Hyppää sisältöön
ISMS.online

ISO 27701:2025 Kohta 9: Suorituskyvyn arviointi

Kohta 9 käsittelee PDCA-syklin "tarkastusvaihetta". Se edellyttää, että seuraat ja mittaat PIMS-suorituskykyä, suoritat sisäisiä tarkastuksia ja johdon tarkastuksia varmistaaksesi, että yksityisyyden hallintajärjestelmäsi pysyy tehokkaana.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä 9 § edellyttää?

Kohta 9 on Suunnittele-Toteuta-Tarkista-Toimi -syklin ”Tarkista”-vaihe. Siinä määritellään, miten organisaatiosi arvioi yksityisyyden suojan tiedonhallintajärjestelmän (PIMS) suorituskykyä ja tehokkuutta kolmen mekanismin avulla: seurannan ja mittaamisen, sisäisen tarkastuksen ja johdon tarkastelun.

Sisäiset tarkastukset arvioivat vaatimustenmukaisuutta suhteessa Liite A valvonta ja hallintajärjestelmän vaatimukset.

9.1 Seuranta, mittaus, analysointi ja arviointi

Organisaation on määritettävä:

  • Mitä on seurattava ja mitattava — Sisältää yksityisyyden suojan prosessit, valvonnan ja tavoitteet
  • Menetelmät — Seurantaa, mittaamista, analysointia ja arviointia varten luotettavien tulosten varmistamiseksi
  • Kun — Seuranta ja mittaukset on suoritettava
  • Kun — Tulokset on analysoitava ja arvioitava

Organisaation on säilytettävä dokumentoitua tietoa tulosten todisteena. Tehokas valvonta menee pelkän vaatimustenmukaisuuden tarkistamisen edelle. Sen tulisi arvioida, saavuttavatko yksityisyyden suojan toimenpiteet tavoitellut tulokset ja tuottaako henkilötietojen hallintajärjestelmä kokonaisuudessaan halutun yksityisyyden suojan suorituskyvyn.

Yleisiä mittareita ovat:

  • Rekisteröidyn pyyntöihin vastaamisajat ja käsittelyasteet
  • Tietosuojapoikkeamien määrä, vakavuustasot ja ratkaisuajat
  • Koulutuksen suorittamisasteet ja tietoisuusarvioinnin pisteet
  • Riskienkäsittelysuunnitelman toteutuksen edistyminen
  • Toimittajien vaatimustenmukaisuuden arvioinnin tulokset
  • Uusien käsittelytoimien tietosuojavaikutusten arviointien valmistumisasteet

9.2 Sisäinen tarkastus

9.2.1 General

Organisaation on suoritettava sisäisiä auditointeja suunnitelluin väliajoin sen selvittämiseksi, onko PIMS:ssä seuraavaa:

  • Täyttää organisaation omat PIMS-vaatimukset
  • Täyttää standardin ISO 27701:2025 vaatimukset
  • On tehokkaasti toteutettu ja ylläpidetty

9.2.2 Sisäisen tarkastuksen ohjelma

Organisaation on suunniteltava, laadittava, toteutettava ja ylläpidettävä auditointiohjelmaa, joka sisältää seuraavat:

  • Taajuus — Auditointivälit (yleensä vuosittain koko syklin ajan, kohdennettuja auditointeja useammin)
  • Menetelmät — Miten tarkastukset suoritetaan (asiakirjojen tarkistus, haastattelut, havainnointi, testaus)
  • Vastuut — Kuka suorittaa tarkastukset (tarkastajien on oltava objektiivisia ja puolueettomia)
  • Suunnitteluvaatimukset — Kyseisten prosessien tärkeyden ja aiempien tarkastusten tulosten huomioon ottaminen
  • Kriteerit ja soveltamisala — Mitä tarkastetaan ja mitä vaatimuksia vasten
  • Raportointi — Tulokset on raportoitava asiaankuuluvalle johdolle

Auditointiohjelma ja tulokset on säilytettävä dokumentoituina tietoina.



ISMS.onlinen tehokas kojelauta

Aloita ilmainen kokeilu

Haluatko tutkia?

Rekisteröidy ilmaiseen kokeilujaksoon tänään ja pääset käyttämään kaikkia ISMS.onlinen tarjoamia yhteensopivuusominaisuuksia

Aloita


9.3 Johdon katsaus

9.3.1 General

Ylimmän johdon tulee tarkastella PIMS-järjestelmää suunnitelluin väliajoin varmistaakseen sen jatkuvan sopivuuden, riittävyyden ja tehokkuuden.

