Hyppää sisältöön
ISMS.online

ISO 27701:2025 -standardin A.3.19 mukainen valvonta: Selkeä työpöytä ja selkeä näyttö

Kontrollin A.3.19 mukaan organisaatioiden on määriteltävä ja valvottava selkeän työpöydän ja selkeän näytön sääntöjä tietojenkäsittelylaitoksille, jotka käsittelevät henkilötietoja. Tämä jaettu valvonta vähentää luvattoman pääsyn riskiä fyysisissä ja digitaalisissa työtiloissa näkyvissä oleviin henkilötietoihin.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä kohta A.3.19 edellyttää?

Tyhjennä työpöytä -säännöt papereille ja siirrettäville tallennusvälineille sekä selkeän näytön säännöt tietojenkäsittelytiloille on määriteltävä ja niitä on noudatettava asianmukaisesti.

Tämä ohjaus sijaitsee Jaetut suojaustoiminnot liite (A.3) ja käsittelee hämmentävän yksinkertaista mutta vaikuttavaa riskiä: työpöydille tai näytöille näkyvät henkilötiedot voivat näkyä, valokuvata tai ottaa kuka tahansa, jolla on fyysinen tai visuaalinen pääsy työtilaan. Tyhjen työpöydän ja selkeän näytön käytäntöjen valvonta luo fyysisen turvallisuuden perustan, joka täydentää teknistä pääsynhallintaa.

Mitä liitteen B täytäntöönpano-ohjeissa sanotaan?

Liitteessä B (kohta B.3.19) annetaan seuraavat ohjeet:

  • Minimoi paperitulosteiden luonti — Organisaation tulisi rajoittaa henkilötietoja sisältävän paperimateriaalin luominen minimiin, joka on tarpeen määritellyn käsittelytarkoituksen täyttämiseksi.
  • Irrotettava tallennusväline — Tyhjen työpöydän sääntöjen tulisi nimenomaisesti kattaa irrotettavat tallennusvälineet, kuten USB-muistitikut, ulkoiset kiintolevyt ja optiset levyt, jotka saattavat sisältää henkilötietoja
  • Näytön lukitus — Tietojenkäsittelylaitteet tulisi konfiguroida lukitsemaan näytöt automaattisesti määritetyn käyttämättömyysajan jälkeen, ja henkilöstö tulisi kouluttaa lukitsemaan näytöt manuaalisesti poistuessaan työpisteeltään.
  • Katso myös A.3.18: Luottamuksellisuus- tai salassapitosopimukset asiaankuuluvia vaatimuksia varten

Ohjeistus vahvistaa oletusarvoisen yksityisyydensuojan ajattelutapaa: jos henkilötietojen ei tarvitse olla paperimuodossa, niitä ei pitäisi alun perinkään luoda. Jos paperikopiota ei voida välttää, selkeät työpöytäsäännöt varmistavat niiden turvallisuuden, kun niitä ei käytetä aktiivisesti.

Miten tämä vastaa GDPR:ää?

Kontrolli A.3.19 vastaa seuraavaa GDPR artikkeli:

  • 5 artiklan 1 kohdan f alakohta — Eheyden ja luottamuksellisuuden periaate, joka edellyttää, että henkilötietoja käsitellään tavalla, joka varmistaa asianmukaisen turvallisuuden, mukaan lukien suojauksen luvattomalta tai laittomalta käsittelyltä sekä vahingossa tapahtuvalta katoamiselta, tuhoutumiselta tai vahingoittumiselta

Tyhjen työpöydän ja näytön käytännöt ovat artiklan 5(1)(f) käytännön toteutus, ja niillä estetään satunnainen tai tilapäinen pääsy henkilötietoihin fyysisissä ja digitaalisissa työtiloissa.

Täydellinen GDPR:n ja ISO 27701 -standardin välinen vastaavuus on lueteltu alla. GDPR-vaatimustenmukaisuusopas.

Mikä muuttui standardista ISO 27701:2019?

Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.

Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin kohdassa 6.8.2.9 (selkeän työpöydän ja selkeän näytön käytäntö). Vuoden 2025 painoksessa ydinvaatimukset on säilytetty kohdassa A.3.19, ja toteutusohjeet on yhdistetty kohtaan B.3.19. Painopiste henkilötietojen paperitulosteiden luomisen minimointiin on merkittävä yksityisyyden suojaan liittyvä lisäys. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.



Löydä vaatimustenmukaisuusvarmuutesi ISMS.onlinen avulla

Aloita helposti henkilökohtaisella tuote-esittelyllä

Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.

Varaa esittelysi


Mitä todisteita tilintarkastajat odottavat?

Arvioidessaan kohdan A.3.19 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:

  • Tyhjennä työpöytä ja selkeä näyttö -käytäntö — Dokumentoitu käytäntö, jossa määritellään erityissäännöt papereiden, siirrettävien tallennusvälineiden ja näyttöjen suojaamiseksi, kun työasemat ovat valvomatta
  • Automaattisen näytön lukituksen määritys — Todiste siitä, että tietojenkäsittelyjärjestelmät on konfiguroitu lukittumaan määritellyn käyttämättömyysajan jälkeen (tyypillisesti 5–15 minuuttia)
  • Fyysiset turvatoimenpiteet — Lukittavat laatikot, kaapit tai turvallinen säilytystila henkilötietoja sisältäville asiakirjoille
  • Henkilökunnan tietoisuus — Koulutustiedot, jotka osoittavat, että henkilöstö ymmärtää selkeän työpöydän ja selkeän näytön vaatimukset ja on saanut niihin liittyvää koulutusta
  • Vaatimustenmukaisuustarkastukset — Säännöllisten työpaikkatarkastusten tai pistokokeista tehtyjen tarkastusten tiedot, joilla varmistetaan siistin työpöydän sääntöjen noudattaminen

Mitä asiaan liittyviä ohjausobjekteja on?

