Mitä näyttöä tilintarkastajat odottavat ISO 27701:2025 -standardista?
ISO 27701:2025 -sertifiointiauditoinnit noudattavat jäsenneltyä ja näyttöön perustuvaa lähestymistapaa. Auditoijat eivät vain usko sinua – he tarvitsevat dokumentoitua näyttöä siitä, että tietosuojatietojesi hallintajärjestelmä (PIMS) täyttää kaikki standardin sovellettavat vaatimukset.
Todisteet voidaan jakaa kolmeen laajaan luokkaan:
- Asiakirjatodisteet — Käytännöt, menettelyt, prosessiasiakirjat, riskinarvioinnit ja sovellettavuuslausunto
- Tiedot ja lokit — Kokouspöytäkirjat, koulutusraportit, auditointiraportit, tapahtumalokit, tietojenkäsittelytiedot ja korjaavien toimenpiteiden lokit
- Esitelty käytäntö — Haastattelut henkilökunnan kanssa, järjestelmien läpikäymiset reaaliajassa ja prosessien toiminnan havainnointi
Vuoden 2025 painos on nyt itsenäinen sertifioitava standardi, mikä tarkoittaa, että todistusaineistosi on katettava koko johtamisjärjestelmän vaatimukset kohdissa 4–10 sekä sovellettavat Liite A valvonta.
Mitä todisteita vaaditaan kullekin lausekkeen alueelle?
Jokainen ISO 27701:2025 -standardin kohta vaatii tietyn tyyppisiä todisteita. Alla olevassa taulukossa on esitetty tärkeimmät todisteet. tilintarkastajas etsii kutakin hallintajärjestelmälauseketta vasten.
| lauseke | alue | Vaadittavat keskeiset todisteet |
|---|---|---|
| Lauseke 4 | Organisaation konteksti | Soveltamisala, intressiosapuolten analyysi, henkilötietojen käsittelyn konteksti, PIMS-rajojen dokumentointi |
| Lauseke 5 | Johto | Tietosuojakäytäntö (ylin johto allekirjoittaa), rooli- ja vastuumatriisi, johdon sitoumusrekisterit |
| Lauseke 6 | Suunnittelu | Tietosuojariskien arviointimenetelmä, riskirekisteri, riskienhallintasuunnitelma, sovellettavuuslausunto, tietosuojatavoitteet |
| Lauseke 7 | Tuki | Osaamisrekisterit, koulutuslokit, tiedotusohjelman todisteet, dokumentoitu tiedonvalvontamenettely |
| Lauseke 8 | Toiminta | Operatiivisen suunnittelun tiedot, riskinarvioinnin tulokset, riskienhallinnan toteutusta koskevat todisteet |
| Lauseke 9 | Suorituskyvyn arviointi | Seuranta- ja mittaustulokset, sisäisen tarkastuksen raportit, johdon katselmuspöytäkirjat |
| Lauseke 10 | parannus | Poikkeamien ja korjaavien toimenpiteiden tiedot, todisteet jatkuvasta parantamisesta |
Hallintajärjestelmälausekkeiden lisäksi tilintarkastajat arvioivat myös todisteita jokaisesta liitteen A mukaisesta kontrollista, jonka olet ilmoittanut sovellettavaksi yrityksessäsi. Ilmoitus soveltuvuudestaTämä sisältää ohjainkohtaiset hallintatoiminnot, prosessorikohtaiset hallintatoiminnot ja jaetut suojaustoiminnot.
Miten vaiheen 1 ja vaiheen 2 näyttövaatimukset eroavat toisistaan?
