Mikä on ISO 27701:2025 -siirtymäaikataulu?
ISO/IEC 27701:2025 julkaistiin lokakuussa 2025. Vuoden 2019 painoksen mukaisesti sertifioiduilla organisaatioilla on Kolmivuotinen siirtymäkausi, joka päättyy lokakuussa 2028.
| Virstanpylväs | Päivämäärä | Mitä se tarkoittaa |
|---|---|---|
| Vuoden 2025 painos julkaistu | lokakuu 2025 | Uusia sertifikaatteja voidaan myöntää kummallekin versiolle |
| Siirtymäkausi | Lokakuu 2025 - lokakuu 2028 | Organisaatiot voivat suunnitella ja toteuttaa siirtymisen vuoteen 2025 |
| Siirtymäaika | lokakuu 2028 | Kaikki vuoden 2019 sertifikaatit vanhenevat; vain vuoden 2025 sertifikaatit ovat voimassa |
Jos seuraava valvonta- tai uudelleensertifiointiauditointisi osuu siirtymäaikaan, kannattaa keskustella siitä yrityksesi kanssa. sertifiointielin yhdistetäänkö siirtymä kyseiseen suunniteltuun tarkastukseen.
Oikean tilintarkastajan valitseminen on ratkaisevan tärkeää – katso oppaamme aiheesta Kuinka valita ISO 27701:2025 -sertifiointilaitos.
Mitkä ovat tärkeimmät siirtymäajat ja lisäajat?
Kolmen vuoden siirtymäaika antaa organisaatioille joustavuutta, mutta eri virstanpylväät vaativat toimia eri vaiheissa. Tässä on käytännönläheinen erittely siitä, mitä sinun on tehtävä ja milloin:
| Päivämäärä | Mitä tapahtuu | Vaatii toimenpiteitä |
|---|---|---|
| lokakuu 2025 | ISO 27701:2025 julkaistu. Uusia sertifikaatteja voidaan myöntää kummankin version perusteella. | Aloita siirtymäsi suunnittelu. Tee puuteanalyysi vuoden 2025 vaatimuksia vasten. |
| Lokakuu 2025 – lokakuu 2026 (Vuosi 1) | Aikaistettu siirtymäaika. Sertifiointielimet päivittävät auditointijärjestelmänsä. | Varmista, että sertifiointielimesi on valmis auditoimaan vuotta 2025. Jos valvonta-auditointisi osuu tälle ajanjaksolle, keskustele sen yhdistämisestä siirtymävaiheeseen. |
| Lokakuu 2026 – lokakuu 2027 (Vuosi 2) | Siirtymäkauden puoliväli. Useimmat sertifiointielimet ovat täysin toiminnassa vuoden 2025 versiossa. | Viimeistele dokumentaatiopäivitykset ja sisäinen auditointi vuoden 2025 rakennetta vasten. Aikatauluta siirtymäauditointi. |
| Lokakuu 2027 – lokakuu 2028 (Vuosi 3) | Viimeinen siirtymävuosi. Kiireellisyys lisääntyy organisaatioille, jotka eivät ole vielä siirtyneet. | Suorita siirtymäauditointisi ennen lokakuuta 2028. Sertifiointielimen saatavuus voi tiukentua määräajan lähestyessä. |
| lokakuu 2028 | Takaraja. Kaikki ISO 27701:2019 -sertifikaatit vanhenevat. Vain vuoden 2025 painoksen sertifikaatit ovat voimassa. | Jos et ole suorittanut siirtymävaihetta, sertifiointisi raukeaa. Sinun on haettava sertifiointia uutena hakijana, mikä saattaa vaatia täydellisen vaiheen 1 ja vaiheen 2 auditoinnin. |
Mitä tapahtuu, jos määräaika unohtuu?
Jos ISO 27701:2019 -sertifikaattisi vanhenee lokakuussa 2028 ilman siirtymää:
- Sertifikaattisi ei ole enää voimassa — Asiakkaat, sääntelyviranomaiset ja hankintatiimit, jotka luottavat sertifiointiisi, pitävät sitä vanhentuneena.
- Et voi noin vain uusia — Vuoden 2019 painos poistetaan valikoimasta. Sitä vastaan ei ole mahdollista hakea uudelleen sertifiointia.
