policy ISO 27701 PIMS Policy Pack

Pilvipalvelujen henkilötietojen käsittelijän politiikka

ISO 27701 -standardin mukainen pilvipalvelujen henkilötietojen käsittelijän politiikka, joka kattaa asiakkaan ohjeet, alikäsittelijät, pääsyn, siirrot, poistamisen, tietoturvaloukkausten tuen ja todentavan aineiston.

Yleiskatsaus

Pilvipalvelujen henkilötietojen käsittelijän politiikka määrittää, miten pilvipalveluissa tapahtuvaa henkilötietojen käsittelyä tulee hallita, kun organisaatio toimii henkilötietojen käsittelijänä tai alikäsittelijänä. Se kattaa asiakkaan ohjeet, jaetun vastuun, tenanttien eristämisen, alikäsittelijät, siirrot, poistamisen, tietoturvaloukkausten tuen, auditoinnit ja todentavan aineiston rekistereissä REG02, REG03, REG08, REG09, REG10 ja REG12.

Pilvikäsittelijän kontrolli

Määrittää pakolliset tietosuojavaatimukset henkilötietojen käsittelylle SaaS-, PaaS- ja IaaS-palveluissa sekä isännöidyissä, hallinnoiduissa pilvi-, tallennus-, analytiikka- ja infrastruktuuripalveluissa.

Ohjeisiin perustuva käsittely

Edellyttää, että asiakkaan ohjeet tai ylemmän tason henkilötietojen käsittelijän ohjeet kirjataan, katselmoidaan ja niitä noudatetaan ennen henkilötietojen käsittelyn aloittamista pilvipalveluissa.

Alikäsittelijöiden hallinnointi

Kattaa pilvipalvelujen alikäsittelijöiden valtuutuksen, ketjutettavat velvoitteet, sijainnit, muutosilmoitukset, seurannan ja päättämisvaiheen näytön.

Päättämisvaiheen näyttö valmiina

Edellyttää palautusta, siirtoa, poistamista, hävittämistä ja alikäsittelijöiden päättämisvaiheen näyttöä tuotantojärjestelmistä, varmuuskopioista, lokeista ja tukikopioista.

