policy ISO 27701 PIMS Policy Pack

Tietosuojakoulutus-, tietoisuus- ja pätevyyspolitiikka

ISO 27701 -tietosuojakoulutuspolitiikka perehdytykseen, vuosittaiseen kertauskoulutukseen, roolipohjaiseen pätevyyteen, REG11:n todentavaan aineistoon ja REG12-eskalointiin.

Yleiskatsaus

Tässä politiikassa määritellään tietosuojakoulutusta, tietoisuutta ja pätevyyttä koskevat vaatimukset PIMS-rooleille. Se kattaa perehdytyksen, vuosittaisen kertauskoulutuksen, roolipohjaisen koulutuksen, toimittajien varmentamisen, REG11:n todentavan aineiston, REG12-eskaloinnin ja vaikuttavuuden katselmoinnin rekisterinpitäjän, henkilötietojen käsittelijän, yhteisrekisterinpitäjän ja alikäsittelijän toimintaympäristöissä.

Määritellyt koulutuskohderyhmät

Edellyttää, että PIMS-koulutuksen kohderyhmäluokat ja roolien osoitukset kirjataan REG11:een ennen vuosittaisia syklejä, perehdytystä tai roolimuutoksia.

Roolipohjainen tietosuojapätevyys

Kattaa rekisterinpitäjän, henkilötietojen käsittelijän, alikäsittelijän, tietoturvan, poikkeamat, korkean riskin käsittelyn, rekisteröityjen oikeuksien käsittelyn, DPIA:n ja siirtoihin liittyvät koulutustarpeet.

Todennettava suoritusnäyttö

Käyttää REG11:tä tehtäväksiantoihin, suorituksiin, kuittauksiin, erääntyneeseen tilaan ja vaikuttavuusnäyttöön sekä tarvittaessa REG12-eskalointiin.

