policy ISO 27701 PIMS Policy Pack

Henkilötietojen hallintajärjestelmän politiikka

Perusta ISO/IEC 27701:n mukainen PIMS-hallinnointi henkilötietojen käsittelylle, todentavalle aineistolle, tietosuojariskille, auditoinneille ja jatkuvalle parantamiselle.

Yleiskatsaus

Määrittää pakollisen ISO/IEC 27701:n mukaisen PIMS-hallinnoinnin henkilötietojen käsittelylle, rooleille, tietosuojariskille, todentavalle aineistolle, auditoinnille, poikkeuksille ja jatkuvalle parantamiselle.

ISO/IEC 27701:n mukainen PIMS-hallinnointi

Määrittää pakollisen hallinnoinnin PIMS:n perustamiselle, toteutukselle, ylläpidolle, seurannalle ja parantamiselle.

Todentavaan aineistoon perustuva osoitusvelvollisuus

Kytkee PIMS-vastuut näyttöobjekteihin, kuten REG01, REG02, REG03, REG04, REG08, REG10, REG11 ja REG12.

Roolipohjaiset tietosuojatoiminnot

Määrittää PIMS:n osoitusvelvollisuuden ylimmälle johdolle sekä tietosuoja-, prosessi-, järjestelmä-, tietoturva-, toimittaja-, poikkeama- ja auditointirooleille.

