Miksi ISO 27701 -standardia päivitettiin?
Ensimmäinen painos ISO 27701 julkaistiin vuonna 2019 ISO 27001- ja ISO 27002 -standardien laajennuksena. Sittemmin yksityisyydensuoja on muuttunut merkittävästi. Uusia säännöksiä on syntynyt, teknologia on kehittynyt (tekoäly, esineiden internet, biometriikka), ja organisaatiot ovat vaatineet standardia, joka voi toimia itsenäisesti sen sijaan, että se olisi riippuvainen erillisestä tietoturvallisuuden hallintajärjestelmästä.
Lokakuussa 2025 julkaistu ISO/IEC 27701:2025 on standardin toinen painos. Se korvaa vuoden 2019 version kokonaan ja tuo mukanaan rakenteellisia muutoksia, joiden tarkoituksena on tehdä yksityisyyden suojan hallinnasta käytännöllisempää ja helpommin saavutettavaa.
Mitkä ovat ISO 27701:2025 -standardin suurimmat muutokset?
Vuoden 2025 painos tuo mukanaan seitsemän keskeistä muutosta, jotka organisaatioiden on ymmärrettävä:
1. Erillinen standardi
Merkittävin muutos on, että ISO 27701:2025 on nyt itsenäinen hallintajärjestelmästandardiOrganisaatioiden ei enää tarvitse ensin hankkia ISO 27001 -sertifiointia. Standardi sisältää oman täydellisen vaatimustensa (kohdat 4–10), jotka kattavat kontekstin, johtajuuden, suunnittelun, tuen, toiminnan, suorituskyvyn arvioinnin ja parantamisen.
Tämä avaa oven organisaatioille, jotka haluavat yksityisyydensuojasertifioinnin ilman täydellisen tietoturvan hallintajärjestelmän (ISMS) aiheuttamaa lisärasitusta, mutta mahdollistaa silti ISO 27001 -standardin integroinnin niille, jotka haluavat molemmat.
2. Uudelleen jäsennelty liite A, jossa on kolme ohjaustaulukkoa
Vanhat kohdat 7 (henkilökohtaisten tietojen rekisterinpitäjän ohjeet) ja 8 (henkilökohtaisten tietojen käsittelijän ohjeet) on korvattu yhtenäisellä Liite A kolmella pöydällä:
| Pöytä | Laajuus | Hallintalaitteet |
|---|---|---|
| Taulukko A.1 | PII-ohjaimen ohjaimet | 31 säädintä |
| Taulukko A.2 | PII-prosessorin ohjaimet | 18 säädintä |
| Taulukko A.3 | Jaetut suojauskontrollit (rekisterinpitäjät ja käsittelijät) | 29 säädintä |
Tämä antaa organisaatioille 78 yksityisyysasetusta yhteensä, ja jokaisella on vastaavat toteutusohjeet liitteessä B. Rakenne tekee paljon selkeämmäksi, mitkä kontrollit koskevat rooliasi.
3. Liite B sisältää täytäntöönpano-ohjeita
Liite B peilaa kutakin liitteen A mukaista valvontaa yksityiskohtaisine toteutusohjeineen. Vuoden 2019 versiossa ohjeet sisältyivät kohtiin 6, 7 ja 8, kun taas vuoden 2025 painoksessa "mitä" (liite A) ja "miten" (liite B) on erotettu toisistaan. Tämä tekee auditoinnista ja kuiluanalyysistä suoraviivaisempaa.
4. Uudet kartoitusliitteet
Vuoden 2025 painos sisältää neljä karttaliitettä:
- Liite C — Yhteensovittaminen ISO/IEC 29100 -standardin yksityisyydensuojaperiaatteisiin
- Liite D - Yhdistämisohjeet GDPR-artikkeleihin
- Liite E — Yhteensopivuus standardien ISO/IEC 27018 ja ISO/IEC 29151 kanssa
- Liite F — Vastaavuus standardin ISO 27701:2019 kanssa (uusi vuonna 2025)
Liite F on erityisen hyödyllinen organisaatioille, jotka siirtyvät vuoden 2019 painoksesta, sillä se yhdistää jokaisen vanhan kontrollin vuoden 2025 vastineeseen.
Vapauta itsesi laskentataulukoiden vuorten vallasta
Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.
