Hyppää sisältöön
ISMS.online

ISO 27701:2025 Kohta 5: Johtajuus

Kohdassa 5 edellytetään, että ylin johto osoittaa johtajuutta ja sitoutumista henkilötietojen hallintajärjestelmään (PIMS), laatii tietosuojakäytännön sekä määrittää roolit, vastuut ja valtuudet yksityisyyden hallintaa varten koko organisaatiossa.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä 5 § edellyttää?

Kohta 5 määrittelee yksityisyyden suojan tiedonhallintajärjestelmänne (PIMS) johtamisen ja hallinnon perusteet. Se varmistaa, että yksityisyyden suojaa johdetaan organisaation ylhäältä käsin selkeän vastuuvelvollisuuden, määritellyn politiikan ja määrättyjen vastuiden mukaisesti. Kohdassa on kolme alakohtaa, jotka käsittelevät sitoutumista, politiikkaa ja rooleja.

5.1 Johtajuus ja sitoutuminen

Ylimmän johdon tulee osoittaa johtajuutta ja sitoutumista PIMS-järjestelmään seuraavasti:

  • Sen varmistaminen, että tietosuojakäytäntö ja tietosuojaa koskevat tavoitteet on laadittu ja että ne ovat yhteensopivia organisaation strategisen suunnan kanssa
  • PIMS-vaatimusten integroinnin varmistaminen organisaation liiketoimintaprosesseihin
  • PIMS-järjestelmän tarvittavien resurssien saatavuuden varmistaminen
  • Tehokkaan yksityisyyden hallinnan ja PIMS-vaatimusten noudattamisen tärkeyden viestiminen
  • PIMS-järjestelmän tavoitteiden saavuttamisen varmistaminen
  • Henkilöiden ohjaaminen ja tukeminen PIMS-järjestelmän tehokkuuden edistämiseksi
  • Jatkuvan parantamisen edistäminen
  • Muiden asiaankuuluvien johtotehtävien tukeminen heidän johtajuutensa osoittamisessa heidän vastuualueillaan

Nämä kahdeksan vastuuta tekevät selväksi, että yksityisyydensuoja ei ole delegoitu IT-toiminto. Ylimmän johdon on oltava aktiivisesti mukana ja vastuullinen.

5.2 Tietosuojakäytäntö

Ylimmän johdon on laadittava tietosuojakäytäntö, joka:

  • On organisaation tarkoituksen mukainen
  • Tarjoaa viitekehyksen yksityisyyden suojaa koskevien tavoitteiden asettamiselle
  • Sisältää sitoumuksen täyttää sovellettavat vaatimukset
  • Sisältää sitoutumisen PIMS-järjestelmän jatkuvaan parantamiseen

Tietosuojakäytännön on myös täytettävä kolme saatavuusvaatimusta:

  • Ole saatavilla dokumentoituina tietoina
  • Kommunikoida organisaation sisällä
  • Ole tarvittaessa kiinnostuneiden osapuolten saatavilla

Huomaa, että tässä viitattu tietosuojakäytäntö on hallintajärjestelmän käytäntöasiakirja, ei rekisteröidyille toimitettava ulkoinen tietosuojailmoitus. Molempia tarvitaan, mutta niillä on eri tarkoitukset.



ISMS.onlinen tehokas kojelauta

Aloita helposti henkilökohtaisella tuote-esittelyllä

Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.

Varaa esittelysi


5.3 Roolit, vastuut ja valtuudet

Ylimmän johdon on varmistettava, että PIMS-järjestelmään liittyvien roolien vastuut ja valtuudet jaetaan ja niistä tiedotetaan organisaatiossa. Ylimmän johdon on erityisesti osoitettava vastuut ja valtuudet seuraaviin tehtäviin:

  • Vaatimustenmukaisuuden varmistaminen — Että PIMS on ISO 27701:2025 -standardin vaatimusten mukainen
  • Raportoinnin suorituskyky — Että PIMS-järjestelmän suorituskyvystä raportoidaan ylimmälle johdolle

Tämä ei tarkoita, että yhden henkilön on tehtävä kaikki. Vastuut voidaan jakaa eri roolien, kuten tietosuojavastaavan (DPO), yksityisyyden suojan hallinnan hallinnan, PIMS-vetäjän tai vaatimustenmukaisuustiimin, kesken. Keskeinen vaatimus on, että vastuut määritellään, dokumentoidaan ja niistä tiedotetaan selkeästi.

