Mitä ISO 27018 ja ISO 29151 kattavat?
ISO / IEC 27018 tarjoaa ohjeita henkilötietojen suojaamiseksi julkisissa pilvipalveluympäristöissä, erityisesti henkilötietojen käsittelijöinä toimiville organisaatioille. Pilvipalveluntarjoajat käyttävät sitä laajalti osoittaakseen sitoutumisensa yksityisyyden suojaan.
ISO / IEC 29151 tarjoaa henkilötietojen suojaamiseen tarkoitetun käytännesäännöstön, joka sisältää ISO 27002 -standardin kattamien toimenpiteiden lisäksi lisäohjeita ja -valvontaa. Se on ensisijaisesti suunnattu henkilötietojen rekisterinpitäjille ja tarjoaa käytännön toteutusneuvoja.
Standardin ISO 27701:2025 liite E tarjoaa ohjeellisen kartoituksen, joka osoittaa, miten nämä kolme standardia liittyvät toisiinsa. Tämä on erityisen arvokasta organisaatioille, jotka jo noudattavat ISO 27018- tai ISO 29151 -standardia ja haluavat ymmärtää, kuinka paljon heidän nykyisestä työstään siirtyy standardin ISO 27701:2025 piiriin.
Täydellinen ohjausrakenne, katso Liitteen A yleiskatsausGDPR-yhdenmukaisuuden osalta katso GDPR-liitteen D kartoitusKatso ISO 29100 -standardin mukaiset tietosuojaperiaatteet Liite CVuoden 2019 vastaavuuksien osalta katso Liitteen F vastaavuustaulukkoKatso yleiskatsaus kaikista muutoksista Uutta standardissa ISO 27701:2025.
Miten hallintajärjestelmää koskevat lausekkeet vastaavat toisiaan?
Johtamisjärjestelmän vaatimukset kohdassa 4–10 §:t Standardin ISO 27701:2025 vaatimuksilla ei ole suoria vastineita standardissa ISO 27018 tai ISO 29151, koska kumpikaan näistä standardeista ei määrittele johtamisjärjestelmää. Tämä tarkoittaa:
- Organisaatioiden, jotka jo noudattavat ISO 27018- tai ISO 29151 -standardia, on silti otettava käyttöön PIMS-hallintajärjestelmän vaatimukset (kohdat 4–10) saavuttaakseen ISO 27701:2025 -sertifioinnin.
- Kartoituksen arvo on ensisijaisesti ohjaustason päällekkäisyydessä, ei hallintajärjestelmän tasolla.
Miten jaetut suojauskontrollit kartoitetaan?
jaetut suojauskontrollit (taulukko A.3) ovat voimakkaimmin päällekkäisiä sekä ISO 27018- että ISO 29151 -standardien kanssa. Nämä kontrollit kattavat tietoturvallisuuden perusteet, joita kaikki kolme standardia käsittelevät. Jokainen alla oleva B.3-viittaus tarjoaa toteutusohjeita vastaavalle A.3-kontrollille.
| Liitteen B ohjeet | Liite A Valvonta | ISO 27018 | ISO 29151 | Aihe |
|---|---|---|---|---|
| B.3.3–B.3.16 | A.3.3 kautta A.3.16 | 5.1, 5.2, 5.12–36, A.10–A.11 | 5.1, 5.2, 5.12-36 | Tietoturvakäytännöt, roolit, luokittelu, käyttöoikeudet, tapahtumat, vaatimustenmukaisuus |
| B.3.17–B.3.18 | A.3.17, A.3.18 | 6.3, 6.6, A.11.1 | 6.3, 6.6 | Tietoisuus, koulutus, salassapitosopimukset |
| B.3.19–B.3.21 | A.3.19, A.3.20, A.3.21 | 7.7, 7.10, 7.14, A.11.2–13 | 7.1-7.14 | Fyysinen turvallisuus, media, hävittäminen |
| B.3.22–B.3.31 | A.3.22 kautta A.3.31 | 8.1, 8.5, 8.13–33, A.11.6 | 8.1, 8.13-33 | Päätelaitteet, todennus, varmuuskopiointi, lokikirjaus, krypto, kehitys |
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Miten PII-ohjaimen ohjaimet määritetään?