5. Virtaviivaistettu 6 § korvaa vanhan 6 §:n
Vuoden 2019 painos Lauseke 6 sisälsi yli 90 alakohtaa, jotka viittasivat ISO 27002 -standardin mukaisiin kontrolleihin ja joihin oli lisätty henkilötietoja koskevia tietoja. Vuonna 2025 tämä on yhdistetty osaksi Taulukko A.3 (jaetut suojaustoimenpiteet) 29 kohdennetulla säätimellä. Tuloksena on huomattavasti helpommin hallittava laajuus.
6. Yksinkertaistetut hallintajärjestelmävaatimukset
Kohdat 4–10 noudattavat nyt ISO-standardin mukaista johtamisjärjestelmän rakennetta (harmonisoitu rakenne). Ne ovat itsenäisiä eivätkä vaadi ristiviittauksia ISO 27001 -standardin kohtiin, vaikka yhdenmukaistaminen on yksinkertaista organisaatioille, joilla on molemmat sertifikaatit.
7. Ilmastonmuutoksen huomioon ottaminen
Kaikkiin johtamisjärjestelmästandardeihin viimeaikaisten ISO-muutosten mukaisesti kohdissa 4.1 ja 4.2 vaaditaan nyt organisaatioita määrittämään, onko ilmastonmuutos olennainen kysymys heidän PIMS-kontekstissaan.
Miten ohjausjärjestelmä vertautuu vuoteen 2019?
| Aspect | ISO 27701: 2019 | ISO 27701: 2025 |
|---|---|---|
| riippuvuus | Laajennus standardiin ISO 27001 + 27002 | Erillinen standardi |
| Lennonjohtajan ohjeet | Lauseke 7 (upotettu) | Taulukko A.1 + Liite B.1 (31 ohjausobjektia) |
| Käsittelijän ohjeet | Lauseke 8 (upotettu) | Taulukko A.2 + Liite B.2 (18 ohjausobjektia) |
| Turvallisuusohjeet | Kohta 6 (yli 90 alakohtaa, jotka viittaavat standardiin ISO 27002) | Taulukko A.3 + Liite B.3 (29 ohjausobjektia) |
| Täydelliset yksityisyyden suojan säädöt | Levitetty pykäliin 6, 7 ja 8 | 78 liitteen A mukaista tarkastusta |
| GDPR kartoitus | Liite D | Liite D (päivitetty) |
| Vuoden 2019 kirjeenvaihto | N / A | Liite F (uusi) |
Mikä on siirtymäaika?
ISO 27701:2019 -standardin mukaisesti sertifioiduilla organisaatioilla on aikaa lokakuu 2028 siirtyä vuoden 2025 painokseen. Tämä antaa kolmen vuoden aikaikkunan julkaisupäivästä.
Jäsennelty kuiluanalyysi on paras lähtökohta ymmärtääksesi, mitä vuoden 2025 painos tarkoittaa nykyiselle PIMS-järjestelmällesi.
Siirtymäkauden aikana:
- Uusia sertifikaatteja voidaan myöntää kummallekin versiolle
- Nykyiset vuoden 2019 sertifikaatit ovat voimassa niiden voimassaolon päättymiseen tai siirtymäajan päättymiseen asti, sen mukaan kumpi tulee ensin.
- Sertifiointielinten on päivitettävä auditointiohjelmansa arvioidakseen niitä vuoden 2025 vaatimusten mukaisesti.
Vaiheittaisen lähestymistavan siirtymävaiheeseen löydät ohjeestamme ISO 27701 -siirtymäopas.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Mitä erillinen sertifiointi tarkoittaa käytännössä?
Vuoden 2019 version mukaan organisaatio saattoi saavuttaa ISO 27701 -sertifioinnin vain, jos sillä oli jo ISO 27001 -standardi (tai se sertifioi sitä samanaikaisesti). Tämä loi esteen organisaatioille, jotka tarvitsivat yksityisyyssertifioinnin, mutta eivät täydellistä tietoturvallisuuden hallintajärjestelmää.
Vuoden 2025 painoksen myötä organisaatiot voivat sertifioida ISO 27701 -standardin mukaisesti itsenäisesti. Standardi sisältää nyt omat johtamisjärjestelmävaatimuksensa (kohdat 4–10) ja omat kontrollinsa (liite A). Integrointi ISO 27001 -standardiin on kuitenkin edelleen suoraviivaista ja sitä kannustetaan, jos molemmat osa-alueet ovat relevantteja.
