Hyppää sisältöön
ISMS.online

ISO 27701:2025 vs. 2019: Muutosten täydellinen vertailu

ISO 27701:2025 on perustavanlaatuisesti erilainen standardi kuin vuoden 2019 edeltäjänsä. Tällä sivulla on yksityiskohtainen vertailu jokaisesta merkittävästä muutoksesta rakenteellisesta uudistuksesta ja valvonnan uudelleenjärjestelystä uusiin liitteisiin ja sertifiointivaihtoehtoihin, jotta voit suunnitella siirtymäsi luottavaisin mielin.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Miksi ISO 27701 -standardia tarkistettiin?

ISO 27701:2019 julkaistiin standardin ISO 27001 ja ISO 27002 laajennuksena, ja se lisäsi yksityisyyteen liittyviä vaatimuksia ja kontrolleja olemassa olevan tietoturvallisuuden hallintajärjestelmän lisäksi. Vaikka tällä lähestymistavalla oli etuja, se aiheutti käytännön ongelmia: organisaatioiden piti hankkia ISO 27001 -sertifiointi ennen kuin ne saattoivat sertifioida ISO 27701 -standardin mukaisesti, yksityisyyden suojan kontrollit olivat hajallaan useissa eri lausekkeissa, eikä rakenne ollut selkeästi linjassa sen kanssa, miten organisaatiot hallitsevat yksityisyyttä käytännössä.

Vuoden 2025 tarkistus käsittelee kaikkia näitä kysymyksiä. ISO 27701:2025 on itsenäinen hallintajärjestelmästandardi omilla täydellisillä vaatimuksillaan kohdissa 4–10, uudelleensuunniteltu Liite A joka sisältää 78 selkeästi luokiteltua yksityisyyden suojaa koskevaa asetusta ja uudet kartoitusliitteet, jotka yhdistävät standardin GDPR, ISO 29100 ja sen edeltäjä vuodelta 2019. Täydellisen yleiskuvan muutoksista löydät oppaastamme Uutta standardissa ISO 27701:2025.

Miten rakenne on muuttunut?

Perustavin muutos on, että ISO 27701:2025 ei ole enää laajennusstandardi. Se on täydellinen ja itsenäinen tietosuojatiedonhallintajärjestelmän (PIMS) standardi.

Aspect ISO 27701: 2019 ISO 27701: 2025
Vakio tyyppi Laajennus standardiin ISO 27001/ISO 27002 Erillinen hallintajärjestelmästandardi
Edellytys ISO 27001 -sertifiointi vaaditaan Ei ennakkoedellytyksiä; erillinen sertifiointi mahdollinen
Johtamisjärjestelmää koskevat lausekkeet Täydennetty ISO 27001 -standardin kohdat 4–10 Sisältää omat täydelliset lausekkeensa 4–10
Tietosuoja-asetusten sijainti Kohdat 7 (rekisterinpitäjä) ja 8 (käsittelijä) sisäänrakennetuilla suojausmekanismeilla Liite A, jossa on kolme taulukkoa: A.1 Rekisterinpitäjä, A.2 Suoritin, A.3 Jaettu
Toteutusopas Normatiivisten kontrollien keskellä Eroteltu liitteeseen B (normatiivinen)
Riskien arviointi Laajennettu ISO 27001 -tietoturvariskiprosessi Yksityisyyden suojaan liittyvä riskinarviointi Lauseke 6
Ilmoitus soveltuvuudesta Laajennettu ISO 27001 SoA Erillinen SoA, joka kattaa liitteen A mukaiset tarkastukset
Ilmastonmuutos Ei osoitettu Mukana Kohdat 4.1 ja 4.2 kontekstinäkökohdat
Sertifiointi Aina yhdistettynä ISO 27001 -standardiin Erillinen tai yhdistetty, organisaation valinta

Tämä rakenteellinen muutos tarkoittaa, että yksityisyyden suojaa koskevaa sertifiointia hakevien organisaatioiden ei enää tarvitse ottaa ensin käyttöön täydellistä tietoturvallisuuden hallintajärjestelmää. Lisätietoja erillisestä sertifioinnista on saatavilla osiossamme. erillinen sertifiointiopas.

