardi, ne kuuluvat edelleen kyseisen standardin piiriin. Ne eivät ole poissa tietoturvaohjelmastasi – ne eivät enää kuulu ISO 27701 -standardin piiriin.
Tallenna jaetut ohjausvalintasi muistiin Ilmoitus soveltuvuudesta ohjaimen tai prosessorin ohjainten rinnalla.
Jaettua ohjausjoukkoa hallinnoivien tietoturvajohtajien tulisi lukea CISO-opas standardiin ISO 27701:2025.
Yhtiömme tarkastusevidenssivaatimusten opas kattaa, mitä tilintarkastajat etsivät näissä jaetuissa kontrolleissa.
