Mikä on sovellettavuuslausunto ja miksi sillä on merkitystä?
Soveltuvuuslausunto (SoA) on asiakirja, jossa luetellaan kaikki kontrollit, jotka Liite A ISO 27701:2025 -standardin mukaisesti ja ilmoittaa, soveltuuko kukin niistä organisaatioosi. Jokaisen sovellettavan kontrollin osalta kirjaat sen toteutustilan. Jokaisen poissuljetun kontrollin osalta annat perustelun.
Sillä on merkitystä kolmesta syystä:
- Se määrittelee PIMS-järjestelmäsi laajuuden — SoA kertoo sinulle sertifiointielin tarkalleen, mitä kontrolleja olet ottanut käyttöön ja miksi muita on jätetty pois. Se on sertifiointiauditointisi perusta.
- Se on pakollinen vaatimus — Standardin ISO 27701:2025 kohdassa 6.1.3 e) edellytetään nimenomaisesti sovellettavuuslausuntoa, joka sisältää tarvittavat kontrollit, perustelut niiden sisällyttämiselle, onko ne toteutettu, ja perustelut liitteen A kontrollien poissulkemiselle.
- Se on auditointisuunnitelmasi — Tilintarkastaja käyttää tarkastuslausuntoasi ensisijaisena viitteenä vaiheen 2 tarkastuksen aikana. Jokaista soveltuvaksi merkittyä kontrollia arvioidaan toteutuksen osoittamiseksi.
Mitä soA:n tulee sisältää?
Standardin ISO 27701:2025 mukaisesti käyttöluvan (SoA) on sisällettävä seuraavat tiedot jokaisesta liitteen A mukaisesta kontrollista:
| Pakollinen elementti | Tuotetiedot | esimerkki |
|---|---|---|
| Ohjausviite | Liitteen A mukainen valvontanumero ja nimi | A.1.2 — Tietosuojailmoitus |
| Soveltuvuustila | Sovelletaanko valvontaa organisaatioosi | Soveltuu / Ei sovellu |
| Toteutuksen tila | Sovellettavien kontrollien osalta: onko kontrolli toteutettu kokonaan, osittain vai suunniteltu | täytäntöön |
| Sisällyttämisen perustelu | Miksi tämä valvonta on välttämätöntä PIMS-järjestelmässäsi (yleensä liittyy riskinarviointiisi) | Vaaditaan riskin R-014 (riittämätön läpinäkyvyys rekisteröidyille) käsittelemiseksi |
| Poissulkemisen perustelu | Poissuljettujen kontrollien osalta: miksi kontrollia ei sovelleta tietojenkäsittelytoimintaasi | Ei sovelleta – organisaatio ei toimi henkilötietojen käsittelijänä |
Miten vuoden 2025 tarkastuskertomus on jäsennelty eri tavalla kuin vuoden 2019 tarkastuskertomus?
Jos tunnet vuoden 2019 version, SoA-rakenne on muuttunut merkittävästi:
| Aspect | 2019 painos | 2025 painos |
|---|---|---|
| Ohjauslähde | Kohdat 6, 7 ja 8 (laajennukset standardiin ISO 27002) | Liite A (78 erillistä ohjausobjektia kolmessa taulukossa) |
| Tuote mallit | SoA kattoi sekä ISO 27001 -standardin liitteen A että ISO 27701 -standardin lausekkeiden lisäykset | ISO 27701:2025 -standardilla on oma erillinen SoA-standardinsa, joka kattaa vain liitteen A. |
| Ohjaustaulukot | Järjestetty ISO 27002 -lausekerakenteen mukaan | Kolme taulukkoa: A.1 (ohjain, 31 ohjainta), A.2 (prosessori, 18 ohjainta), A.3 (jaettu, 29 ohjainta) |
| Suhde ISO 27001 -standardin mukaiseen käyttöoikeussopimukseen | Yhdistetty tai ristiviittaus | Erillinen asiakirja. Jos sinulla on molemmat sertifikaatit, sinulla on kaksi käyttöoikeustodistusta. |
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Miten sinun tulisi lähestyä SoA:n rakentamista?
Vaihe 1: Määritä roolisi/roolisi
ISO 27701:2025 -standardissa erotetaan toisistaan henkilökohtaisten tietojen ohjaimet ja henkilökohtaisten tietojen käsittelijät. Roolisi määrittää, mitä liitteen A taulukoita sovelletaan:
- Vain PII-ohjain — Taulukko A.1 (31 kontrollia) + Taulukko A.3 (29 kontrollia) = 60 kontrollia
- Vain henkilötietojen käsittelijä — Taulukko A.2 (18 kontrollia) + Taulukko A.3 (29 kontrollia) = 47 kontrollia
- Sekä ohjain että prosessori — Kaikki kolme taulukkoa = 78 ohjausobjektia
Monet organisaatiot toimivat sekä rekisterinpitäjinä (työntekijätietojen osalta) että käsittelijöinä (asiakastietojen osalta). Jos tämä koskee sinua, kaikki 78 valvontaa kuuluvat soveltamisalaan.