PII-ohjaimen ohjaimet ISO 27701:2025 -standardista voidaan pääsääntöisesti viitata standardiin ISO 29151, joka tarjoaa PII-ohjaimeen keskittyvän käytännesäännöstön. ISO 27018 -standardin kattavuus on tässä rajallinen, koska se keskittyy prosessoreihin. Jokainen B.1-viite tarjoaa toteutusohjeita vastaavalle A.1-ohjaimelle.
| Liitteen B ohjeet | Liite A Valvonta | ISO 27018 | ISO 29151 | Aihe |
|---|---|---|---|---|
| B.1.2.2-3 | A.1.2.2, A.1.2.3 | N / A | A.4, A.4.1 | Tarkoituksen määrittely, laillinen peruste |
| B.1.2.4-5 | A.1.2.4, A.1.2.5 | N / A | A.3.1 | Suostumus ja valinta |
| B.1.2.6 | A.1.2.6 Yksityisyydensuojaa koskevien vaikutusten arviointi | N / A | A.11.2 | PIA-vaatimukset |
| B.1.3.2-10 | A.1.3.2 kautta A.1.3.10 | N / A | A.9, A.9.2, A.10 | Yksilön osallistuminen, saatavuus, läpinäkyvyys |
| B.1.4.2-10 | A.1.4.2 kautta A.1.4.10 | N / A | A.5–A.8 | Keräyksen rajoittaminen, tietojen minimointi, tarkkuus, käytön rajoittaminen |
| B.1.5.2-5 | A.1.5.2 kautta A.1.5.5 | N / A | A.7.4, A.13.2 | Siirtojen suojatoimet, luovutustiedot |
Miten PII-prosessorin ohjausobjektit määritetään?
PII-prosessorin ohjaimet ISO 27701:2025 -standardin mukaisilla kohdilla on vahva päällekkäisyys ISO 27018 -standardin kanssa, joka on erityisesti suunniteltu pilvipohjaisille PII-käsittelijöille. Jokainen B.2-viite tarjoaa toteutusohjeita vastaavalle A.2-kontrollille.
| Liitteen B ohjeet | Liitteen A valvonta | ISO 27018 | ISO 29151 | Aihe |
|---|---|---|---|---|
| B.2.2.3 | A.2.2.3 Organisaation tarkoitukset | A.3.1 | N / A | Käsittely valtuutuksen nojalla |
| B.2.2.4 | A.2.2.4 Markkinointi ja mainonta | A.3.2 | N / A | Markkinoinnin rajoitukset |
| B.2.3.2 | A.2.3.2 Velvollisuudet henkilövakuutuksen haltijaa kohtaan | A.2.1 | N / A | Vaatimustenmukaisuusapu |
| B.2.4.2-4 | A.2.4.2, A.2.4.3, A.2.4.4 | A.5.1, A.10.3, A.12.2 | A.7.2, A.11.3 | Väliaikaiset tiedostot, henkilötietojen palauttaminen, siirto |
| B.2.5.2-9 | A.2.5.2 kautta A.2.5.9 | A.6.1–2, A.8.1, A.12.1 | A.4.1, A.7.3–5, A.13.2 | Tietojen luovuttaminen, alihankkijat, kansainväliset siirrot |
Aloita helposti henkilökohtaisella tuote-esittelyllä
Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.
Kuka hyötyy tästä kartoituksesta eniten?
- Pilvipalvelujen tarjoajat jo ISO 27018 -sertifioidut voivat käyttää tätä määritystä nopeuttaakseen ISO 27701:2025 -standardin käyttöönottoa, koska monet prosessorin ohjausobjektit ovat päällekkäisiä
- ISO 29151 -sertifioidut organisaatiot voivat yhdistää olemassa olevat PII-ohjainten ohjausobjektit uuteen ISO 27701:2025 -rakenteeseen (katso siirtymäopas)
- Monistandardiympäristöt voi käyttää kartoitusta yhteisten todisteiden tunnistamiseen ja päällekkäisten vaatimustenmukaisuustoimien välttämiseen eri standardien välillä
Miksi valita ISMS.online useiden standardien noudattamiseksi?
