Hyppää sisältöön
ISMS.online

ISO 27701:2025 Kohta 4: Organisaation konteksti

Kohta 4 on yksityisyyden suojan tiedonhallintajärjestelmäsi lähtökohta. Se edellyttää, että ymmärrät organisaatiosi kontekstin, tunnistat asianosaiset, määrittelet henkilötietojen hallintajärjestelmäsi laajuuden ja päätät, toimitko henkilötietojen rekisterinpitäjänä, käsittelijänä vai molempina.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä 4 § edellyttää?

Kohta 4 luo perustan yksityisyyden suojan tiedonhallintajärjestelmällesi (PIMS) edellyttämällä, että ymmärrät organisaatiosi toimintaympäristön, sidosryhmäsi ja PIMS:n kattaman soveltamisalan. Se koostuu neljästä alakohdasta, jotka rakentuvat toisiinsa luodakseen täydellisen kuvan yksityisyyden suojan maisemastasi.

4.1 Organisaation ja sen kontekstin ymmärtäminen

Organisaation on määritettävä sen tarkoituksen kannalta merkitykselliset ulkoiset ja sisäiset ongelmat, jotka vaikuttavat sen kykyyn saavuttaa PIMS:n tavoitellut tulokset. Tähän sisältyvät:

  • Ulkoiset ongelmat — Tietosuojalainsäädäntö ja -määräykset (kuten GDPR), alan vaatimukset, sopimusvelvoitteet, teknologinen kehitys ja kilpailuympäristö
  • Sisäiset ongelmat — Organisaatiokulttuuri, hallintorakenne, olemassa olevat käytännöt, resurssien saatavuus ja henkilöstön pätevyys
  • Ilmastonmuutos (kohdat 4.1 ja 4.2) — Vuoden 2025 painokseen on lisätty uusi lisäys, joka edellyttää organisaatioilta, että ne määrittävät, onko ilmastonmuutos merkittävä ongelma, joka voisi vaikuttaa PIMS-järjestelmään
  • Rekisterinpitäjän tai käsittelijän rooli — Organisaation on määritettävä, toimiiko se henkilötietojen rekisterinpitäjänä, käsittelijänä vai molempina, koska tämä määrää, kumpi Liite A valvonta käyttää

4.2 Sidosryhmien tarpeiden ja odotusten ymmärtäminen

Organisaation on tunnistettava PIMS-järjestelmänsä kannalta merkitykselliset intressitahot ja ymmärrettävä heidän vaatimukset. Keskeisiä intressitahoja ovat tyypillisesti:

  • Henkilökohtaisen tunnistuksen pääasialliset henkilöt — Yksilöt, joiden henkilötietoja käsitellään
  • Asiakkaat — Toimimmepa sitten henkilötietojen rekisterinpitäjinä, jotka käyttävät organisaatiotasi henkilötietojen käsittelijänä, tai henkilötietoja toimittavina käsittelijöinä asiakkaillemme
  • Sääntely- ja valvontaviranomaiset — Tietosuojaviranomaiset, joilla on valvontavastuu
  • Työntekijät ja urakoitsijat — Henkilötietojen käsittelyyn osallistuva henkilöstö
  • Kolmannet osapuolet ja alihankkijat — Toimitusketjuun osallistuvat tahot, jotka voivat käsitellä henkilötietoja

Kunkin kiinnostuneen osapuolen osalta sinun on määritettävä, mitkä heidän vaatimuksistaan ​​ovat PIMS:n kannalta olennaisia ​​ja mitkä käsitellään hallintajärjestelmän kautta.

4.3 PIMS-järjestelmän laajuuden määrittäminen

Organisaation on määriteltävä PIMS-järjestelmän rajat ja sovellettavuus sen soveltamisalan määrittämiseksi. Laajuutta määrittäessään organisaation on otettava huomioon:

  • Kohdassa 4.1 määritellyt ulkoiset ja sisäiset ongelmat
  • Kohdassa 4.2 yksilöityjen asianosaisten vaatimukset
  • Organisaation omien ja muiden organisaatioiden suorittamien toimintojen väliset rajapinnat ja riippuvuudet
  • Soveltamisalaan kuuluvat henkilötietojen käsittelytoimet, mukaan lukien henkilötietojen tyypit, henkilötietojen käsittelijöiden luokat ja käsittelytarkoitukset

Laajuus on dokumentoitava ja asetettava saataville dokumentoituna tietona.