Lue koko yleiskatsaus (click to expand)
Tietosuojakoulutus-, tietoisuus- ja pätevyyspolitiikka määrittelee, miten organisaatio hallitsee tietosuojakoulutusta henkilötietojen hallintajärjestelmässään. Sen tarkoituksena on varmistaa, että henkilöt, joiden työ vaikuttaa henkilötietojen käsittelyyn, ymmärtävät vastuunsa, suorittavat koulutuksen määritellyssä aikataulussa, ylläpitävät roolinsa kannalta olennaista pätevyyttä ja tuottavat auditoitavissa olevaa todentavaa aineistoa koulutuksesta, tietoisuudesta ja eskaloinnista. Politiikkaa sovelletaan rekisterinpitäjän, yhteisrekisterinpitäjän, henkilötietojen käsittelijän ja alikäsittelijän toimintaympäristöissä, joten se on merkityksellinen sekä organisaatioille, jotka käsittelevät henkilötietoja suoraan, että organisaatioille, jotka toimivat asiakkaan ohjeiden mukaisesti tai kolmannen osapuolen käsittelyjärjestelyjen kautta. Soveltamisala on tarkoituksellisesti laaja ja operatiivinen. Sitä sovelletaan henkilöstöön, urakoitsijoihin, määräaikaiseen henkilöstöön, asiaankuuluviin kolmansiin osapuoliin, henkilötietojen käsittelijöihin, alikäsittelijöihin ja muihin sidosryhmiin, joiden työ voi vaikuttaa henkilötietojen käsittelyyn, rekisteröityjen oikeuksiin, tietosuojariskiin, henkilötietoihin liittyvään tietoturvallisuuteen, henkilötietojen käsittelijän ohjeisiin, henkilötietopoikkeamiin, dokumentoituun tietoon tai vaatimustenmukaisuusnäyttöön. Politiikka kattaa tietosuojakoulutuksen kohderyhmien tunnistamisen, perehdytyskoulutuksen, vuosittaisen kertauskoulutuksen, roolipohjaisen ja tapahtumaperusteisen koulutuksen, koulutussuoritusten todentavan aineiston, suorittamatta jäämisen eskaloinnin, koulutuksen vaikuttavuuden katselmoinnin sekä henkilötietojen käsittelijän, alikäsittelijän ja kolmannen osapuolen koulutuksen varmentamisnäytön. Politiikan keskeinen osa on sen todentavan aineiston malli. Sen mukaan erillistä koulutusmatriisia, hallintanäkymää, pätevyysrekisteriä, kurinpitorekisteriä tai asiakkaiden koulutusrekisteriä ei luoda. Sen sijaan koulutustehtäväksiannot, suoritukset, muistutukset, pätevyysnäyttö ja tietoisuusnäyttö kirjataan REG11:een. Poikkeukset, eskaloinnit, poikkeamat, korjaavat toimenpiteet ja katselmointinäyttö kirjataan REG12:een. Henkilötietojen käsittelijän, alikäsittelijän ja kolmannen osapuolen koulutuksen varmentamisnäyttö kirjataan tarvittaessa REG08:aan, ja poikkeamien opit voidaan linkittää REG10:n kautta. Tämä lähestymistapa auttaa pitämään tietosuojakoulutuksen jäljitettävissä ilman rekisterien päällekkäisyyttä tai tarpeetonta hallinnollista kuormitusta. Politiikka määrittää erityiset koulutusaikataulut ja herätteet. Tietosuojatietoisuuden perustason koulutus on osoitettava 10 työpäivän kuluessa perehdytyksestä henkilöstölle, jolla on pääsy henkilötietoihin tai jolla on PIMS-vastuita, ja henkilöstön on suoritettava perehdytyksen tietosuojakoulutus ennen kuin valvomaton pääsy henkilötietoihin hyväksytään tai 30 päivän kuluessa perehdytyksestä sen mukaan, kumpi toteutuu ensin. Vuosittainen tietosuojan kertauskoulutus on osoitettava vähintään kerran 12 kuukaudessa. Kohdennettu kertauskoulutus vaaditaan 30 päivän kuluessa olennaisesta tietosuojapolitiikan muutoksesta, olennaisesta PIMS-prosessin muutoksesta, auditointihavainnosta, toistuvasta koulutuksen epäonnistumisesta tai asiaankuuluvasta henkilötietopoikkeaman opista. Roolipohjainen koulutus vaaditaan myös ennen kuin henkilöstö ottaa vastuulleen tehtäviä, jotka liittyvät oikeusperusteeseen, tietosuojaselosteisiin, suostumukseen, rekisteröityjen oikeuksiin, DPIA-arviointeihin, säilytykseen, jakamiseen, henkilötietojen kansainvälisiin siirtoihin, etuoikeutettuun pääsyyn, tietoturvahallintaan, lokitukseen, seurantaan tai poikkeamien tukemiseen. Hallinnointi ja noudattamisen seuranta sisältyvät politiikkaan määriteltyjen vastuiden, seurannan ja eskaloinnin kautta. Tietosuojavastaava/PIMS-päällikkö ylläpitää koulutussisältöä, tehtäväksiantoja, suoritusten todentavaa aineistoa, kuittauksia ja vaikuttavuusnäyttöä. Prosessien omistajat tukevat vastuullaan olevan henkilöstön suorituksia, järjestelmäomistajat varmistavat koulutuksen ennen etuoikeutetun pääsyn tai vaikutuksiltaan merkittävään henkilötietojärjestelmään pääsyn hyväksymistä, ja toimittaja-/hankintaomistajat ylläpitävät koulutusta tai vastaavaa varmentamisnäyttöä toimittajille, henkilötietojen käsittelijöille, alikäsittelijöille ja ulkoisen työvoiman jäsenille. Politiikka edellyttää neljännesvuosittaista katselmointia suorituksista, erääntyneistä koulutuksista, roolipohjaisista tehtäväksiannoista ja poikkeuksista siten, että ratkaisemattomat näyttöpuutteet raportoidaan ennen johdon katselmointia. Sisäinen tarkastus / vaatimustenmukaisuuden katselmoijat otantatarkastavat REG11- ja REG12-näyttöä hyväksytyn auditointisuunnitelman mukaisesti, mikä tukee jatkuvaa parantamista ja sertifiointivalmista osoitusvelvollisuutta.

