Hyppää sisältöön
ISMS.online

ISO 27701:2025 Kohta 6: Suunnittelu

Kohta 6 käsittelee henkilötietojen hallintajärjestelmänne suunnittelutoimia, mukaan lukien yksityisyyden suojaa koskevien riskien arviointi, riskienhallintatoimien määrittäminen, yksityisyyden suojaa koskevien tavoitteiden asettaminen ja hallintajärjestelmän muutosten suunnittelu.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä 6 § edellyttää?

Kohta 6 on tietosuojatiedonhallintajärjestelmän (PIMS) keskeinen suunnittelukohta. Se määrittelee, miten tunnistat riskit ja mahdollisuudet, arvioit ja käsittelet tietosuojariskejä, asetat mitattavia tavoitteita ja hallitset muutoksia. Tämä kohta yhdistää kontekstuaalisen ymmärryksen Lauseke 4 operatiivisiin toimintoihin Lauseke 8.

6.1 Toimenpiteet riskien ja mahdollisuuksien käsittelemiseksi

6.1.1 General

PIMS-järjestelmää suunnitellessaan organisaation on otettava huomioon seuraavat ongelmat: Lauseke 4.1 ja kohdan 4.2 vaatimukset sekä määritetään riskit ja mahdollisuudet, joihin on puututtava seuraavien osalta:

  • Varmista, että PIMS voi saavuttaa halutut tulokset
  • Ehkäise tai vähennä ei-toivottuja vaikutuksia
  • Saavuta jatkuva parannus

Organisaation on suunniteltava toimenpiteitä näiden riskien ja mahdollisuuksien käsittelemiseksi, miten toimenpiteet integroidaan ja toteutetaan PIMS-prosesseihin ja miten näiden toimien tehokkuutta arvioidaan.

6.1.2 Tietosuojariskien arviointi

Organisaation on määriteltävä ja sovellettava yksityisyyden suojaa koskevan riskinarviointiprosessin, joka:

  • Määrittää riskikriteerit — Sisältää riskien hyväksymiskriteerit ja kriteerit yksityisyyden suojaan liittyvien riskien arviointien suorittamiseksi
  • Varmistaa johdonmukaisuuden — Toistuvat arvioinnit tuottavat yhdenmukaisia, päteviä ja vertailukelpoisia tuloksia
  • Tunnistaa riskit — Soveltaa prosessia PIMS-järjestelmän piiriin kuuluvien yksityisyyden suojaan ja tietoturvaan liittyvien riskien tunnistamiseksi ja riskien omistajien tunnistamiseksi
  • Analysoi riskejä — Arvioi tunnistettujen riskien mahdolliset seuraukset ja realistinen todennäköisyys sekä määritä riskitasot
  • Arvioi riskejä — Vertaa tuloksia vakiintuneisiin kriteereihin ja priorisoi hoitoriskit

Riskienarviointiprosessi on dokumentoitava ja sen tulokset säilytettävä dokumentoituina tietoina.

6.1.3 Tietosuojariskien käsittely

Organisaation on määriteltävä ja sovellettava yksityisyysriskien käsittelyprosessia seuraaviin tarkoituksiin:

  • Valitse asianmukaiset riskienhallintavaihtoehdot ottaen huomioon riskinarvioinnin tulokset
  • Määritä kaikki tarvittavat kontrollit valittujen riskienhallintavaihtoehtojen toteuttamiseksi
  • Tunnista ja dokumentoi organisaation toteuttama tietoturvaohjelma, mukaan lukien asianmukaiset turvallisuuskontrollit, jotka käsittelevät (vähintään) seuraavia asioita: tietoturvariskien hallinta, politiikat, tietoturvan organisointi, henkilöstöresurssien turvallisuus, omaisuudenhallinta, pääsynvalvonta, toiminnan turvallisuus, verkon turvallisuuden hallinta, kehitysturvallisuus, toimittajien hallinta, häiriönhallinta, liiketoiminnan jatkuvuus, tietoturvatarkastukset, kryptografia sekä fyysinen ja ympäristöturvallisuus.
  • Vertaa riskienhallinta- ja tietoturvaohjelmassa määritettyjä kontrolleja ohjelman vastaaviin. Liite A varmistaakseen, ettei mitään tarvittavia tarkastuksia ole jätetty pois
  • Tuottaa a Ilmoitus soveltuvuudesta (SoA), joka sisältää tarvittavat kontrollit, perustelut niiden sisällyttämiselle, onko ne toteutettu, ja perustelut mahdollisten poissulkemiselle Liite A valvonta
  • Laadi yksityisyysriskien hoitosuunnitelma
  • Hanki riskienhaltijoiden hyväksyntä riskienkäsittelysuunnitelmalle ja jäljellä olevien yksityisyydensuojariskien hyväksyntä
  • Huomioi liitteessä B olevat ohjeet riskienhallinnan aikana ja tietoturvaohjelmassa määritettyjen kontrollien toteuttamiseksi.