Lue koko yleiskatsaus (click to expand)
Henkilötietojen hallintajärjestelmän politiikka perustaa organisaation PIMS:n henkilötietojen käsittelylle rekisterinpitäjän, yhteisrekisterinpitäjän, henkilötietojen käsittelijän ja alikäsittelijän rooleissa. Sen tarkoituksena on määrittää pakolliset hallinnointivaatimukset PIMS:n perustamiselle, toteutukselle, ylläpidolle, seurannalle ja jatkuvalle parantamiselle. Politiikka on suunniteltu tukemaan henkilötietojen käsittelyn vastuullista, riskiperusteista ja todentavaan aineistoon perustuvaa hallintaa sovellettavissa olevissa PIMS-rooleissa. Sitä sovelletaan PIMS:n soveltamisalaan, organisaation toimintaympäristöön, sidosryhmiin, rajoihin, PIMS-roolin määrittämiseen, tietosuojapolitiikkaan, tietosuojatavoitteisiin, tietosuojariskien arviointiin, tietosuojariskien käsittelyyn, PIMS:n soveltuvuuslausuntoon, hallinnointiin, seurantaan, sisäiseen tarkastukseen, johdon katselmointiin, poikkeamiin, korjaaviin toimenpiteisiin ja dokumentoituun näyttöön, jota tarvitaan vaatimustenmukaisuuden ja osoitusvelvollisuuden osoittamiseen. Politiikan keskeinen piirre on määritetty osoitusvelvollisuus. Ylimmän johdon on hyväksyttävä PIMS:n soveltamisala REG01:ssä ennen alkuperäistä toteutusta ja 30 päivän kuluessa olennaisesta muutoksesta, hyväksyttävä politiikka ja PIMS-tavoitteet REG12:ssa vuosittain sekä katselmoitava suorituskyky, avoimet riskit, poikkeamat, korjaavat toimenpiteet ja parantamispäätökset johdon katselmoinnissa. Tietosuojavastaava / PIMS-päällikkö ylläpitää PIMS:n keskeisiä tallenteita, mukaan lukien toimintaympäristöön liittyvät asiat, sidosryhmät, tavoitteet, soveltuvuuslausunto, riskienkäsittelypäätökset, todentavan aineiston indeksi, mittarit, poikkeukset, korjaavat toimenpiteet ja politiikan katselmointitallenteet. Prosessien omistajat luokittelevat organisaation PIMS-roolin kullekin henkilötietojen käsittelytoimelle ennen käsittelyn aloittamista, kun taas toimittaja- / hankintavastaavat dokumentoivat yhteisrekisterinpitäjän vastuunjaon, asiakkaan käsittelyohjeet, hyväksytyt alikäsittelyjärjestelyt, toimittajahallinnan ja ulkoisesti tuotetut PIMS:n kannalta olennaiset prosessit. Politiikka kytkee PIMS-hallinnoinnin operatiiviseen kontrolliin. Tietosuojariskien arviointi on käynnistettävä ennen uuden tai olennaisesti muuttuneen henkilötietojen käsittelyn aloittamista, ja DPIA:n tarve on määritettävä ennen korkean riskin tai olennaisesti muuttuneen rekisterinpitäjän käsittelyn etenemistä. Hyväksytyt tietosuojariskien käsittelypäätökset kirjataan ennen käsittelyn toteutusta, ja järjestelmäomistajien on vahvistettava PIMS:n operatiiviset kontrollit ennen tuotantokäyttöönottoa järjestelmissä, joissa käsitellään henkilötietoja. Tietoturvavastaava vastaa sovellettavan henkilötietojen tietoturvan perustason dokumentoinnista ja tietoturvakontrollien toteutustilan ylläpidosta, mikä kytkee tietosuojan hallinnoinnin henkilötietojen tietoturvan perustasoon ja soveltuvuuslausuntoon. Tämä rakenne auttaa varmistamaan, että soveltamisala, käsittelytoimet, kontrollien soveltuvuus, toimittajajärjestelyt ja riskitallenteet pysyvät yhdenmukaisina ennen johdon katselmointia ja sertifiointiin liittyviä muutoksia. Politiikka määrittää myös auditoitavuuden ja jatkuvan parantamisen vaatimukset. Tietosuojavastaavan / PIMS-päällikön on ylläpidettävä PIMS:n todentavan aineiston indeksiä ennen jokaista sisäistä tarkastusta, säilytettävä dokumentoitu tieto todentavan aineiston säilytysvaatimusten mukaisesti, ylläpidettävä suorituskykymittareita neljännesvuosittain ja raportoitava tavoitteiden tila ennen johdon katselmointia. Vähimmäismittausjoukko sisältää ajantasaisella rooliluokituksella varustettujen soveltamisalaan kuuluvien käsittelytoimien osuuden, ajantasaisella toteutustilalla varustettujen sovellettavien kontrollien osuuden, avoimet poikkeamat ja myöhässä olevat korjaavat toimenpiteet sekä hyväksyntää odottavat tietosuojariskien arvioinnit. Sisäisen tarkastuksen / vaatimustenmukaisuuden katselmoijien on raportoitava katselmointitulokset 15 liiketoimintapäivän kuluessa, otostarkastettava todentavan aineiston täydellisyys sisäisissä tarkastuksissa, todennettava vanhentuneiden poikkeusten sulkemista koskeva näyttö ja todennettava korjaavien toimenpiteiden vaikuttavuus 30 päivän kuluessa ilmoitetusta sulkemisesta. Poikkeukset, soveltaminen ja ylläpito käsitellään muodollisina PIMS-prosesseina eikä epämuodollisina poikkeamina. Pyydetyt poikkeukset on dokumentoitava ennen poikkeamista, arvioitava tietosuojariskin kannalta ennen hyväksyntää ja katselmoitava neljännesvuosittain sulkemiseen asti. Poikkeukset, jotka ylittävät hyväksytyt tietosuojariskin kynnysarvot, edellyttävät ylimmän johdon hyväksyntää ennen toteutusta. Epäillyt poikkeamat on kirjattava viiden liiketoimintapäivän kuluessa, myöhässä olevat merkittävät korjaavat toimenpiteet on eskaloitava ylimmälle johdolle, ja ratkaisemattomat merkittävät poikkeamat on katselmoitava jokaisessa johdon katselmoinnissa. Itse politiikka katselmoidaan vuosittain ja 30 päivän kuluessa olennaisista oikeudellisista, organisatorisista, käsittelyyn liittyvistä, teknologisista tai sertifioinnin soveltamisalaa koskevista muutoksista, ja hyväksytyt muutokset viestitään REG11:ssä 30 päivän kuluessa julkaisemisesta.

