Hyppää sisältöön
ISMS.online

ISO 27701:2025 -standardin mukainen valvonta A.3.11: Tietoturvapoikkeamien hallinnan suunnittelu ja valmistelu

Standardin A.3.11 mukaan organisaatioiden on suunniteltava ja valmistauduttava henkilötietojen käsittelyyn liittyvien tietoturvapoikkeamien hallintaan. Tehokas poikkeussuunnittelu on olennaista ISO 27701:2025 -standardin mukaisten tietomurtoilmoitusaikataulujen noudattamiseksi.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä kohta A.3.11 edellyttää?

Organisaation tulee suunnitella ja valmistautua henkilötietojen käsittelyyn liittyvien tietoturvapoikkeamien hallintaan määrittelemällä, luomalla ja viestimällä poikkeustenhallinnan prosesseista, rooleista ja vastuista.

Tämä ohjaus sijaitsee Jaetut suojaustoiminnot liite (A.3), joka sisältää sekä henkilötietojen rekisterinpitäjien että käsittelijöiden velvoitteet. Se keskittyy erityisesti suunnittelu- ja valmisteluvaiheeseen – sen varmistamiseen, että organisaatiosi on valmis reagoimaan ennen vaaratilanteen sattumista sen sijaan, että se kiirehtisi vasta tietomurron jälkeen.

Mitä liitteen B täytäntöönpano-ohjeissa sanotaan?

Liitteessä B (kohta B.3.11) annetaan seuraavat ohjeet:

  • Luo tunnistamis- ja kirjaamismenettelyt — Määrittele selkeät vastuut ja menettelyt henkilötietojen tietoturvaloukkausten tunnistamiseksi ja kirjaamiseksi, mukaan lukien tapauksen vakavuuden luokittelu
  • Ilmoitusmenettelyjen laatiminen — Luo dokumentoidut menettelyt henkilötietojen tietoturvaloukkauksista ilmoittamiseksi asiaankuuluville osapuolille, mukaan lukien ilmoitusten ajoitus
  • Lakisääteisten vaatimusten huomioon ottaminen — Ota huomioon sovellettavat lakisääteiset ja sääntelyyn liittyvät vaatimukset tietomurtoilmoituksille, jotka vaihtelevat lainkäyttöalueittain
  • Lainkäyttöalueen tuntemus — Joissakin lainkäyttöalueissa on käytössä erityisiä tietomurtoihin reagointia koskevia määräyksiä, joissa on määritelty aikataulut ja ilmoitusten sisältövaatimukset.

Ohjeistuksessa korostetaan, että tapaturmasuunnittelu ei voi olla yleisluontoista. Menettelyissä on otettava huomioon organisaatiosi käsittelemien henkilötietojen tyypit, toimialueet ja tilanteeseesi sovellettavat ilmoitusvaatimukset.

Miten tämä vastaa GDPR:ää?

Kontrolli A.3.11 kohdistuu useisiin GDPR artikkeleita:

  • 5 artiklan 1 kohdan f alakohta — Rehellisyys ja luottamuksellisuus, mukaan lukien kyky reagoida tietomurtoihin
  • Article 33 (1) — Rekisterinpitäjien on ilmoitettava valvontaviranomaiselle 72 tunnin kuluessa siitä, kun he ovat tulleet tietoisiksi tietoturvaloukkauksesta.
  • 33 artiklan 3 kohdan a alakohta — Ilmoitusten on sisällettävä tietoturvaloukkauksen luonne, yhteyshenkilö, todennäköiset seuraukset ja toteutetut toimenpiteet
  • 33 artiklan 4–5 kohta — Tiedot voidaan toimittaa vaiheittain; rekisterinpitäjän on dokumentoitava kaikki tietoturvaloukkaukset
  • 34 artiklan 1–4 kohta — Tietoturvaloukkauksista ilmoittaminen rekisteröidyille, kun heidän oikeuksiinsa ja vapauksiinsa kohdistuu suuri riski

72-tunti GDPR Ilmoitusikkuna tekee etukäteissuunnittelusta välttämätöntä. Ilman ennalta määriteltyjä prosesseja tämän määräajan noudattaminen on erittäin vaikeaa.

Mikä muuttui standardista ISO 27701:2019?

Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.

Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin kohdassa 6.13.1.4, jossa käsiteltiin häiriöiden hallinnan vastuita ja menettelyjä. Vuoden 2025 painoksessa ydinvaatimukset ovat edelleen kohdassa A.3.11, mutta siinä on selkeämpi ero kontrollilausunnon ja toteutusohjeiden välillä kohdassa B.3.11. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi


Mitä todisteita tilintarkastajat odottavat?

Arvioidessaan kohdan A.3.11 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:

  • Tapahtumien hallintapolitiikka ja -menettelyt — Dokumentoitu suunnitelma, joka kattaa henkilötietojen tietoturvaloukkausten tunnistamisen, luokittelun, eskaloinnin ja ilmoittamisen
  • Määritellyt roolit ja vastuut — Selkeä tehtäväjako tapahtuman aikana, mukaan lukien nimetty tapahtumapäällikkö ja ilmoituskoordinaattori
  • Ilmoitusmallit — Valmiiksi laaditut mallit valvontaviranomaisten, asianomaisten henkilöiden ja liikekumppaneiden ilmoittamista varten, lakisääteisten vaatimusten mukaisesti
  • Lakisääteisten vaatimusten rekisteri — Dokumentoitu luettelo tietomurtoilmoitusvelvollisuuksista lainkäyttöalueittain, mukaan lukien aikataulut ja sisältövaatimukset
  • Harjoittelu- ja harjoitustiedot — Todiste siitä, että vaaratilanteisiin reagointitiimit on koulutettu ja että suunnitelmaa on testattu pöytäharjoitusten tai simulaatioiden avulla

Mitä asiaan liittyviä ohjausobjekteja on?