Miten tämä liittyy GDPR:ään?

5 § tukee useita GDPR vaatimukset:

  • Artikla 24 — Rekisterinpitäjän vastuu asianmukaisten toimenpiteiden toteuttamisesta ja kyvystä osoittaa toimenpiteiden noudattaminen
  • 37–39 artikla (liittyvät määräykset, joita ei ole virallisesti kartoitettu liitteessä D) (liittyvät määräykset, joita ei ole virallisesti kartoitettu liitteessä D) — Tietosuojavastaavan nimittäminen, asema ja tehtävät, jotka ovat linjassa 5.3 kohdan mukaisten roolien jakovaatimusten kanssa
  • Johdanto -osan 39 kappale — Läpinäkyvyysperiaate, jota tukee selkeä tietosuojakäytäntö

GDPR:n piiriin kuuluvien organisaatioiden tulisi varmistaa, että heidän tietosuojavastaavansa rooli (jos sellainen on nimitetty) näkyy PIMS-roolien määrityksessä kohdan 5.3 mukaisesti.

Mikä muuttui standardista ISO 27701:2019?

Keskeiset muutokset 5 kohdassa verrattuna vuoden 2019 painokseen:

Laajemman yleiskuvan muutoksista löydät mm. Uutta standardissa ISO 27701:2025.

  • Itsenäiset vaatimukset — Vuonna 2019 kohta 5.3 täydensi ISO 27001 -standardin kohtaa 5. Nyt johtajuusvaatimukset ovat täydelliset ja itsenäisiä.
  • Tietosuojakäytäntö — Politiikkavaatimukset viittaavat nyt nimenomaisesti yksityisyyden suojaan sen sijaan, että ne perustuisivat muutettuun tietoturvakäytäntöön
  • Kahdeksan sitoumusaluetta — Johtajuuden sitoutumisvaatimukset on nyt lueteltu selkeästi, mikä helpottaa tilintarkastajien arviointia
  • Yksinkertaistetut roolivaatimukset — Vuoden 2025 painos keskittyy vaatimustenmukaisuuden varmentamiseen ja suorituskykyraportointiin sen sijaan, että luetelisi tiettyjä yksityisyyden suojaan liittyviä rooleja

Täydellinen kartoitus, katso Liitteen F vastaavuustaulukko.

Mitä todisteita tilintarkastajat odottavat?

Arvioidessaan 5 §:n vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:

Tietosuojakäytäntövaatimus liittyy suoraan A.3.3 Tietoturvakäytännöt liitteessä A olevassa ohjausjoukossa.

Tietoturvaohjaajien, jotka sisällyttävät yksityisyyden suojan tietoturvaohjelmaansa, tulisi lukea CISO-opas standardiin ISO 27701:2025.

  • Johdon katselmuspöytäkirja — Todisteet ylimmän johdon sitoutumisesta PIMS-järjestelmän suorituskykyyn ja päätöksiin
  • Tietosuojakäytäntöasiakirja — Hyväksytty, ajantasainen käytäntö, joka täyttää kaikki neljä sisältövaatimusta ja kolme saatavuusvaatimusta
  • Resurssien kohdentaminen — PIMS:lle on toimitettu riittävät budjetti- ja henkilöstöresurssit
  • Roolikuvaukset — Dokumentoidut PIMS-vastuiden jaot, mukaan lukien kuka raportoi ylimmälle johdolle
  • Viestintätiedot — Todisteet siitä, että henkilöstölle on tiedotettu politiikasta ja sen tärkeydestä
  • Organisaatiokaavio — Yksityisyyden suojan roolien sijainnin osoittaminen organisaatiorakenteessa


kiipeily

Vapauta itsesi laskentataulukoiden vuorten vallasta

Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.

