Mitkä ovat ISO 27701:2025 -johtamisjärjestelmän vaatimukset?
ISO 27701:2025 -standardissa käytetään Harmonisoitu rakenne (HS), yhteinen viitekehys, jota kaikki nykyaikaiset ISO-hallintajärjestelmästandardit käyttävät. Kohdat 4–10 määrittelevät ydinvaatimukset, jotka jokaisen organisaation on täytettävä voidakseen perustaa, ottaa käyttöön, ylläpitää ja jatkuvasti parantaa yksityisyyden suojaa koskevien tietojen hallintajärjestelmää (PIMS).
Merkittävä muutos vuoden 2025 painoksessa on, että ISO 27701 on nyt itsenäinen hallintajärjestelmästandardiSe ei enää vaadi ISO 27001 -standardia ennakkoedellytyksenä, joten organisaatiot voivat ottaa ISO 27701:2025 -standardin käyttöön ja sertifioida sen mukaisesti itsenäisesti. Lue lisää tästä… erillinen sertifiointiopas.
Miten lausekkeet on jäsennelty?
Seitsemän hallintajärjestelmän lauseketta seuraavat loogista järjestystä kontekstin ymmärtämisestä jatkuvaan parantamiseen. Yhdessä ne muodostavat Suunnittele, tee, tarkista, toimi (PDCA) -syklin, joka ohjaa tehokasta yksityisyyden hallintaa.
| lauseke | Otsikko | PDCA-vaihe | Yhteenveto |
|---|---|---|---|
| Lauseke 4 | Organisaation tausta | Suunnitelma | Ymmärrä organisaatiosi, sidosryhmäsi, laajuutesi ja PIMS-rajat |
| Lauseke 5 | Johto | Suunnitelma | Ylimmän johdon sitoutuminen, tietosuojakäytäntö ja organisaatioroolit |
| Lauseke 6 | Suunnittelu | Suunnitelma | Tietosuojariskien arviointi, riskien käsittely, tavoitteet ja muutossuunnittelu |
| Lauseke 7 | Tuki | Do | Resurssit, osaaminen, tietoisuus, viestintä ja dokumentoitu tieto |
| Lauseke 8 | Toiminta | Do | Toiminnan suunnittelu, yksityisyyden suojan riskien arviointi ja riskienhallinnan toteutus |
| Lauseke 9 | Suorituskyvyn arviointi | Tarkistaa | Seuranta, sisäinen tarkastus ja johdon arviointi |
| Lauseke 10 | parannus | Toimia | Jatkuva parantaminen ja korjaavat toimenpiteet |
Miten nämä lausekkeet liittyvät liitteen A mukaisiin valvontatoimiin?
Johtamisjärjestelmän lausekkeet (4–10) määrittelevät miten sinä käytät PIMS-järjestelmääsi, kun taas Liite A valvonta määritellä mitä toteuttamasi yksityisyyden suojan toimenpiteet. Kohta 6.1.3 (yksityisyyden suojan riskien käsittely) on se, missä nämä kaksi kohtaavat: riskien hallintaprosessi määrittää, mitkä Liite A kontrollit ovat sovellettavissa, ja ne on dokumentoitu sovellettavuuslausunnossasi (SoA).
Liitteen A tarkastukset on jaettu kolmeen taulukkoon:
- Taulukko A.1 — PII-ohjaimen ohjaus
- Taulukko A.2 — PII-prosessorin ohjausobjektit
- Taulukko A.3 — Molempiin rooleihin sovellettavat jaetut tietoturvakontrollit
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Mikä eroaa vuoden 2019 versiosta?
ISO 27701:2025 -standardin mukaiset johtamisjärjestelmävaatimukset sisältävät useita tärkeitä muutoksia vuoden 2019 painokseen verrattuna:
- Erillinen standardi — Lausekkeet muodostavat nyt täydellisen ja itsenäisen hallintajärjestelmän. ISO 27001 ei ole enää edellytys.
- Tietosuojariskien painopiste - Lauseke 6 viittaa nyt nimenomaisesti yksityisyyden suojaan liittyvien riskien arviointiin ja yksityisyyden suojaa koskevien riskien käsittelyyn sen sijaan, että luotettaisiin ISO 27001 -standardin mukaisiin tietoturvariskiprosesseihin
- Ilmastonmuutos — Kohdat 4.1 ja 4.2 sisältävät uusia vaatimuksia ilmastonmuutoksen huomioon ottamisesta merkityksellisenä kysymyksenä kontekstia ja sidosryhmien odotuksia määritettäessä
- Harmonisoitu rakenteen linjaus — Lausekkeet ovat yhdenmukaisia uusimpien HS-vaatimusten kanssa, mukaan lukien päivitetty terminologia ja rakenne
- Muutosten suunnittelu — Kohdassa 6.3 on lisätty nimenomainen vaatimus suunnitella PIMS-järjestelmän muutokset jäsennellysti
Katso yksityiskohtaista vertailua Liitteen F kirjeenvaihto-opas ja Uutta standardissa ISO 27701:2025.