Lue koko yleiskatsaus (click to expand)
Pilvipalvelujen henkilötietojen käsittelijän politiikka määrittää pakolliset tietosuojavaatimukset pilvipalveluille, joissa organisaatio toimii henkilötietojen käsittelijänä tai alikäsittelijänä. Sen soveltamisalaan kuuluvat SaaS-, PaaS- ja IaaS-palvelut, isännöidyt sovellukset, hallinnoitu pilvi, pilvituki, pilvitallennus, pilvianalytiikka ja pilvi-infrastruktuuripalvelut, jotka käsittelevät henkilötietoja asiakkaiden puolesta. Politiikan tarkoituksena on pitää pilvikäsittely yhdenmukaisena dokumentoitujen asiakassopimusten, asiakkaan ohjeiden, ylemmän tason henkilötietojen käsittelijän ohjeiden, alikäsittelijäjärjestelyjen, pilvialueiden konfiguraation, pilvipalvelujen tukipääsyn, palvelujen hallinnoinnin, varmuuskopioinnin, replikoinnin, lokituksen, seurannan, poistamisen, palauttamisen, tietoturvaloukkausten tuen, auditointituen ja asiakkaan avustamisvelvoitteiden kanssa. Politiikan keskeinen tarkoitus on todentavaan aineistoon perustuva kontrolli. Ennen asiakkaan käyttöönottoa tai olennaista palvelumuutosta tietosuojavastaavan / PIMS-päällikön tulee kirjata REG02:een ja REG08:aan jokainen pilvipalvelussa tapahtuva henkilötietojen käsittelypalvelu, käsittelyrooli, asiakkaan ohjeen lähde, henkilötietoluokat, rekisteröityjen ryhmät, palvelun tarkoitus, käsittelyn sijainti, alikäsittelijäriippuvuus, poistamisriippuvuus ja siirtomerkintä. Politiikka edellyttää myös, että pilvikäsittelijän kontrollien sovellettavuus kirjataan REG03:een, siirto- ja sijaintireititys kirjataan tarvittaessa REG09:ään, pilvipalvelujen henkilötietopoikkeamat käsitellään REG10:n kautta ja seuranta, poikkeukset, riidat, validointitulokset ja korjaavat toimenpiteet käsitellään REG12:n kautta. Tämä pitää pilvikäsittelijän velvoitteet integroituina olemassa olevaan PIMS-politiikkakokonaisuuteen eikä luo erillisiä rekistereitä sopimuksille, palveluille, tenanttien eristämiselle, pääsylle, lokeille, poistamiselle, tuelle, auditoinneille, tietoturvaloukkauksille tai alikäsittelijöille. Politiikka asettaa käytännön vaatimuksia koko pilvipalvelun elinkaarelle. Se edellyttää dokumentoituja asiakkaan ohjeita tai ylemmän tason henkilötietojen käsittelijän ohjeita ennen käsittelyn aloittamista, sellaisten ohjeiden katselmointia, jotka vaikuttavat olevan ristiriidassa velvoitteiden tai hyväksytyn palvelun soveltamisalan kanssa, sekä hyväksyntää ennen kuin asiakkaan henkilötietoja käsitellään dokumentoitujen ohjeiden ulkopuolella. Politiikka käsittelee myös pilvikonfiguraatiota ja tietoturvan todentavaa aineistoa edellyttämällä jaetun vastuun rajojen määrittämistä, tenanttien eristämisen validointia, hallittua ylläpidollista pääsyä, etuoikeutetun pääsyn ja lokien kattavuuden neljännesvuosittaista katselmointia, ympäristöjen eriyttämistä sekä varmuuskopioinnin, replikoinnin, lokien säilytyksen ja tukipääsyn sijaintien kirjaamista. Nämä vaatimukset on tarkoituksellisesti liitetty olemassa oleviin henkilötietojen tietoturvakontrolleihin sen sijaan, että ne korvaisivat laajemman henkilötietojen tietoturva- ja pääsynhallintapolitiikan. Alikäsittelijöiden ja pilvitoimitusketjun hallinnointi käsitellään keskeisinä henkilötietojen käsittelijän velvoitteina. Toimittaja- / hankintaomistajan tulee kirjata pilvipalvelujen alikäsittelijät, infrastruktuuripalveluntarjoajat, hosting-palveluntarjoajat, hallinnoidut palveluntarjoajat, tukipalveluntarjoajat ja muut olennaiset pilvipalveluriippuvuudet ennen käyttöä. Politiikka edellyttää näyttöä asiakkaan valtuutuksesta tai dokumentoidusta valtuutusperusteesta, ketjutettavista velvoitteista tietosuojan, tietoturvan, avustamisen, poikkeamien, palauttamisen, poistamisen, auditointituen ja siirtojen osalta sekä kirjauksia palvelusijainneista, etätuen sijainneista, hosting-alueista ja tietojen edelleen siirtämisen reitityksestä. Lisäksi se edellyttää, että asiakkaalle ilmoitetaan suunnitelluista pilvipalvelujen alikäsittelijämuutoksista sopimuksessa edellytetyn ilmoitusajan kuluessa ja että aktiiviset pilvipalvelujen alikäsittelijä- ja pilviriippuvuustallenteet katselmoidaan vähintään vuosittain. Politiikka kattaa myös asiakkaan avustamisen, auditointituen, tietoturvaloukkauksen rajapinnan, poistamisen ja päättämisvaiheen. Asiakkaan avustamisvelvoitteet rekisteröidyn oikeuksia koskevien pyyntöjen, poistamisen, oikaisun, rajoittamisen, pääsyn, auditoinnin, DPIA-tuen ja tietoturvaloukkausten tuen osalta tulee kirjata ennen sopimuksen tekemistä tai palvelun aktivointia. Asiakkaan pyytämä oikeuksien tuki tulee suorittaa asiakkaan kanssa sovitussa määräajassa, tietosuojan kannalta merkittävät DPIA- tai arviointiin liittyvät avustamispyynnöt tulee katselmoida kymmenen arkipäivän kuluessa, ja myöhässä olevia tai riitautettuja avustamispyyntöjä tulee seurata. Päättämisvaiheessa politiikka edellyttää todentavaa aineistoa vienti-, palautus-, siirto- tai poistamiskyvykkyydestä ennen käyttöönottoa tai olennaista palvelumuutosta, toteutusta asiakkaan kanssa sovituissa määräajoissa, tuotantojärjestelmien, varmuuskopioiden, replikoiden, lokien, väliaikaisten tiedostojen, staging-ympäristöjen ja tukikopioiden sisällyttämistä sekä poikkeamien käsittelyä, kun velvoitteita ei voida suorittaa ajoissa. Hallinnointia vahvistavat todentavan aineiston täydellisyyden neljännesvuosittaiset katselmoinnit, vuosittaiset politiikka- ja alikäsittelijäkatselmoinnit, auditointiotos, mittarit, soveltamistoimet sekä ylimmän johdon hyväksyntä olennaisille poikkeuksille ja muutoksille.

