Hyppää sisältöön
ISMS.online

ISO 27701:2025 -valvonta A.3.3: Tietoturvakäytännöt

Kontrolli A.3.3 edellyttää organisaatioilta, että ne määrittelevät, hyväksyvät, julkaisevat ja viestivät tietoturvakäytännöistä, jotka vastaavat henkilötietojen käsittelyn vaatimuksiin. Tämä on ISO 27701:2025 -standardin jaettujen tietoturvakontrollien perusta.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä kohta A.3.3 edellyttää?

Henkilötietojen käsittelyyn liittyvät tietoturvakäytännöt on määriteltävä ja johdon hyväksyttävä, julkaistava, tiedotettava asiaankuuluvalle henkilöstölle ja asiaankuuluville sidosryhmille ja tunnustettava heidän toimestaan, ja niitä on tarkasteltava uudelleen suunnitelluin väliajoin ja jos merkittäviä muutoksia tapahtuu.

Tämä on ensimmäinen ohjausobjekti jaetut suojauskontrollit (Taulukko A.3), jotka koskevat organisaatioita, jotka toimivat henkilötietojen rekisterinpitäjinä, käsittelijöinä tai molempina. Se laajentaa ISO 27001 -standardin tietoturvakäytäntöjä koskevaa vaatimusta kattamaan nimenomaisesti yksityisyyden ja henkilötietojen suojan.

Mitä käyttöönotto-ohjeissa sanotaan?

Liitteessä B (kohta B.3.3) annetaan seuraavat ohjeet:

  • Kehittää erilliset tietosuojakäytännöt tai täydentää olemassa olevia tietoturvakäytäntöjä henkilötietojen käsittelyvaatimusten täyttämiseksi
  • Sisällytä a sitoutumista noudattamiseen sovellettavan henkilötietojen suojaa koskevan lainsäädännön ja sopimusehtojen mukaisesti
  • Ota lakisääteiset vaatimukset huomioon käytäntöjen kehittämisen, hyväksymisen ja jatkuvan ylläpidon aikana
  • Käytäntöjen tulee olla asianmukaisia ​​henkilötietojen käsittelytoiminnan luonteeseen, laajuuteen ja asiayhteyteen nähden.
  • Tarkista käytännöt suunnitelluin väliajoin ja merkittävien muutosten yhteydessä, kuten uuden lainsäädännön, uusien käsittelytoimien tai organisaatiomuutosten yhteydessä
  • Katso myös A.3.13: Lakisääteiset ja sääntelyyn liittyvät vaatimukset asiaankuuluvia vaatimuksia varten
  • Katso myös A.3.15: Tietoturvallisuuden riippumaton tarkastus asiaankuuluvia vaatimuksia varten

Ohjeistus antaa organisaatioille joustavuutta käytäntöjensä jäsentämisessä. Yksi integroitu käytäntö, joka kattaa sekä tietoturvan että yksityisyyden, on hyväksyttävä, samoin kuin joukko erillisiä mutta toisiinsa liittyviä asiakirjoja. Tärkeää on, että henkilötietojen käsittelyä käsitellään nimenomaisesti ja että käytännöistä tiedotetaan ja ne tunnustetaan osoitettavasti.

Miten tämä vastaa GDPR:ää?

Kontrollin A.3.3 kohdennus GDPR 5 artiklan 1 kohdan f alakohta (tietojen eheyden ja luottamuksellisuuden periaate) ja 32 artiklan 2 kohta (vaatimus asianmukaisten teknisten ja organisatoristen toimenpiteiden toteuttamisesta). GDPR ei määrää tarkkaa turvallisuuskäytäntöjen muotoa, mutta edellyttää organisaatioilta dokumentoituja toimenpiteitä, jotka ovat oikeassa suhteessa riskiin.

Nämä GDPR-artiklat on yhdistetty laajempaan jaettujen kontrollien ryhmään B.3.5–B.3.16, mikä heijastaa sitä, että käytäntö on perusta, josta kaikki muut turvatoimenpiteet kumpuavat.

Miten tämä liittyy ISO 29100 -standardin mukaisiin yksityisyyden suojaa koskeviin periaatteisiin?

Jaettuna tietoturvakontrollina A.3.3 tukee laajempaa viitekehystä ISO 29100 periaatteet. Hyvin määritellyt tietoturvakäytännöt, jotka koskevat henkilötietojen käsittelyä, tarjoavat hallintopohjan tietoturvan, vastuuvelvollisuuden ja vaatimustenmukaisuuden kaltaisten periaatteiden toteuttamiselle.



ISMS.onlinen tehokas kojelauta

Aloita helposti henkilökohtaisella tuote-esittelyllä

Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.

Varaa esittelysi


Mitä todisteita tilintarkastajat odottavat?

Arvioidessaan kohdan A.3.3 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:

  • Hyväksytyt toimintaperiaatteet — Tietoturvakäytännöt, jotka käsittelevät nimenomaisesti henkilötietojen käsittelyä, ja joissa on todisteet johdon hyväksynnästä (allekirjoitukset, hallituksen pöytäkirjat, hyväksyntätiedot)
  • Viestintätiedot — Todiste siitä, että toimintaperiaatteet on julkaistu ja niistä on tiedotettu kaikille asiaankuuluville henkilöstöille ja sidosryhmille
  • Kuittaustietueet — Henkilöstön allekirjoittamat tai sähköiset vahvistukset, jotka vahvistavat lukeneensa ja ymmärtäneensä käytännöt
  • Tarkista tiedot — Todisteet suunnitelluista arvioinneista, mukaan lukien päivämäärät, arvioijat ja mahdolliset muutokset
  • Lakisääteinen sitoutuminen — Käytännössä on nimenomainen lausunto, jossa sitoudutaan noudattamaan sovellettavaa henkilötietojen suojaa koskevaa lainsäädäntöä ja sopimusehtoja

Mitä asiaan liittyviä ohjausobjekteja on?

