Hyppää sisältöön
ISMS.online

ISO 27701:2025 Kohta 7: Tuki

Kohta 7 käsittelee organisaatiosi tarvitsemia tukielementtejä tehokkaan henkilötiedon hallintajärjestelmän (PIMS) toteuttamiseksi, mukaan lukien resurssit, osaaminen, tietoisuus, viestintä ja dokumentoidun tiedon hallinta.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä 7 § edellyttää?

Kohta 7 varmistaa, että tietosuojatiedonhallintajärjestelmälläsi (PIMS) on tehokkaan toiminnan edellyttämä tukirakenne. Lauseke 5 asettaa suunnan ylhäältä käsin, kohta 7 varmistaa, että käytännön perusta on olemassa: ihmiset, taidot, tietoisuus, viestintäkanavat ja dokumentaatio.

7.1 Resurssit

Organisaation on määritettävä ja tarjottava PIMS-järjestelmän perustamiseen, toteuttamiseen, ylläpitoon ja jatkuvaan parantamiseen tarvittavat resurssit. Resursseihin kuuluvat:

  • Ihmiset — Riittävästi henkilöstöä, jolle on osoitettu riittävästi aikaa yksityisyyden hallintatoimiin
  • talousarvio — Taloudelliset resurssit työkaluihin, koulutukseen, konsultointiin ja sertifiointiin
  • Elektroniikka — Tietosuojatoimintoja, valvontaa ja raportointia tukevat järjestelmät ja työkalut
  • Infrastruktuuri — Fyysiset ja loogiset ympäristöt, joita tarvitaan henkilötietojen turvalliseen käsittelyyn

7.2 Pätevyys

Organisaation tulee:

  • Määritä niiden henkilöiden tarvittava pätevyys, jotka suorittavat sen alaisuudessa työtä, joka vaikuttaa yksityisyyden suojaan
  • Varmista, että nämä henkilöt ovat päteviä asianmukaisen koulutuksen, harjoittelun tai kokemuksen perusteella
  • Tarvittaessa ryhdy toimiin tarvittavan pätevyyden hankkimiseksi ja arvioi näiden toimien tehokkuutta
  • Säilytä asianmukaiset dokumentoidut tiedot todisteena pätevyydestäsi

Osaamisvaatimusten tulisi koskea paitsi yksityisyyden suojaan erikoistunutta henkilöstöä, myös kaikkia, joiden työ vaikuttaa henkilötietojen käsittelyyn, mukaan lukien kehittäjät, asiakaspalvelutiimit, henkilöstöhallinnon ja markkinoinnin henkilöstö.

7.3 Tietoisuus

Organisaation valvonnassa työtä tekevien henkilöiden on oltava tietoisia seuraavista asioista:

  • Tietosuojakäytäntö
  • Niiden vaikutus PIMS-järjestelmien tehokkuuteen, mukaan lukien parantuneen yksityisyyden suojan hyödyt
  • PIMS-vaatimusten noudattamatta jättämisen seuraukset

Tietoisuus menee muodollista koulutusta pidemmälle. Se tarkoittaa sen varmistamista, että jokainen ymmärtää, miksi yksityisyys on tärkeää, mikä on hänen roolinsa henkilötietojen suojaamisessa ja mitä tapahtuu, kun asiat menevät pieleen.



Löydä vaatimustenmukaisuusvarmuutesi ISMS.onlinen avulla

Aloita helposti henkilökohtaisella tuote-esittelyllä

Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.

Varaa esittelysi


7.4-viestintä

Organisaation on määritettävä PIMS-järjestelmään liittyvän sisäisen ja ulkoisen viestinnän tarve, mukaan lukien:

  • Mitä kommunikoida
  • Milloin kommunikoida
  • Kenen kanssa kommunikoida
  • Kuinka kommunikoida

Tämä kattaa viestinnän henkilötietojen käsittelijöiden (rekisteröityjen), sääntelyviranomaisten, asiakkaiden, henkilöstön ja muiden sidosryhmien kanssa. Tehokas viestintäsuunnittelu varmistaa, että yksityisyyttä koskevat tiedot tavoittavat oikeat ihmiset oikeaan aikaan.

7.5 Dokumentoidut tiedot

7.5.1 General

PIMS-järjestelmän tulee sisältää standardin edellyttämät dokumentoidut tiedot sekä organisaation itse katsomat dokumentoidut tiedot PIMS-järjestelmän tehokkuuden kannalta välttämättömiksi. Dokumentaation laajuus voi vaihdella organisaation koon, toimintojen, prosessien ja henkilöstön pätevyyden mukaan.