Käytäntökaavio

Prosessivuokaavio, joka esittää PIMS-hallinnoinnin etenemisen soveltamisalan ja toimintaympäristön määrittämisestä, rooliluokituksesta, tietosuojatavoitteista ja kontrollien soveltuvuudesta, riskien arvioinnista ja DPIA-katselmoinnista, operatiivisista kontrolleista ja toimittajahallinnasta, todentavan aineiston keräämisestä, mittareista, sisäisestä tarkastuksesta, johdon katselmoinnista, korjaavista toimenpiteistä ja jatkuvasta parantamisesta.

Napsauta kaaviota nähdäksesi sen täydessä koossa

Sisältö

PIMS:n soveltamisala, toimintaympäristö ja organisatoriset rajat

PIMS-roolin määrittäminen rekisterinpitäjän, yhteisrekisterinpitäjän, henkilötietojen käsittelijän ja alikäsittelijän toiminnoille

Tietosuojatavoitteet ja PIMS:n soveltuvuuslausunto

Tietosuojariskien arviointi, riskien käsittely ja DPIA-hallinnointi

Todentavan aineiston indeksi sekä sisäisen tarkastuksen, poikkeamien ja korjaavien toimenpiteiden vaatimukset

Mittareita, poikkeuksia, soveltamista, katselmointia ja ylläpitoa koskevat vaatimukset

Kehysmääräysten noudattaminen

🛡️ Tuetut standardit ja kehykset

Tämä tuote on linjassa seuraavien vaatimustenmukaisuuskehysten kanssa, yksityiskohtaisilla lauseke- ja valvontamappingeillä.

Kehys Katetut lausekkeet / Kontrollit
ISO/IEC 27701:2025
Clause 4.1Clause 4.2Clause 4.3Clause 4.4Clause 5.1Clause 5.2Clause 5.3Clause 6.1.1Clause 6.1.2Clause 6.1.3Clause 6.2Clause 6.3Clause 7.1Clause 7.2Clause 7.3Clause 7.4Clause 7.5Clause 8.1Clause 8.2Clause 8.3Clause 9.1Clause 9.2Clause 9.3Clause 10.1Clause 10.2Annex A.1.2.2Annex A.1.2.3Annex A.1.2.6Annex A.1.2.8Annex A.1.2.9Annex A.2.2.2Annex A.2.2.3Annex A.3.3
EU GDPR
Article 5(2)Article 24Article 26Article 28Article 30Article 32Article 35
ISO/IEC 29100:2020
Clause 4.7Clause 5.1Clause 5.11Clause 5.12
ISO/IEC 29134:2020
Clause 1Clause 5.1Clause 6.2Clause 6.3
ISO/IEC 29151:2022
Clause 4.1Clause 4.2Annex A.2
ISO/IEC 27557:2022
Clause 4Clause 5.2Clause 5.3Clause 5.4.1

Liittyvät käytännöt

Tietosuojaroolien, -vastuiden ja osoitusvelvollisuuden politiikka

Tukee PIMS:n osoitusvelvollisuusrakennetta määrittämällä tietosuojaroolit, vastuut ja toimivaltuudet.

Käsittelytoimien luettelon ja oikeusperusteen politiikka

Kytkee PIMS-roolin määrittämisen ja käsittelyn osoitusvelvollisuuden käsittelytoimien luetteloon ja oikeusperustetta koskeviin tallenteisiin.

Tietosuojariskien arvioinnin ja DPIA:n politiikka

Tarjoaa PIMS-politiikassa viitatun yksityiskohtaisen tietosuojariskien arvioinnin ja DPIA-hallinnoinnin.

Sisäänrakennetun ja oletusarvoisen tietosuojan politiikka

Tukee operatiivisia PIMS-kontrolleja uutta tai muuttunutta käsittelyä ja henkilötietoja käsitteleviä järjestelmiä varten.

Henkilötietojen käsittelijöiden, alikäsittelijöiden ja tietojen jakamisen politiikka

Tukee PIMS:n edellyttämiä henkilötietojen käsittelijän, alikäsittelijän, yhteisrekisterinpitäjän ja tietojen jakamisen hallinnointitallenteita.