- Aloitat uutena hakijana — Sertifiointielimesi käsittelee sinua ensikertalaisena hakijana vuoden 2025 painokseen, mikä tarkoittaa tyypillisesti täydellisiä vaiheen 1 ja 2 auditointeja siirtymäauditoinnin sijaan. Tämä maksaa enemmän ja kestää kauemmin.
- Kaupallinen vaikutus — Tämä voi vaikuttaa kaikkiin sopimuksiin, tarjouskilpailuihin tai asiakassopimuksiin, joissa viitataan ISO 27701 -sertifiointiisi.
Käytännön vinkkejä ajoitukseen
Kustannustehokkain lähestymistapa on ajoittaa siirtymäsi tarkastukseen:
- Jos seuraava valvontatarkastuksesi on ennen lokakuuta 2027 — Yhdistä siirtymä kyseiseen valvontakäyntiin. Näin vältät erillisen siirtymätarkastuksen maksun.
- Jos uudelleensertifiointisi eräpäivä on ennen lokakuuta 2028 — Siirtyminen uudelleensertifioinnin yhteydessä. Maksat jo täydestä auditoinnista; vuoden 2025 painoksen vaatimusten lisääminen on vaiheittainen prosessi.
- Jos sinulla ei ole suunniteltua tarkastusta vuoden 2028 loppuun mennessä — Älä odota. Varaa siirtymäauditointi ajoissa välttääksesi kiireen määräajan lähestyessä. Sertifiointilaitosten saatavuus kiristyy viimeisen kuuden kuukauden aikana.
Valitsemasi ajankohdan mukaan aloita kuiluanalyysi ja dokumentaatiopäivitykset vähintään kuusi kuukautta ennen suunniteltua siirtymätarkastusDokumentaatiomuutokset ovat hallittavissa, mutta vaativat perusteellisuutta – niiden kiirehtiminen lisää poikkeamien riskiä.
Vaiheittainen ohjeemme kuiluanalyysiopas opastaa sinut vuoden 2025 painoksen arviointiprosessissa.
Mitä rakenteellisia muutoksia sinun on ymmärrettävä?
Vuoden 2025 painos ei ole pieni tarkistus. Standardin arkkitehtuuri on muuttunut perusteellisesti. Näiden rakenteellisten muutosten ymmärtäminen on ensimmäinen askel siirtymän suunnittelussa.
Johtamisjärjestelmän vaatimukset ovat nyt itsenäisiä
Vuoden 2019 painoksessa laajennettiin ISO 27001 -lausekkeita yksityisyyteen liittyvillä lisäyksillä. Vuoden 2025 painoksessa on omat täydelliset hallintajärjestelmävaatimuksensa kohdissa 4–10 ISO:n yhdenmukaistetun rakenteen mukaisesti. Jos sinulla on myös ISO 27001 -sertifikaatti, voit silti integroida molemmat järjestelmät, mutta ISO 27701 ei enää ole siitä riippuvainen.
Valvonta on siirtynyt lausekkeista liitteisiin
Tämä on muutos, joka vaikuttaa eniten dokumentaatioosi ja sovellettavuuslausuntoosi:
| 2019 sijainti | 2025 sijainti | Tuotetiedot |
|---|---|---|
| Lauseke 6 (Yli 90 alalauseketta) | Taulukko A.3 (29 ohjausobjektia) | Jaetut tietoturvakontrollit henkilökohtaisille tiedoille |
| Lauseke 7 | Taulukko A.1 (31 ohjausobjektia) | PII-ohjaimen ohjaimet |
| Lauseke 8 | Taulukko A.2 (18 ohjausobjektia) | PII-prosessorin ohjaimet |
| Sisällytetty pykäliin 6–8 | Liite B | Käyttöönotto-ohjeet (peilit Liite A) |
Liitteen F vastaavuustaulukko kuvaa jokaisen vuoden 2019 kontrollin vastaavan vuoden 2025 laskentakaavan, mikä tekee kuiluanalyysistä käytännöllisen.
Aloita ilmainen kokeilu
Haluatko tutkia?