Kohdat 4–10: itsenäisen johtamisjärjestelmän vaatimukset

Vuoden 2019 painoksessa kohdat 5–8 täydensivät vastaavia ISO 27001 -standardin kohtia. Vuoden 2025 painos sisältää täysin itsenäisiä kohtia:

  • 4. kohta (Konteksti) — Määrittelee PIMS:n laajuuden itsenäisesti, mukaan lukien uuden vaatimuksen ottaa huomioon ilmastonmuutoksen kannalta merkityksellinen tilanne
  • Lauseke 5 (Johtajuus) — Määrittelee ylimmän johdon vastuut yksityisyyden suojaan liittyen, mukaan lukien tietosuojakäytännön ja roolien jaon
  • Lauseke 6 (Suunnittelu) — Ottaa käyttöön erillisen yksityisyyden suojaan liittyvien riskien arviointi- ja käsittelyprosessin, joka on erillinen tietoturvariskien hallinnasta
  • Lauseke 7 (Tuki) — Kattaa resurssit, osaamisen, tietoisuuden, viestinnän ja dokumentoidut tiedot PIMS-järjestelmää varten
  • Lauseke 8 (Toiminto) — Tietosuojaprosessien operatiivinen suunnittelu ja valvonta
  • Lauseke 9 (Suorituskyvyn arviointi) — PIMS-järjestelmän seuranta, mittaaminen, sisäinen tarkastus ja johdon arviointi
  • Lauseke 10 (Parannus) — Poikkeamien hallinta, korjaavat toimenpiteet ja jatkuva parantaminen

Tämä tarkoittaa, että organisaatio voi rakentaa ja sertifioida täydellisen tietosuojan hallintajärjestelmän viittaamatta lainkaan ISO 27001 -standardiin. Katso yksityiskohtainen opastus osoitteesta ISO 27701:2025 -vaatimusopas.

Miten liitteen A valvontarakennetta on uudelleenjärjestetty?

Vuoden 2019 painoksessa yksityisyyden suojaa koskevat toimenpiteet sisällytettiin kohtiin 7 ja 8 yhdistämällä normatiiviset vaatimukset täytäntöönpano-ohjeisiin. Tämä vaikeutti pakollisten ja neuvoa-antavien asioiden erottamista toisistaan ​​ja monimutkaisti sovellettavuuslausunnon laatimista.

ISO 27701:2025 -standardi omaksuu täysin erilaisen lähestymistavan. Kaikki yksityisyyden suojaustoiminnot ovat nyt Liite A, järjestettynä kolmeen selkeään taulukkoon:

Pöytä Laajuus Säätimien lukumäärä Pätee
Taulukko A.1 PII-ohjaimen ohjaimet 31 Rekisterinpitäjinä toimivat organisaatiot
Taulukko A.2 PII-käsittelijän hallintalaitteet 18 Tietojen käsittelijöinä toimivat organisaatiot
Taulukko A.3 Jaetut säätimet 29 Kaikki organisaatiot roolista riippumatta

Toteutusohjeet on siirretty liitteeseen B, joka on normatiivinen ja jossa käytetään "pitäisi"-sanastoa toteutussuositusten antamiseen. Tämä erottelu tekee standardista helpommin auditoitavan ja selkeämmän organisaatioille toteuttaa, koska näet tarkalleen, mitkä kontrollit ovat pakollisia ja mitkä ohjeet tukevat niitä.



ISMS.onlinen tehokas kojelauta

Aloita helposti henkilökohtaisella tuote-esittelyllä

Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.

Varaa esittelysi


Mitä tapahtui vuoden 2019 version yli 150 ohjaimelle?

Vuoden 2019 painos sisälsi kontrolleja, jotka oli jaettu kohtiin 6, 7 ja 8 (noin 49 yksityisyyteen liittyvää kontrollia kohdissa 7 ja 8 sekä yli 90 henkilötietoihin liittyvää tietoturva-alalausketta kohdassa 6), joista monet olivat laajennuksia ISO 27002 -standardin kontrolleihin. Vuoden 2025 painoksessa liitteessä A on 78 kontrollia. Tämä ei tarkoita soveltamisalan supistamista. Sen sijaan kontrollit on yhdistetty, järjestetty uudelleen ja monissa tapauksissa päällekkäisyyksiä on yhdistetty.

