Hyppää sisältöön
ISMS.online

ISO 27701:2025 -standardin mukainen valvonta A.3.10: Tietoturvallisuuden käsittely toimittajasopimuksissa

Kontrollin A.3.10 mukaan organisaatioiden on laadittava ja sovittava asiaankuuluvat tietoturvavaatimukset jokaisen henkilötietoja käsittelevän toimittajan kanssa. Tämä on kriittinen toimitusketjun kontrolli standardin ISO 27701:2025 mukaisesti.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä kohta A.3.10 edellyttää?

Henkilötietojen käsittelyyn liittyvät asiaankuuluvat tietoturvavaatimukset on määriteltävä ja sovittava kunkin toimittajan kanssa toimittajasuhteen tyypin perusteella.

Tämä ohjaus sijaitsee Jaetut suojaustoiminnot liite (A.3), joka sisältää sekä henkilötietojen rekisterinpitäjien että käsittelijöiden velvoitteet. Siinä tunnustetaan, että henkilötiedot harvoin pysyvät yhden organisaation sisällä – toimittajat, alihankkijat ja kumppanit tuovat mukanaan riskejä, joita on hallittava sopimuksella.

Mitä liitteen B täytäntöönpano-ohjeissa sanotaan?

Liitteessä B (kohta B.3.10) annetaan seuraavat ohjeet:

  • Määritä henkilötietojen käsittely — Sopimuksissa tulisi määrittää, käsitelläänkö henkilötietoja ja jos käsitellään, mitkä ovat toimittajan toteuttamat vähimmäistekniset ja organisatoriset toimenpiteet.
  • Jaa vastuut selkeästi — Organisaation, sen kumppaneiden ja toimittajien välisen vastuunjaon tulee olla selkeä ja yksiselitteinen
  • Vaatimustenmukaisuusmekanismit — Tarjota mekanismi, jolla varmistetaan sovellettavien lakisääteisten vaatimusten, kuten tietosuojavelvoitteita koskevien sopimuslausekkeiden, noudattaminen
  • Riippumaton tarkastusevidenssi — Harkitse riippumattoman vaatimustenmukaisuuden auditoinnin vaatimista (esimerkiksi ISO 27001 -sertifikaatti) keinona osoittaa, että toimittajat täyttävät tietoturvavaatimukset
  • Käsittelijäkohtaiset ohjeet — Jos organisaatio toimii henkilötietojen käsittelijänä, sen omien toimittajien (alikäsittelijöiden) kanssa tehtävissä sopimuksissa tulisi täsmentää, että henkilötietoja käsitellään ainoastaan ​​rekisterinpitäjän ohjeiden mukaisesti.

Ohjeistuksessa korostetaan, että toimitussopimukset eivät ole vain oikeudellinen muodollisuus – ne ovat ensisijainen mekanismi, jonka kautta organisaatiot laajentavat yksityisyyden suojaa toimitusketjuun.

Miten tämä vastaa GDPR:ää?

Kontrolli A.3.10 kohdistuu useisiin GDPR artikkeleita:

  • 5 artiklan 1 kohdan f alakohta — Eheys ja luottamuksellisuus, mukaan lukien tapaukset, joissa kolmannet osapuolet käsittelevät henkilötietoja
  • Article 28 (1) — Rekisterinpitäjien on käytettävä ainoastaan ​​​​käsittelijöitä, jotka tarjoavat riittävät takeet
  • 28 artiklan 3 kohdan a alakohta — Käsittelijäsopimusten pakolliset sopimusehdot, mukaan lukien käsittelyn kohde, kesto, luonne ja molempien osapuolten velvoitteet
  • 30 artiklan 2 kohdan d alakohta — Käsittelijöiden on kirjattava kunkin rekisterinpitäjän lukuun suoritettujen käsittelyjen luokat
  • 32 artiklan 1 kohdan b alakohta — Kyky varmistaa käsittelyjärjestelmien jatkuva luottamuksellisuus, eheys, saatavuus ja vikasietoisuus

Mikä muuttui standardista ISO 27701:2019?

Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.

Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin kohdissa 6.12.1.1 ja 6.12.1.2, joissa käsiteltiin toimittajasuhteiden tietoturvapolitiikkaa ja tietoturvan käsittelyä toimittajasopimuksissa. Vuoden 2025 painos yhdistää nämä yhdeksi valvonnaksi (A.3.10), jonka yhtenäinen toteutusohjeistus on kohdassa B.3.10. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.



ISMS.onlinen tehokas kojelauta

Aloita helposti henkilökohtaisella tuote-esittelyllä

Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.

Varaa esittelysi


Mitä todisteita tilintarkastajat odottavat?

Arvioidessaan kohdan A.3.10 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:

  • Toimittajarekisteri — Luettelo kaikista henkilötietoja käsittelevistä toimittajista, sekä tiedot siitä, mihin tietoihin he pääsevät käsiksi ja käsittelyn luonne
  • Tietojenkäsittelysopimukset — Allekirjoitetut sopimukset tai lausekkeet, joissa määritellään tietoturvavaatimukset, vastuut ja vaatimustenmukaisuusvelvoitteet
  • Due diligence -asiakirjat — Todisteet siitä, että toimittajat arvioitiin ennen sitoutumista, mukaan lukien turvallisuuskyselyt tai sertifiointitarkastukset
  • Jatkuva seuranta — Säännöllisten toimittajien arviointien, auditointien tai uudelleensertifiointitarkastusten tiedot jatkuvan vaatimustenmukaisuuden varmistamiseksi
  • Alikäsittelijöiden hallinta — Jos organisaatio on henkilötietojen käsittelijä, asiakirjat, jotka osoittavat, että alihankkijat ovat sopimussuhteessa rekisterinpitäjän ohjeisiin

Mitä asiaan liittyviä ohjausobjekteja on?

