Hyppää sisältöön
ISMS.online

ISO 27701:2025 -standardin mukainen valvonta A.3.12: Tietoturvapoikkeamiin reagointi

Kontrolli A.3.12 edellyttää organisaatioilta, että ne reagoivat henkilötietoja sisältäviin tietoturvapoikkeamiin dokumentoitujen menettelyjen mukaisesti. Tämä kontrolli varmistaa, että tietomurron tapahtuessa reagointi on jäsenneltyä, oikea-aikaista ja ISO 27701:2025 -standardin mukaista.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä kohta A.3.12 edellyttää?

Henkilötietojen käsittelyyn liittyviin tietoturvapoikkeamiin on reagoitava dokumentoitujen menettelyjen mukaisesti.

Tämä ohjaus sijaitsee Jaetut suojaustoiminnot liite (A.3) ja toimii käsi kädessä A.3.11 Tapahtumahallinta, joka kattaa suunnittelun ja valmistelun. Missä A.3.11 Tapahtumahallinta varmistaa, että sinulla on suunnitelma, A.3.12 varmistaa, että noudatat sitä todellisen onnettomuuden sattuessa.

Mitä liitteen B täytäntöönpano-ohjeissa sanotaan?

Liitteessä B (B.3.12 kohta) on erilliset ohjeet rekisterinpitäjille ja henkilötietojen käsittelijöille:

PII-ohjaimille

  • Tietomurron arviointi — Henkilötietoihin liittyvän tapauksen tulisi käynnistää tarkastus sen määrittämiseksi, onko tapahtunut tietoturvaloukkaus, joka edellyttäisi virallista vastausta
  • Poista ilmoitukset — Valvontaviranomaisille ja asianomaisille henkilöille ilmoitettavien ilmoitusten tulee olla selkeitä, sisältää yhteystiedot lisätietoja varten, kuvauksen tietomurron luonteesta ja seurauksista sekä hahmotella toteutetut tai ehdotetut toimenpiteet.
  • Kattava tietomurtorekisteri — Pidä kirjaa, joka sisältää seuraavat tiedot: tietomurron kuvaus, ajanjakso, seuraukset, ilmoittaja, sen korjaamiseksi toteutetut toimenpiteet ja vaarantuneet henkilötiedot

PII-käsittelijöille

  • Sopimukseen perustuva ilmoitus — Noudata asiakkaan (rekisterinpitäjän) sopimuksessa sovittuja ilmoitusehtoja
  • Soveltamisalan rajoitukset — Ilmoitusvelvollisuus ei ulotu asiakkaan (rekisterinpitäjän) itsensä aiheuttamiin tietoturvaloukkauksiin
  • Määritellyt vasteajat — Sovitaan ja dokumentoidaan rekisterinpitäjälle tehtävän tietoturvaloukkauksen ilmoitusajankohdat

Miten tämä vastaa GDPR:ää?

Kontrollin A.3.12 kohdennus GDPR 33 artiklan 1–5 kohta koskee henkilötietojen tietoturvaloukkausten ilmoittamista valvontaviranomaisille, ja 34 artiklan 1–2 kohta koskee tietoturvaloukkauksista tiedottamista rekisteröidyille. GDPR edellyttää, että tietoturvaloukkauksista ilmoitetaan tietoturvaloukkauksen luonne, sen kohteena olevien rekisteröityjen luokat ja arvioitu lukumäärä, todennäköiset seuraukset sekä tietoturvaloukkauksen käsittelemiseksi toteutetut toimenpiteet.

Mikä muuttui standardista ISO 27701:2019?

Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.

Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin kohdassa 6.13.1.5, joka käsitteli tietoturvapoikkeamiin reagointia. Vuoden 2025 painoksessa ydinvaatimukset on säilytetty kohdassa A.3.12, ja rekisterinpitäjän ja käsittelijän vastuut on erotettu selkeämmin B.3.12-ohjeistuksessa. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.



Löydä vaatimustenmukaisuusvarmuutesi ISMS.onlinen avulla

Aloita helposti henkilökohtaisella tuote-esittelyllä

Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.

Varaa esittelysi


Mitä todisteita tilintarkastajat odottavat?

Arvioidessaan kohdan A.3.12 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:

  • Tietomurtorekisteri — Ylläpidetty loki kaikista henkilötietoja koskevista tapauksista, mukaan lukien ne, joiden arvioinnin perusteella ei ole todettu ilmoitusvelvollisuutta edellyttävää tietoturvaloukkausta
  • Ilmoitustietueet — Kopiot valvontaviranomaisille ja asianomaisille henkilöille lähetetyistä ilmoituksista, joissa on aikaleimat, jotka osoittavat vaadittujen määräaikojen noudattamisen
  • Arviointidokumentaatio — Tiedot, jotka osoittavat, miten kunkin vaaratilanteen vakavuus arvioitiin ja täyttikö se ilmoituskynnyksen
  • Saadut kokemukset — Näyttö siitä, että tapauksia tarkastellaan ratkaisun jälkeen ja että parannuksia otetaan huomioon tapausten hallintaprosessissa
  • Käsittelijän ilmoitukset — Tarvittaessa tiedot käsittelijöiltä saaduista tai heille lähetetyistä tietomurtoilmoituksista sekä todisteet siitä, että sopimusmääräaikoja noudatettiin.

Mitä asiaan liittyviä ohjausobjekteja on?