Miksi valita ISMS.online ISO 27701:2025 -standardia varten?
ISMS.online tarjoaa sinulle käytännöllisen ja jäsennellyn tavan ottaa käyttöön ja ylläpitää tietosuojatiedonhallintajärjestelmääsi ISO 27701:2025 -standardin mukaisesti:
- Valmiiksi rakennettu kehys — ISO 27701:2025 -standardin mukaiset kontrollit, lausekkeet ja näyttövaatimukset on kartoitettu ja käyttövalmis ensimmäisestä päivästä lähtien
- Integroitu riskienhallinta — Suorita yksityisyyden suojan riskien arviointeja tietoturvariskien ohella samassa paikassa
- Käytäntöjen ja valvonnan hallinta — Tietosuojakäytäntöjen laatiminen, hyväksyminen, jakelu ja niiden hyväksymisen seuranta
- Toimittajien hallinta — Seuraa henkilötietojen käsittelijöiden sopimuksia, alihankkijoiden paljastuksia ja rajat ylittävien siirtojen tietoja
- Tarkastusvalmius — Ylläpidä sovellettavuuslausuntoa, todistepaketteja ja korjaavia toimenpiteitä yhdellä alustalla
- Kaksoissertifioinnin tuki — Suorittaa ISO 27701 -standardin itsenäisesti tai integroituna ISO 27001 -standardiin ilman päällekkäistä työtä
UKK
Onko ISO 27701:2025 taaksepäin yhteensopiva vuoden 2019 version kanssa?
Ei suoraan. Rakenne on muuttunut merkittävästi, ja vanhat lausekkeet 6, 7 ja 8 on korvattu liitteillä A ja B. Liite F tarjoaa kuitenkin täydellisen vastaavuustaulukon, jossa jokainen vuoden 2019 kontrolli on yhdistetty vuoden 2025 vastaavaan laskentatapaan, mikä tekee kuiluanalyysistä yksinkertaista.
Tarvitsenko edelleen ISO 27001 -standardin saadakseni ISO 27701 -sertifioinnin?
Ei. ISO 27701:2025 on itsenäinen standardi, jolla on omat johtamisjärjestelmävaatimuksensa. Voit sertifioida sen mukaisesti itsenäisesti. Jos sinulla on jo ISO 27001 -sertifikaatti, voit integroida molemmat järjestelmät ja hyötyä jaetuista prosesseista.
Milloin minun on siirryttävä standardista ISO 27701:2019?
Siirtymäaika on lokakuu 2028, joten sinulla on kolme vuotta vuoden 2025 painoksen julkaisusta. Nykyiset vuoden 2019 sertifikaatit pysyvät voimassa niiden voimassaolon päättymiseen tai siirtymäaikaa kohti, kumpi tulee ensin.
Kuinka monta kontrollia standardissa ISO 27701:2025 on?
Liitteessä A on 78 ohjausta, jotka on jaettu kolmeen taulukkoon: 31 PII-ohjaimille (Taulukko A.1), 18 PII-prosessoreille (Taulukko A.2) ja 29 jaettua suojaustoimintoa molemmille (Taulukko A.3). Jokaisella kontrollilla on vastaavat toteutusohjeet liitteessä B.
Kattaako ISO 27701:2025 -standardi tekoälyn ja biometriset tiedot?
Standardi on teknologianeutraali, mutta sen automaattisen päätöksenteon hallintalaitteet (A.1.3.11 Automaattinen päätöksenteko), yksityisyyden suojaa koskevan vaikutustenarvioinnin (A.1.2.6 Tietosuojaan liittyvä vaikutustenarviointi) ja tiedon minimointi (A.1.4.5 Henkilökohtaisten tietojen minimointi) ovat suoraan relevantteja tekoälylle, esineiden internetille ja biometriselle tietojenkäsittelylle. Periaatteita sovelletaan käytetystä teknologiasta riippumatta.
Jos pohdit, sopiiko sertifiointi organisaatiollesi, katso oppaamme: Tarvitsenko ISO 27701:2025 -sertifioinnin?.
Saat tiiviin yleiskatsauksen jaettavaksi ylemmän tason sidosryhmien kanssa lukemalla Tiivistelmä hallituksen jäsenille.
