policy ISO 27701 PIMS Policy Pack

Sisäänrakennetun ja oletusarvoisen tietosuojan politiikka

Sisällytä sisäänrakennettu tietosuoja ja oletusarvoinen tietosuoja henkilötietoprojekteihin, muutoksiin, hankintaan ja tuotantokäyttöönottoon REG02-, REG04-, REG08- ja REG12-todentavalla aineistolla, jolla on valmius auditointia varten.

Yleiskatsaus

Tämä politiikka sisällyttää sisäänrakennetun tietosuojan ja oletusarvoisen tietosuojan henkilötietoprojekteihin, muutoksiin, hankintaan ja tuotantokäyttöönottoa koskeviin päätöksiin. Se edellyttää käyttötarkoitukseen perustuvaa minimointia, oletusarvoisen tietosuojan konfiguraatiota, yhteyttä riski- ja DPIA-esiarviointiin, toimittajan suunnittelunäyttöä sekä auditoitavissa olevia tallenteita REG02-, REG04-, REG08- ja REG12-rekistereissä.

Suunnittelu ennen tuotantokäyttöönottoa

Edellyttää sisäänrakennetun tietosuojan katselmointeja, minimointia koskevaa todentavaa aineistoa ja oletusasetuksia ennen tuotantojulkaisua tai operatiivista käyttöönottoa.

Todentava aineisto valmiina auditointia varten

Yhdistää sisäänrakennetun tietosuojan päätökset REG02-, REG04-, REG08- ja REG12-rekistereihin, jotta tallenteet, puutteet, poikkeukset ja toimenpiteet pysyvät jäljitettävissä.

Selkeä roolikohtainen osoitusvelvollisuus

Määrittää vastuut tietosuojan, prosessien, järjestelmien, tietoturvan, hankinnan, auditoinnin ja ylimmän johdon rooleille kaikissa suunnitteluporteissa.