ISO 27701:2025 -sertifiointiauditointi on jaettu kahteen vaiheeseen, joilla molemmilla on erilaiset odotukset todistusaineistosta:
Vaihe 1: Dokumentaation tarkistus
Vaiheen 1 auditointi keskittyy siihen, onko dokumentoitu henkilötietojen hallintajärjestelmäsi riittävä. Auditoijat tarkastelevat:
- PIMS-järjestelmäsi laajuus ja rajat
- Tietosuojakäytäntö ja tietosuojatavoitteet
- Riskienarviointimenetelmä ja riskienkäsittelysuunnitelma
- Ilmoitus soveltuvuudesta
- Keskeiset menettelyt ja prosessien dokumentointi
- Sisäisen tarkastuksen ohjelma ja johdon arviointiaikataulu
Vaihe 1 on ensisijaisesti valmiustarkastus. Auditointihenkilö vahvistaa, että dokumentaatio on riittävän kattava vaiheeseen 2 siirtymiseksi ja tunnistaa mahdolliset alueet, joihin on kiinnitettävä huomiota ennen käyttöönottoauditointia.
Vaihe 2: Toteutuksen arviointi
Vaihe 2 on täydellinen käyttöönottotarkastus. Tarkastajat varmistavat, että PIMS-järjestelmääsi ei ole ainoastaan dokumentoitu, vaan se todella toimii. Tässä vaiheessa näyttöön sisältyy:
- Valmiit riskinarvioinnit ja niiden nykyiset tulokset
- Koulutustiedot, jotka osoittavat henkilöstön koulutuksen ja arvioinnin
- Sisäisen tarkastuksen raportit, joissa havainnot on käsitelty
- Johdon katselmuspöytäkirja päätöksineen
- Tapahtumareagointitiedot (vaikka tapahtumaa ei olisi sattunut, prosessista on oltava todisteet)
- Rekisteröidyn pyyntöjen käsittelyä koskevat tiedot
- Toimittajien ja käsittelijöiden hallintatiedot
Lisätietoja koko sertifiointiprosessista on osoitteessa sertifiointiopas.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Mitkä ovat yleisimmät todisteiden puutteet?
Tietyt todisteiden puutteet toistuvat ISO 27701:2025 -auditoinneissa. Organisaatioiden huomion keskipisteiden tunteminen auttaa välttämään samoja virheitä.
| Yhteinen aukko | Miksi se tapahtuu | Miten korjata se |
|---|---|---|
| Ei näyttöä johdon tarkastelusta | Arvostelut pidetään epävirallisesti ilman pöytäkirjoja | Aikatauluta viralliset tarkastelut esityslistoineen, osallistujineen ja kirjattuine päätöksineen |
| Koulutustiedot puuttuvat tai ovat puutteellisia | Harjoittelu tapahtuu, mutta sitä ei kirjata muistiin | Käytä koulutuksenhallintajärjestelmää, joka seuraa suoritusta ja osaamisen arviointia |
| Riskienarviointi ei ole ajan tasalla | Alustava arviointi tehty, mutta sitä ei ole päivitetty | Aikatauluta säännölliset tarkastukset ja päivitä merkittävien muutosten jälkeen |
| Ei sisäisen tarkastuksen näyttöä | Organisaatio luottaa ulkopuolisiin konsultteihin ja jättää sisäiset tarkastukset väliin | Suorita vähintään yksi täysi sisäinen auditointijakso ennen sertifiointiauditointia |
| Soveltamislausunnon perustelut puuttuvat | Kontrollit merkitty ei-soveltuviksi ilman selitystä | Dokumentoi jokaisen poissulkemisen perustelut soA:ssa |
| Toimittajasopimuksista puuttuu tietosuojalausekkeita | Sopimukset edeltävät PIMS:n käyttöönottoa | Tarkista ja päivitä toimittajasopimukset siten, että ne sisältävät tietojenkäsittely- ja tietosuojaehdot |
| Tapahtumavastetta ei testattu | Mitään vaaratilanteita ei ole sattunut, joten prosessia ei ole testattu | Suorita pöytäharjoituksia ja kirjaa tulokset muistiin |
Miten sinun tulisi järjestää todistusaineistosi?