Rekisteröidy ilmaiseen kokeilujaksoon tänään ja pääset käyttämään kaikkia ISMS.onlinen tarjoamia yhteensopivuusominaisuuksia
Miten aukkoanalyysi tulisi suorittaa?
Strukturoitu kuiluanalyysi on onnistuneen siirtymän perusta. Tässä on käytännöllinen lähestymistapa:
Vaihe 1: Yhdistä nykyiset ohjausobjektisi vuoteen 2025
Käytä Liitteen F vastaavuustaulukko tunnistaaksesi, mihin kukin olemassa olevista vuoden 2019 säätimistäsi liittyy vuoden 2025 rakenteessa. Monilla säätimillä on suorat vastineet, mutta jotkut on yhdistetty ja toiset poistettu kokonaan.
Kiinnitä huomiota "N/A"-merkinnällä merkittyihin säätimiin. Liite F — nämä ovat vuoden 2019 kontrolleja, joilla ei ole suoraa vastinetta vuodelle 2025. Sinun on selvitettävä, kattaako tarkoitus jo jonkin toisen vuoden 2025 kontrollin vai voidaanko dokumentaatio turvallisesti poistaa käytöstä.
Vaihe 2: Tunnista uudet vaatimukset
Tarkista vuoden 2025 johtamisjärjestelmän vaatimukset (kohdat 4–10) nykyisen PIMS-dokumentaatiosi perusteella. Tärkeimmät tarkistettavat alueet:
- Kohdat 4.1 ja 4.2 — Ilmastonmuutos on nyt pakollinen huomioon otettava asiayhteysanalyysissäsi ja sidosryhmien arvioinnissa
- Lauseke 5.2 — Tietosuojakäytäntövaatimukset ovat nyt itsenäisiä (eivät ISMS-käytäntösi jatke)
- Kohta 6.1.2 / 6.1.3 — Yksityisyyden suojan riskinarviointi- ja käsittelyvaatimukset ovat itsenäisiä
- Lauseke 6.3 — Muutosten suunnittelu on nimenomaisesti välttämätöntä
Vaihe 3: Laadi sovellettavuuslausuntosi uudelleen
Nykyisessä sovellettavuuslausekkeessasi viitattiin kohtiin 6, 7 ja 8. Vuoden 2025 painos edellyttää uutta sovellettavuuslausuntoa, joka perustuu... 78 Liitteen A hallintalaitteet, perusteluineen mahdollisille poikkeuksille [ks. kohta 6.1.3 e)].
Vaihe 4: Päivitä dokumentaatio
Ainakin seuraavat asiakirjat on päivitettävä:
- PIMS-laajuuslausunto (nyt itsenäinen, ei viittaa ISMS-laajuuteen)
- Tietosuojakäytäntö (erillinen, kohdan 5.2 mukaisesti)
- Tietosuojariskin arviointimenetelmä (kohdan 6.1.2 mukaisesti)
- Soveltamislausunto (liitteen A uusi rakenne)
- Sisäisen tarkastuksen ohjelma (kattaa kohdat 4–10 sekä sovellettavat liitteen A mukaiset kontrollit)
- Johdon tarkastelun syötteet ja tuotokset (kohdan 9.3 mukaisesti)
Vaihe 5: Suorita sisäinen tarkastus vuoteen 2025 verrattuna
Ennen siirtymäauditointia suorita täydellinen sisäinen auditointi vuoden 2025 vaatimusten mukaisesti. Tämä validoi aukkoanalyysisi, testaa päivitetyn dokumentaatiosi ja antaa johdon tarkastukselle merkityksellistä tietoa siirtymävalmiudesta.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Mitä kontrollitekijöitä poistettiin tai yhdistettiin?
Vuoden 2019 painoksen kohdassa 6 viitattiin yli 90 ISO 27002 -standardin alakohtaan, joissa oli PII-kohtaisia ohjeita. Vuoden 2025 painos yhdistää nämä 29 kohdennetuksi kontrolliksi Taulukko A.3Monet vuoden 2019 alakohdat, joissa luki yksinkertaisesti ”ei lisäohjeita”, on poistettu.