Valvonta: Yhteys
A.3.12 Tapahtumatilanteisiin reagointi A.3.11 kattaa suunnittelun; A.3.12 Tietoturvapoikkeamiin reagointi kattaa varsinaisen reagoinnin tapahtuman sattuessa
A.3.13 Lakisääteiset ja sopimusoikeudelliset vaatimukset Tietomurtoilmoitusten aikataulut ja velvoitteet riippuvat sovellettavista lakisääteisistä vaatimuksista
A.3.17 Tietoisuus ja koulutus Henkilökunnan on tiedettävä, miten tunnistaa ja ilmoittaa potentiaalisista PII-tapauksista
A.3.14 Asiakirjojen suojaaminen Tapahtumarekisterit on suojattava katoamiselta, tuhoutumiselta ja luvattomalta käytöltä
A.3.10 Toimittajasopimukset Toimittajasopimusten tulisi sisältää rikkomusten ilmoitusvelvollisuudet ja vasteajat

Ketä tämä valvonta koskee?

A.3.11 on jaettu hallinta Tämä koskee sekä henkilötietojen rekisterinpitäjiä että käsittelijöitä. Rekisterinpitäjillä on ensisijainen velvollisuus ilmoittaa valvontaviranomaisille ja asianomaisille henkilöille, kun taas käsittelijöillä on oltava käytössä menettelyt tietoturvaloukkausten havaitsemiseksi ja ilmoittamiseksi rekisterinpitäjilleen ilman aiheetonta viivytystä. Molemmissa rooleissa tarvitaan dokumentoituja ja testattuja tapausten hallintasuunnitelmia.



Löydä vaatimustenmukaisuusvarmuutesi ISMS.onlinen avulla

Aloita helposti henkilökohtaisella tuote-esittelyllä

Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.

Varaa esittelysi


Miksi valita ISMS.online tapahtumien hallinnan suunnittelua varten?

ISMS.online tarjoaa käytännön työkaluja PII-tapahtumiin reagointikyvyn rakentamiseen ja ylläpitämiseen:

  • Tapahtumahallinnan työnkulkuja — Valmiiksi rakennetut, konfiguroitavat työnkulut, jotka ohjaavat tiimiäsi tunnistamis-, luokittelu-, eskalointi- ja ilmoitusvaiheissa
  • Roolien määritys — Määrittele tapahtumaroolit ja vastuut selkeillä eskalointiprosesseilla, jotta kaikki tietävät oman osansa ennen tapahtuman sattumista
  • Ilmoitusten seuranta — Seuraa valvontaviranomaisten ja rekisteröityjen ilmoituksia lakisääteisten määräaikojen mukaisesti automaattisilla hälytyksillä määräaikojen lähestyessä
  • Tietomurtorekisteri — Ylläpidä täydellistä lokia kaikista henkilötietoja koskevista tapauksista vakavuusluokituksineen, vastatoimineen ja tuloksineen, täyttäen GDPR:n 33(5) artiklan mukaisen dokumentointivaatimuksen
  • Liikunnan hallinta — Aikatauluta ja kirjaa harjoitukset ja suunnitelmakatselmukset jatkuvan valmiuden osoittamiseksi

UKK

Kuinka tarkkoja onnettomuuksiin reagointimenettelyjen tulisi olla?

Menettelytapojen tulee olla riittävän täsmällisiä, jotta tiimin jäsen voi noudattaa niitä paineen alla ilman epäselvyyttä. Tämä tarkoittaa nimettyjä rooleja (ei vain työtehtäviä), tarkkoja yhteystietoja, vaiheittaisia ​​eskalointipolkuja ja valmiiksi laadittuja ilmoituspohjia. Yleisluontoiset menettelyt, jotka eivät ota huomioon henkilötietoihin liittyviä erityisvaatimuksia ja lainkäyttöalueiden ilmoitusaikatauluja, eivät tyydytä tilintarkastajia.

Mitkä lainkäyttöalueeseen liittyvät tekijät vaikuttavat tietomurtoilmoitusten suunnitteluun?

Ilmoitusvaatimukset vaihtelevat merkittävästi lainkäyttöalueittain. GDPR asettaa 72 tunnin määräajan valvontaviranomaisten ilmoittamiselle. Muilla lainkäyttöalueilla voi olla erilaiset aikataulut, erilaiset kynnysarvot ilmoitusvelvollisuudelle ja erilaiset vaatimukset ilmoitusten sisällölle. Tapaussuunnitelmasi on otettava huomioon jokainen lainkäyttöalue, jolla käsittelet henkilötietoja.

Kuinka usein häiriötilanteisiin varautumissuunnitelmia tulisi testata?

Paras käytäntö on suorittaa vähintään yksi pöytäkirjatarkastus vuodessa ja tehdä lisätarkastuksia aina, kun käsittelytoiminnassa, IT-infrastruktuurissa tai organisaatiorakenteessa tapahtuu merkittäviä muutoksia. Standardi edellyttää, että suunnitelmia tarkistetaan suunnitelluin väliajoin tai merkittävien muutosten tapahtuessa. Kunkin harjoituksen tulosten ja tehtyjen parannusten dokumentointi on olennaista auditointitodentavan aineiston saamiseksi.

Ymmärrä yksityisyydensuojaloukkausten kaikki kustannusvaikutukset meidän Vaatimusten noudattamatta jättämisen ja sertifioinnin kustannukset analyysi.

Katso tarkastusevidenssivaatimusten opas tilintarkastajien odottamaa tapahtumadokumentaatiota varten.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.