Valvonta: Yhteys
A.3.5 Tietojen luokittelu Luokittelumerkinnät osoittavat, mitkä asiakirjat on suojattava selkeän työpöydän sääntöjen mukaisesti
A.3.17 Tietoisuus ja koulutus Henkilökunnan koulutuksen tulisi kattaa siistin työpöydän ja selkeän näytön velvoitteet
A.3.20 Tallennusvälineet Irrotettavan median jättäminen työpöydälle on selvä työpöytärikkomus.
A.3.22 Käyttäjän päätelaitteet Päätelaitteiden käytäntöihin tulisi sisältyä näytön lukitusvaatimukset
A.3.16 Käytäntöjen noudattaminen Säännöllisiin vaatimustenmukaisuustarkastuksiin tulisi sisältyä tyhjän työpöydän ja selkeän näytön tarkastuksia

Ketä tämä valvonta koskee?

A.3.19 on jaettu hallinta Tämä koskee sekä henkilötietojen rekisterinpitäjiä että käsittelijöitä. Kaikkien organisaatioiden, jotka käsittelevät henkilötietoja fyysisissä tai digitaalisissa työtiloissa, on määriteltävä ja valvottava selkeän työpöydän ja selkeän näytön sääntöjä. Tämä on erityisen tärkeää avotoimistoissa, jaetuissa työtiloissa, yhteistyöympäristöissä ja kaikissa paikoissa, joissa luvattomilla henkilöillä voi olla visuaalinen pääsy näyttöihin tai asiakirjoihin.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi


Miksi valita ISMS.online selkeän työpöydän ja selkeän näytön vaatimustenmukaisuuden varmistamiseksi?

ISMS.online tarjoaa käytännön työkaluja siistin työpöydän ja selkeän näytön käytäntöjen toteuttamiseen ja ylläpitämiseen:

  • Käytäntömallit — Valmiita selkeän työpöydän ja selkeän näytön käytäntöpohjia, joita voit mukauttaa organisaatiosi erityisvaatimuksiin ja työtilatyyppeihin
  • Tietoisuuskampanjat — Aikatauluta ja seuraa henkilöstön tiedotusta varmistaaksesi, että kaikki työntekijät ymmärtävät selkeän työpöydän ja selkeän näytön vastuualueensa
  • Vaatimustenmukaisuuden tarkistuslistat — Luo ja hallinnoi työpaikkatarkastuslistoja säännöllisiä pistokokeita varten ja kirjaa tulokset auditointitodisteena
  • Harjoittelun seuranta — Kirjaa yksittäisten työntekijöiden suorittamat selkeän työpöydän ja selkeän näytön koulutukset ja lähetä automaattisia muistutuksia myöhästyneistä koulutuksista
  • Tapahtumien lokikirjaus — Kirjaa ja seuraa selviä työpöytärikkomuksia tietoturvatapahtumina, mikä mahdollistaa trendianalyysin ja kohdennetut korjaavat toimenpiteet

UKK

Mitä selkeän työpöydän käytännön tulisi kattaa?

Selkeän työpöydän käytäntöön tulisi sisältyä erillinen vaatimus, että kaikki henkilötietoja sisältävät paperit ja siirrettävät tallennusvälineet on säilytettävä lukituissa laatikoissa tai kaapeissa, kun niitä ei aktiivisesti käytetä. Käytännön tulisi kattaa työpäivän päättymisen menettelytavat, työasemilta poistumista koskevat säännöt päivän aikana, luottamuksellisen jätteen hävittäminen sekä jaettujen tulostimien ja kopiokoneiden käsittely. Käytännön tulisi myös käsitellä vierailijoiden pääsyalueita, joilla henkilötietoja sisältävät asiakirjat saattavat olla näkyvillä.

Mikä on suositeltu näytön lukituksen aikakatkaisuaika?

Useimmat tietoturvakehykset suosittelevat automaattisen näytön lukituksen aikakatkaisua 5–15 minuutin käyttämättömyyden jälkeen. Organisaatiot, jotka käsittelevät arkaluonteisia henkilötietoja (kuten terveystietoja tai taloudellisia tietoja), voivat valita lyhyemmän aikakatkaisun. Aikakatkaisu tulisi valvoa keskitetysti ryhmäkäytännön tai mobiililaitteiden hallinnan kautta, eikä loppukäyttäjien tulisi voida määrittää sitä.

Miten siistin työpöydän säännöt koskevat etätyöntekijöitä?

Tyhjen työpöydän säännöt koskevat yhtä lailla sekä etä- että kotityöntekijöitä. Organisaatioiden tulisi tarjota ohjeita henkilötietoja koskevien asiakirjojen suojaamisesta kotiympäristöissä, mukaan lukien lukittava säilytys mahdollisuuksien mukaan. Etätyöntekijöille tulisi muistuttaa, että perheenjäsenillä ja kotona olevilla vierailijoilla ei ole oikeutta tarkastella henkilötietoja. Näytön yksityisyyssuodattimia ja automaattisia näytön lukitusasetuksia tulisi käyttää kaikissa etätyöskentelyyn käytettävissä laitteissa.

Katso tarkastusevidenssivaatimusten opas mitä tilintarkastajat odottavat.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.