SFS-EN ISO/IEC 27701:2021

Soveltamisala

Asiakirjassa määritellään henkilötietojen hallintajärjestelmän (PIMS) luomista, toteuttamista, ylläpitämistä ja jatkuvaa parantamista koskevat vaatimukset sekä annetaan kyseistä toimintaa koskevia lisäohjeita standardien ISO/IEC 27001 ja ISO/IEC 27002 mukaiselle tietosuojan hallinnalle organisaation toimintaympäristössä.
Asiakirjassa määritellään henkilötietojen hallintajärjestelmää koskevat vaatimukset sekä annetaan ohjeita niille rekisterinpitäjille ja käsittelijöille, joilla on henkilötietojen käsittelyä koskevia vastuita ja vastuuvelvollisuuksia.
Tätä asiakirjaa voidaan soveltaa kaiken tyyppisiin ja kokoisiin organisaatioihin, kuten julkisiin ja yksityisiin yrityksiin, viranomaistahoihin ja voittoa tavoittelemattomiin organisaatioihin, jotka toimivat tietoturvallisuuden hallintajärjestelmän sisällä henkilötietoja käsittelevinä rekisterinpitäjinä tai käsittelijöinä.

Tämän julkaisun valmistelusta Suomessa vastaa SFS Suomen Standardit, puh. 09 149 9331.

Sisällysluettelo

Eurooppalainen esipuhe
Esipuhe (ISO)
Johdanto
1 Soveltamisala
2 Velvoittavat viittaukset
3 Termit, määritelmät ja lyhenteet
4 Yleistä

4.1 Tämän asiakirjan rakenne
4.2 Standardissa ISO/IEC 27001:2013 esitettyjen vaatimusten soveltaminen
4.3 Standardissa ISO/IEC 27002:2013 annettujen ohjeiden soveltaminen
4.4 Asiakas

5 Henkilötietojen hallintajärjestelmiä koskevat vaatimukset, jotka liittyvät standardiin ISO/IEC 27001

5.1 Yleistä
5.2 Organisaation toimintaympäristö
5.3 Johtajuus
5.4 Suunnittelu
5.5 Tukitoiminnot
5.6 Toiminta
5.7 Suorituskyvyn arviointi
5.8 Parantaminen

6 Henkilötietojen hallintajärjestelmiä koskevat ohjeet, jotka liittyvät standardiin ISO/IEC 27002

6.1 Yleistä
6.2 Tietoturvapolitiikat
6.3 Tietoturvallisuuden organisointi
6.4 Henkilöstöturvallisuus
6.5 Suojattavan omaisuuden hallinta
6.6 Pääsynhallinta
6.7 Salaus
6.8 Fyysinen turvallisuus ja ympäristön turvallisuus
6.9 Käyttöturvallisuus
6.10 Viestintäturvallisuus
6.11 Järjestelmien hankkiminen, kehittäminen ja ylläpito
6.12 Suhteet toimittajiin
6.13 Tietoturvahäiriöiden hallinta
6.14 Liiketoiminnan jatkuvuuden hallintaan liittyviä tietoturvanäkökohtia
6.15 Vaatimustenmukaisuus

7 Standardia ISO/IEC 27002 koskevia lisäohjeita rekisterinpitäjille

7.1 Yleistä
7.2 Keräämistä ja käsittelyä koskevat ehdot
7.3 Rekisteröityjä koskevat velvoitteet
7.4 Sisäänrakennettu tietosuoja ja oletusarvoinen tietosuoja
7.5 Henkilötietojen jakaminen, siirtäminen ja luovuttaminen

8 Standardia ISO/IEC 27002 koskevia lisäohjeita henkilötietojen käsittelijöille

8.1 Yleistä
8.2 Keräämistä ja käsittelyä koskevat ehdot
8.3 Rekisteröityjä koskevat velvoitteet
8.4 Sisäänrakennettu tietosuoja ja oletusarvoinen tietosuoja
8.5 Henkilötietojen jakaminen, siirtäminen ja luovuttaminen

Liite A Henkilötietojen hallintajärjestelmiä koskevien hallintatavoitteiden ja -keinojen viiteluettelo (rekisterinpitäjät) (velvoittava)
Liite B Henkilötietojen hallintajärjestelmiä koskevien hallintatavoitteiden ja -keinojen viiteluettelo (käsittelijät) (velvoittava)
Liite C Suhde standardiin ISO/IEC 29100 (opastava)
Liite D Suhde EU:n yleiseen tietosuoja-asetukseen (opastava)
Liite E Suhde standardeihin ISO/IEC 27018 ja ISO/IEC 29151 (opastava)
Liite F Standardin ISO/IEC 27701 hyödyntäminen yhdessä standardien ISO/IEC 27001 ja ISO/IEC 27002 kanssa (opastava)

