Hyppää sisältöön
ISMS.online

ISO 27701:2025 Kohta 8: Käyttö

Kohta 8 käsittelee PIMS-suunnitelmiesi operatiivista toteutusta. Se edellyttää operatiivisten kontrollien toteuttamista, yksityisyyden suojaa koskevien riskien arviointien suorittamista suunnitelluin väliajoin ja yksityisyyden suojaa koskevien riskien hallintasuunnitelman toteuttamista.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä 8 § edellyttää?

Kohta 8 on PDCA-syklin ”Tee”-vaihe. Vaikka Lauseke 6 Määrittelee, miten riskienhallintatoimet suunnitellaan, ja 8. kohta edellyttää, että suunnitelmat todella toteutetaan päivittäisessä toiminnassa. Se on tarkoituksella ytimekäs lauseke, jossa on kolme alakohtaa, jotka keskittyvät suunnitelmien toteuttamiseen käytännössä.

8.1 Toiminnan suunnittelu ja valvonta

Organisaation on suunniteltava, toteutettava ja valvottava prosesseja, joita tarvitaan PIMS-vaatimusten täyttämiseksi ja standardissa määriteltyjen toimien toteuttamiseksi. Lauseke 6, kirjoittanut:

  • Prosessien kriteerien määrittäminen — Määritellään, miltä ”hyvä” näyttää kunkin toimintaprosessin osalta
  • Prosessien hallinnan toteuttaminen — Kriteerien soveltaminen käytännössä menettelyjen, työohjeiden ja valvontamekanismien avulla
  • Dokumentoitujen tietojen säilyttäminen — Säilytetään todisteet siitä, että prosessit on toteutettu suunnitellusti

Organisaation on myös hallittava suunniteltuja muutoksia ja tarkasteltava tahattomien muutosten seurauksia sekä ryhdyttävä tarvittaessa toimiin mahdollisten haitallisten vaikutusten lieventämiseksi.

Jos prosessit tarjotaan ulkoisesti, organisaation on varmistettava, että niitä valvotaan. Tämä on erityisen tärkeää henkilötietojen käsittelyssä, jossa ulkoistetut toiminnot voivat sisältää alihankkijoiden suorittaman henkilötietojen käsittelyn puolestasi.

8.2 Tietosuojariskien arviointi

Organisaation on suoritettava yksityisyyden suojaa koskevien riskien arvioinnit suunnitelluin väliajoin tai silloin, kun merkittäviä muutoksia ehdotetaan tai tapahtuu, ottaen huomioon edellä mainitut kriteerit. Lauseke 6.1.2.

Tämä tarkoittaa, että riskinarviointi ei ole kertaluonteinen toimenpide. Se on toistettava:

  • Suunnitelluin väliajoin — Useimmat organisaatiot asettavat vuosittaisen arviointisyklin, vaikka riskialttiimmissa ympäristöissä saatetaan vaatia useammin tapahtuvaa arviointia
  • Kun muutoksia tapahtuu — Uusien käsittelytoimien, järjestelmämuutosten, sääntelypäivitysten, organisaatiouudistusten tai tietoturvapoikkeamien tulisi käynnistää uudelleenarviointi
  • Kun muutoksia ehdotetaan — Ennakoiva arviointi ennen muutosten toteuttamista, ei vain reaktiivista arviointia jälkikäteen

Tietosuojariskien arviointien tulokset on säilytettävä dokumentoituina tietoina.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa demo


8.3 Tietosuojariskien käsittely

Organisaation on toteutettava yksityisyysriskien käsittelysuunnitelma. Yksityisyysriskien käsittelyn tulokset on säilytettävä dokumentoituina tietoina.