Valvonta: Yhteys
A.3.4 Tietoturvaroolit ja -vastuut Käytännöt määrittelevät odotukset; roolit ja vastuut varmistavat, että joku on vastuussa niiden toteuttamisesta
A.3.5 Tietojen luokittelu Luokittelukäytäntöjen tulisi nimenomaisesti käsitellä henkilötietoja kohdan A.3.3 mukaisesti.
A.3.6 Tietojen merkitseminen Merkintämenettelyt toteuttavat henkilötietojen tunnistamista koskevat käytäntövaatimukset
A.3.7 Tiedonsiirto Siirtosääntöjen tulisi perustua yleiseen tietoturvapolitiikkaan
A.1.2.9 Henkilötietojen käsittelyä koskevat tiedot Käytännöt määrittävät hallintokehyksen, jonka puitteissa käsittelytietoja ylläpidetään

Mikä muuttui standardista ISO 27701:2019?

Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.

Vuoden 2019 painoksessa tämä vaatimus jaettiin kohtiin 6.2.1.1 ja 6.2.1.2. Kohta 6.2.1.1 käsitteli yleistä vaatimusta, jonka mukaan tietoturvapolitiikoissa on otettava huomioon henkilötietojen käsittely, kun taas kohta 6.2.1.2 käsitteli johdon sitoutumista koskevaa näkökohtaa. Vuoden 2025 painos yhdistää nämä yhdeksi valvonnaksi (A.3.3) ja yhtenäiset toteutusohjeet kohdassa B.3.3. Sisältö on sama, mutta rakenne on selkeämpi. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.



kiipeily

Vapauta itsesi laskentataulukoiden vuorten vallasta

Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.

Varaa esittelysi


Miksi valita ISMS.online tietoturvakäytäntöjen hallintaan?

ISMS.online tarjoaa kaiken tarvittavan vaatimustenmukaisten käytäntöjen luomiseen, viestimiseen ja ylläpitoon:

  • Valmiiksi rakennetut käytäntömallit — Aloita ISO 27001- ja ISO 27701 -standardien mukaisilla malleilla ja mukauta niitä sitten organisaatiosi henkilötietojen käsittelytoimiin.
  • Versionhallinta — Seuraa kaikkia käytäntöjen muutoksia täydellisen versiohistorian avulla, jotta tiedät aina, mikä oli voimassa ja milloin
  • Kuittausten seuranta — Määritä henkilöstölle käytäntöjä ja seuraa, kuka on lukenut ja kuitannut ne, sekä automaattisilla muistutuksilla keskeneräisistä kuittauksista.
  • Ajoitetut tarkastukset — Aseta tarkistuspäivät kullekin käytännölle ja vastaanota ilmoituksia tarkistusten määräajoista, mikä varmistaa, etteivät käytännöt koskaan vanhene
  • Yhdistetty näyttö — Yhdistä käytännöt niiden tukemiin kontrolleihin, mikä luo selkeän tarkastusketjun käytännöstä toteutukseen

UKK

Pitäisikö meidän luoda erillinen tietosuojakäytäntö vai päivittää olemassa olevia tietoturvakäytäntöjä?

Standardi sallii kummankin lähestymistavan. Erillinen tietosuojakäytäntö toimii hyvin organisaatioille, jotka käsittelevät monimutkaisia ​​henkilötietoja, koska se voi käsitellä yksityisyyteen liittyviä aiheita yksityiskohtaisesti. Olemassa olevien käytäntöjen täydentäminen on käytännöllisempää pienemmille organisaatioille tai organisaatioille, joilla on yksinkertaisempia käsittelytoimia. Keskeinen vaatimus on, että henkilötietojen käsittelyä käsitellään nimenomaisesti ja riittävästi riippumatta siitä, kumpi lähestymistapa valitaan.

Kenen on tunnustettava käytännöt?

Kaikki asiaankuuluva henkilöstö ja asiaankuuluvat sidosryhmät. ”Asiaankuuluva henkilöstö” sisältää kaikki, jotka käsittelevät henkilötietoja tai joilla on pääsy järjestelmiin, jotka käsittelevät henkilötietoja. ”Asiaankuuluviin sidosryhmiin” voivat kuulua urakoitsijat, tilapäinen henkilöstö, kolmannen osapuolen käsittelijät tai jopa asiakkaat, joiden sopimusvelvoitteet edellyttävät organisaation tietoturvakäytäntöjen tuntemusta. Laajuus tulisi määritellä organisaation kontekstin perusteella.

Kuinka usein käytäntöjä tulisi tarkistaa?

Suunnitelluin väliajoin (yleensä vuosittain) ja merkittävien muutosten tapahtuessa. Merkittäviä muutoksia ovat uudet henkilötietojen käsittelytoimet, sovellettavan lainsäädännön muutokset, organisaatiouudistukset, turvallisuuspoikkeamat, jotka paljastavat käytäntöpuutteita, tai muutokset teknologiaympäristössä. Yleisin lähestymistapa on kiinteä vuosittainen tarkistus yhdistettynä laukaiseviin tekijöihin perustuvaan tarkistusprosessiin.

Tietosuojakäytännön hallinnasta vastaavien tietoturvajohtajien tulisi lukea CISO-opas standardiin ISO 27701:2025.

Sinun Ilmoitus soveltuvuudesta tulisi viitata käytäntöihin, jotka tukevat kutakin valittua ohjausobjektia.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.