Vaihe 2: Yhdistä kontrollit riskinarviointiisi
Jokaisen sovellettavan valvonnan tulisi jäljittää yksityisyyden suojan riskiarvioinnissa tunnistettuun riskiin. Tämä linkki on se, mitä tilintarkastustai käyttää sitä varmistaakseen, että kontrollivalintasi on riskiperusteinen eikä mielivaltainen. Jos kontrolli puuttuu tunnistamaasi riskiin, sen tulisi olla sovellettavissa. Jos mikään riski ei oikeuta kontrollia eikä tietojenkäsittelysi sitä vaadi, voit sulkea sen pois dokumentoidulla perustelulla.
Vaihe 3: Dokumentoi toteutuksen tila rehellisesti
Kirjaa jokaisen sovellettavan ohjausobjektin nykyinen tila:
- täytäntöön — Kontrolli on täysin toimintakunnossa ja siitä on näyttöä.
- Osittain toteutettu – Jotkin elementit ovat paikoillaan, työ on vielä kesken
- Suunnitellut — Kontrolli on toteutussuunnitelmassasi, mutta se ei ole vielä toiminnassa
Ole rehellinen osittaisen toteutuksen suhteen. Tilintarkastajat kunnioittavat läpinäkyvyyttä ja työskentelevät kanssasi korjaavien toimenpiteiden aikataulun mukaisesti. Väität täyden toteutuksen olevan voimassa, kun näyttö ohut rakenne johtaa nopeaan poikkeamaan.
Vaihe 4: Kirjoita puolustettavat poissulkemisperustelut
Jokaisen poissuljetun kontrollin osalta perustelusi on selitettävä, miksi se ei sovellu tiettyyn tietojenkäsittelykontekstiisi. Yleiset perustelut, kuten "ei olennainen", eivät riitä. Esimerkkejä puolustettavista poissulkemisista:
- ”Kontrollia A.2.x ei sovelleta, koska organisaatio ei toimi henkilötietojen käsittelijänä millekään kolmannelle osapuolelle.”
- ”Kontrolointia A.1.x (suoramarkkinointi) ei sovelleta, koska organisaatio ei käsittele henkilötietoja suoramarkkinointitarkoituksiin.”
- ”Kontrolointia A.3.x (fyysinen media) ei voida soveltaa, koska organisaatio käsittelee henkilötietoja yksinomaan digitaalisessa muodossa ilman fyysisiä tallenteita.”
Mitkä virheet aiheuttavat tarkastushavaintoja tarkastuslausumassa?
- Puuttuvat perustelut poissulkemisille — Yleisin havainto. Jokainen poissuljettu kontrolli tarvitsee erityisen, dokumentoidun syyn. Pelkkä ”Ei sovelleta” ei riitä.
- Kontrollit merkitty toteutetuiksi ilman näyttöä — Jos merkitset kontrollin toteutetuksi, tilintarkastaja pyytää nähdä todisteita. Varmista, että todisteet ovat olemassa ja linkitettyinä ennen tilintarkastusta.
- SoA ei vastaa riskiarviota — Jos riskinarvioinnissasi havaitaan yksityisyyden suojaan liittyvä riski, mutta vastaava kontrolli on jätetty pois tarkastuslausunnosta, tilintarkastaja nostaa tämän esiin poikkeamana.
- Käyttämällä vuoden 2019 rakennetta — Jos käyttöoikeussopimuksessasi (SoA) viitataan lausekkeen 7/8 rekisterinpitäjää/käsittelijää koskeviin lisäyksiin liitteen A taulukoiden sijaan, se ei täytä vaatimuksia 2025 vaatimukset.
- Ei versionhallintaa — Tarkastuslausunto on elävä asiakirja. Jos siinä ei ole versiohistoriaa, joka osoittaisi sen viimeisimmän tarkistuksen ja päivityksen ajankohdan, tilintarkastaja saattaa kyseenalaistaa, vastaako se nykytilaasi.
Aloita helposti henkilökohtaisella tuote-esittelyllä
Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.
Miten pidät SoA:n ajan tasalla?
Todistuslausuntosi ei ole kertaluonteinen asiakirja. Se on tarkistettava ja päivitettävä:
- Riskienarvioinnin muutosten jälkeen — Uudet riskit saattavat vaatia lisävalvontaa; poistetut riskit voivat mahdollistaa poissulkemiset
- Kun tietojenkäsittelytoiminnot muuttuvat — Uudet palvelut, uudet tietotyypit tai uudet käsittelysuhteet voivat vaikuttaa siihen, mitä valvontatoimia sovelletaan
- Ennen jokaista tarkastusta — Varmista, että soA vastaa tarkasti nykyistä toteutustilaasi
- Osana johdon arviointia — Sisällytä SoA-valuutta pysyväksi asiakohdaksi esityslistalla
A vaatimustenmukaisuusalusta joka luo käyttöoikeussopimuksen reaaliaikaisista ohjaustiedoistasi, tekee tästä automaattista manuaalisen sijaan. Kun päivität hallinnan tilan tai lisäät uuden riskin, käyttöoikeussopimus heijastaa muutosta välittömästi.