Vaikka tämä alakohta on lyhyt, sen vaikutukset ovat merkittäviä. Se edellyttää sinulta:

  • Suorita kaikki riskienhoitosuunnitelmassasi määritellyt hoitotoimenpiteet alkaen Lauseke 6.1.3
  • Toteuta sovellettavuuslausunnossasi määritellyt kontrollit
  • Seuraa hoitotoimenpiteiden toteutusta
  • Dokumentoi tulokset, mukaan lukien mahdolliset hoidon jälkeen jäljellä olevat jäännösriskit

Tilintarkastajat vertaavat riskienhallintasuunnitelmaasi (alkaen Lauseke 6) varsinaisen toteutuksen todisteiden kanssa (kohdasta 8) sen varmistamiseksi, että suunnitelmia on noudatettu.

Miten tämä liittyy GDPR:ään?

  • Artikla 32 — Käsittelyn turvallisuus, joka edellyttää asianmukaisten teknisten ja organisatoristen toimenpiteiden toteuttamista. Kohdassa 8.3 on kyse näiden toimenpiteiden toteuttamisesta.
  • Artikla 35 — Tietosuojaa koskevat vaikutustenarvioinnit (DPIA) ovat linjassa 8.2 kohdan jatkuvan riskinarviointivaatimuksen kanssa
  • Article 28 (1) — Käsittelijän vaatimukset riittäville takuille, joita tukevat 8.1 kohdassa tarkoitetut ulkoisesti toimitetut prosessien valvonnat
  • Artikla 24 — Rekisterinpitäjän vastuulla on toteuttaa asianmukaiset toimenpiteet ja tarkistaa/päivittää niitä tarvittaessa

Mikä muuttui standardista ISO 27701:2019?

  • Erilliset toimintavaatimukset — Vuonna 2019 kohta 5.6 täydensi standardin ISO 27001 kohtaa 8. Nyt toiminnalliset vaatimukset ovat itsenäisiä.
  • Tietosuojariskien terminologia — Vuoden 2025 painoksessa käytetään nimenomaisesti ”yksityisyyden riskinarviointia” ja ”yksityisyyden riskin käsittelyä”, mikä tekee yksityisyyden painopisteestä selkeän.
  • Ulkoisesti tarjotut prosessit — Ulkoistettujen prosessien valvonnan painottaminen entisestään, mikä heijastaa sitä tosiasiaa, että monet organisaatiot ovat riippuvaisia ​​kolmansista osapuolista henkilötietojen käsittelyssä
  • Muuta ohjausta — Suunniteltujen muutosten hallintaa ja tahattomien muutosten tarkastelua koskevat nimenomaiset vaatimukset

Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.

Mitä todisteita tilintarkastajat odottavat?

  • Toimintamenettelyt — Dokumentoidut menettelyt henkilötietojen käsittelytoimille määritellyin kriteerein ja kontrollein
  • Prosessien valvontarekisterit — Todisteet siitä, että operatiivisia prosesseja seurataan ja valvotaan määriteltyjen kriteerien mukaisesti
  • Riskienarviointitietueet — Suunnitelluin väliajoin ja muutosten käynnistettyinä tehdyt riskinarvioinnit
  • Riskienhallinnan toteutus — Todisteet siitä, että hoitotoimenpiteet on toteutettu suunnitellusti, ja tilan seuranta
  • Muuta tietueita — Suunniteltujen ja suunnittelemattomien muutosten dokumentointi, mukaan lukien vaikutustenarviointi ja lieventämistoimet
  • Toimittajien/ulkoistamisen valvonta — Todisteet siitä, että ulkoisesti tarjotut prosessit tunnistetaan ja niitä valvotaan


ISMS.onlinen tehokas kojelauta

Aloita helposti henkilökohtaisella tuote-esittelyllä

Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.

