Tietoturvallisuuden hallintajärjestelmä ja tietosuoja: uusi standardi auttaa

Hyvällä henkilötietojen suojaamisella organisaatio voi EU:n yleisen tietosuoja-asetuksen noudattamisen lisäksi pienentää tietosuojan hallintaan kuluvaa aikaa ja resursseja sekä varmistaa asiakastyytyväisyyttä. Huolellisella valmistautumisella organisaatio voi tunnistaa tietosuojaongelmat jo varhaisessa vaiheessa. Standardien avulla prosesseja ei tarvitse kehittää itse, vaan voitte keskittyä tietosuojan parantamiseen, tietosuojavaikutusten arviointiin ja tietoturvallisuuden varmistamiseen.

Uusi standardi ISO/IEC 27701 on tietosuojan näkökulmia avaava laajennus tietoturvallisuuden hallintastandardeihin ISO/IEC 27001 ja ISO/IEC 27002. Se nivoo yhteen tietosuojan huomioimisen tietoturvallisuuden hallinnassa. Standardi kertoo konkreettisesti, miten tietosuoja tulee ottaa huomioon sekä rekisterinpitäjän että tietojen käsittelijän näkökulmasta.

Standardi on nyt julkaistu englanniksi. Suomennos julkaistaan vuonna 2020.

Standardi esiteltiin lokakuussa 2019. Voit tutustua tilaisuuden materiaaleihin SFS:n tapahtumakalenterissa.

Tietoturvallisuuden standardit

SFS-EN ISO/IEC 27000:2016
antaa yleiskuvauksen
tietoturvallisuuden hallintajärjestelmistä sekä määrittelee
tietoturvallisuuden hallintajärjestelmäsarjassa yleisesti käytetyt
termit.

SFS-EN ISO/IEC 27001:2017 määrittelee vaatimukset, jotka koskevat tietoturvallisuuden
hallintajärjestelmän luomista, toteuttamista, ylläpitämistä ja jatkuvaa
parantamista organisaatioiden toimintaympäristössä. Standardi sisältää
myös organisaatioiden tarpeisiin mukautettua tietoturvariskien
arviointia ja käsittelyä koskevat vaatimukset.

SFS-EN ISO/IEC
27002 antaa tietoturvallisuuden
hallintakäytänteitä koskevaa ohjeistusta, johon sisältyy
hallintakeinojen valinta, toteuttaminen ja hallinta ottaen huomioon
organisaation tietoturvallisuuden riskiympäristöt.

SFS-ISO/IEC
27003:2017 antaa lisäohjeita
standardin SFS-EN ISO/IEC 27001 vaatimusten toteuttamiseen.

SFS-ISO/IEC
27004:2017 opastaa tietoturvan tason ja
tietoturvallisuuden hallintajärjestelmän vaikuttavuuden arviointiin.

ISO/IEC 27005 antaa ohjeita tietoturvariskien hallintaan. Se auttaa toteuttamaan tietoturvallisuutta riskienhallintaan perustuvan toimintamallin avulla.

Tietosuojan perusteet

Tietosuojan
perusteet esitellään standardissa SFS-ISO/IEC 29100. Myös
tietosuojakyvykkyyden arviointimallin kuvaava SFS-ISO/IEC 29190
kannattaa ottaa osaksi omaa tietoturvallisuuden työkalupakkianne.
Molemmat standardit auttavat osaltaan viemään EU:n tietosuoja-asetuksen
vaatimuksia käytäntöön omassa organisaatiossanne.

Tietosuojavaikutusten hallinta ja arviointi

Standardissa
SFS-ISO/IEC 29134:2018 annetaan ohjeistusta tietosuojavaikutusten
arviointiprosessiin sekä arviointiraportin rakenteeseen ja sisältöön.
Sen avulla voitte tunnistaa tietosuojan uhat, riskit, vaikutukset ja
vastuut. Lisäksi osaatte antaa palautetta tietosuoja suunnitteluun ja
toteutukseen.

Standardi on hyödyllinen työkalu sekä
rekisterinpitäjille että -käsittelijöille. Se on oleellinen projektien
suunnitteluun ja toteuttamiseen osallistuvien tahojen sekä
henkilötietoja käsittelevien tietojärjestelmien ja palveluiden
toteuttajille.

Standardissa SFS-ISO/IEC 29151:2018 esitellään
hallintatavoitteet, hallintakeinot ja hallintakeinojen
toteuttamisohjeet, jotka mahdollistavat riskien ja vaikutusten
arvioinnissa tunnistettujen henkilötietojen suojaamiseen liittyvien
vaatimusten täyttämisen. Se on tarkoitettu kaikille rekisterinpitäjinä
toimiville organisaatioille. Ohjeet perustuvat standardiin ISO/IEC
27002:2017.

Kannattaa tutustua myös diasarjaan, joka esittelee
tietosuojaan keskeisesti liittyvät ISO/IEC-standardit 29151 ja 29134 sekä
kuinka niitä voidaan käyttää hyväksi tietosuojaan liittyvissä
tehtävissä.

Lisätiedot standardisoinnista

Suomen Standardisoimisliitto SFS ry
Asiantuntija Elina Huttunen
puh. 09 149 9331 (vaihde)
etunimi.sukunimi@sfs.fi