Tietosuoja osaksi tietoturvallisuuden hallintajärjestelmää
Julkaistu 21.6.2021 - päivitetty 5.7.2021
Kansainvälisten standardien avulla suojaat ja turvaat henkilötietojen käsittelyn tietojärjestelmissä. Standardien avulla luot tietoturvallisuuden hallintajärjestelmän, joka on linjassa GDPR:n vaatimusten kanssa.
Tietoturvallisuuden hallintajärjestelmästandardiin ISO/IEC 27001 liittyvä tietosuojaa koskeva laajennus SFS-EN ISO/IEC 27701 on julkaistusuomenkielisenä. Sen avulla organisaatiot voivat lisätä tietojen suojaamisen kyvykkyyttään ja täydentää tietoturvallisuuden hallintajärjestelmänsä kattamaan myös henkilötietojen käsittelyyn liittyvät eritysvaatimukset.
Henkilötiedon suojaamiseen kohdistuvien riskien tunnistaminen ja hallinta ovat tietosuojan hallintajärjestelmän perusolettamuksia ja -mekanismeja. Riskien lieventämiseksi on standardissa SFS-EN ISO/IEC 27001 joukko hallintakeinoja, joihin organisaation tulee tietoturvan osalta ottaa kantaa. Standardi SFS-EN ISO/IEC 27701 tarjoaa näihin hallintakeinoihin myös tietosuojaan liittyvää ohjeistusta sekä hallintakeinoja niin rekisterinpitäjälle kuin käsittelijällekin. Riskien ja velvoitteiden tunnistaminen luo hyvän pohjan tavoitteiden asettamiselle ja sopivien mittarien määrittelylle.
Henkilötietojen hallintaan ja turvaamiseen tarkoitettu johtamisjärjestelmä rakentuu yhdistämällä standardin SFS-EN ISO/IEC 27701 vaatimukset ISO/IEC 27001:n mukaiseen tietoturvallisuuden hallintajärjestelmään.
SFS-EN ISO/IEC 27701:2021
Turvallisuustekniikat. Standardien ISO/IEC 27001 ja ISO/IEC 27002 tietosuojalaajennus. Vaatimukset ja ohjeet
126,40 € (alv 0%), 139,04 € (alv 10%)
Vahvistettu 30.04.2021, kieli: suomi/englanti
126,40 € (alv 0%), 139,04 € (alv 10%)
Vahvistettu 30.04.2021, kieli: suomi/englanti
Henkilötietojen suojaamisen pääpiirteet
Standardin SFS-EN ISO/IEC 27701 käyttäjien on hyvä huomioida myös standardi SFS-EN ISO/IEC 29100. Siinä esitetään tietojärjestelmiin syötettävien henkilötietojen suojaamisen pääpiirteet.
Tietosuojamallin tarkoitus on auttaa organisaatioita määrittelemään niiden tietojärjestelmissä käsiteltäviin henkilötietoihin liittyvät yksityisyyden suojaamisen vaatimukset. Tässä kansainvälisessä standardissa esitetään tietosuojamalli, jossa
— määritellään tietosuojan yleinen termistö
— määritellään henkilötietoja käsittelevät toimijat ja näiden toimijoiden roolit
— esitetään yksityisyyden suojaamista koskevia näkökohtia
— viitataan tunnettuihin tietotekniikan tietosuojaperiaatteisiin.
Standardi on avuksi henkilötietoja käsittelevien ja suojaavien tietojärjestelmien suunnittelussa, toteuttamisessa, hoitamisessa ja ylläpitämisessä. Se myös kannustaa kehittämään innovatiivisia ratkaisuja henkilötietojen suojaamiseen tietojärjestelmissä ja tehostaa organisaation tietosuojaohjelmia parhaiden käytäntöjen avulla.
SFS-EN ISO/IEC 29100:2020
Informaatioteknologia. Turvallisuus. Tietosuojan perusteet
99,60 € (alv 0%), 109,56 € (alv 10%)
Vahvistettu 18.06.2020, kieli: suomi/englanti
99,60 € (alv 0%), 109,56 € (alv 10%)
Vahvistettu 18.06.2020, kieli: suomi/englanti
Edellä mainittuja standardeja voidaan hyödyntää kaikissa organisaatioissa, jotka määrittelevät, hankkivat, suunnittelevat, kehittävät, testaavat, ylläpitävät, hallinnoivat ja hoitavat tietojärjestelmiä tai -palveluita, joissa käsitellään henkilötietoja ja näin ollen tarvitaan tietosuojan hallintakeinoja.
Webinaaritallenne
Toukokuussa järjestettiin webinaari, jossa tietoturvallisuuden ja tietosuojan pääarvioija esitteli tuoreen ja hiljattain suomeksi käännetyn henkilötietojen hallintajärjestelmästandardin SFS-ISO/IEC 27701.
Tilaisuudessa esiintyivät SFS:n standardisointijohtaja Elina Huttunen sekä Kiwa Inspectalta pääarvioija, tuotepäällikkö Tuukka Haarni. Elina kertoi tietoturvan ja tietosuojan standardisoinnista Suomessa, Tuukka puolestaan esitteli standardin ja kävi läpi käytännön sovelluksia.
Lisätietoja standardisoinnista
Suomen Standardisoimisliitto SFS ry
Elina Huttunen, standardisointijohtaja
p. 040 3568 003
elina.huttunen@sfs.fi