9.3.2 Johdon tarkastelun syötteet

Johdon katselmuksessa on otettava huomioon:

  • Toimintojen tila edellisistä johdon arvioinneista
  • PIMS-järjestelmän kannalta merkityksellisten ulkoisten ja sisäisten ongelmien muutokset
  • PIMS-järjestelmän kannalta merkityksellisten sidosryhmien tarpeiden ja odotusten muutokset
  • Tiedot PIMS-järjestelmän suorituskyvystä, mukaan lukien poikkeamien ja korjaavien toimenpiteiden trendit, seuranta- ja mittaustulokset sekä auditointitulokset
  • Jatkuvan parantamisen mahdollisuudet

9.3.3 Johdon tarkastelun tulokset

Johdon katselmuksen tuotoksiin tulee sisältyä päätöksiä ja toimia, jotka liittyvät:

  • Jatkuvat parannusmahdollisuudet
  • Tarvitaanko PIMS-järjestelmään muutoksia?

Dokumentoidut tiedot on säilytettävä todisteena johdon tarkastusten tuloksista. Nämä tiedot osoittavat, että ylin johto on aktiivisesti mukana PIMS:n valvonnassa, mikä on keskeinen vaatimus, jota tilintarkastajat tarkastelevat tarkasti.

Miten tämä liittyy GDPR:ään?

  • Article 5 (2) — Vastuuvelvollisuusperiaate edellyttää vaatimustenmukaisuuden osoittamista, jota seuranta ja tarkastus tukevat suoraan
  • 39 artiklan 1 kohdan b alakohta — Tietosuojavastaavan vaatimustenmukaisuuden seuranta on sisäisen tarkastusohjelman vaatimusten mukaista
  • 32 artiklan 1 kohdan d alakohta — Prosessi toimenpiteiden tehokkuuden säännölliseksi testaamiseksi, arvioimiseksi ja arvioimiseksi, jota suoraan tukee 9 §
  • Artikla 24 — Valvojan vastuulla on tarvittaessa tarkistaa ja päivittää toimenpiteitä johdon tarkastelun tuella

Täydellinen kartoitus, katso GDPR-vaatimustenmukaisuusopas.

Mikä muuttui standardista ISO 27701:2019?

  • Itsenäiset vaatimukset — Vuonna 2019 kohta 5.7 täydensi standardin ISO 27001 kohtaa 9. Nyt suorituskyvyn arviointivaatimukset ovat täydelliset ja itsenäisiä.
  • Tietosuojaan liittyvät syötteet — Johdon tarkastelujen syötteet sisältävät nyt nimenomaisesti PIMS-suorituskykytiedot ja poikkeamien trendit, seurantatulokset ja auditointitulokset
  • Selkeämpi tarkastuksen laajuus — Sisäiset tarkastukset on nimenomaisesti kohdistettu PIMS-vaatimustenmukaisuuteen ja tehokkuuteen sen sijaan, että ne laajentaisivat ISMS-tarkastusohjelmaa.
  • Strukturoidut arviointisyötteet — Johdon katselmuksen tiedot ovat yksityiskohtaisempia ja niissä on erityisiä kohtia eikä yleisiä viittauksia ISO 27001 -standardin mukaisiin tietoihin.

Laajemman yleiskuvan saat, ks. Uutta standardissa ISO 27701:2025.

Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.

Mitä todisteita tilintarkastajat odottavat?

  • Seurantatiedot — Kojelaudat, raportit tai lokit, jotka osoittavat, mitä seurataan ja mitkä ovat tulokset ajan kuluessa
  • Tarkastusohjelma — Suunniteltu sisäisten auditointien aikataulu, joka kattaa kaikki PIMS-vaatimukset auditointisyklin aikana
  • Tarkastusraportit — Täytetyt tarkastusraportit havaintoineen, poikkeamineen ja huomioineen
  • Tilintarkastajan riippumattomuus — Todisteet siitä, että tilintarkastajat eivät tarkastaneet omaa työtään
  • Johdon katselmuspöytäkirja — Asiakirjat, jotka osoittavat, että kaikki vaaditut tiedot on otettu huomioon ja päätökset on tehty
  • Toiminnan seuranta — Todisteet siitä, että johdon tarkastelujen ja auditointien toimenpiteitä seurataan loppuun asti
  • Trendianalyysi — Näyttö siitä, että seurantatietoja analysoidaan trendien varalta, eikä niitä tarkastella vain yksittäisinä datapisteinä


kiipeily

Vapauta itsesi laskentataulukoiden vuorten vallasta

Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.

