Mitä erillinen sertifiointi tarkoittaa?
ISO 27701 -standardin vuoden 2025 painos on täydellinen ja itsenäinen johtamisjärjestelmästandardi. Toisin kuin vuoden 2019 painos, joka oli ISO 27001 -standardin laajennus ja joka voitiin sertifioida vain sen rinnalla, ISO 27701:2025 sisältää omat täydelliset johtamisjärjestelmävaatimuksensa. 4–10 §:t.
Tämä tarkoittaa, että organisaatiot voivat nyt saavuttaa ISO 27701:2025 -sertifioinnin omien ansioidensa perusteella ilman, että heidän tarvitsee ensin ottaa käyttöön tai sertifioida ISO 27001 -standardia. Tämä on yksi merkittävimmistä muutoksista vuoden 2025 painoksessa ja muuttaa perustavanlaatuisesti sitä, ketkä voivat hyötyä standardista.
Miksi tämä muutos tehtiin?
Vuoden 2019 painos edellytti organisaatioilta ISO 27001 -standardin (tietoturva) käyttöönottoa ennen ISO 27701 -standardin (yksityisyys) lisäämistä sen päälle. Vaikka tämä oli järkevää organisaatioille, jotka jo hallinnoivat tietoturvaa, se loi merkittävän esteen:
- Organisaatiot, jotka tarvitsivat tietosuojasertifiointia, mutta joilla ei ollut välitöntä tarvetta täydelliselle tietoturvan hallintajärjestelmälle
- Pienemmät organisaatiot, joissa kahden standardin yhteenlasketut kustannukset ja työmäärä olivat kohtuuttoman suuret
- Tietosuojaa ensisijaisesti ajavat yritykset, joiden ensisijainen huolenaihe oli tietosuojan noudattamisen osoittaminen
- Organisaatiot aloilla, joilla yksityisyydensuojan sääntely on tärkein ajuri (terveydenhuolto, koulutus, henkilöstöpalvelut)
Kun ISO 27701:2025 -standardista tehdään itsenäinen, siitä tulee paljon laajemman organisaatioiden joukon saatavilla, jotka haluavat osoittaa tehokkaan yksityisyyden hallinnan kansainvälisesti tunnustetun sertifioinnin avulla.
Kuka hyötyy erillisestä sertifioinnista?
Erillinen sertifiointi on erityisen arvokas seuraavissa tilanteissa:
- Yksityisyyteen keskittyvät startupit — Tietojenkäsittelypalveluiden ympärille rakennetut yritykset, joiden on osoitettava luotettavuutta asiakkaille
- pk-yritykset, joilla on rajalliset resurssit — Organisaatiot, jotka haluavat yksityisyydensuojasertifioinnin ilman täydellisen tietoturvallisuuden hallintajärjestelmän aiheuttamaa lisärasitusta
- Tietojen käsittelijät — Pilvipalveluntarjoajat, SaaS-yritykset ja ulkoistetut käsittelypalvelut, joiden on osoitettava GDPR asiakkaiden vaatimustenmukaisuus
- Säännellyt teollisuudenalat — Terveydenhuollon tarjoajat, rahoituspalveluyritykset ja oppilaitokset, joissa yksityisyys on ensisijainen sääntelyyn liittyvä huolenaihe
- Organisaatiot, joilla on olemassa olevat tietoturvakehykset — Yritykset, jotka käyttävät SOC 2-, NIST- tai muita tietoturvakehyksiä ja haluavat erillisen tietosuojasertifikaatin
Organisaatiot, joilla on jo ISO 27001 -standardi, voivat edelleen integroida molemmat järjestelmät. Standardit on suunniteltu toimimaan yhdessä, ja yhdistetty lähestymistapa tarjoaa kattavan tietoturvan ja yksityisyyden hallinnan.
Aloita ilmainen kokeilu
Haluatko tutkia?
Rekisteröidy ilmaiseen kokeilujaksoon tänään ja pääset käyttämään kaikkia ISMS.onlinen tarjoamia yhteensopivuusominaisuuksia
Mitä sertifiointiprosessi sisältää?