7.5.2 Luominen ja päivittäminen

Dokumentoituja tietoja luotaessa ja päivitettäessä organisaation on varmistettava asianmukaiset:

  • Tunnistus ja kuvaus (nimi, päivämäärä, tekijä, viitenumero)
  • Formaatti (kieli, ohjelmistoversio, grafiikka) ja media (paperi, sähköinen)
  • Soveltuvuuden ja riittävyyden tarkistus ja hyväksyntä

7.5.3 Dokumentoitujen tietojen hallinta

PIMS-järjestelmän edellyttämiä dokumentoituja tietoja on valvottava sen varmistamiseksi, että ne ovat:

  • Saatavilla ja sopiva käytettäväksi missä ja milloin sitä tarvitaan
  • Riittävästi suojattu (luottamuksellisuuden menetykseltä, väärinkäytöltä tai eheyden menetykseltä)

Valvontatoimiin kuuluvat jakelu, saatavuus, haku, käyttö, tallennus, säilyttäminen, muutosten hallinta, säilytys ja hävittäminen. Tämä on erityisen tärkeää yksityisyyden suojaa koskevassa dokumentaatiossa, joka itsessään voi sisältää arkaluonteisia tietoja käsittelytoimista.

Miten tämä liittyy GDPR:ään?

  • 39 artiklan 1 kohdan b alakohta — Tietosuojavastaavan tehtäviin kuuluu henkilöstön tiedottamisen ja koulutuksen seuranta kohtien 7.2 ja 7.3 mukaisesti
  • Artikla 30 — Käsittelytoimien kirjaamisvaatimukset ovat 7.5:n mukaiset dokumentoidut tiedonhallinnan ohjeet.
  • Article 5 (2) — Vastuuvelvollisuusperiaate edellyttää kykyä osoittaa vaatimustenmukaisuus kattavan dokumentaation avulla
  • Article 32 (4) — Sen varmistaminen, että viranomaisen alaisuudessa toimivilla henkilöillä on asianmukainen pätevyys ja tietoisuus

Täydellinen GDPR-kartoitus on luettavissa osoitteessa GDPR-vaatimustenmukaisuusopas.

Mikä muuttui standardista ISO 27701:2019?

  • Itsenäiset vaatimukset — Vuonna 2019 kohta 5.5 täydensi standardin ISO 27001 kohtaa 7. Nyt tukivaatimukset ovat täydelliset ja itsenäiset.
  • Tietosuojaan liittyvä pätevyys — Osaamisvaatimukset viittaavat nyt nimenomaisesti yksityisyyden suojaan tietoturvan sijaan
  • Selkeämpi dokumentaation laajuus — Dokumentoidut tietovaatimukset on nyt erityisesti rajattu henkilötietojen hallintajärjestelmään (PIMS) sen sijaan, että ne laajennettaisiin tietoturvanhallintajärjestelmään (ISMS).

Laajemman yleiskuvan saat, ks. Uutta standardissa ISO 27701:2025.

Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi


Mitä todisteita tilintarkastajat odottavat?

  • Resurssien allokointitietueet — Budjetin hyväksyminen, henkilöstösuunnitelmat ja työkalujen hankintapäätökset
  • Harjoittelukirjat — Todisteet yksityisyyteen liittyvästä koulutuksesta, sertifikaateista ja jatkuvasta ammatillisesta kehityksestä
  • Osaamisarvioinnit — Tiedot, jotka osoittavat, miten pätevyyttä on arvioitu yksityisyyden suojaan liittyvissä tehtävissä
  • Tietoisuusohjelma — Todisteet tiedotustoimista (perehdytys, kertauskoulutus, viestintäkampanjat)
  • Viestintäsuunnitelma — Dokumentoitu suunnitelma, joka kattaa sisäisen ja ulkoisen yksityisyyden suojaan liittyvän viestinnän
  • Asiakirjojen hallintamenettelyt — Todiste siitä, että dokumentoidut tiedot on asianmukaisesti tunnistettu, hyväksytty, valvottu ja suojattu
  • Asiakirjarekisteri — Luettelo kaikista PIMS-dokumentoiduista tiedoista versionhallinta- ja tarkistuspäivämäärineen

Tietoisuus- ja osaamisvaatimukset liittyvät A.3.17 Tietoisuus ja koulutus jaetuissa suojausmekanismeissa.