Käytäntökaavio

Prosessivirta, jossa esitetään PIMS-koulutuksen kohderyhmien tunnistaminen, perehdytyksen ja vuosittaisen koulutuksen osoittaminen, roolipohjainen koulutus, REG11-suoritusnäyttö, erääntyneiden koulutusten eskalointi REG12:ssa, toimittajien varmentaminen REG08:ssa, poikkeamien opit REG10:ssä ja vaikuttavuuden katselmointi.

Napsauta kaaviota nähdäksesi sen täydessä koossa

Sisältö

Koulutuskohderyhmien tunnistaminen

Perehdytyksen ja vuosittaisen kertauskoulutuksen aikataulu

Roolipohjaiset tietosuojakoulutusvaatimukset

Suoritusten todentava aineisto ja kuittaukset REG11:ssä

Suorittamatta jäämisen eskalointi ja korjaava koulutus

Henkilötietojen käsittelijän, alikäsittelijän ja kolmannen osapuolen koulutuksen varmentaminen

Kehysmääräysten noudattaminen

🛡️ Tuetut standardit ja kehykset

Tämä tuote on linjassa seuraavien vaatimustenmukaisuuskehysten kanssa, yksityiskohtaisilla lauseke- ja valvontamappingeillä.

Kehys Katetut lausekkeet / Kontrollit
ISO/IEC 27701:2025
Clause 7.2Clause 7.3Clause 7.4Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.3.17
EU GDPR
Article 5(2)Article 24Article 28Article 32Article 39
ISO/IEC 27001:2022
Clause 7.2Clause 7.3Annex A control 6.3
ISO/IEC 27002:2022
Control 6.3
ISO/IEC 29100:2020
Clause 5.11Clause 5.12

Liittyvät käytännöt

Tietosuojaroolien, vastuiden ja osoitusvelvollisuuden politiikka

Koulutusvastuut riippuvat selkeästi osoitetuista tietosuojarooleista ja osoitusvelvollisuudesta.

Tietosuojariskien arvioinnin ja DPIA:n politiikka

Korkean riskin käsittely ja DPIA-vastuut laukaisevat tehostetun tai roolipohjaisen tietosuojakoulutuksen.

Henkilötietojen käsittelijöiden, alikäsittelijöiden ja kolmansien osapuolten tietosuojahallinnan politiikka

Politiikka edellyttää toimittajan, henkilötietojen käsittelijän ja alikäsittelijän koulutusta tai vastaavaa varmentamisnäyttöä.

Tietoturva- ja pääsynhallintapolitiikka

Henkilötietojen tietoturva, etuoikeutettu pääsy, pääsynhallinta, lokitus, seuranta ja poikkeamien tukemista koskevat roolit edellyttävät koulutussyötettä.

Poikkeamien ja tietoturvaloukkausten hallintapolitiikka

Poikkeamien opit voivat laukaista kohdennettuja tietosuojatietoisuutta ja korjaavaa koulutusta koskevia vaatimuksia.

PIMS:n dokumentoidun tiedon ja todentavan aineiston hallintapolitiikka

Koulutusnäyttö, poikkeukset, eskaloinnit ja korjaavat toimenpiteet perustuvat dokumentoidun tiedon hallinnointiin.