ISO 27701:2025 -sertifiointiprosessi noudattaa ISO:n standardoitua johtamisjärjestelmän sertifiointitapaa:
Soveltuvuuslausekkeessasi viitataan Taulukko A.1 ohjaimen säätimet, Taulukko A.2 prosessorin ohjausobjektit ja Taulukko A.3 jaetut suojauskontrollit.
| Vaihe | Mitä tapahtuu | Tyypillinen kesto |
|---|---|---|
| Valmistelu | PIMS-järjestelmän käyttöönotto: kontekstin määrittäminen, riskien arviointi, kontrollien toteuttaminen, dokumentaation luominen | 3 ja 12 kuukautta |
| Vaihe 1 auditointi | Sertifiointielin tarkistaa dokumentaation ja valmiuden. Tunnistaa kaikki huomionarvoiset alueet ennen vaihetta 2. | 1 - 2 päivää |
| Vaihe 2 auditointi | PIMS-järjestelmän käyttöönoton ja tehokkuuden arviointi paikan päällä (tai etänä). Tilintarkastajat haastattelevat henkilöstöä, tarkastelevat todisteita ja testaavat kontrollitekijöitä. | 2 - 5 päivää |
| Sertifiointipäätös | Sertifiointilaitos tarkastelee auditoinnin tuloksia ja päättää sertifikaatin myöntämisestä | 2 ja 4 viikkoa |
| Valvontatarkastukset | Vuosittaiset tarkastukset sen varmistamiseksi, että PIMS täyttää edelleen vaatimukset | 1–2 päivää vuodessa |
| Uusi todistus | Täydellinen uudelleenarviointi kolmivuotisen sertifiointisyklin lopussa | 2 - 4 päivää |
Miten tämä vertautuu vuoden 2019 lähestymistapaan?
| Aspect | ISO 27701: 2019 | ISO 27701: 2025 |
|---|---|---|
| Edellytys | ISO 27001 -sertifiointi vaaditaan | Ei ennakkovaatimuksia, erillinen sertifiointi saatavilla |
| Johtamisjärjestelmää koskevat lausekkeet | Täydennetty ISO 27001 -standardin kohdat 4–10 | Sisältää omat täydelliset lausekkeensa 4–10 |
| Riskien arviointi | Laajennettu ISO 27001 -tietoturvariskiprosessi | Omistettu yksityisyyden suojan riskien arviointiprosessi |
| Ilmoitus soveltuvuudesta | Laajennettu ISO 27001 SoA | Erillinen SoA, joka kattaa ISO 27701 -standardin Liite A valvonta |
| Sertifioinnin laajuus | Aina yhdistettynä ISO 27001 -standardiin | Erillinen tai yhdistetty, organisaation valinta |
| Tarkastustyö | Lisäauditointipäivät ISO 27001 -standardin lisäksi | Voi olla yksittäinen, kohdennettu tietosuojatarkastus |
Mikä on siirtymäaikataulu?
Tällä hetkellä ISO 27701:2019 -standardin mukaisesti sertifioitujen organisaatioiden on siirryttävä vuoden 2025 versioon viimeistään lokakuu 2028Tärkeimmät päivämäärät:
- Nyt — ISO 27701:2025 on julkaistu ja sertifiointielimet valmistelevat akkreditointiaan
- 2025 ja 2026 — Sertifiointielimet alkavat tarjota ISO 27701:2025 -sertifiointiauditointeja
- lokakuu 2028 — Kaikki ISO 27701:2019 -sertifikaatit vanhenevat. Organisaatioiden on täytynyt siirtyä vuoden 2025 versioon.
Organisaatioille, jotka ovat uusia ISO 27701 -standardin käyttöönotossa, ei ole siirtymävaatimusta. Sinun tulee ottaa vuoden 2025 versio käyttöön suoraan. Katso yksityiskohtaiset siirtymäohjeet kohdasta siirtymäopas.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Voiko ISO 27701 -standardin ja ISO 27001 -standardin edelleen yhdistää?
Ehdottomasti. Vaikka erillinen sertifiointi on nyt saatavilla, organisaatiot, joilla on ISO 27001 -standardi tai jotka hakevat sitä, voivat silti integroida nämä kaksi standardia. Itse asiassa tästä on merkittäviä etuja:
- Jaettu hallintajärjestelmä — Monet Lauseke 4 10 päällekkäistä vaatimusta, mikä vähentää päällekkäistä työtä
- Integroitu riskienhallinta — Arvioi tietoturva- ja yksityisyysriskejä yhden koordinoidun prosessin avulla
- Yhdistetyt auditoinnit — Vähennä auditointiväsymystä yhdistämällä valvonta- ja uudelleensertifiointiauditoinnit
- Kattava kattavuus — Käsittelee sekä tietoturvaa että yksityisyyttä yhdessä kehyksessä, joka vetoaa sekä asiakkaisiin että sääntelyviranomaisiin
Erillisen ja integroidun sertifioinnin välinen valinta riippuu organisaatiosi tarpeista, olemassa olevista sertifioinneista ja asiakkaiden odotuksista.