Tässä alakohdassa hallintajärjestelmän vaatimukset liittyvät liitteen A mukaisiin kontrolleihin. Toteutuslausekkeestasi tulee keskeinen asiakirja, joka yhdistää riskinarvioinnin tulokset toteuttamiisi erityisiin kontrolleihin.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi


6.2 Tietosuojatavoitteet ja niiden saavuttamisen suunnittelu

Organisaation on määriteltävä yksityisyyden suojaa koskevat tavoitteet asiaankuuluville toiminnoille ja tasoille. Yksityisyyden suojaa koskevien tavoitteiden on:

  • Ole johdonmukainen tietosuojakäytännön kanssa
  • Oltava mitattavissa (jos käytännössä mahdollista)
  • Ota huomioon sovellettavat vaatimukset
  • Seurattava
  • Kommunikoida
  • Päivitetään tarvittaessa
  • Ole saatavilla dokumentoituina tietoina

Tavoitteiden saavuttamista suunniteltaessa organisaation on määriteltävä, mitä tehdään, mitä resursseja tarvitaan, kuka on vastuussa, milloin työ valmistuu ja miten tuloksia arvioidaan.

6.3 Muutosten suunnittelu

Kun organisaatio määrittää tarpeen tehdä muutoksia PIMS-järjestelmään, muutokset on toteutettava suunnitelmallisesti. Tämä on uusi nimenomainen vaatimus vuoden 2025 painoksessa, jossa korostetaan, että johtamisjärjestelmään tehtäviä ad hoc -muutoksia tulisi välttää. Muutosten vaikutus PIMS-järjestelmän tehokkuuteen tulisi arvioida ja hallita jäsennellyn prosessin avulla.

Miten tämä liittyy GDPR:ään?

6 § tukee useita GDPR vaatimukset:

  • Artikla 35 — Tietosuojan vaikutustenarvioinnit (DPIA) ovat linjassa 6.1.2 kohdassa esitetyn yksityisyyden suojaa koskevien riskien arviointiprosessin kanssa.
  • Artikla 32 — Käsittelyn turvallisuus, joka edellyttää riskinarviointiin perustuvia asianmukaisia ​​teknisiä ja organisatorisia toimenpiteitä
  • Artikla 24 — Rekisterinpitäjän vastuu asianmukaisten toimenpiteiden toteuttamisesta ottaen huomioon vaihtelevan todennäköisyyden ja vakavuuden omaavat riskit
  • Artikla 25 — Sisäänrakennettu ja oletusarvoinen tietosuoja, jota tukee etukäteisriskien suunnittelu

Mikä muuttui standardista ISO 27701:2019?

  • Tietosuojariskien terminologia — Vuoden 2025 painoksessa käytetään nimenomaisesti ”yksityisyyden riskinarviointia” ja ”yksityisyyden riskin käsittelyä” sen sijaan, että nojattaisiin ISO 27001 -standardin mukaisiin tietoturvariskiprosesseihin.
  • Erillinen SoA — Soveltamislausunnossa viitataan nyt suoraan ISO 27701 -standardin liitteen A mukaisiin kontrolleihin sen sijaan, että se täydentäisi ISO 27001 -standardin soveltamislausuntoa.
  • Kohta 6.3 lisätty — Muutosten suunnittelu on uusi nimenomainen vaatimus, jota ei ole vuoden 2019 painoksessa
  • Liitteen A kontrollien vertailu — Riskienhallintaprosessi edellyttää nyt nimenomaisesti määritettyjen kontrollien vertaamista liitteeseen A sen varmistamiseksi, ettei tarvittavia kontrolleja ole jätetty pois.

Katso Liitteen F vastaavuustaulukko täydelliseen kartoitukseen ja meidän Uutta-opas saadaksesi laajemman yleiskuvan muutoksista.

Mitä todisteita tilintarkastajat odottavat?

  • Riskienarviointimenetelmä — Dokumentoitu prosessi yksityisyyden suojaan liittyvien riskien tunnistamiseksi, analysoimiseksi ja arvioimiseksi
  • Riskinarvioinnin tulokset — Tiedot suoritetuista arvioinneista, joissa on tunnistetut riskit, todennäköisyys, vaikutus ja riskitasot
  • Riskienhoitosuunnitelma — Suunnitelma, jossa esitetään, miten kutakin hyväksymätöntä riskiä käsitellään, sekä nimetyt vastuuhenkilöt ja aikataulut.
  • Ilmoitus soveltuvuudesta — Täydellinen soA, joka kattaa kaikki liitteen A mukaiset valvontatoimet sisällyttämis-/poissulkemisperusteineen
  • Tietosuojatavoitteet — Dokumentoidut, mitattavissa olevat tavoitteet ja suunnitelmat niiden saavuttamiseksi
  • Riskienomistajan hyväksynnät — Todiste siitä, että riskien omistajat ovat hyväksyneet hoitosuunnitelman ja jäännösriskit
  • Muuta tietueita — Todisteet siitä, että PIMS-järjestelmän muutoksia suunnitellaan ja hallitaan järjestelmällisesti


Löydä vaatimustenmukaisuusvarmuutesi ISMS.onlinen avulla

Aloita helposti henkilökohtaisella tuote-esittelyllä

Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.

