Hyppää sisältöön
ISMS.online

ISO 27701 – Lauseke 5.4 – Suunnittelu

ISO/IEC 27701:n lausekkeessa 5.4 hahmotellaan yksityisyystietojen hallintajärjestelmän (PIMS) suunnitteluvaatimukset keskittyen yksityisyyden riskien arviointiin, riskien käsittelyyn ja mitattavissa olevien tietosuojatavoitteiden asettamiseen organisaation tavoitteiden ja GDPR-vaatimustenmukaisuuden kanssa.

kirjailija
Toby Cane
Päivitetty syyskuussa 19, 2025
4/5 tähteä

Yksityisyydensuojan noudattamisen suunnittelu: ISO 27701:n lausekkeen 5.4 ymmärtäminen

On tärkeää, että organisaatiot saavat ennen PIMS:n käyttöönottoa selkeän kuvan siitä, mitkä ovat niiden erityiset yksityisyyden suojan/PII-tavoitteet kaikilla tietoturvatoiminnan tasoilla.

Riskinarvioinnin tulisi olla keskeinen osa kaikkia organisaation laajuisia yksityisyyden suojaprotokollia, mukaan lukien ymmärrys siitä, miten riskejä arvioidaan ja analysoidaan, ja "riskien käsittely" eli riskin muuttaminen useiden teknisten toimenpiteiden avulla.

Mitä ISO 27701:n lauseke 5.4 kattaa

ISO 27701 5.4 käsittelee vaiheita, jotka organisaatioiden on toteutettava suunniteltaessa PIMS- tai yksityisyyden suojakäytäntöä.

ISO 27701 5.4 pohjautuu standardin ISO 27001 6.1 (Toimenpiteet riskeihin ja mahdollisuuksiin puuttumiseksi) ohjeisiin, ja se sisältää lisäohjeita neljälle pääalalausekkeelle:

  • ISO 27701, lauseke 5.4.1.1 (viittaukset ISO 27001 Control 6.1.1)
  • ISO 27701, lauseke 5.4.1.2 (viittaukset ISO 27001 Control 6.1.2)
  • ISO 27701, lauseke 5.4.1.3 (viittaukset ISO 27001 Control 6.1.3)
  • ISO 27701, lauseke 5.4.2 (viittaukset ISO 27001 Control 6.2)

Molemmat alalausekkeet (5.4.1.2 ja 5.4.1.3) sisältävät ohjeita, jotka liittyvät suoraan sopimuksen artiklaan 32. GDPR, tarkemmin kohdat (1) (b), (2).

Huomaa, että GDPR-viitteet ovat vain ohjeellisia. Organisaatioiden tulee tutkia lainsäädäntöä ja tehdä omat arvionsa siitä, mitä lain osia niihin sovelletaan.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi


ISO 27701, lauseke 5.4.1.1 – Yleistä

Viitteet ISO 27001 Control 6.1.1

Yleisesti ottaen organisaatioiden on omaksuttava riskikohtainen lähestymistapa PIMS:n suunnittelussa, joka:

  1. Pyrkii rakentamaan PIMS:n, joka saavuttaa tietyt yksityisyyden suojatavoitteet.
  2. Pyritään joko poistamaan kokonaan tai minimoimaan kaikki haittavaikutukset.
  3. Pyrkii PII- ja yksityisyyden suojaan liittyvien toimintojen jatkuvaan kehittämiseen ja asteittaiseen parantamiseen.

Suunnitelmaa laatiessaan organisaatioiden tulee:

  1. Ole tietoinen erityisistä toimista, joita tarvitaan riskien käsittelemiseksi, ja ota ne käyttöön PIMS:ssä.
  2. Arvioi jatkuvasti heidän lähestymistapaansa.

Asiaankuuluvat ISO 27001 -säätimet

Standardin ISO 27701 5.4.1.1 sisältämät ohjeet liittyvät läheisesti organisaation kykyyn ymmärtää vaatimuksiaan sekä sisäisen ja ulkoisen henkilöstön ja henkilökohtaisten tunnistetietojen kohteiden odotuksia, joiden tietoja organisaatiolla on hallussaan.

  • ISO 27001 4.1 – Organisaation ja sen kontekstin ymmärtäminen.
  • ISO 27001 4.2 – Asianomaisten osapuolten tarpeiden ja odotusten ymmärtäminen.

ISO 27701 lauseke 5.4.1.2 – Tietoturvariskin arviointi

Viitteet ISO 27001 Control 6.1.2

Organisaatioiden tulee suunnitella ja ottaa käyttöön yksityisyyden suojan riskinarviointiprosessi, joka:

  • Sisältää riskin hyväksymiskriteerit yksityisyyden suojan arviointeja varten.
  • Tarjoaa puitteet kaikkien yksityisyyden suojaa koskevien arvioiden vertailukelpoiselle analyysille.
  • Osoittaa yksityisyyden suojan riskit (ja niiden omistajat).
  • ottaa huomioon vaarat ja riskit, jotka liittyvät henkilötietojen luottamuksellisuuden, saatavuuden ja eheyden menettämiseen.
  • Analysoi yksityisyyden suojan riskejä kolmen tekijän ohella:
    • Niiden mahdolliset seuraukset.
    • Niiden esiintymisen todennäköisyys.
    • Niiden vakavuus.
  • Analysoi ja priorisoi tunnistetut riskit niiden riskitason mukaisesti.

Muita PIMS- ja PII-ohjeita

Organisaatioiden tulisi keskittyä riskinarviointitoimintaan, joka ei koske vain tietoturvaa, vaan täydentää PIMS:n käyttöönottoa sekä henkilökohtaisten tunnistetietojen käsittelyä ja tallennusta.