Keskeiset muutokset valvontaympäristössä:

  • Vakauttaminen — Vuonna 2019 useisiin lausekkeisiin hajautetut toisiinsa liittyvät kontrollit on yhdistetty yhdeksi kattavaksi kontrolliksi vuonna 2025.
  • Selkeämpi luokittelu — Kontrollit on nyt nimenomaisesti määritetty ohjaimelle, käsittelijälle tai jaetuille luokille, mikä poistaa epäselvyydet
  • Poistettu päällekkäisyys — Vuoden 2019 painos sisälsi ISO 27002 -standardin vaatimusten kanssa päällekkäisiä kontrolleja. Vuoden 2025 painoksessa on oma erillinen kontrollijoukkonsa, joka poistaa tarpeettomat päällekkäisyydet.
  • Uudet säätimet — Joillakin alueilla on saatu uusia tai merkittävästi laajennettuja valvontatoimia, erityisesti automatisoidun päätöksenteon osalta (A.1.3.11 Automaattinen päätöksenteko), henkilöllisyyden poistaminen ja anonymisointi (A.1.4.6 Tunnistamattomuuden poistaminen ja poistaminen) ja turvalliset kehityskäytännöt (A.3.27 Turvallisen kehityksen elinkaari)

Yksityiskohtaisen vastaavuuden vuoden 2019 ja 2025 kontrollijoukkojen välillä tarjoaa ISO 27701:2025 -standardi Liite F, joka tarjoaa täydellisen vastaavuustaulukon, joka osoittaa, miten kukin vuoden 2019 kontrolli vastaa vuoden 2025 vastinetta.

Mitä uusia liitteitä on lisätty?

Vuoden 2025 painoksessa on päivitetyt kartoitusliitteet ja yksi täysin uusi liite (liite F) uudelleenjärjesteltyjen liitteiden A ja B rinnalla:

Liite Otsikko Tyyppi Tarkoitus
A Tietosuojavalvonta normatiivinen 78 pakollista ohjausobjektia 3 taulukossa (ohjain, suoritin, jaettu)
B Toteutusopas normatiivinen Yksityiskohtaiset ohjeet kunkin liitteen A mukaisen valvonnan toteuttamiseksi
C Yhteensovitus ISO/IEC 29100 -standardiin Informatiivinen Yhdistää ohjaimet 11 ISO 29100 -standardin mukaiseen tietosuojaperiaatteeseen
D Yhdistämisohjeet GDPR:ään Informatiivinen Yhdistää hallintalaitteet asiaankuuluviin GDPR-artikloihin vaatimustenmukaisuuden yhdenmukaistamiseksi
E Yhteensovitus standardien ISO 27018 ja ISO 29151 kanssa Informatiivinen Yhteensopivuus pilvitietosuojan ja henkilötietojen suojausstandardien kanssa
F Vastaavuus standardin ISO 27701:2019 kanssa Informatiivinen Täydellinen kartoitus vuosien 2019 ja 2025 kontrollien välillä siirtymäsuunnittelua varten

- Liite D (GDPR-kartoitus) on erityisen merkittävä eurooppalaisille organisaatioille, koska se tarjoaa virallisen viitteen siitä, miten ISO 27701 -standardin mukaiset kontrollit ovat linjassa tiettyjen GDPR-artiklojen kanssa. Tämä helpottaa huomattavasti ISO 27701 -sertifioinnin käyttöä GDPR-vaatimustenmukaisuuden todisteena.

Mitkä ovat keskeisimmät käytännön erot toteutuksen kannalta?

Rakenteellisten muutosten lisäksi on useita käytännön eroja, jotka vaikuttavat siihen, miten organisaatiot toteuttavat standardin:

  • Tietosuojariskien arviointi — Kohta 6 edellyttää nyt erillistä yksityisyyden suojaan liittyvien riskien arviointiprosessia, joka on erillinen tietoturvariskien arvioinnista. Tämän on käsiteltävä erityisesti henkilötietoihin liittyviä riskejä, ei pelkästään organisaatioon kohdistuvia riskejä.
  • Ilmoitus soveltuvuudesta — Sinun on laadittava liitteen A mukaisille kontrolleille käyttölupa (SoA), jossa dokumentoidaan sovellettavat kontrollit, perustelut kunkin kontrollin sisällyttämiselle tai poissulkemiselle sekä toteutuksen tila. Tämä on nyt eksplisiittinen vaatimus, ei periytynyt ISO 27001 -standardista.
  • Ilmastonmuutos — Vuonna 2024 tehdyn kaikkien ISO-hallintajärjestelmästandardien muutoksen jälkeen kohdat 4.1 ja 4.2 edellyttävät nyt organisaatioilta, että ne harkitsevat, onko ilmastonmuutos merkityksellinen PIMS:lle. Tämä on lyhyt tarkastelu, ei yksityiskohtainen ympäristöarviointi.
  • Selkeämpi tarkastusketju — Normatiivisten kontrollien (liite A) erottaminen toteutusohjeista (liite B) yksinkertaistaa tilintarkastuksen valmistelua. Tilintarkastajat arvioivat liitteen A perusteella; liite B tarjoaa kontekstin.
  • Yksinkertaistettu dokumentaatio — Koska standardi on itsenäinen, organisaatioiden ei tarvitse ristiviittaa ISO 27001- ja ISO 27002 -standardeihin ymmärtääkseen velvoitteitaan. Kaikki on yhdessä asiakirjassa.