Varaa esittelysi


Liittyvät lausekkeet

lauseke Yhteys
4. kohta: Konteksti Kontekstianalyysi ja sidosryhmien vaatimukset vaikuttavat riskien tunnistamiseen
Kohta 5: Johtajuus Tietosuojakäytäntö tarjoaa viitekehyksen tavoitteiden asettamiselle (6.2)
Lauseke 8: Toiminta Operatiivisen riskin arviointi (8.2) ja käsittely (8.3) toteuttavat tässä määritellyt suunnitelmat
Lauseke 9: Suorituskyvyn arviointi Seuranta- ja arviointitoimilla arvioidaan riskienhallinnan tehokkuutta
Liite A Valvonta Kohdan 6.1.3 mukainen soA määrittää, mitä liitteen A mukaisia ​​​​valvontatoimia sovelletaan.

Miksi valita ISMS.online 6 §:n noudattamiseksi?

ISMS.online tarjoaa integroituja työkaluja yksityisyysriskien suunnitteluun:

  • Tietosuojariskirekisteri — Tunnista, arvioi ja priorisoi yksityisyyden suojaan liittyviä riskejä konfiguroitavien kriteerien, todennäköisyys- ja vaikutusasteikkojen avulla
  • Riskienhallinnan työnkulut — Määritä omistajille hoitotoimenpiteitä määräajoineen, seuraa edistymistä ja kirjaa hyväksynnät
  • Soveltuvuuslausunnon rakentaja — Luo ja ylläpidä käyttöoikeussopimustasi (SoA), joka sisältää kaikki liitteen A mukaiset kontrollit, sisällyttämis-/poissulkemisperusteet ja toteutuksen tilan.
  • Tavoitteiden seuranta — Aseta, seuraa ja raportoi yksityisyydensuojaa koskevista tavoitteista edistymistä koskevien koontinäyttöjen avulla
  • Muutoksen hallinta — Suunnittele ja seuraa PIMS-järjestelmän muutoksia vaikutustenarviointi- ja hyväksyntäprosessien avulla

UKK

Mitä eroa on DPIA:lla ja lausekkeen 6 mukaisella riskinarvioinnilla?

Tietosuoja-asetuksen artiklan 35 mukainen tietosuoja-arviointi (DPIA) käynnistetään tiettyjen korkean riskin käsittelytoimien yhteydessä, ja siinä keskitytään yksilöihin kohdistuviin vaikutuksiin. Kohdan 6.1.2 mukainen yksityisyyden suojan vaikutustenarviointi on laajempi ja systemaattinen prosessi, joka kattaa kaikki PIMS-järjestelmän piiriin kuuluvat yksityisyyteen liittyvät riskit. DPIA:t voivat hyödyntää kohdan 6 mukaista riskinarviointia, ja monet organisaatiot integroivat nämä kaksi prosessia. Kohdan 6 mukainen arviointi on kuitenkin pakollinen kaikille käsittelytoimille, ei vain korkean riskin toimille.

Voidaanko liitteen A mukaiset tarkastukset jättää soveltamislausunnon ulkopuolelle?

Kyllä. Tarkastustodistuksen on katettava kaikki liitteen A mukaiset kontrollit, mutta voit sulkea pois kontrollit, jotka eivät sovellu organisaatioosi. Jokainen poissulkeminen on perusteltava. Jos esimerkiksi toimit vain henkilötietojen rekisterinpitäjänä, voit sulkea pois seuraavat: Taulukko A.2 prosessorin kontrollit tuolla perusteella. Et kuitenkaan voi sulkea pois kontrollia vain siksi, että sen toteuttaminen on vaikeaa tai kallista.

Kuinka usein yksityisyyden suojan riskiarviointi tulisi tarkistaa?

Kohdassa 6 edellytetään riskinarviointiprosessin määrittelemistä, kun taas Lauseke 8.2 edellyttää sen suorittamista suunnitelluin väliajoin tai merkittävien muutosten tapahtuessa. Useimmat organisaatiot suorittavat täydellisen tarkastelun vuosittain, ja lisäarviointeja tehdään muutosten, kuten uusien käsittelytoimien, sääntelypäivitysten, tietoturvapoikkeamien tai organisaatiorakenteen uudelleenjärjestelyjen, perusteella.

Aloita suunnittelusi a:lla strukturoitu kuiluanalyysi tunnistaaksesi riskienhallintasuunnitelmasi prioriteettialueet.

Dokumentoi valvontapäätöksesi Ilmoitus soveltuvuudesta — suunnitteluprosessin keskeinen tuotos.

Pitääkö investointi perustella? Meidän ROI-liiketoimintasuunnitelman viitekehys auttaa kvantifioimaan hyötyjä.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.