Organisaatioiden tulee pitää mielessä seuraukset paitsi yritykselle itselleen, myös mahdollisille henkilökohtaisten tunnistetietojen päämiehille, jos ongelmia ilmenee.

Sovellettavat GDPR-artikkelit

  • 32 artikla – Käsittelyn turvallisuus
    • Sovellettavat kohdat – (1) (b), (2)


kiipeily

Vapauta itsesi laskentataulukoiden vuorten vallasta

Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.

Varaa esittelysi


ISO 27701 lauseke 5.4.1.3 – Tietoturvariskien käsittely

Viitteet ISO 27001 Control 6.1.3

Organisaatioiden tulee laatia ja ottaa käyttöön yksityisyyden suojan/henkilökohtaisen tiedon "riskinkäsittelyprosessi", joka:

  1. toteuttaa yksityisyyden suojan "riskien hoitosuunnitelma".
  2. määrittää, kuinka PIMS:n tulisi käsitellä yksittäisiä riskitasoja arviointitulosten joukon perusteella.
  3. korostaa useita valvontatoimia, joita tarvitaan yksityisyyden suojan riskien käsittelyn toteuttamiseksi.
  4. vertaa kaikkia säätimiä, jotka on tunnistettu ISO:n toimittamassa kattavassa luettelossa ISO 27001:n liite A.
  5. dokumentoida ja perustella virallisessa "soveltamislausunnossa" käytettyjen tarkastusten käyttö.
  6. Pyydä hyväksyntä kaikilta riskinhaltijoilta ennen kuin viimeistelet yksityisyyden suojan riskien käsittelysuunnitelman, joka sisältää mahdolliset "jäännöstietosuoja- ja henkilötietoriskit".

Sovellettavat GDPR-artikkelit

  • 32 artikla – Käsittelyn turvallisuus
    • Sovellettavat kohdat – (1) (b), (2)

ISO 27701 lauseke 5.4.2 – Tietoturvatavoitteet ja niiden saavuttamisen suunnittelu

Viitteet ISO 27001 Control 6.2

Organisaation yksityisyyden suojatavoitteiden tulisi:

  • Ole linjassa muiden tietoturvakäytäntöjen kanssa.
  • Ole kvantifioitavissa raportointia ja arviointia varten.
  • Sisällytä tiedot riskinarvioinneista ja riskien hoidosta.
  • oltava kaikkien asiaankuuluvien henkilökunnan jäsenten ja rekisteröityjen saatavilla.
  • Ole jatkuvasti kehittynyt ja päivitetty toiminnallisten tulosten ja todellisten tapahtumien mukaisesti.
  • Ole dokumentoitu.

Organisaatioiden on koko suunnitteluprosessin aikana laadittava seuraavat asiat:

  1. Kaikki tarvittavat resurssit.
  2. Kenelle annetaan tavoitteet kokonaan tai osittain.
  3. Milloin organisaation asetetut tavoitteet saavutetaan.
  4. Miten kaikki tiedot on analysoitava.

Tuetut ohjaimet ISO 27001:sta ja GDPR:stä

ISO 27701 -lausekkeen tunniste ISO 27701 -lausekkeen nimi ISO 27001 -vaatimus Asiaan liittyvät GDPR-artikkelit
5.4.1.1 general
6.1.1 – Yleiset näkökohdat ISO 27001:n riskien suunnittelussa 		Ei eristetty
5.4.1.2 Tietoturvariskin arviointi
6.1.2 – Tietoturvariskin arviointi ISO 27001:lle 		Artikkeli (32)
5.4.1.3 Tietoturvariskien käsittely
6.1.3 – Tietoturvariskien käsittely ISO 27001:lle 		Artikkeli (32)
5.4.2 Tietoturvatavoitteet ja niiden saavuttamisen suunnittelu
6.2 – Tietoturvatavoitteet ja niiden saavuttamisen suunnittelu ISO 27001:lle 		Ei eristetty

Miten ISMS.online auttaa

Sinun on luotava Privacy Information Management System (PIMS), jotta se täyttää ISO 27701 -standardin. Valmiiksi rakennetun Privacy Information Management System (PIMS) -järjestelmän avulla voit nopeasti ja tehokkaasti järjestää ja käsitellä asiakas-, toimittaja- ja työntekijätietoja ISO 27701 -standardin vaatimusten mukaisesti.

Tietosuoja-arviointeja voidaan laatia ja suorittaa helposti aina tietosuojavaikutusten arvioinneista lainsäädännöllisiin tai vaatimustenmukaisuusvalmiuksiin.

Katso koko ominaisuusvalikoimamme osoitteessa varata demo.

Toby Cane

Kumppaniasiakkuuspäällikkö

Toby Cane on ISMS.onlinen Senior Partner Success Manager. Hän on työskennellyt yrityksessä lähes neljä vuotta ja toiminut useissa eri tehtävissä, kuten webinaarien juontajana. Ennen SaaS-työtään Toby työskenteli yläasteen opettajana.

LinkedIn

ISO 27701 -lausekkeet

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - Talvi 2026
Aluejohtaja - Talvi 2026, Iso-Britannia
Aluejohtaja - talvi 2026 EU
Aluejohtaja - talvi 2026 Keskisuuret EU-markkinat
Aluejohtaja - Talvi 2026 EMEA
Aluejohtaja - Talvi 2026 Keskisuuret markkinat EMEA

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Valmis aloittamaan?

Varaa demo