Lue koko yleiskatsaus (click to expand)
Sisäänrakennetun ja oletusarvoisen tietosuojan politiikka määrittää, miten tietosuojavaatimukset tulee sisällyttää uusiin ja muutettuihin henkilötietojen käsittelytoimiin PIMS:n soveltamisalassa. Sitä sovelletaan projekteihin, tuotteisiin, palveluihin, järjestelmiin, sovelluksiin, integraatioihin, hankintatoimiin ja liiketoimintaprosessien muutoksiin. Politiikka on laadittu rekisterinpitäjän, yhteisrekisterinpitäjän, henkilötietojen käsittelijän ja alikäsittelijän konteksteihin, mukaan lukien tilanteet, joissa organisaatio suunnittelee, konfiguroi, muuttaa tai käyttää käsittelyä asiakkaan, rekisterinpitäjän tai ylemmän tason henkilötietojen käsittelijän puolesta dokumentoitujen ohjeiden mukaisesti. Sen keskeinen tarkoitus on varmistaa, että tietosuojavaatimukset tunnistetaan, toteutetaan ja todennetaan ennen henkilötietojen käsittelyn aloittamista tai olennaista muuttamista. Politiikka painottaa erityisesti käyttötarkoitusta, tarpeellisuutta, minimointia ja tietosuojaa suojaavia oletusasetuksia. Prosessien omistajien ja liiketoimintavastaavien tulee dokumentoida vähimmäismäärä henkilötietoryhmiä, rekisteröityjen ryhmiä, lähteitä ja käyttötarkoituksia REG02- ja REG04-rekistereihin ennen keräämisen tai tuonnin suunnitteluhyväksyntää. Järjestelmäomistajien ja sovellusomistajien tulee konfiguroida käsittelyn oletusasetukset dokumentoitua käyttötarkoitusta varten tarvittavaan henkilötietojen vähimmäiskeräykseen ja -käsittelyyn ja tallentaa todentava aineisto REG04-rekisteriin ennen tuotantokäyttöönottoa. Valinnaiset henkilötietokentät, valinnaiset käsittelyvalinnat, oletusarvoisesti poissa käytöstä olevat asetukset, näkymien ja raporttien altistusasetukset sekä väliaikaisten tiedostojen, välimuistien, lokien tai staging-tallenteiden käsittely käsitellään suunnitteluvaiheen tietosuojavelvoitteina eikä jälkikäteisinä operatiivisina korjauksina. Tietosuojariskien arviointi ja DPIA-esiarvioinnin yhteys sisällytetään suunnitteluprosessiin korvaamatta erillistä PII07:ssa määritettyä menetelmää. Tietosuojavastaavan / PIMS-päällikön tulee vahvistaa, että tietosuojariski ja DPIA-esiarviointi on kirjattu REG04-rekisteriin ennen uuden tai olennaisesti muutetun henkilötietojen käsittelyn suunnitteluhyväksyntää. Sisäänrakennetun tietosuojan käsittelytoimenpiteet, omistajat ja määräpäivät tulee kirjata ennen katselmoinnin sulkemista, ja toteutusta koskeva todentava aineisto tulee kerätä ennen tuotantokäyttöönottoa. Korkean riskin tai olennaisesti muuttuneen rekisterinpitäjän suorittaman käsittelyn osalta politiikka edellyttää myös toteutuksen jälkeistä sisäänrakennetun tietosuojan tarkastusta REG04-rekisterissä 30 kalenteripäivän kuluessa tuotantokäyttöönotosta. Kun suunnitteluun liittyviä asioita puuttuu, ne ovat tehottomia, myöhässä tai niitä kierretään, REG12-rekisteriin avataan korjaava toimenpide. Politiikka laajentaa sisäänrakennetun tietosuojan myös hankintaan ja kolmansien osapuolten suhteisiin. Toimittaja- ja hankintavastuullisten tulee kirjata sisäänrakennetun tietosuojan vaatimukset toimittajille, henkilötietojen käsittelijöille, alikäsittelijöille, SaaS-palveluille, alustoille tai ulkoisesti isännöidyille järjestelmille REG08-rekisteriin ennen hankintahyväksyntää. Kolmannen osapuolen käsittelemien henkilötietojen tarpeellisuus, käyttötarkoitus ja henkilötietojen vähimmäisryhmät tulee dokumentoida ennen ulkoista käsittelyä, tietojen jakamista tai hankintahyväksyntää. Toimittajan tuki oletusarvoisen tietosuojan asetuksille, minimoinnille ja asiakkaan konfiguraatiotarpeille tulee kirjata ennen käyttöönottoa, ja ratkaisemattomat toimittajan sisäänrakennetun tietosuojan puutteet eskaloidaan REG12-rekisteriin viiden arkipäivän kuluessa ja ennen sopimuksen allekirjoittamista. Hallinnointi, seuranta, soveltaminen ja ylläpito määritetään toistuvan todentavan aineiston ja katselmointisyklien kautta. Tietosuojavastaava / PIMS-päällikkö toimittaa neljännesvuosittain sisäänrakennetun tietosuojan tilayhteenvedot REG12-rekisteriin, laskee valmistumis- ja myöhässä olevien toimenpiteiden mittarit sekä varmistaa ennen sisäistä tarkastusta, että suunnittelua koskeva todentava aineisto on koottu REG02-, REG04-, REG08- ja REG12-rekistereihin. Ylin johto katselmoi vaikutuksiltaan merkittävät poikkeukset, estetyt tuotantokäyttöönottoa koskevat päätökset ja toistuvat havainnot johdon katselmoinnin yhteydessä. Soveltamista koskevat määräykset edellyttävät tuotantokäyttöönoton estämistä, jos REG04-katselmointi on keskeneräinen, käyttöönoton estämistä, jos REG08-todentava aineisto puuttuu, sekä uuden tai muutetun henkilötietojen käsittelyn keskeyttämistä, kunnes REG04-katselmointi, REG02-päivitykset ja vaaditut REG12-poikkeukset ovat valmiit.