Hyvin järjestetty todistusaineisto sujuvoittaa tarkastuksia ja vähentää riskiä, että löydökset johtuvat olemassa olevasta, mutta paikantamattomasta todistusaineistosta. Noudata seuraavia periaatteita:
- Yhdistä todisteet vaatimuksiin — Luo todistematriisi, joka linkittää jokaisen lausekkeen ja liitteen A valvonnan tiettyihin asiakirjoihin, tallenteisiin ja kuvakaappauksiin, jotka osoittavat vaatimustenmukaisuuden
- Käytä yhdenmukaisia nimeämiskäytäntöjä — Nimeä asiakirjat selkeästi, jotta tilintarkastajat voivat tunnistaa ne ilman apuasi (esim. PIMS-Riskien-Arviointi-2026-Q1.pdf)
- Ylläpidä versionhallintaa — Jokaisessa asiakirjassa tulee näkyä sen versio, hyväksymispäivämäärä ja omistaja. Tilintarkastajat tarkistavat, että työskentelet ajantasaisten, hyväksyttyjen asiakirjojen parissa.
- Säilytä aikaleimattuja tietoja — Koulutuslokeissa, kokouspöytäkirjoissa ja auditointiraporteissa on oltava näkyvissä tapahtumien ajankohta. Auditoijien on vaikea hyväksyä päiväämättömiä tietoja.
- Keskitä varastointi — Sähköpostilaatikoissa, jaetuilla levyillä ja yksittäisillä kannettavilla tietokoneilla hajallaan olevat todisteet aiheuttavat riskejä. Käytä yhtä valvottua sijaintia.
Organisaatiot, jotka yhdenmukaistavat näyttönsä GDPR-liitteen D kartoitus voi myös käyttää samaa todistusaineistoa osoittaakseen säädiny-vaatimustenmukaisuus, mikä tehostaa sekä yksityisyyden sertifiointia että tietosuojavelvoitteita.
Aloita helposti henkilökohtaisella tuote-esittelyllä
Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.
Miten ISMS.online tukee auditointiaineiston hallintaa?
ISMS.online on suunniteltu erityisesti auttamaan organisaatioita keräämään, järjestämään ja ylläpitämään ISO 27701:2025 -sertifiointiin tarvittavaa todistusaineistoa. Keskeisiä ominaisuuksia ovat:
- Valmiiksi rakennettu näyttökehys — Todistevaatimukset on kartoitettu jokaiseen lausekkeeseen ja liitteen A valvontaan, joten tiedät tarkalleen, mitä tarvitset ennen tilintarkastajan saapumista
- Dokumenttienhallinta versionhallinnalla — Lataa, hyväksy ja seuraa kaikkia käytäntöjä, menettelyjä ja niitä tukevia asiakirjoja täydellisine tarkastuspolkuineen
- Riskienhallinta — Suorita ja tallenna riskinarviointeja suoraan alustalla riskirekistereillä, jotka linkittyvät hoitosuunnitelmiin ja valvonnan toteutuksiin
- Koulutus ja tietoisuuden seuranta — Määritä koulutus, seuraa suoritusta ja kirjaa osaamisen arvioinnit aikaleimatulla todistusaineistolla
- Sisäisen tarkastuksen hallinta — Suunnittele, suorita ja kirjaa sisäiset tarkastukset ja niiden havainnot korjaaviin toimenpiteisiin liittyen
- Johdon tarkastelun tuki — Jäsennellyt arviointipohjat, jotka tallentavat syötteet, päätökset ja toimenpiteet tilintarkastajien odottamassa muodossa
- Toimittajien hallinta — Seuraa käsittelijäsopimuksia, suorita due diligence -tehtäviä ja ylläpidä valvontarekisteriä
Sen sijaan, että rakentaisit todistusaineistoa tyhjästä, ISMS.online antaa sinulle valmiin rakenteen, joka kerää näyttöä toteutuksen aikana. Auditointisi aikaan näyttö on jo järjestetty ja saatavilla.
Ymmärtääksesi PIMS-järjestelmän koko sisällön, katso oppaamme käyttöönoton aloittaminen.
Miksi valita ISMS.online auditointitodisteiden hallintaan?