Kontrolleja, joille ei ollut olemassa henkilötietoihin liittyvää erityisohjeistusta (fyysinen turvallisuus, kaapelointi, apuohjelmat, haittaohjelmien torjunta jne.), ei enää luetella erikseen. Tämä ei tarkoita, että ne eivät olisi tärkeitä – se tarkoittaa, että standardi keskittyy nyt erityisesti kontrolleihin, jotka edellyttävät henkilötietoihin liittyvää käyttöönotto-ohjeistusta.
Liitteen F taulukot F.1 ja F.2 sisältävät täydellisen määrityksen molempiin suuntiin, joten voit tarkistaa tarkalleen, mitkä olemassa olevista ohjaimistasi on määritettävä uudelleen ja mitkä voidaan poistaa PIMS-järjestelmästäsi.
Miksi valita ISMS.online ISO 27701 -siirtymääsi varten?
ISMS.online tekee siirtymästä käytännöllisen ja seurattavan:
- Valmiiksi kartoitettu kehys — ISO 27701:2025 -standardin mukaiset kontrollit, vaatimukset ja näyttö on kartoitettu ja käyttövalmis
- Gap-analyysin tuki — Vertaa nykyistä PIMS-järjestelmääsi vuoden 2025 rakenteeseen ja seuraa, mitä päivityksiä on tehtävä
- Soveltuvuuslausunnon rakentaja — Luo uusi käyttöoikeussopimuksesi 78 liitteen A mukaisen valvonnan perusteella perusteluineen
- Asiakirjan hallinta — Versiohallinta päivitetyistä käytännöistäsi, menettelyistäsi ja tietueistasi yhdessä paikassa
- Sisäisen tarkastuksen työkalut — Suunnittele ja toteuta siirtymää edeltävä auditointi korjaavien toimenpiteiden seurannalla
- Kaksoiskehysten tuki — Suorita ISO 27701- ja ISO 27001 -standardit rinnakkain ilman päällekkäistä työtä
UKK
Voinko siirtyä ISO 27701:2025 -standardiin aikaisin?
Kyllä. Uusia sertifikaatteja voidaan myöntää vuoden 2025 painoksen perusteella lokakuusta 2025 alkaen. Jos seuraava suunniteltu auditointisi on lähellä, keskustele sertifiointilaitoksesi kanssa siitä, yhdistetäänkö se siirtymävaiheeseen.
Pitääkö minun aloittaa alusta?
Ei. Suuri osa olemassa olevasta työstäsi jatkuu. Kontrollit on järjestetty uudelleen, niitä ei ole kirjoitettu perusteellisesti uudelleen. Käytä liitettä F yhdistääksesi nykyiset kontrollit uuteen rakenteeseen, päivittääksesi dokumentaatiosi vastaamaan uutta numerointia ja täyttääksesi kaikki puuteanalyysissäsi havaitut aukot.
Mitä tapahtuu, jos myöhästyn lokakuun 2028 määräajasta?
ISO 27701:2019 -sertifikaattisi ei ole enää voimassa lokakuun 2028 jälkeen. Sinun on sertifioitava vuoden 2025 version mukaisesti uutena sertifiointina siirtymävaiheen sijaan, mikä saattaa edellyttää täydellisiä vaiheen 1 ja 2 auditointeja.
Tarvitsenko silti ISO 27001 -standardia siirtyäkseni?
Ei. Koska ISO 27701:2025 on itsenäinen standardi, voit siirtyä standardiin ilman ISO 27001 -sertifikaattia. Jos sinulla on tällä hetkellä molemmat, voit joko säilyttää molemmat sertifikaatit erikseen tai jatkaa integroidun johtamisjärjestelmän käyttöä.
Kuinka kauan siirtymä yleensä kestää?
Tämä riippuu olemassa olevan PIMS-järjestelmänne kypsyysasteesta ja tarvittavien dokumentaatiomuutosten laajuudesta. Organisaatiot, joilla on hyvin ylläpidetyt järjestelmät, saattavat tarvita muutaman viikon aukkoanalyysiin ja dokumentaation päivityksiin, minkä jälkeen suoritetaan sisäinen auditointisykli. Itse siirtymäauditointi yhdistetään tyypillisesti valvonta- tai uudelleensertifiointikäyntiin.
Tarjoamme nopeaa muutosta haluaville organisaatioille nopein tie ISO 27701:2025 -sertifiointiin.