Vaikutus olemassa olevaan dokumentaatioon

Vuodesta 2019 vuoteen 2025 siirtyvien organisaatioiden tulisi odottaa useiden keskeisten asiakirjojen päivittämistä:

  • Tietosuojakäytäntö — Sen on heijastettava itsenäistä PIMS-laajuutta eikä viitattava ISO 27001 ISMS -standardiin
  • Riskienarviointimenetelmä — On puututtava henkilötietojen käsittelijöihin kohdistuviin yksityisyyden suojaan liittyviin riskeihin, ei pelkästään organisaatioiden tietoturvariskeihin
  • Ilmoitus soveltuvuudesta — On laadittava uudelleen 78 liitteen A mukaisen valvonnan mukaisesti, ja kunkin sisällyttämiselle tai poissulkemiselle on oltava perustelut
  • Tietueiden käsittely — Käsittelytietojen valvontavaatimukset (A.1.2.9 Henkilötietojen käsittelyä koskevat tiedot ja A.2.2.7 Henkilötietojen käsittelyä koskevat tiedot) määritellään tarkemmin vuonna 2025
  • Sisäisen tarkastuksen ohjelma — Tarkastuskriteerien tulisi viitata vuoden 2025 lausekkeen rakenteeseen ja liitteen A kontrollimekanismeihin

Kattavan yleiskatsauksen vuoden 2025 vaatimuksista löydät verkkosivuiltamme ISO 27701:2025 -vaatimusopas.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi


Mitä tämä tarkoittaa organisaatioille, joilla on tällä hetkellä vuoden 2019 sertifiointi?

Jos organisaatiollasi on jo ISO 27701:2019 -sertifikaatti, siirtyminen vuoteen 2025 vaatii huolellista suunnittelua, mutta ei tarkoita alusta aloittamista. Suuri osa jo tehdystä työstä pysyy voimassa. Nykyiset tietosuojakäytäntösi, käsittelytietosi ja monet toimintamenettelysi jatkuvat päivityksinä sen sijaan, että ne korvattaisiin kokonaan.

Tärkeimmät huomiota vaativat alueet ovat:

  • Liitteeseen A verrattuna tehty puuteanalyysi — Yhdistä olemassa olevat vuoden 2019 kontrollit 78 liitteen A kontrolliin käyttämällä Liite F viitteeksi. Tunnista kaikki uudet säätimet, joita et ole aiemmin käsitellyt
  • Tietosuojariskien uudelleenarviointi — Riskienarviointimenetelmänne saattaa vaatia päivitystä vastaamaan 6. kohdan vaatimuksia, jotka keskittyvät erityisesti PII-päähenkilöihin kohdistuviin riskeihin organisaation tietoturvariskien sijaan.
  • SoA-uudelleenrakennus — Soveltuvuuslausuntosi on kirjoitettava uudelleen uuden liitteen A rakenteen mukaisesti, ja jokaiselle 78 kontrollille on annettava perustelut.
  • Riippumattomuusarviointi — Jos aiot sertifioida ISO 27701:2025 -standardin itsenäisenä standardina, varmista, että PIMS-dokumentaatiosi on itsenäistä eikä perustu ISO 27001 -tietoturvanhallintajärjestelmääsi koskeviin viittauksiin täydellisyyden varmistamiseksi.

Mikä on siirtymäaikataulu?

Tällä hetkellä ISO 27701:2019 -standardin mukaisesti sertifioitujen organisaatioiden on siirryttävä vuoden 2025 versioon viimeistään lokakuu 2028Keskeiset virstanpylväät:

  • Nyt — ISO 27701:2025 on julkaistu ja saatavilla käyttöönottoa varten
  • 2025 ja 2026 — Sertifiointielimet suorittavat akkreditointinsa ja alkavat tarjota ISO 27701:2025 -auditointeja
  • lokakuu 2028 — Kaikki ISO 27701:2019 -sertifikaatit vanhenevat. Siirtymävaiheen on oltava valmis.