Keitä nämä vaatimukset koskevat?
Johtamisjärjestelmää koskevat lausekkeet (4–10) koskevat kaikki organisaatiot toteuttavat standardia ISO 27701:2025 riippumatta siitä, toimivatko he henkilötietojen rekisterinpitäjinä, käsittelijöinä vai molempina. Rekisterinpitäjän ja käsittelijän roolien välinen ero käsitellään liitteen A valvontamenettelyissä, ei hallintajärjestelmää koskevissa lausekkeissa.
Tämä tekee vaatimuksista sovellettavissa kaikenkokoisiin ja -toimialaisiin organisaatioihin, jotka käsittelevät henkilötietoja ja haluavat osoittaa tehokkaan yksityisyyden hallinnan sertifioinnin tai omaehtoisen vakuutuksen avulla.
Aloita ilmainen kokeilu
Haluatko tutkia?
Rekisteröidy ilmaiseen kokeilujaksoon tänään ja pääset käyttämään kaikkia ISMS.onlinen tarjoamia yhteensopivuusominaisuuksia
Miksi valita ISMS.online ISO 27701:2025 -standardin noudattamiseksi?
ISMS.online tarjoaa integroidun alustan ISO 27701:2025 -standardin jokaisen kohdan toteuttamiseen:
- Valmiiksi rakennettu PIMS-kehys — Lausekohtainen rakenne, jossa on valmiita mukautettavia malleja, käytäntöjä ja menettelyjä
- Tietosuojariskien hallinta — Sisäänrakennettu riskirekisteri, jonka arviointi- ja hoitotyönkulut on linjattu kohtien 6 ja 8 kanssa
- Käytäntöjen ja asiakirjojen hallinta — Versiohallittu dokumentaatio ja hyväksyntätyönkulut kohdan 7.5 vaatimusten mukaisesti
- Tarkastuksen hallinta — Suunnittele, toteuta ja seuraa sisäisiä auditointeja sekä kerää näyttöä kohdan 9.2 mukaisesti
- Johdon katsaus — Jäsennetyt arviointipohjat, joissa on syötteen seuranta ja toimintojen hallinta lauseketta 9.3 varten
UKK
Voidaanko ISO 27701:2025 -standardia ottaa käyttöön ilman ISO 27001 -standardia?
Kyllä. Vuoden 2025 painos on itsenäinen hallintajärjestelmästandardi, jolla on omat täydelliset vaatimukset kohdissa 4–10. ISO 27001 -sertifiointia ei enää tarvita ennakkoedellytyksenä. Organisaatiot, joilla on jo ISO 27001 -sertifikaatti, voivat kuitenkin integroida molemmat järjestelmät yhdistetyn tietoturvan ja yksityisyyden hallinnan lähestymistavan saavuttamiseksi.
Mikä on lausekkeiden ja liitteen A säännösten välinen suhde?
Lausekkeet määrittelevät, miten PIMS-järjestelmääsi (hallinto, riskienhallinta, dokumentointi, auditointi) hoidetaan, kun taas liite A sisältää erityiset toteutettavat yksityisyyden suojan toimenpiteet. Lauseke 6.1.3 yhdistää nämä kaksi riskienhallintaprosessin kautta, jossa määrität, mitä liitteen A mukaisia suojantoimia sovelletaan yksityisyyden suojan riskiarviointisi perusteella.
Pitääkö kaikkien seitsemän lausekkeen olla täysin pantu täytäntöön sertifiointia varten?
Kyllä. Kohdat 4–10 sisältävät pakollisia vaatimuksia (merkitty sanalla ”täytyy”). Jokainen vaatimus on käsiteltävä sertifiointia varten. Toisin kuin liitteen A mukaiset tarkastukset, jotka voidaan perustelluissa tapauksissa jättää pois soveltamislausunnon kautta, johtamisjärjestelmää koskevia lausekkeita ei voida jättää pois.
Aloita a strukturoitu kuiluanalyysi vertailla nykyistä PIMS-järjestelmääsi näihin vaatimuksiin.
Realistisen aikajanan saamiseksi lue nopein tie ISO 27701:2025 -sertifiointiin.
Sinun Ilmoitus soveltuvuudesta dokumentit, joihin kontrolleja sovelletaan ja miksi – kriittinen tarkastustuotos.
Tarkista yleisimmät käyttöönottovirheet ennen kuin aloitat.