Valvonta: Yhteys
A.3.11 Häiriösuunnittelu Määrittelee dokumentoidut menettelyt, joita A.3.12 edellyttää sinun noudattavan
A.3.14 Asiakirjojen suojaaminen Tietomurtorekisterit on suojattava katoamiselta, tuhoutumiselta ja luvattomalta käytöltä
A.3.13 Lakisääteiset ja sopimusoikeudelliset vaatimukset Ilmoitusvelvollisuudet perustuvat sovellettaviin lakisääteisiin vaatimuksiin
A.3.10 Toimittajasopimukset Käsittelijän tietoturvaloukkausten ilmoitusaikataulut tulisi määritellä toimittajasopimuksissa
A.3.15 Riippumaton arviointi Arviointien tulisi arvioida, ovatko tapauksiin reagointimenettelyt tehokkaita

Ketä tämä valvonta koskee?

A.3.12 on jaettu hallinta Tämä koskee sekä henkilötietojen rekisterinpitäjiä että käsittelijöitä, vaikkakin heillä on erilaiset vastuut. Rekisterinpitäjät ovat vastuussa tietomurron vakavuuden arvioinnista, valvontaviranomaisille ilmoittamisesta ja viestinnästä asianomaisten rekisteröityjen kanssa. Käsittelijöiden on ilmoitettava rekisterinpitäjilleen viipymättä ja sovitussa aikataulussa, mutta he eivät yleensä ole vastuussa valvontaviranomaisille tai rekisteröidyille ilmoittamisesta suoraan, vaikka jotkut lainkäyttöalueet saattavat edellyttää käsittelijöiden ilmoittavan sääntelyviranomaisille henkilötietojen tietomurroista.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi


Miksi valita ISMS.online PII-tapahtumiin reagointia varten?

ISMS.online tarjoaa käytännön työkaluja PII-tietomurtojen hallintaan havaitsemisesta ratkaisuun:

  • Ohjatut tapausten työnkulut — Vaiheittaiset reagointiprosessit, jotka varmistavat, ettei mikään jää huomaamatta alustavasta luokittelusta arviointiin, ilmoittamiseen ja päätöksentekoon
  • Tietomurtorekisteri — Kattava loki, joka täyttää standardin mukaiset kirjanpitovaatimukset ja sisältää tietomurron kuvauksen, aikajanan, seuraukset, vaurioituneet henkilötiedot ja korjaavat toimenpiteet
  • Ilmoitusten määräaikojen seuranta — Automaattiset lähtölaskurit lakisääteisten määräaikojen, kuten GDPR:n 72 tunnin ikkunan, suhteen eskalointihälytyksillä
  • Todisteiden kerääminen — Liitä jokaiseen tapahtumatietueeseen tositteet, kuvakaappaukset ja tiedotteet täydellisen tarkastusketjun varmistamiseksi
  • Tapahtuman jälkeinen tarkastelu — Kirjaa opitut asiat ja linkitä korjaavat toimenpiteet riskirekisteriisi ja parannussuunnitelmaasi
  • Ohjaimen ja prosessorin koordinointi — Rekisterinpitäjien ja käsittelijöiden väliset jäsennellyt ilmoitusprosessit aikaleiman seurannalla

UKK

Mitä eroa on henkilötietoihin liittyvällä tapauksella ja henkilötietoihin liittyvällä tietomurrolla?

Henkilötietojen tietoturvaloukkaus on mikä tahansa tapahtuma, joka voi vaikuttaa henkilötietojen turvallisuuteen. Henkilötietojen tietoturvaloukkaus on vahvistettu tapaus, jossa henkilötiedot ovat vaarantuneet luvattoman käytön, paljastamisen, muuttamisen, katoamisen tai tuhoamisen seurauksena. Kaikki tapaukset eivät johda tietomurtoon. A.3.12 kohdan arviointivaihe on erityisesti suunniteltu määrittämään, onko tapaus ylittänyt ilmoitusvelvollisuuden kynnyksen.

Mitä tietomurtoilmoituksen tulee sisältää?

Täytäntöönpano-ohjeiden ja GDPR:n artiklan 33(3) mukaan tietoturvaloukkauksen ilmoituksen tulee sisältää: kuvaus tietoturvaloukkauksen luonteesta, nimetty yhteyshenkilö lisätietoja varten, kuvaus todennäköisistä seurauksista ja kuvaus tietoturvaloukkauksen korjaamiseksi toteutetuista tai ehdotetuista toimenpiteistä. Tiedot voidaan toimittaa vaiheittain, jos ne eivät ole kaikki saatavilla alkuperäisen ilmoituksen tekohetkellä.

Pitääkö käsittelijän ilmoittaa rekisteröidyille suoraan?

Ei. Käsittelijän velvollisuus on ilmoittaa rekisterinpitäjälle ilman aiheetonta viivytystä. Rekisterinpitäjä arvioi sitten tietoturvaloukkauksen ja määrittää, onko valvontaviranomaisille ja rekisteröidyille ilmoitettava asiasta. Käsittelijän on kuitenkin dokumentoitava tietoturvaloukkaus ja rekisterinpitäjälle lähetetty ilmoitus, ja käsittelysopimuksessa on sovittava vastausajoista.

Ymmärrä yksityisyydensuojaloukkausten kaikki kustannusvaikutukset meidän Vaatimusten noudattamatta jättämisen ja sertifioinnin kustannukset analyysi.

Katso tarkastusevidenssivaatimusten opas tilintarkastajien odottamaa tapahtumadokumentaatiota varten.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.