Vältä yleisiä dokumentaatioon liittyviä sudenkuoppia tarkistamalla yleisimmät käyttöönottovirheet.

Liittyvät lausekkeet

lauseke Yhteys
Kohta 5: Johtajuus Ylimmän johdon on varmistettava, että resurssit ovat käytettävissä (5.1) ja että politiikasta viestitään
Lauseke 6: Suunnittelu Riskienkäsittelysuunnitelmat ja -tavoitteet on dokumentoitava kohdan 7.5 vaatimusten mukaisesti
Lauseke 8: Toiminta Toimintaprosessit perustuvat dokumentoituihin menettelytapoihin ja pätevään henkilöstöön
Lauseke 9: Suorituskyvyn arviointi Sisäisen tarkastuksen ja johdon arviointitulosten säilytys dokumentoituna tietona

Katso myös 4. kohta (Konteksti) kontekstin ja Lauseke 10 (parannus) jatkuvaan parantamiseen.

Miksi valita ISMS.online 7 §:n noudattamiseksi?

ISMS.online tarjoaa kattavat tukityökalut PIMS-järjestelmällesi:

  • Asiakirjan hallinta — Täydellinen versionhallinta, hyväksyntätyönkulut, käyttöoikeuksien hallinta ja auditointilokit kaikille PIMS-dokumentaatioille
  • Harjoitteluseuranta — Kirjaa koulutustoimet, sertifikaatit ja osaamisen arvioinnit automaattisilla muistutuksilla kertauskoulutuksesta
  • Tietoisuuskampanjat — Luo, jaa ja seuraa tietosuojatietoisuutta koskevia materiaaleja valmistumisen seurannalla
  • Viestintäloki — Tallentaa sisäinen ja ulkoinen viestintä aikaleimoilla ja todistelinkeillä
  • Mallikirjasto — Valmiita malleja käytännöille, menettelyille, tietueille ja lomakkeille, jotka on yhdenmukaistettu standardin ISO 27701:2025 kanssa

UKK

Millaista yksityisyyskoulutusta henkilökunta tarvitsee?

Koulutusvaatimukset riippuvat roolista. Kaikkien työntekijöiden tulisi saada yleistä tietosuojatietoisuuskoulutusta, joka kattaa tietosuojakäytännön, heidän vastuualueensa ja tapausten ilmoittamisen. Tietosuojaan liittyvissä tehtävissä (tietosuojavastaava, tietosuoja-analyytikot, tapauksiin reagoijat) työskentelevät tarvitsevat syvempää teknistä ja sääntelyyn liittyvää koulutusta. Kehittäjät ja IT-henkilöstö tarvitsevat koulutusta sisäänrakennetun tietosuojan periaatteista. Koulutus tulisi dokumentoida ja sitä tulisi päivittää säännöllisesti.

Kuinka paljon dokumentaatiota PIMS vaatii?

Standardi edellyttää tiettyjä dokumentoituja tietoja (tietosuojakäytäntö, riskienarvioinnit, soveltuvuusarviointi, auditointitulokset, johdon tarkastusten tuotokset) sekä kaikkea muuta lisädokumentaatiota, jonka katsot tarpeelliseksi. Laajuus vaihtelee organisaation koon ja monimutkaisuuden mukaan. Keskity dokumentaatioon, joka lisää arvoa ja tukee tehokasta yksityisyyden hallintaa sen sijaan, että luot asiakirjoja pelkästään vaatimustenmukaisuuden vuoksi.

Voiko sähköinen asiakirjojen hallinta korvata paperiset asiakirjat?

Kyllä. Standardi ei määrää mitään tiettyä muotoa tai mediaa dokumentoidulle tiedolle. Sähköisiä järjestelmiä suositaan yleensä, koska ne tarjoavat paremman versionhallinnan, käyttöoikeuksien hallinnan, hakuominaisuudet ja tarkastuslokit. Käyttämäsi järjestelmän on täytettävä kohdan 7.5.3 valvontavaatimukset, mukaan lukien saatavuus, suojaus, käyttöoikeuksien hallinta ja säilytyksen hallinta.

Tarkempia ohjeita tilintarkastajien odotuksista on saatavilla verkkosivuiltamme. tarkastusevidenssin vaatimukset opas.

Jos tarvitset ulkopuolista tukea, lue oppaamme aiheesta Kuinka valita ISO 27701:2025 -konsultti.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.