Kirjallisuus

Näytä kaikki

Eurooppalainen esipuhe
Esipuhe (ISO)
Johdanto
1 Soveltamisala
2 Velvoittavat viittaukset
3 Termit, määritelmät ja lyhenteet
4 Yleistä

4.1 Tämän asiakirjan rakenne
4.2 Standardissa ISO/IEC 27001:2013 esitettyjen vaatimusten soveltaminen
4.3 Standardissa ISO/IEC 27002:2013 annettujen ohjeiden soveltaminen
4.4 Asiakas

5 Henkilötietojen hallintajärjestelmiä koskevat vaatimukset, jotka liittyvät standardiin ISO/IEC 27001

5.1 Yleistä
5.2 Organisaation toimintaympäristö
5.3 Johtajuus
5.4 Suunnittelu
5.5 Tukitoiminnot
5.6 Toiminta
5.7 Suorituskyvyn arviointi
5.8 Parantaminen

6 Henkilötietojen hallintajärjestelmiä koskevat ohjeet, jotka liittyvät standardiin ISO/IEC 27002

6.1 Yleistä
6.2 Tietoturvapolitiikat
6.3 Tietoturvallisuuden organisointi
6.4 Henkilöstöturvallisuus
6.5 Suojattavan omaisuuden hallinta
6.6 Pääsynhallinta
6.7 Salaus
6.8 Fyysinen turvallisuus ja ympäristön turvallisuus
6.9 Käyttöturvallisuus
6.10 Viestintäturvallisuus
6.11 Järjestelmien hankkiminen, kehittäminen ja ylläpito
6.12 Suhteet toimittajiin
6.13 Tietoturvahäiriöiden hallinta
6.14 Liiketoiminnan jatkuvuuden hallintaan liittyviä tietoturvanäkökohtia
6.15 Vaatimustenmukaisuus

7 Standardia ISO/IEC 27002 koskevia lisäohjeita rekisterinpitäjille

7.1 Yleistä
7.2 Keräämistä ja käsittelyä koskevat ehdot
7.3 Rekisteröityjä koskevat velvoitteet
7.4 Sisäänrakennettu tietosuoja ja oletusarvoinen tietosuoja
7.5 Henkilötietojen jakaminen, siirtäminen ja luovuttaminen

8 Standardia ISO/IEC 27002 koskevia lisäohjeita henkilötietojen käsittelijöille

8.1 Yleistä
8.2 Keräämistä ja käsittelyä koskevat ehdot
8.3 Rekisteröityjä koskevat velvoitteet
8.4 Sisäänrakennettu tietosuoja ja oletusarvoinen tietosuoja
8.5 Henkilötietojen jakaminen, siirtäminen ja luovuttaminen

Liite A Henkilötietojen hallintajärjestelmiä koskevien hallintatavoitteiden ja -keinojen viiteluettelo (rekisterinpitäjät) (velvoittava)
Liite B Henkilötietojen hallintajärjestelmiä koskevien hallintatavoitteiden ja -keinojen viiteluettelo (käsittelijät) (velvoittava)
Liite C Suhde standardiin ISO/IEC 29100 (opastava)
Liite D Suhde EU:n yleiseen tietosuoja-asetukseen (opastava)
Liite E Suhde standardeihin ISO/IEC 27018 ja ISO/IEC 29151 (opastava)
Liite F Standardin ISO/IEC 27701 hyödyntäminen yhdessä standardien ISO/IEC 27001 ja ISO/IEC 27002 kanssa (opastava)

Kirjallisuus

Tuoteryhmä(t)

35.030 Tietoturvallisuus »
96.030.20 Tietosuoja »

Sidokset

Velvoittavat viittaukset

ISO/IEC 27000:2018 Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary
ISO/IEC 27001:2013 Information technology -- Security techniques -- Information security management systems -- Requirements
ISO/IEC 27002:2013 Information technology -- Security techniques -- Code of practice for information security controls

Tekninen komitea

CEN/CLC/JTC 13 Cybersecurity and Data Protection »

Vahvistuspäivä

30.04.2021

Julkaisupäivä

11.05.2021

Painos

1

Sivumäärä

140

Julkaisun kieli

suomi/englanti