Käytäntökaavio

Prosessikaavio, joka näyttää sisäänrakennetun tietosuojan vaiheet: projekti- tai muutosheräte, REG04:n sisäänrakennetun tietosuojan kirjaus, REG02:n käsittely-yhteys, minimoinnin ja oletusasetusten suunnittelu, riski- ja DPIA-esiarviointi, toimittajatarkastukset REG08-rekisterissä tarvittaessa, tuotantokäyttöönottoa koskeva suositus, REG12-eskalointi poikkeuksia tai korjaavia toimenpiteitä varten sekä seuranta ja katselmointi.

Napsauta kaaviota nähdäksesi sen täydessä koossa

Sisältö

Tietosuojavaatimukset projektin käynnistämisessä

Käyttötarkoitus, minimointi ja oletusasetusten suunnittelukontrollit

Sisäänrakennetun tietosuojan katselmointi ennen tuotantokäyttöönottoa

Muutoksen käynnistämä sisäänrakennetun tietosuojan katselmointi

Hankinnan sisäänrakennetun tietosuojan tarkastukset

Tietosuojariski, DPIA-esiarviointi ja yhteys korjaaviin toimenpiteisiin

Kehysmääräysten noudattaminen

🛡️ Tuetut standardit ja kehykset

Tämä tuote on linjassa seuraavien vaatimustenmukaisuuskehysten kanssa, yksityiskohtaisilla lauseke- ja valvontamappingeillä.

Kehys Katetut lausekkeet / Kontrollit
ISO/IEC 27701:2025
Clause 6.1.2Clause 6.1.3Clause 6.3Clause 8.1Clause 7.5Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.6Annex A.1.2.9Annex A.1.4.2Annex A.1.4.3Annex A.1.4.4Annex A.1.4.5Annex A.1.4.6Annex A.1.4.7Annex A.2.2.2Annex A.2.2.6Annex A.2.2.7Annex A.2.4.2Annex A.2.4.3Annex A.2.4.4Annex A.3.27Annex A.3.29
EU GDPR
Article 5(1)(b)Article 5(1)(c)Article 5(2)Article 24Article 25Article 28Article 30Article 35
ISO/IEC 29100:2020
Clause 4.7Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.7Clause 5.10Clause 5.12
ISO/IEC 29151:2022
Annex A.3Annex A.4Annex A.5Annex A.7Annex A.8

Liittyvät käytännöt

Käsittelytoimien luettelon ja oikeusperusteen politiikka

Sisäänrakennetun tietosuojan kirjausten tulee linkittyä REG02-rekisterin käsittelytoimiin, käyttötarkoituksiin ja käsittelytallenteiden päivityksiin.

Tietosuojariskien arvioinnin ja DPIA:n politiikka

Tämä politiikka käynnistää tietosuojariskien arvioinnin ja DPIA-esiarvioinnin mutta jättää arviointimenetelmän PII07:n mukaiseksi.

Keräämisen, käytön, luovutuksen ja jakamisen politiikka

Suunnittelukontrollien tulee rajoittaa kerääminen, käyttö, luovutus ja jakaminen dokumentoituihin käyttötarkoituksiin ja henkilötietojen vähimmäistarpeisiin.

Säilytyksen, poistamisen ja hävittämisen politiikka

Säilytystä, poistamista ja väliaikaisia henkilötietoartefakteja koskevat sisäänrakennetun tietosuojan riippuvuudet ohjataan liittyvälle todentavan aineiston polulle.

Henkilötietojen käsittelijöiden, alikäsittelijöiden ja kolmansien osapuolten tietosuojahallinnan politiikka

Hankinnan ja kolmansien osapuolten sisäänrakennetun tietosuojan tarkastukset perustuvat toimittajia, henkilötietojen käsittelijöitä ja alikäsittelijöitä koskevaan hallinnointinäyttöön.

Tietoturva- ja pääsynhallintapolitiikka

Henkilötietojen tietoturvakontrollien riippuvuudet tulee kirjata syötteinä, jotka tukevat sisäänrakennettua tietosuojaa ja tuotantokäyttöönottoa koskevia päätöksiä.