Varaa esittelysi


Liittyvät lausekkeet

lauseke Yhteys
Kohta 5: Johtajuus Johdon katselmus on se, missä ylin johto toteuttaa johtamissitoumustaan ​​käytännössä
Lauseke 6: Suunnittelu Tietosuojatavoitteiden (6.2) saavuttamista seurataan; riskinarvioinnin tulokset otetaan huomioon johdon tarkastelussa
Lauseke 8: Toiminta Toimintaprosessit ovat valvonnan ja sisäisen tarkastuksen alaisia
Lauseke 10: Parantaminen Tarkastushavainnot ja tarkastelun tulokset hyödynnetään suoraan korjaavissa toimenpiteissä ja parannusprosessissa

Katso myös 4. kohta (Konteksti) kontekstin ja Lauseke 7 (tuki) tukiresursseja varten.

Miksi valita ISMS.online 9 §:n noudattamiseksi?

ISMS.online tarjoaa integroituja työkaluja PIMS-suorituskyvyn arviointiin:

Sertifioinnin suunnittelua varten katso erillinen sertifiointiopas.

  • Suorituskyvyn kojelaudat — Keskeisten yksityisyydensuojamittareiden reaaliaikainen seuranta trendianalyysin ja hälytysten avulla
  • Sisäisen tarkastuksen hallinta — Suunnittele, aikatauluta ja toteuta auditointeja mallipohjien, löydösten seurannan ja todisteiden keräämisen avulla
  • Johdon arviointimallit — Jäsennellyt esityslistat, jotka kattavat kaikki vaaditut syötteet, toimien seurannalla ja pöytäkirjojen kirjaamisella
  • Korjaavien toimenpiteiden seuranta — Yhdistä auditointihavainnot ja tarkastustoimenpiteet korjaavien toimenpiteiden työnkulkuihin, joissa on vastuuhenkilöiden tehtävät ja määräajat
  • Raportointi — Luo suorituskykyraportteja johdon tarkastusten syötteitä ja sertifiointitarkastusten todentavaa aineistoa varten

UKK

Kuinka usein johdon katselmuksia tulisi tehdä?

Standardi edellyttää arviointeja "suunnitelluin väliajoin" määrittelemättä kuitenkaan tarkkaa tiheyttä. Useimmat organisaatiot suorittavat johdon arviointeja vähintään kerran vuodessa, ja monet valitsevat neljännesvuosittaiset arvioinnit erityisesti käyttöönoton ensimmäisenä vuonna. Tarkastusten tiheyden tulisi olla asianmukainen henkilötietojen hallintajärjestelmän (PIMS) kypsyyden ja yksityisyydensuojan muutosnopeuden mukaan. Valitsemasi aikavälin on oltava dokumentoitu ja sitä on noudatettava johdonmukaisesti.

Voiko sisäisiä tarkastuksia suorittaa yrityksen oma henkilökunta?

Kyllä, edellyttäen, että he ovat objektiivisia ja puolueettomia. Keskeinen vaatimus on, että tilintarkastajat eivät tarkasta omaa työtään. Käytännössä tämä tarkoittaa, että tietyn valvonnan tai prosessin toteuttamisesta vastaavan henkilön ei pitäisi tarkastaa sitä. Pienemmät organisaatiot saattavat joutua käyttämään ulkoisia tilintarkastajia joillakin osa-alueilla riippumattomuuden säilyttämiseksi. Tilintarkastajilla tulisi myös olla asianmukainen osaaminen yksityisyyden hallinnassa ja tilintarkastustekniikoissa.

Mitä yksityisyydensuojamittareita tulisi seurata?

Aloita mittareilla, jotka ovat organisaatiollesi merkityksellisiä ja joiden kerääminen on mahdollista. Yleisiä esimerkkejä ovat rekisteröityjen pyyntöjen määrä ja vastausajat, tietosuojaloukkausten määrä ja ratkaisuajat, koulutuksen valmistumisprosentti, riskienhallintasuunnitelman edistyminen, toimittajien arviointien valmistumisaste ja auditointitulosten päättämisaste. Mittareiden tulisi kehittyä PIMS-järjestelmän kypsyessä siirtyen perusvaatimustenmukaisuusmittareista tehokkuuteen ja tuloksiin perustuviin mittareihin.

Ymmärrä sertifiointiauditointiprosessi kokonaisuudessaan oppaastamme: Mitä odottaa ISO 27701:2025 -auditoinnilta.

Yhtiömme tarkastusevidenssivaatimusten opas yksityiskohtaisesti, mitä dokumentaation tarkastajat odottavat kultakin lausekkeen alueelta.

Oikean tilintarkastajan valinta on tärkeää – katso miten valita sertifiointilaitos.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.