Varaa esittelysi


Liittyvät lausekkeet

lauseke Yhteys
4. kohta: Konteksti Tietosuojakäytännön ja johdon ohjeiden on oltava yhteensopivia kontekstianalyysin kanssa.
Lauseke 6: Suunnittelu Käytäntö tarjoaa kehyksen yksityisyyden suojaa koskevien tavoitteiden asettamiselle (6.2)
Kohta 7: Tuki Resurssit, osaaminen ja tietoisuusvaatimukset riippuvat johdon tarjoamasta riittävästä tuesta
Lauseke 9: Suorituskyvyn arviointi Johdon katselmus (9.3) on se, missä ylin johto toteuttaa johtajuusrooliaan käytännössä

Katso myös Lauseke 8 (Toiminta) siitä, miten johtamisdirektiivit toteutetaan käytännössä.

Miksi valita ISMS.online 5 §:n noudattamiseksi?

ISMS.online tarjoaa työkaluja johtajuuden ja hallinnon osoittamiseen:

Sertifioinnin suunnittelua varten katso erillinen sertifiointiopas.

  • Politiikan hallinta — Luo, hyväksy ja versioi tietosuojakäytäntösi täydellisellä tarkastuslokilla ja jakelun seurannalla
  • Roolien määritys — Määrittele ja dokumentoi PIMS-roolit vastuineen, valtuuksineen ja raportointisuhteineen
  • Johdon katsaus — Jäsennetyt mallit johdon tarkastelukokouksiin, jotka sisältävät esityslistan kohdat, panokset ja toimien seurannan
  • Viestinnän seuranta — Kirjaa ja todista, miten tietosuojakäytännöt ja -odotukset viestitään henkilöstölle
  • Kojelaudan raportointi — Tarjoaa ylimmälle johdolle yhdellä silmäyksellä PIMS-suorituskykytietoja tietoon perustuvaa päätöksentekoa varten

UKK

Kuka lasketaan "ylimmäksi johdoksi" kohdan 5 tarkoittamassa merkityksessä?

Ylimmällä johdolla tarkoitetaan henkilöä tai ihmisryhmää, joka johtaa ja valvoo organisaatiota korkeimmalla tasolla. Käytännössä tämä tarkoittaa tyypillisesti toimitusjohtajaa, hallitusta, ylintä johtoryhmää tai vastaavaa. Keskeinen testi on, onko heillä valtuudet kohdentaa resursseja, asettaa toimintaperiaatteita ja tehdä strategisia päätöksiä PIMS-järjestelmästä.

Onko tietosuojakäytäntö sama asia kuin tietosuojailmoitus?

Ei. Kohdan 5.2 edellyttämä tietosuojakäytäntö on sisäinen hallintajärjestelmän asiakirja, joka asettaa tietosuojan hallinnan yleisen suunnan ja periaatteet. Tietosuojailmoitus (tai tietosuojaseloste) on rekisteröidyille toimitettava ulkoinen asiakirja, jossa selitetään, miten heidän henkilötietojaan käsitellään. Molempia tarvitaan, mutta ne palvelevat eri yleisöjä ja tarkoituksia.

Tarvitseeko organisaatio nimettyä tietosuojavastaavaa?

ISO 27701:2025 -standardi ei vaadi tietosuojavastaavaa. Se edellyttää vastuiden ja valtuuksien osoittamista ja niistä tiedottamista. Jos sovellettava lainsäädäntö (kuten GDPR:n artiklat 37–39) kuitenkin edellyttää tietosuojavastaavaa, tämän roolin tulisi näkyä kohdan 5.3 mukaisissa roolimäärityksissä. Vaikka sitä ei laissa vaadittaisi, tietosuojavastaavan tai vastaavan nimeäminen on hyvä käytäntö.

Johdon saaminen mukaan on usein ensimmäinen este – oppaamme aiheesta johdon hyväksynnän saaminen tarjoaa käytännön strategioita.

Jaa meidän tiivistelmä hallituksen jäsenille antaakseen ylemmälle johdolle tiiviin yleiskuvan standardista.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.