Tietoa Clarysecin käytännöistä - Sisäänrakennetun ja oletusarvoisen tietosuojan politiikka

Sisäänrakennetun ja oletusarvoisen tietosuojan politiikka operationalisoi tietosuojavaatimukset ennen henkilötietojen käsittelyn aloittamista tai olennaista muuttamista. Se edellyttää sisäänrakennetun tietosuojan kirjauksia, yhteyttä käsittelytallenteisiin, minimointipäätöksiä, oletusarvoisen tietosuojan asetuksia, hankintatarkastuksia, yhteyttä riski- ja DPIA-esiarviointiin, tuotantokäyttöönoton katselmointia, poikkeuksia, korjaavia toimenpiteitä ja seurannan todentavaa aineistoa. Politiikkaa sovelletaan rekisterinpitäjän, yhteisrekisterinpitäjän, henkilötietojen käsittelijän ja alikäsittelijän konteksteissa, ja se osoittaa selkeät vastuut ylimmälle johdolle, tietosuojavastaavalle / PIMS-päällikölle, prosessien omistajille, järjestelmäomistajille, toimittaja- ja hankintavastuullisille, tietoturvatoiminnolle, tietosuojavastaavan / tietosuojaneuvonantajan rooleille sekä auditointi- tai vaatimustenmukaisuuskatselmoijille.

Suunnittelun soveltamisala

Kattaa projektit, tuotteet, palvelut, järjestelmät, sovellukset, integraatiot, hankinnan ja liiketoimintaprosessien muutokset, joihin liittyy henkilötietoja.

Oletusarvoinen minimointi

Edellyttää henkilötietojen keräämisen ja käsittelyn vähimmäisasetuksia ennen tuotantokäyttöönottoa ja tallentaa todentavan aineiston REG04-rekisteriin.

Riskien yhteys

Yhdistää sisäänrakennetun tietosuojan katselmoinnin tietosuojariskien arviointiin ja DPIA-esiarviointiin ilman PII07-menetelmän päällekkäistä toistamista.

Hankintatarkastukset

Edellyttää REG08-todentavaa aineistoa toimittajia, henkilötietojen käsittelijöitä, alikäsittelijöitä, SaaS-palveluja ja ulkoisesti isännöityjä järjestelmiä koskevista suunnitteluvelvoitteista.

Eskalointikontrolli

Ohjaa puuttuvat kontrollit, ratkaisemattomat puutteet, poikkeukset ja luvattomat tuotantokäyttöönottoasiat REG12-rekisterin kautta.

Usein kysytyt kysymykset

Suunniteltu johtajille, johtajien toimesta

Tämän käytännön on laatinut tietoturvajohtaja, jolla on yli 25 vuoden kokemus ISMS-viitekehysten käyttöönotosta ja auditoinnista globaaleissa organisaatioissa. Se ei ole pelkkä asiakirja, vaan puolustettava viitekehys, joka kestää auditorin tarkastelun.

Laatinut asiantuntija, jolla on seuraavat pätevyydet:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Kattavuus & Aiheet

🏢 Kohdeosastot

Tietosuoja Lakiasiat Vaatimustenmukaisuus IT-tietoturva Tietosuojavastaavan toimisto

🏷️ Aiheen kattavuus

Sisäänrakennettu tietosuoja Henkilötietojen käsittely Tietosuojaa koskeva vaikutustenarviointi Käsittelytoimien tallenteet Kolmansien osapuolten hallinta Tietojen säilytys ja hävittäminen Riskienhallinta
€79

Kertaosto

Välitön lataus
Elinikäiset päivitykset

Tämä käytäntö on 1/25 täydellisessä ISO/IEC 27701 PIMS -paketissa

Säästä 52%

Hanki kaikki 25 PIMS-käytäntöä, täydellinen rekisterisarja ja yksityiskohtainen toteutussuunnitelma hintaan €799 erikseen ostettujen €1 675 sijaan.

Katso täydellinen 27701-paketti →
Privacy by Design and Default Policy

Tuotetiedot

Tyyppi: policy
Luokka: ISO 27701 PIMS Policy Pack
Standardit: 4