Miksi valita ISMS.online ISO 27701:2025 -sertifiointia varten?
ISMS.online on suunniteltu nopeuttamaan tietäsi sertifiointiin:
Keskeisiä valmisteluun liittyviä kontrolleja ovat mm. A.1.2.6 Tietosuojaan liittyvä vaikutustenarviointi ja A.1.2.9 Käsittelyn tiedot.
- Esikonfiguroitu PIMS-kehys — Aloita täydellisellä ISO 27701:2025 -rakenteella, joka sisältää kaikki lausekkeet ja liitteen A mukautusohjeet, valmiina mukautettaviksi
- Soveltuvuuslausunnon rakentaja — Luo ja ylläpidä tarkastuslausuntoa (SOA) perusteluineen, toteutuksen tilanteineen ja näyttölinkkeineen
- Riskienhallinta — Integroitu yksityisyyden suojaan liittyvä riskirekisteri, jonka arviointi- ja käsittelytyönkulut ovat standardin mukaisia
- Tarkastusvalmius — Keskitetty todisteiden keruu, asiakirjojen hallinta ja tarkastusketju, jotta olet aina sertifiointivalmiina
- Asiantuntijaohjaus — Sisäänrakennettu ohjeistus kullekin lausekkeelle ja kontrollille, joka auttaa tiimiäsi ymmärtämään, mitä vaaditaan ilman ulkopuolista konsultointia
UKK
Pitääkö minun hylätä ISO 27001 -standardi saadakseni erillisen ISO 27701 -sertifioinnin?
Ei. Erillinen sertifiointi tarkoittaa, että ISO 27001 -standardi ei ole enää edellytys, mutta et voi hallita molempia. Jos sinulla on jo ISO 27001 -standardi, voit säilyttää sen ja lisätä ISO 27701:2025 -standardin joko erillisenä tai integroituna sertifiointina. Erillinen vaihtoehto antaa organisaatioille yksinkertaisesti joustavuutta sertifioida ISO 27701 -standardin mukaisesti ilman ISO 27001 -standardia, jos se sopii paremmin heidän tarpeisiinsa.
Tunnustavatko GDPR:n valvontaviranomaiset erillistä sertifiointia?
ISO 27701 -sertifiointi (riippumatta siitä, onko se erillinen vai integroitu) ei ole virallinen GDPR-sertifiointimekanismi artiklan 42 nojalla. Valvontaviranomaiset ja toimiala tunnustavat sen kuitenkin laajalti vahvaksi todisteeksi tehokkaasta yksityisyyden hallinnasta. Monet organisaatiot käyttävät ISO 27701 -sertifiointia osoittaakseen 5(2) artiklan mukaisen vastuuvelvollisuuden ja täyttääkseen asiakkaan tuntemisvelvollisuutta koskevat vaatimukset tietojenkäsittelysopimuksille artiklan 28 mukaisesti.
Kuinka kauan itsenäisen ISO 27701 -sertifioinnin saaminen kestää?
Hyvin valmistautuneelle organisaatiolle käyttöönottovaihe kestää tyypillisesti 3–6 kuukautta pienemmissä organisaatioissa ja 6–12 kuukautta suuremmissa tai monimutkaisemmissa organisaatioissa. Auditointiprosessi lisää aikaa 4–8 viikkoa. Käyttämällä alustaa, kuten ISMS.online voi merkittävästi lyhentää käyttöönottoaikaa tarjoamalla valmiita kehyksiä, malleja ja ohjeita, jotka poistavat tarpeen aloittaa alusta.
Yksityiskohtainen kustannuserittely organisaatiokoon mukaan, ks. paljonko ISO 27701:2025 -sertifiointi maksaa.
Oppaassamme tutkimme, kannattaako investointi: Onko ISO 27701:2025 -sertifiointi kannattavaa?.
Huolestuttaako kohtuuhintaisuus? Lue lisää Onko ISO 27701:2025 liian kallis pk-yrityksille? realististen budjettien vuoksi.
Vieläkö mietit? Oppaamme kattaa tarvitsetko ISO 27701:2025 -sertifiointia toimialasi ja tilanteesi perusteella.
