Hyppää sisältöön
ISMS.online

ISO 27701:2025 Kohta 10: Parannukset

Kohta 10 käsittelee PDCA-syklin "Toimintavaihetta". Se edellyttää organisaatioltasi PIMS-järjestelmän jatkuvaa parantamista ja poikkeamiin reagoimista tehokkailla korjaavilla toimenpiteillä, jotka puuttuvat perimmäisiin syihin.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä 10 § edellyttää?

Kohta 10 päättää PDCA-silmukan vaatimalla organisaatiotasi jatkuvasti parantamaan tietosuojatiedonhallintajärjestelmää (PIMS) ja käsittelemään tehokkaasti poikkeamia niiden ilmetessä. Siinä on kaksi alakohtaa: yksi jatkuvaa parantamista varten ja toinen poikkeamien ja korjaavien toimenpiteiden prosessia varten.

Korjaavat toimenpiteet saattavat edellyttää uudelleentarkastelua Liite A valvonta ja sovellettavuuslausunnon päivittäminen.

10.1 Jatkuva parantaminen

Organisaation on jatkuvasti parannettava PIMS-järjestelmän soveltuvuutta, riittävyyttä ja tehokkuutta.

Jatkuva parantaminen on kaikkien ISO-hallintajärjestelmästandardien perusperiaate. PIMS:n osalta tämä tarkoittaa yksityisyyden suojan parantamismahdollisuuksien systemaattista tunnistamista ja toteuttamista. Parannusmahdollisuuksia ovat muun muassa:

  • Tulokset seuranta ja mittaus (lauseke 9.1)
  • Sisäisen tarkastuksen havainnot (kohta 9.2)
  • Johdon tarkastelupäätökset (kohta 9.3)
  • Muutokset yksityisyyden suojaan liittyvissä riskeissä, säännöksissä tai teknologiassa
  • Palaute PII-päämiehiltä, ​​asiakkailta ja muilta sidosryhmiltä
  • Tietosuojapoikkeamista opittua
  • Alan parhaat käytännöt ja vertailuanalyysit

Parannukset eivät aina tarkoita suuria muutoksia. Pienet, vähittäiset prosessien, kontrollien ja dokumentaation parannukset ajan myötä voivat merkittävästi vahvistaa yksityisyyden suojaasi.

10.2 Poikkeamat ja korjaavat toimenpiteet

Kun poikkeama ilmenee, organisaation on:

  • Reagoi poikkeamaan — Ryhdy toimiin sen hallitsemiseksi ja korjaamiseksi sekä käsittele seuraukset
  • Arvioi toiminnan tarve — Määritä, onko tarpeen ryhtyä toimenpiteisiin syyn poistamiseksi, jotta se ei toistuisi tai tapahtuisi muualla, tarkastelemalla poikkeamaa, määrittämällä syyt ja selvittämällä, onko vastaavia poikkeamia olemassa tai voisiko niitä mahdollisesti esiintyä.
  • Toteuta kaikki tarvittavat toimenpiteet — Toteuta korjaavia toimenpiteitä perimmäisten syiden ratkaisemiseksi
  • Arvioinnin tehokkuus — Tarkistetaan, että toteutetut korjaavat toimenpiteet olivat tehokkaita toistumisen estämisessä
  • Tee muutoksia PIMS-järjestelmään — Päivitä tarvittaessa johtamisjärjestelmää opittujen kokemusten perusteella

Korjaavien toimenpiteiden on oltava asianmukaisia ​​havaittujen poikkeamien vaikutuksiin nähden. Vähäinen menettelyllinen puute ei vaadi samantasoista reagointia kuin merkittävä yksityisyyden loukkaus.



kiipeily

Vapauta itsesi laskentataulukoiden vuorten vallasta

Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.

Varaa esittelysi


Dokumentoituja tietoja koskevat vaatimukset

Organisaation on säilytettävä dokumentoituja tietoja todisteena seuraavista:

  • Poikkeamien luonne ja mahdolliset jatkotoimenpiteet
  • Korjaavien toimenpiteiden tulokset

Tämä tarkoittaa selkeiden tietojen ylläpitämistä, jotka osoittavat, että sinulla on systemaattinen prosessi ongelmien ratkaisemiseksi. Et ainoastaan ​​korjaa välitöntä ongelmaa, vaan ymmärrät, miksi se tapahtui, ja estät sen tapahtumisen uudelleen.

Miten tämä liittyy GDPR:ään?

  • Artikla 33 — Henkilötietojen tietoturvaloukkauksen ilmoittaminen valvontaviranomaiselle. Myös tietosuojaloukkaukset, jotka ovat vaatimustenvastaisuuksia, voivat edellyttää tietoturvaloukkauksesta ilmoittamista.
  • Artikla 34 — Rekisteröidylle henkilötietojen tietoturvaloukkauksesta ilmoittaminen, joka voi olla korjaava toimenpide, joka johtuu tietoturvaloukkauksen tutkinnasta
  • Article 5 (2) — Vastuullisuusperiaate, jota tukevat dokumentoidut todisteet korjaavista toimista ja parannuksista
  • Artikla 24 — Controllerin vastuulla on tarkistaa ja päivittää toimenpiteitä tarvittaessa jatkuvan parantamisen mukaisesti

Täydellinen kartoitus, katso GDPR-vaatimustenmukaisuusopas.

Mikä muuttui standardista ISO 27701:2019?