ISMS.onlinen tehokas kojelauta

Aloita ilmainen kokeilu

Haluatko tutkia?

Rekisteröidy ilmaiseen kokeilujaksoon tänään ja pääset käyttämään kaikkia ISMS.onlinen tarjoamia yhteensopivuusominaisuuksia

Aloita


4.4 Tietosuojatietojen hallintajärjestelmä

Organisaation on standardin vaatimusten mukaisesti luotava, toteutettava, ylläpidettävä ja jatkuvasti parannettava henkilötiedon hallintajärjestelmää (PIMS), mukaan lukien tarvittavat prosessit ja niiden vuorovaikutukset. Tämä on yleisvaatimus, joka sitoo yhteen kaikki myöhemmät lausekkeet.

Miten tämä liittyy GDPR:ään?

4 § tukee useita GDPR vaatimukset:

  • Artikla 24 — Rekisterinpitäjän vastuu, joka edellyttää organisaatioilta asianmukaisten toimenpiteiden toteuttamista ottaen huomioon käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset
  • Artikla 25 — Sisäänrakennettu ja oletusarvoinen tietosuoja, jota tuetaan kontekstin ja soveltamisalan ymmärtämisellä etukäteen
  • Artikla 26 — Yhteisrekisterinpitäjät, merkityksellisiä rekisterinpitäjän tai käsittelijän rooliasi määritettäessä
  • Artikla 28 — Käsittelijän vaatimukset, jotka riippuvat roolisi oikeasta tunnistamisesta kohdan 4.1 mukaisesti
  • Artikla 30 — Käsittelytoimien tiedot, jotka edellyttävät henkilötietojen käsittelyn laajuuden ymmärtämistä

Mikä muuttui standardista ISO 27701:2019?

Keskeiset muutokset 4 kohdassa verrattuna vuoden 2019 painokseen:

  • Erillisvaatimukset — Vuonna 2019 kohta 5.2 täydensi standardin ISO 27001 kohtaa 4. Nyt vaatimukset ovat itsenäisiä ja täydellisiä.
  • Ilmastonmuutoksen huomioon ottaminen — Kohdissa 4.1 ja 4.2 on uusi vaatimus arvioida, onko ilmastonmuutos merkityksellinen kysymys
  • Eksplisiittinen roolin määrittäminen — Vaatimus rekisterinpitäjän tai käsittelijän aseman määrittämisestä on nyt selkeästi sisällytetty kontekstianalyysiin.
  • Henkilökohtaisten tietojen käsittelyn laajuus — Suurempi painoarvo soveltamisalaan kuuluvien henkilötietojen tyyppien ja luokkien dokumentoinnille

Katso täydellinen vastaavuus vuosien 2019 ja 2025 lausekkeiden välillä Liitteen F vastaavuustaulukko.

Mitä todisteita tilintarkastajat odottavat?

Arvioidessaan 4 §:n vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:

  • Kontekstianalyysidokumentti — PIMS-järjestelmään liittyvien sisäisten ja ulkoisten ongelmien virallinen arviointi
  • Asianosaisten rekisteri — Dokumentoitu luettelo asiaankuuluvista asianosaisista, heidän vaatimuksistaan ​​ja siitä, miten niihin vastataan
  • PIMS-laajuuslausunto — Selkeä ja dokumentoitu soveltamisala, joka määrittelee PIMS-järjestelmän rajat ja sovellettavuuden
  • Roolin määrittäminen — Dokumentoitu näyttö siitä, miten olet määrittänyt, toimitko rekisterinpitäjänä, käsittelijänä vai molempina
  • Henkilökohtaisesti tunnistettujen tietojen varasto — Rekisteri henkilötietojen tyypeistä, henkilötietojen käsittelijöiden luokista ja käsittelytarkoituksista, jotka kuuluvat soveltamisalaan


ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa demo


Liittyvät lausekkeet

lauseke Yhteys
Kohta 5: Johtajuus Johdon sitoutuminen ja tietosuojakäytäntö perustuvat kontekstianalyysiin
Lauseke 6: Suunnittelu Riskienarviointi ja tavoitteet perustuvat tässä määriteltyyn laajuuteen ja kontekstiin
Lauseke 8: Toiminta Operatiivisten prosessien on toimittava määritellyn soveltamisalan puitteissa

Miksi valita ISMS.online 4 §:n noudattamiseksi?

ISMS.online tarjoaa jäsenneltyjä työkaluja PIMS-kontekstin luomiseen:

  • Kontekstianalyysimallit — Valmiita viitekehyksiä yksityisyyden suojaan liittyvien sisäisten ja ulkoisten ongelmien tunnistamiseen ja dokumentointiin
  • Asianosaisten rekisteri — Ylläpidä dynaamista sidosryhmärekisteriä, joka sisältää heidän vaatimuksensa ja miten niihin vastataan
  • Laajuushallinta — Määrittele ja dokumentoi PIMS-järjestelmäsi laajuus selkein rajoin, mukaan lukien henkilötietojen käsittelytoimet
  • Roolikartoitus — Dokumentoi rekisterinpitäjän ja käsittelijän roolisi eri käsittelytoimissa
  • Kuiluanalyysi — Määritä, missä määrin nykyiset käytäntösi täyttävät kohdan 4 vaatimukset ja missä tarvitaan parannuksia

UKK

Voiko PIMS:n soveltamisala olla suppeampi kuin koko organisaatio?

Kyllä. Laajuus voi kattaa tiettyjä liiketoimintayksiköitä, toimipisteitä, käsittelytoimia tai tuotelinjoja. Laajuus on kuitenkin perusteltava ja dokumentoitava, ja sinun on käsiteltävä, miten rajapintoja soveltamisalan ulkopuolisten alueiden kanssa hallitaan. Tilintarkastajat tarkistavat, että soveltamisala on asianmukainen eikä keinotekoisen suppea keskeisten yksityisyyden suojaan liittyvien riskien välttämiseksi.

Miten ilmastonmuutosvaatimus toimii käytännössä?

Vaatimuksena on määrittää, onko ilmastonmuutos relevantti ongelma, ei tehdä täydellistä ympäristöarviointia. Useimmille organisaatioille tämä tarkoittaa lyhyttä harkintaa, voivatko ilmastoon liittyvät tapahtumat (kuten äärimmäiset sääolosuhteet, sääntelymuutokset tai toimitusketjun häiriöt) vaikuttaa PIMS-järjestelmään. Dokumentoi tarkastelusi ja johtopäätöksesi osana kontekstianalyysiäsi.

Entä jos organisaatiomme toimii sekä rekisterinpitäjänä että henkilötietojen käsittelijänä?

Monet organisaatiot toimivat molemmilla tavoin riippuen käsittelytoiminnasta. Sinun on tunnistettava, mikä rooli koskee kutakin käsittelytoimintoa, ja dokumentoitava tämä selkeästi. Molemmat roolit Liite A valvonta (Taulukko A.1 ohjaimille ja Taulukko A.2 jalostajien osalta) sovelletaan sitten asiaankuuluviin toimintoihin yhdessä jaettujen valvontatoimien kanssa Taulukko A.3.

Perusteellinen kuiluanalyysi auttaa sinua määrittelemään laajuutesi tunnistamalla, missä kohtaa nykyinen PIMS-järjestelmäsi täyttää – tai jää jälkeen – näistä vaatimuksista.

SaaS-organisaatiot kohtaavat usein ainutlaatuisia haasteita määrittäessään käsittelyrooliaan — katso meidän opas SaaS-alustoille.

Etkö ole varma, onko sertifiointi tarpeen? Oppaamme kattaa sen. tarvitsetko ISO 27701:2025 -sertifiointia.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.