Miksi valita ISMS.online ISO 27701:2025 -standardia varten?
- Automatisoitu SoA-generointi — Rakenna soveltuvuuslausuntosi valitsemiesi kontrollien perusteella, ja perustelut ja todistelinkit täyttyvät automaattisesti.
- Kaikki 78 liitteen A mukaista ohjausta esiasennettuna — Rekisterinpitäjä, käsittelijä ja jaetut vastuuhenkilöt ovat valmiita arviointiin, ja kutakin varten on ohjeet.
- Riskien ja kontrollin jäljitettävyys — Yhdistä jokainen kontrolli sen käsittelemiin riskeihin, jolloin tarkastajat saavat odottamansa evidenssiketjun
- Live-dokumentti — SoA-lausuntosi päivittyy automaattisesti, kun muutat valvontastatusta, lisäät riskejä tai muokkaat poissulkemisperusteita
- Versiohistoria — Täydellinen SoA-muutosten auditointiketju, joka täyttää versionhallintavaatimuksen ilman manuaalista seurantaa
- Vientivalmis — Vie käyttöoikeustodistuksesi ammattimaisessa muodossa sertifiointielimellesi, asiakkaillesi tai johdon tarkastusta varten
- Monikehys — Jos ylläpidät sekä ISO 27001- että ISO 27701 -standardia, alusta hallitsee molempia palvelusopimuksia jaettujen kontrollien avulla, jotka on yhdistetty eri viitekehysten välillä.
Oletko valmis laatimaan sovellettavuuslausuntosi? Varaa demo ja katso miten ISMS.online tekee sinun ISO 27701: 2025 sertifiointi SoA-auditointivalmiina ensimmäisestä päivästä lähtien.
Usein Kysytyt Kysymykset
Kuinka monta ohjausobjektia SoA:ssani pitäisi olla?
SoA:ssasi on lueteltava kaikki 78 liitteen A mukaista valvontaa (tai osa niistä, jotka ovat olennaisia roolillesi rekisterinpitäjänä, käsittelijänä tai molempina). Jokainen valvonta joko soveltuu tai jätetään pois perustellen. Sovellettavien valvontatoimien määrä vaihtelee organisaatioittain, mutta useimmilla organisaatioilla, jotka toimivat sekä rekisterinpitäjänä että käsittelijänä, on 50–70 sovellettavaa valvontatoimia.
Tarvitsenko erilliset käyttöoikeussopimukset ISO 27701- ja ISO 27001 -standardeille?
Kyllä. Vuoden 2025 painoksessa ISO 27701 -standardilla on oma liitteensä A, joka sisältää yksityisyyteen liittyviä erityisohjeita, erillään ISO 27001 -standardin liitteestä A. Jos sinulla on molemmat sertifikaatit, sinulla on kaksi käyttöoikeustodistusta (SoA). Vaatimustenmukaisuusalusta, kuten ISMS.online hallitsee molempia ja yhdistää jaetut ohjaimet, jotta et tee päällekkäistä työtä.
Voinko jättää pois koko liitteen A taulukon?
Kyllä, jos roolisi sen oikeuttaa. Jos esimerkiksi olet yksinomaan henkilötietojen käsittelijä etkä koskaan toimi rekisterinpitäjänä, voit sulkea pois kaikki taulukon A.1 (rekisterinpitäjä) mukaiset kontrollit sillä perusteella, ettet määritä henkilötietojen käsittelyn tarkoituksia tai keinoja. Taulukko A.3 (jaetut kontrollit) koskee kaikkia organisaatioita roolista riippumatta.
Minkä todisteiden tulisi liittyä kuhunkin kontrolliin?
Todiste vaihtelee kontrollityypin mukaan, mutta tyypillisesti siihen sisältyy: käytännöt (hyväksytyt ja kuitatut), menettelyt (dokumentoidut ja noudatetut), tiedot (lokit, rekisterit, kokouspöytäkirjat) ja tekniset todisteet (järjestelmäkonfiguraatiot, käyttöoikeuksien hallinta). Keskeistä on osoittaa, että kontrollia ei ole ainoastaan dokumentoitu, vaan se toimii myös tehokkaasti.
Kuinka usein soA tulisi tarkistaa?
Tarkista soA vähintään vuosittain osana johdon arviointisykliä ja ennen jokaista sertifiointi- tai valvontatarkastusta. Sinun tulee myös päivittää se aina, kun tietojenkäsittelytoiminnassasi, riskiprofiilissasi tai organisaatiorakenteessasi tapahtuu merkittäviä muutoksia. Alustan luoma reaaliaikainen soA pysyy automaattisesti ajan tasalla sitä mukaa, kun päivität valvontatoimiasi.