Valvonta: Yhteys
A.3.9 Käyttöoikeudet Toimittajien pääsyä henkilötietoihin on säänneltävä organisaation käyttöoikeuskäytännön mukaisesti.
A.3.13 Lakisääteiset ja sopimusoikeudelliset vaatimukset Toimittajasopimusten on oltava sovellettavien lakisääteisten ja sääntelyyn liittyvien velvoitteiden mukaisia
A.3.18 Salassapitosopimukset Henkilötietoihin pääsyä omaavan toimittajien henkilöstön tulee allekirjoittaa salassapitosopimukset
A.3.15 Riippumaton arviointi Riippumattomat auditoinnit voivat osoittaa toimittajien vaatimustenmukaisuuden yksittäisten asiakasauditointien sijaan
A.3.12 Tapahtumaan reagointi Toimittajasopimusten tulisi sisältää tietomurtoilmoitusvelvollisuudet ja vasteajat

Ketä tämä valvonta koskee?

A.3.10 on jaettu hallinta Tämä koskee sekä henkilötietojen rekisterinpitäjiä että käsittelijöitä. Rekisterinpitäjien on varmistettava, että heidän käsittelijöillään ja toimittajillaan on riittävät sopimustekniset suojatoimet. Käsittelijöiden on sovellettava vastaavia vaatimuksia omiin alihankkijoihinsa varmistaen, että henkilötietoja käsitellään ainoastaan ​​rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti.



kiipeily

Vapauta itsesi laskentataulukoiden vuorten vallasta

Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.

Varaa esittelysi


Miksi valita ISMS.online toimittajien tietosuojasopimusten hallintaan?

ISMS.online tarjoaa käytännön työkaluja toimittajasuhteiden ja tietosuojavelvoitteiden hallintaan:

  • Toimittajien hallintamoduuli — Ylläpidä keskitettyä rekisteriä kaikista henkilötietoja käsittelevistä toimittajista, mukaan lukien riskiluokitukset, sopimuspäivät ja tarkistusaikataulut
  • Sopimusten seuranta — Tallennus- ja versionhallintatietojen käsittelysopimukset automaattisilla uusimismuistutuksilla
  • Due diligence -työnkulut — Arvioi uusia toimittajia turvallisuusvaatimustesi mukaisesti ennen käyttöönottoa konfiguroitavien kyselylomakepohjien avulla
  • Jatkuva seuranta — Aikatauluta säännöllisiä toimittajien arviointeja tehtävineen ja todisteiden keräämisen kera
  • Auditointivalmis raportointi — Luo toimittajien vaatimustenmukaisuusraportteja, jotka näyttävät sopimusten tilan, tarkistushistorian ja keskeneräiset toimenpiteet
  • Alikäsittelijän seuranta — Kartoita koko jalostusketju, jotta tiedät tarkalleen, missä henkilötiedot kulkevat toimitusverkostossasi

UKK

Mitä toimittajasopimuksen tulisi sisältää henkilötietojen käsittelyä varten?

Sopimuksessa tulisi vähintäänkin määrittää, käsitelläänkö henkilötietoja, käsiteltävien tietojen luokat ja määrä, toimittajan toteuttamat tekniset ja organisatoriset vähimmäistoimenpiteet, vastuunjako osapuolten välillä, tietomurtoilmoitusvaatimukset ja mekanismi vaatimustenmukaisuuden varmistamiseksi. GDPRArtiklan 28(3) mukaan on lueteltu pakolliset sopimusehdot, joihin on puututtava.

Voiko ISO 27001 -sertifiointi korvata toimittaja-auditoinnin?

Toteutusohjeissa mainitaan erityisesti riippumattomasti auditoitu vaatimustenmukaisuus, kuten ISO 27001 -standardi, mekanismina, jolla osoitetaan turvallisuusvaatimusten täyttyminen. Vaikka sertifiointi on vahva todiste, organisaatioiden tulisi silti varmistaa, että toimittajan sertifioinnin laajuus kattaa asiaankuuluvat henkilötietojen käsittelytoimet. Pelkkä sertifiointi ei välttämättä kata kaikkia yksityisyyteen liittyviä vaatimuksia.

Miten tämä eroaa alihankkijoita hallinnoivien käsittelijöiden kohdalla?

Kun organisaatiosi toimii käsittelijänä, sopimuksiisi alihankkijoidesi kanssa on sisällytettävä lauseke, joka varmistaa, että henkilötietoja käsitellään ainoastaan ​​rekisterinpitäjän ohjeiden mukaisesti. Olet edelleen vastuussa rekisterinpitäjälle alihankkijoidesi toimista, joten samanlaista sopimusperusteista tarkkuutta ja asianmukaista huolellisuutta tulisi soveltaa koko ketjuun.

Katso oppaamme osoitteessa ISO 27701 hankintavaatimuksena ja miten arvioida toimittajia ostajan näkökulmasta.

Yhtiömme tarkastusevidenssivaatimusten opas kattaa toimittajadokumentaation, jota tilintarkastajat odottavat.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.