ISMS.online tukee organisaatioita, jotka käyttävät useita rinnakkaisia yksityisyys- ja tietoturvastandardeja:
- Ristiviitekehykset — Katso, kuinka yksi ohjausobjektien toteutus täyttää ISO 27701-, ISO 27018-, ISO 29151- ja muiden standardien vaatimukset
- Jaettu näyttö — Yhdistä käytännöt, menettelyt ja tiedot useisiin viitekehyksen vaatimuksiin ilman päällekkäisyyksiä
- Yhtenäinen auditointivalmistelu — Luo todistusaineistopaketteja, jotka kattavat useita standardeja yhdessä viennissä
- Aukon tunnistaminen — Paikanna alueet, joilla olemassa olevat sertifioinnit kattavat jo ISO 27701:2025 -standardin vaatimukset ja alueet, joilla tarvitaan uutta työtä
- Integroitu hallintajärjestelmä — Hallitse ISO 27001-, ISO 27701- ja niihin liittyviä standardeja yhdellä alustalla
UKK
Jos olen ISO 27018 -sertifioitu, tarvitsenko silti ISO 27701 -sertifikaatin?
ISO 27018 ja ISO 27701 palvelevat eri tarkoituksia. ISO 27018 tarjoaa pilvipohjaisia PII-käsittelijöiden ohjeita, mutta se ei ole itsessään sertifioitava hallintajärjestelmästandardi (se laajentaa ISO 27001 -standardia). ISO 27701:2025 tarjoaa täydellisen, itsenäisen tietosuojatiedon hallintajärjestelmän. Nämä kaksi täydentävät toisiaan, ja liitteen E kartoitus osoittaa, missä ne ovat päällekkäisiä. Katso myös GDPR-vaatimustenmukaisuusopas GDPR-spesifistä kartoitusta varten.
Korvaako ISO 27701:2025 ISO 27018- vai ISO 29151 -standardin?
Ei. ISO 27018 ja ISO 29151 ovat edelleen erillisiä, aktiivisia standardeja. ISO 27701:2025 -standardia voidaan soveltaa niiden rinnalla. Liitteen E kartoitus osoittaa yksinkertaisesti standardien päällekkäisyydet, mikä auttaa useita standardeja käyttöön ottavia organisaatioita vähentämään päällekkäisyyksiä.
Mikä on liitteen A ja liitteen B välinen suhde?
Liite A määrittelee yksityisyyden suojan hallintatoiminnot (mitä sinun on tehtävä) ja liite B tarjoaa vastaavat toteutusohjeet (kuinka se tehdään). Niillä on sama numerointi: A.1.2.2 on kontrolli ja B.1.2.2 on sen ohjeet. Molemmat liitteet ovat velvoittavia vuoden 2025 painoksessa. Tämän sivun taulukot viittaavat B-numerointiin, koska liite E yhdistää toteutusohjeet standardiin ISO 27018 ja ISO 29151, mutta jokaisella B-kontrollilla on suora A-vastine toisessa sarakkeessa.
Miksi joissakin ohjausobjekteissa näkyy yhdistämismäärityksessä merkintä N/A?
Ei sovelleta (N/A) tarkoittaa, että ISO 27701:2025 -standardin mukaisella kontrollilla ei ole suoraa vastinetta kyseisessä standardissa. Esimerkiksi PII-kontrollien kohdalla näkyy N/A ISO 27018 -standardissa, koska ISO 27018 kattaa vain PII-prosessorit. Vastaavasti joidenkin prosessorien kohdalla näkyy N/A ISO 29151 -standardissa, koska kyseinen standardi keskittyy PII-kontrollereihin.
Katso Soveltamislausunto-opas dokumentoidaksesi, miten nämä määritykset vaikuttavat ohjausobjektien valintaasi.
SaaS-organisaatiot voivat löytää räätälöityä ohjausta ISO 27701:2025 SaaS-alustoille opas.