Tietoa Clarysecin käytännöistä - Tietosuojakoulutus-, tietoisuus- ja pätevyyspolitiikka

Tämä tietosuojakoulutus-, tietoisuus- ja pätevyyspolitiikka määrittelee auditoitavissa olevan lähestymistavan PIMS-koulutukseen henkilöstölle, urakoitsijoille, asiaankuuluville kolmansille osapuolille, henkilötietojen käsittelijöille, alikäsittelijöille ja muille sidosryhmille, joiden työ voi vaikuttaa henkilötietojen käsittelyyn. Se osoittaa vastuut rooleille, kuten ylimmälle johdolle, tietosuojavastaavalle/PIMS-päällikölle, prosessien omistajille, järjestelmäomistajille, toimittaja-/hankintaomistajille, tietoturvalle, tietosuojavastaavalle/tietosuojaneuvonantajalle, tietoturvapoikkeamiin reagoinnin koordinaattorille ja sisäiselle tarkastukselle / vaatimustenmukaisuuden katselmoijalle. Politiikka käyttää REG11:tä ensisijaisena näyttöobjektina koulutustehtäväksiannoille, suorituksille, kuittauksille, erääntyneelle tilalle, pätevyysnäytölle ja vaikuttavuustuloksille, ja REG08, REG10 ja REG12 tukevat kolmannen osapuolen varmentamista, poikkeamien oppeja, poikkeuksia, eskalointeja, poikkeamia, korjaavia toimenpiteitä ja johdon katselmoinnin näyttöä.

PIMS-koulutuksen soveltamisala

Sovelletaan henkilöstöön, urakoitsijoihin, asiaankuuluviin kolmansiin osapuoliin, henkilötietojen käsittelijöihin, alikäsittelijöihin ja rooleihin, jotka vaikuttavat henkilötietojen käsittelyyn.

REG11-näyttömalli

Keskittää tehtäväksiannot, suoritukset, kuittaukset, erääntyneet kirjaukset, pätevyysnäytön ja vaikuttavuustulokset.

Pääsyn huomioivat kontrollit

Edellyttää koulutuksen varmistamista ennen valvomatonta pääsyä henkilötietoihin, vaikutuksiltaan merkittävää järjestelmäpääsyä tai etuoikeutettuja henkilötietotoimintoja.

Kolmannen osapuolen varmentaminen

Edellyttää henkilötietojen käsittelijän, alikäsittelijän, toimittajan ja ulkoisen työvoiman koulutusta tai vastaavaa varmentamisnäyttöä REG08:ssa tai REG11:ssä.

Usein kysytyt kysymykset

Suunniteltu johtajille, johtajien toimesta

Tämän käytännön on laatinut tietoturvajohtaja, jolla on yli 25 vuoden kokemus ISMS-viitekehysten käyttöönotosta ja auditoinnista globaaleissa organisaatioissa. Se ei ole pelkkä asiakirja, vaan puolustettava viitekehys, joka kestää auditorin tarkastelun.

Laatinut asiantuntija, jolla on seuraavat pätevyydet:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Kattavuus & Aiheet

🏢 Kohdeosastot

Tietosuoja vaatimustenmukaisuus IT-tietoturva henkilöstöhallinto tietosuojavastaavan toimisto

🏷️ Aiheen kattavuus

Henkilötietojen hallinta henkilötietojen käsittely tietoturvatietoisuus kolmansien osapuolten hallinta vaatimustenmukaisuuden hallinta seuranta ja mittaaminen jatkuva parantaminen
€49

Kertaosto

Välitön lataus
Elinikäiset päivitykset

Tämä käytäntö on 1/25 täydellisessä ISO/IEC 27701 PIMS -paketissa

Säästä 52%

Hanki kaikki 25 PIMS-käytäntöä, täydellinen rekisterisarja ja yksityiskohtainen toteutussuunnitelma hintaan €799 erikseen ostettujen €1 675 sijaan.

Katso täydellinen 27701-paketti →
Privacy Training, Awareness and Competence Policy

Tuotetiedot

Tyyppi: policy
Luokka: ISO 27701 PIMS Policy Pack
Standardit: 5