Kolmen vuoden siirtymäaika on avokätinen, mutta organisaatioiden ei pitäisi odottaa viimeiseen hetkeen. Varhaiset käyttöönottajat hyötyvät auditoijien saatavuudesta kilpailun vähenemisestä ja heillä on enemmän aikaa korjata käyttöönoton aikana havaitut puutteet.

ISO 27701 -standardin käyttöön ottaneiden organisaatioiden tulisi ottaa vuoden 2025 versio suoraan käyttöön. Vuoden 2019 version käyttöönotosta ei ole tässä vaiheessa hyötyä, koska se poistetaan käytöstä siirtymäkauden lopussa. Vaiheittainen siirtymäsuunnittelu on luettavissa ohjeissamme. siirtymäopas.

Miksi valita ISMS.online siirtymääsi varten?

ISMS.online on suunniteltu erityisesti auttamaan organisaatioita siirtymään vuodesta 2019 vuoteen 2025 ja saavuttamaan sertifioinnin tehokkaasti:

  • Valmiiksi rakennettu ISO 27701:2025 -kehys — Aloita täydellisellä lausekerakenteella, jossa kaikki 78 liitteen A valvontaa ja toteutusohjeet on jo kartoitettu ja valmiina mukautettaviksi
  • Gap-analyysityökalut — Määritä tarkasti, missä määrin nykyinen PIMS-järjestelmäsi täyttää vuoden 2025 vaatimukset ja missä tarvitaan lisätyötä
  • Soveltuvuuslausunnon rakentaja — Luo ja ylläpidä soveltuvuusarviointiasi (SOA) sisältäen valvonnan perustelut, toteutuksen tilan ja siihen liittyvät todisteet
  • Tietosuojariskirekisteri — Integroidut riskinarviointi- ja käsittelytyönkulut, jotka on yhdenmukaistettu kohdan 6 vaatimusten kanssa
  • Auditointivalmiuden koontinäyttö — Seuraa edistymistäsi, keskitä todisteet ja varmista, että olet sertifiointivalmiina ennen auditointipäivääsi

UKK

Pitääkö minun uusia sertifiointi vuoden 2025 version nojalla?

Kyllä. Kaikki ISO 27701:2019 -sertifikaatit on siirrettävä vuoden 2025 versioon lokakuuhun 2028 mennessä. Tämä voidaan tehdä suunnitellun valvonta- tai uudelleensertifiointiauditoinnin aikana tai erillisen siirtymäauditoinnin kautta. Sertifiointilaitoksesi arvioi PIMS-järjestelmääsi vuoden 2025 vaatimusten mukaisesti, mukaan lukien uudelleenjärjestellyt liitteen A kontrollit ja uudet 6 kohdan yksityisyyden riskinarviointivaatimukset.

Voinko käyttää olemassa olevaa ISO 27001 -tietoturvanhallintajärjestelmääni ISO 27701:2025 -standardin rinnalla?

Ehdottomasti. ISO 27701:2025 on suunniteltu toimimaan sekä itsenäisenä standardina että ISO 27001 -standardin täydennyksenä. Jos sinulla on jo tietoturvanhallintajärjestelmä (ISMS), voit integroida PIMS-järjestelmäsi siihen ja jakaa yhteisiä hallintajärjestelmän elementtejä, kuten asiakirjojen hallinnan, sisäisen tarkastuksen ja johdon katselmuksen. Monet organisaatiot valitsevat tämän lähestymistavan välttääkseen päällekkäistä työtä kahden järjestelmän välillä.

Mikä on ISO 27701:2019 -standardista siirtymisen määräaika?

Siirtymäaika päättyy lokakuussa 2028. Tämän päivämäärän jälkeen kaikki ISO 27701:2019 -sertifikaatit eivät ole enää voimassa. Organisaatioiden tulisi suunnitella siirtymisensä hyvissä ajoin varmistaakseen auditoijien saatavuuden ja varatakseen riittävästi aikaa tarvittaviin muutoksiin tietosuojatiedonhallintajärjestelmässään.

Tunnista tarkalleen, missä nykyinen PIMS-järjestelmäsi on puutteellinen, meidän avullamme vaiheittainen kuiluanalyysiopas.

nähdä nopein tie sertifiointiin realistisen aikajanan lähtötilanteesi perusteella.

Opi muilta ja arvioi yleisimmät käyttöönottovirheet.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.