Varaa esittelysi


Liittyvät lausekkeet

lauseke Yhteys
Lauseke 6: Suunnittelu Kohdassa 8 toteutetaan kohdassa 6 määritelty riskinarviointimenetelmä (6.1.2) ja riskienkäsittelysuunnitelma (6.1.3).
Kohta 7: Tuki Toimintaprosessit riippuvat resursseista, osaamisesta ja dokumentaatiosta, jotka on määritelty Lauseke 7
Lauseke 9: Suorituskyvyn arviointi Seuranta ja sisäinen tarkastus arvioivat, toteutetaanko toimintoja suunnitellusti
Lauseke 10: Parantaminen Kohdassa 8 havaitut toiminnalliset poikkeamat otetaan huomioon korjaavien toimenpiteiden prosessissa.
Liite A Valvonta SoA:n mukaiset kontrollit toteutetaan lausekkeen 8 operatiivisten prosessien kautta

Miksi valita ISMS.online 8 §:n noudattamiseksi?

ISMS.online tarjoaa operatiivisia työkaluja PIMS-järjestelmän päivittäiseen käyttöön:

  • Riskienarvioinnin aikataulutus — Aseta suunnitellut riskinarviointivälit automaattisten muistutusten ja muutosten laukaisemien uudelleenarviointityönkulkujen avulla
  • Hoitosuunnitelman seuranta — Seuraa jokaisen riskienhallintatoimenpiteen toteutustilaa omistajien määrittämisen ja määräaikojen kanssa
  • Prosessinhallinta — Dokumentoi ja hallinnoi toimintamenettelyjä kriteerien, työohjeiden ja todisteiden keräämisen avulla
  • Toimittajien hallinta — Seuraa ulkoisesti toimitettuja prosesseja due diligence -rekisterien ja jatkuvan seurannan avulla
  • Muutoksen hallinta — Kirjaa suunnitellut ja ei-toivotut muutokset vaikutustenarvioinnin ja lieventämistoimenpiteiden seurannan avulla

UKK

Kuinka usein yksityisyyden suojan riskiarvioinnit tulisi tehdä?

Standardi edellyttää arviointeja "suunnitelluin väliajoin" määrittelemättä kuitenkaan tarkkaa tiheyttä. Useimmat organisaatiot suorittavat kattavan arvioinnin vuosittain, ja merkittävät muutokset käynnistävät lisäarviointeja. Suunniteltu väli tulee dokumentoida osana riskinarviointimenetelmääsi. Lauseke 6.1.2 ja sen tulisi olla oikeassa suhteessa käsittelemiesi henkilötietojen määrään ja arkaluontoisuuteen.

Mikä lasketaan "merkittäväksi muutokseksi", joka käynnistää uudelleenarvioinnin?

Esimerkkejä ovat uusien käsittelytoimintojen tai -järjestelmien käyttöönotto, alihankkijoiden tai pilvipalveluntarjoajien vaihtaminen, uusille markkinoille tai lainkäyttöalueille siirtyminen, sääntelymuutokset (kuten uudet tietosuojalait), organisaation uudelleenjärjestelyt sekä tietoturvaloukkaukset tai tietoturvaloukkaukset. Riskienarviointimenetelmäsi tulisi määritellä kriteerit sille, mikä katsotaan merkittäväksi muutokseksi omassa kontekstissasi.

Miten hallitset ulkoisesti toimitettuja prosesseja?

Sopimusperusteisten valvontatoimien (tietojenkäsittelysopimukset), due diligence -arviointien, jatkuvan valvonnan ja tarkastusoikeuksien yhdistelmän avulla sinun tulee ylläpitää rekisteriä ulkoisesti tarjotuista prosesseista, arvioida kunkin palveluntarjoajan yksityisyyden suojaa koskevia valvontatoimia, sisällyttää niihin asianmukaiset sopimuslausekkeet ja tarkastella niiden suorituskykyä säännöllisesti. Katso A.3 jaetut hallintalaitteet erityisiä toimittajien hallintavaatimuksia varten.

SaaS-alustoilla on erityisiä operatiivisia näkökohtia — katso meidän opas SaaS-alustoille.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.