- Standardiin vastaavat todisteet — Jokaisella lausekkeella ja liitteen A kontrollilla on linkitetty todistusaineistovaatimus, joten mitään ei jää huomaamatta
- Automatisoidut tarkastuslokit — Asiakirjojen, riskinarviointien ja toimenpiteiden muutokset kirjataan automaattisesti aikaleimoineen ja käyttäjämäärityksineen
- Keskitetty, tilintarkastajan käyttöön soveltuva evidenssi — Kaikki auditoijasi tarvitsema on yhdessä paikassa, ja siihen pääsee käsiksi suojattujen, roolipohjaisten käyttöoikeuksien kautta
- Esikonfiguroidut mallit — ISO 27701:2025 -standardin mukaiset käytännöt, riskinarviointimenetelmät ja soA-mallit lyhentävät käyttöönottoaikaa
- Korjaavien toimenpiteiden seuranta — Yhdistä poikkeamat korjaaviin toimenpiteisiin määräaikojen, omistajien ja tilan seurannan avulla
- Reaaliaikaiset vaatimustenmukaisuuden hallintapaneelit — Näe valmiustilasi yhdellä silmäyksellä, tunnista puutteet ja priorisoi työt ennen auditointia
- Tuhansien organisaatioiden luottama - ISMS.online tukee kaikenkokoisia yrityksiä ISO-sertifioinnin saavuttamisessa ja ylläpitämisessä
UKK
Mitä vähimmäistodisteita ISO 27701:2025 -sertifiointiin tarvitaan?
Tarvitset vähintään dokumentoidut käytännöt, riskinarvioinnin ja hoitosuunnitelman, sovellettavuuslausunnon, sisäisen tarkastuksen tulokset, johdon tarkastuspöytäkirjat ja tiedot, jotka osoittavat liitteen A mukaisten kontrollien toimivuuden. Tarkka laajuus riippuu organisaatiostasi ja sovellettaviksi ilmoittamistasi kontrolleista.
Kuinka kauas taaksepäin tarkastusevidenssin tulisi ulottua?
Alkuperäistä sertifiointia varten auditoijat haluavat tyypillisesti nähdä vähintään kolmen kuukauden operatiivisen näytön, mukaan lukien täydellisen sisäisen auditointisyklin ja vähintään yhden johdon katselmuksen. Valvonta-auditointien osalta näytön tulisi kattaa ajanjakso viimeisimmästä auditoinnista.
Voimmeko käyttää digitaalista todistusaineistoa vai pitääkö se tulostaa?
Digitaalinen todistusaineisto hyväksytään täysin ja tilintarkastajat usein suosivat sitä. Kuvakaappaukset, järjestelmäviennit, aikaleimatut tiedot ja alustoille, kuten ISMS.online ovat kaikki päteviä. Keskeinen vaatimus on, että todisteet ovat autenttisia, saatavilla olevia ja versiohallittuja.
Mitä tapahtuu, jos tilintarkastaja löytää puuttuvia todisteita?
Puuttuva näyttö johtaa tyypillisesti poikkeamahavaintoon. Pienet poikkeamat mahdollistavat näytön toimittamisen sovitussa ajassa (yleensä 90 päivää). Merkittävät poikkeamat saattavat edellyttää seurantakäyntiä ennen sertifioinnin myöntämistä.
Tarvitsemmeko erilliset todisteet ISO 27701- ja ISO 27001 -standardeille?
Jos sinulla on molemmat sertifikaatit, suuri osa johtamisjärjestelmän todentavasta aineistosta on päällekkäistä (riskienhallinta, sisäinen tarkastus, johdon arviointi). ISO 27701 -standardi edellyttää kuitenkin lisätodisteita yksityisyyden suojaan liittyen, kuten henkilötietojen käsittelytietueita, rekisteröityjen pyyntöjen käsittelyä ja yksityisyyden suojaa koskevien vaikutustenarviointeja. ISMS.online mahdollistaa molempien standardien hallinnan integroidussa järjestelmässä.