Tietoturva- ja pääsynhallintapolitiikka

Kytkee PIMS:n soveltuvuuslausunnon sovellettavaan henkilötietojen tietoturvan perustasoon.

Tietoa Clarysecin käytännöistä - Henkilötietojen hallintajärjestelmän politiikka

Tämä henkilötietojen hallintajärjestelmän politiikka perustaa organisaation PIMS:n henkilötietojen käsittelylle rekisterinpitäjän, yhteisrekisterinpitäjän, henkilötietojen käsittelijän ja alikäsittelijän rooleissa. Se määrittää hallinnointivaatimukset PIMS:n perustamiselle, toteutukselle, ylläpidolle, seurannalle ja jatkuvalle parantamiselle sekä osoittaa selkeän vastuun ylimmälle johdolle, tietosuojavastaavalle / PIMS-päällikölle, prosessien omistajille, järjestelmäomistajille, toimittaja- ja hankintavastaaville, tietoturvatoiminnolle, tietoturvapoikkeamiin reagoinnille sekä riippumattomille auditointi- tai vaatimustenmukaisuuskatselmoijille. Politiikka käyttää näyttöobjekteja, kuten REG01, REG02, REG03, REG04, REG08, REG10, REG11 ja REG12, tukeakseen henkilötietojen käsittelyn vastuullista, riskiperusteista ja todentavaan aineistoon perustuvaa hallintaa koko PIMS-elinkaaren ajan.

Määritetty PIMS:n soveltamisala

Edellyttää hyväksytyn soveltamisalan, toimintaympäristön, sidosryhmien, rajojen ja prosessien välisten vuorovaikutusten ylläpitämistä REG01:ssä.

Selkeä roolikohtainen osoitusvelvollisuus

Osoittaa tehtävät ylimmälle johdolle sekä tietosuoja-, prosessi-, järjestelmä-, tietoturva-, toimittaja-, poikkeama- ja auditointirooleille.

Riskiperusteinen toiminta

Edellyttää tietosuojariskien arviointia, DPIA-tarpeen määrittämistä ja hyväksyttyä käsittelyä ennen asiaankuuluvan käsittelyn etenemistä.

Valmius auditointia varten

Ylläpitää määritetyissä rekistereissä todentavan aineiston indeksejä, toteutustilaa, katselmointitallenteita, poikkeamia ja korjaavia toimenpiteitä.

Usein kysytyt kysymykset

Suunniteltu johtajille, johtajien toimesta

Tämän käytännön on laatinut tietoturvajohtaja, jolla on yli 25 vuoden kokemus ISMS-viitekehysten käyttöönotosta ja auditoinnista globaaleissa organisaatioissa. Se ei ole pelkkä asiakirja, vaan puolustettava viitekehys, joka kestää auditorin tarkastelun.

Laatinut asiantuntija, jolla on seuraavat pätevyydet:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Kattavuus & Aiheet

🏢 Kohdeosastot

Tietosuoja lakiasiat vaatimustenmukaisuus IT-tietoturva auditointi

🏷️ Aiheen kattavuus

Henkilötietojen hallinta henkilötietojen käsittely tietosuojaa koskeva vaikutustenarviointi käsittelytoimien tallenteet rekisterinpitäjän ja henkilötietojen käsittelijän vastuut riskienhallinta jatkuva parantaminen
€79

Kertaosto

Välitön lataus
Elinikäiset päivitykset

Tämä käytäntö on 1/25 täydellisessä ISO/IEC 27701 PIMS -paketissa

Säästä 52%

Hanki kaikki 25 PIMS-käytäntöä, täydellinen rekisterisarja ja yksityiskohtainen toteutussuunnitelma hintaan €799 erikseen ostettujen €1 675 sijaan.

Katso täydellinen 27701-paketti →
Privacy Information Management System Policy

Tuotetiedot

Tyyppi: policy
Luokka: ISO 27701 PIMS Policy Pack
Standardit: 6