Käytäntökaavio

Prosessikaavio, joka esittää pilvipalvelujen henkilötietojen käsittelijän hallinnoinnin käyttöönotosta ja asiakkaan ohjeiden kirjaamisesta jaetun vastuun ja tenanttien eristämisen validointiin, alikäsittelijöiden valtuutukseen, siirtoreititykseen, asiakkaan avustamiseen, poikkeamarajapintaan, poistamiseen tai palauttamiseen päättämisvaiheessa sekä neljännesvuosittaiseen seurantaan, jossa poikkeukset ja korjaavat toimenpiteet kirjataan PIMS-rekistereihin.

Napsauta kaaviota nähdäksesi sen täydessä koossa

Sisältö

Pilvipalvelujen henkilötietojen käsittelyn soveltamisala ja asiakkaan ohjeiden kirjaukset

Jaetun vastuun, tenanttien eristämisen, pääsyn ja lokituksen todentava aineisto

Alikäsittelijöiden ja pilvitoimitusketjun hallinnointi

Sijaintien, etäkäytön ja henkilötietojen kansainvälisen siirron reititys

Palautuksen, siirron, poistamisen, hävittämisen ja päättämisvaiheen näyttö

Seuranta, poikkeukset, soveltaminen ja korjaavat toimenpiteet

Kehysmääräysten noudattaminen

🛡️ Tuetut standardit ja kehykset

Tämä tuote on linjassa seuraavien vaatimustenmukaisuuskehysten kanssa, yksityiskohtaisilla lauseke- ja valvontamappingeillä.

Kehys Katetut lausekkeet / Kontrollit
ISO/IEC 27701:2025
Clause 4.1Clause 6.1.3Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.2.2.2Annex A.2.2.3Annex A.2.2.5Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.4.2Annex A.2.4.3Annex A.2.4.4Annex A.2.5.2Annex A.2.5.3Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.2.5.7Annex A.2.5.8Annex A.2.5.9Annex A.3.8Annex A.3.9Annex A.3.14Annex A.3.24Annex A.3.25
EU GDPR
Article 28Article 30Article 32Article 33Article 44
ISO/IEC 29100:2020
Clause 5.3Clause 5.5Clause 5.6Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29151:2022
Clause 15.1.2Clause 15.2.2Clause 15.2.3Annex A.7Annex A.7.2
ISO/IEC 27001:2022
Clause 6.1.3Clause 8.1Annex A controls 5.19Annex A controls 5.20Annex A controls 5.21Annex A controls 5.22Annex A controls 5.23
ISO/IEC 27002:2022
Control 5.19Control 5.20Control 5.21Control 5.22Control 5.23Control 8.10Control 8.15Control 8.16
ISO/IEC 27018:2020
Annex A.2.1Annex A.3.1Annex A.6.1Annex A.6.2Annex A.8.1Annex A.10.1Annex A.10.3Annex A.11.11Annex A.11.12Annex A.12.1
ISO/IEC 27036-2:2022
Clause 6.1.1Clause 6.1.2Clause 7.1Clause 7.2Clause 7.3Clause 7.4Clause 7.5
ISO/IEC 27555:2025
Clause 5.1Clause 5.2Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.8Clause 9.1Clause 9.2Clause 9.3Clause 9.4Clause 9.5Clause 9.6Clause 9.7

Liittyvät käytännöt

Henkilötietojen käsittelijöiden, alikäsittelijöiden ja kolmansien osapuolten tietosuojahallinnan politiikka

Tukee suoraan tämän politiikan edellyttämää pilvipalvelujen alikäsittelijöiden ja kolmansien osapuolten elinkaaren hallinnointia.

Henkilötietojen kansainvälisen siirron politiikka

Tukee asiakkaan pilvipalveluissa käsiteltävien henkilötietojen sijaintia, etäkäyttöä ja tietojen edelleen siirtämisen reititysvaatimuksia.

Tietoturva- ja pääsynhallintapolitiikka

Tarjoaa laajemman henkilötietojen tietoturvan ja pääsynhallinnan arkkitehtuurin, johon pilvipääsyä, lokitusta ja tenanttien eristämistä koskevat kontrollit viittaavat.

Poikkeamien ja tietoturvaloukkausten hallintapolitiikka

Yhdistää pilvipalvelujen henkilötietopoikkeamien havaitsemisen, asiakasilmoitukset ja tietoturvaloukkausten tuen todentavan aineiston poikkeamien työnkulkuun.

Säilytys-, poistamis- ja hävityspolitiikka

Tukee asiakkaan henkilötietoja ja alikäsittelijöiden kopioita koskevia palautuksen, poistamisen, hävittämisen ja päättämisvaiheen näytön vaatimuksia.