  • Itsenäiset vaatimukset — Vuonna 2019 kohta 5.8 täydensi standardin ISO 27001 kohtaa 10. Parannusvaatimukset ovat nyt täydelliset ja itsenäisiä.
  • Yksityisyyteen keskittyvä — Poikkeamien ja korjaavien toimenpiteiden prosessi toimii nyt nimenomaisesti PIMS-kontekstissa sen sijaan, että se laajentaisi sitä ISMS-prosessiin.
  • Selkeämpi rakenne — Viisivaiheinen korjaavien toimenpiteiden prosessi (reagointi, arviointi, toteutus, tarkastelu, muutos) on selkeämmin ilmaistu

Laajemman yleiskuvan saat, ks. Uutta standardissa ISO 27701:2025.

Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.

Mitä todisteita tilintarkastajat odottavat?

  • Poikkeamarekisteri — Loki kaikista havaituista poikkeamista mistä tahansa lähteestä (auditoinnit, vaaratilanteet, valitukset, seuranta)
  • Perussyyanalyysimenetelmiä — Näyttö siitä, että syitä tutkittiin, ei vain oireita käsitelty
  • Korjaustoimenpiteet kirjaa — Dokumentoidut toimenpiteet, joihin on liitetty vastuuhenkilöt, määräajat ja todisteet valmistumisesta
  • Tehokkuusarvioinnit — Todisteet siitä, että korjaavia toimenpiteitä seurattiin niiden toimivuuden varmistamiseksi
  • PIMS-muutokset — Kirjaukset muutoksista, jotka on tehty saatujen kokemusten perusteella johtamisjärjestelmään
  • Parannusnäyttö — Osoitettavat parannukset ajan myötä, kuten tapausten määrän lasku, nopeammat vasteajat tai parantuneet auditointitulokset

Tapahtumalähtöiset parannukset yhdistyvät A.3.11 Tapahtumahallinta jaetuissa ohjaimissa.

Liittyvät lausekkeet

lauseke Yhteys
Lauseke 6: Suunnittelu Korjaavat toimenpiteet voivat johtaa riskinarvioinnin tai hoitosuunnitelman päivityksiin
Lauseke 8: Toiminta Toiminnalliset poikkeamat ovat korjaavien toimenpiteiden ensisijainen lähde
Lauseke 9: Suorituskyvyn arviointi Auditointihavainnot ja johdon arvioinnin tulokset ohjaavat sekä korjaavia toimenpiteitä että parannuksia

Katso myös 4. kohta (Konteksti), Lauseke 5 (Johtajuus) ja Lauseke 7 (tuki).



ISMS.onlinen tehokas kojelauta

Aloita helposti henkilökohtaisella tuote-esittelyllä

Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.

Varaa esittelysi


Miksi valita ISMS.online 10 §:n noudattamiseksi?

ISMS.online tarjoaa työkalut PIMS-järjestelmäsi jatkuvaan parantamiseen:

  • Poikkeamien hallinta — Kirjaa, luokittele ja seuraa poikkeamia mistä tahansa lähteestä perussyyanalyysimallien avulla
  • Korjaavien toimenpiteiden työnkulut — Määritä omistajille toimia määräajoineen, seuraa edistymistä ja aikatauluta tehokkuusarviointeja
  • Trendianalyysi — Visualisoi poikkeamien ja tapahtumien trendejä ajan kuluessa systeemisten ongelmien tunnistamiseksi
  • Parannusrekisteri — Hyödynnä ja priorisoi parannusmahdollisuuksia kaikista lähteistä toteutuksen seurannan avulla
  • Auditointiintegraatio — Yhdistää tarkastushavainnot automaattisesti korjaaviin toimenpiteisiin ja seuraa niiden toteutusta aina päättämiseen ja varmentamiseen asti

UKK

Mitä eroa on poikkeamalla ja havainnolla?

Poikkeama on standardin vaatimuksen, lakisääteisen velvoitteen tai organisaation omien PIMS-vaatimusten täyttämättä jättäminen. Se vaatii korjaavia toimenpiteitä. Havainto (jota joskus kutsutaan "parannusmahdollisuudeksi") on löydös, joka ei ole epäonnistuminen, mutta korostaa aluetta, jolla PIMS-järjestelmää voitaisiin vahvistaa. Havainnot eivät vaadi virallisia korjaavia toimenpiteitä, mutta niitä tulisi pitää parannusehdotuksina.

Miten osoitat jatkuvaa parantamista tilintarkastajille?

Objektiivisen näytön avulla siitä, että PIMS paranee ajan myötä. Tähän voivat sisältyä poikkeamien määrän väheneminen, parantuneet yksityisyyden suojan mittarit, nopeammat reagointiajat tietoturvaloukkauksiin, kypsemmät riskienhallintaprosessit, tehostetut kontrollit, opittuja kokemuksia vastaavat päivitetyt käytännöt ja toteutetut parannushankkeet. Tilintarkastajat etsivät systemaattista lähestymistapaa, eivät täydellisyyttä.

Pitääkö jokaisen poikkeaman johtaa korjaavaan toimenpiteeseen?

Jokaiseen poikkeamaan on reagoitava (hallittava ja korjattava), mutta standardin mukaan organisaation tulisi "arvioida toimenpiteiden tarve" syyn poistamiseksi. Käytännössä useimmat poikkeamat edellyttävät korjaavia toimenpiteitä, mutta voi olla tapauksia, joissa välitön korjaus riittää ja toistumisen todennäköisyys on merkityksetön. Arviointi on dokumentoitava joka tapauksessa.

Opi muilta tarkastelemalla yleisimmät käyttöönottovirheet ja miten niitä voidaan välttää.

Säännöllinen kuiluanalyysi Harjoitukset auttavat tunnistamaan parannusmahdollisuuksia ja ylläpitämään sertifiointivalmiutta.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.