PIMS:n dokumentoidun tiedon ja todentavan aineiston hallintapolitiikka

Tukee dokumentoitua tietoa ja kanonisen todentavan aineiston käsittelyä rekistereissä REG02, REG03, REG08, REG09, REG10 ja REG12.

Tietoa Clarysecin käytännöistä - Pilvipalvelujen henkilötietojen käsittelijän politiikka

Pilvipalvelujen henkilötietojen käsittelijän politiikka määrittää operatiiviset tietosuojavaatimukset pilvipalveluille, joissa organisaatio toimii henkilötietojen käsittelijänä tai alikäsittelijänä. Se yhdistää asiakkaan ohjeet, pilvikäsittelyn soveltamisalan, jaetun vastuun todentavan aineiston, tenanttien eristämisen, pääsyn, lokituksen, alikäsittelijöiden hallinnoinnin, sijainti- ja siirtoreitityksen, poistamisen, palauttamisen, tietoturvaloukkausten tuen, auditointituen ja seurannan organisaation PIMS-näyttömalliin. Politiikka osoittaa selkeät vastuut ylimmälle johdolle, tietosuojavastaavalle / PIMS-päällikölle, tietosuojavastaavalle / tietosuojaneuvonantajalle, tietoturvavastaavalle, prosessin omistajalle / liiketoimintavastaavalle, järjestelmäomistajalle / sovellusomistajalle, toimittaja- / hankintaomistajalle, tietoturvapoikkeamiin reagoinnin koordinaattorille ja sisäiselle tarkastukselle / vaatimustenmukaisuuden katselmoijalle. Se hyödyntää rekistereitä REG02, REG03, REG08, REG09, REG10 ja REG12 ylläpitääkseen valmiutta auditointia varten ja tukeakseen ISO/IEC 27701:2025 -standardin mukaista PIMS-sertifiointivalmiutta pilvikäsittelijöille ja pilvipalvelujen alikäsittelijöille.

Todentavaan aineistoon perustuva käsittely

Yhdistää pilvikäsittelijän velvoitteet rekistereihin REG02, REG03, REG08, REG09, REG10 ja REG12 auditointia varten valmiiden tallenteiden ylläpitämiseksi.

Asiakkaan ohjeiden hallinta

Edellyttää dokumentoituja asiakkaan ohjeita tai ylemmän tason henkilötietojen käsittelijän ohjeita ennen henkilötietojen käsittelyn aloittamista pilvipalveluissa.

Pilvitoimitusketjun näkyvyys

Kirjaa alikäsittelijät, pilviriippuvuudet, valtuutusperusteen, ketjutettavat velvoitteet, sijainnit ja katselmoinnin todentavan aineiston.

Hallittu päättämisvaiheen käsittely

Kattaa palautuksen, siirron, poistamisen ja hävittämisen todentavan aineiston tuotantojärjestelmille, varmuuskopioille, lokeille ja tukikopioille.

Usein kysytyt kysymykset

Suunniteltu johtajille, johtajien toimesta

Tämän käytännön on laatinut tietoturvajohtaja, jolla on yli 25 vuoden kokemus ISMS-viitekehysten käyttöönotosta ja auditoinnista globaaleissa organisaatioissa. Se ei ole pelkkä asiakirja, vaan puolustettava viitekehys, joka kestää auditorin tarkastelun.

Laatinut asiantuntija, jolla on seuraavat pätevyydet:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Kattavuus & Aiheet

🏢 Kohdeosastot

tietosuoja lakiasiat vaatimustenmukaisuus IT-tietoturva hankinta

🏷️ Aiheen kattavuus

henkilötietojen hallintajärjestelmä henkilötietojen käsittely rekisterinpitäjän ja henkilötietojen käsittelijän vastuut kolmansien osapuolten hallinta henkilötietojen kansainväliset siirrot tietojen säilytys ja hävittäminen tietoturvaloukkausten hallinta
€59

Kertaosto

Välitön lataus
Elinikäiset päivitykset

Tämä käytäntö on 1/25 täydellisessä ISO/IEC 27701 PIMS -paketissa

Säästä 52%

Hanki kaikki 25 PIMS-käytäntöä, täydellinen rekisterisarja ja yksityiskohtainen toteutussuunnitelma hintaan €799 erikseen ostettujen €1 675 sijaan.

Katso täydellinen 27701-paketti →
Cloud PII Processor Policy

Tuotetiedot

Tyyppi: policy
Luokka: ISO 27701 PIMS Policy Pack
Standardit: 9