ISO/IEC 27001 -standardi yleisen tietosuoja-asetuksen kontekstissa

Abstract

EU:n tietosuojalainsäädäntö uudistui 24.5.2016, kun yleinen tietosuoja-asetus astui voimaan ja lakia aletaan soveltaa käytännössä kahden vuoden siirtymäajan jälkeen 25.5.2018. Tämä yleinen tietosuoja-asetus on merkittävä uudistus, joka esittelee monia lisäyksiä ja tarkennuksia vanhaan henkilödirektiiviin ja tutkielman kirjoittamisen ajankohtana siirtymäaika on jo käynnissä. Tutkielma toteutettiin kirjallisuuskatsauksena ja tutkielman varsinaisena tarkoituksena oli selvittää, pystyykö tunnettu tietoturvallisuuden hallintajärjestelmä -standardi, ISO/IEC 27001:2013, vastaamaan yleisen tietosuoja-asetuksen moniin vaatimuksiin. Toisin sanoen tarkoituksena oli vertailla standardin ja asetuksen vaatimuksia toisiinsa ja näin yrittää selvittää pystyvätkö organisaatiot käyttämään kyseistä standardia työkaluna yrittäessään valmistautua lähestyvään lakiuudistukseen. Tutkielmassa esiteltiin myös lukijalle sekä tämä standardi että yleinen tietosuoja-asetus pääpiirteissään. Vertailussa selvisi, että ISO/IEC 27001:2013, vastaa monilta osin yleisen tietosuoja-asetuksen vaatimuksia, mutta ei kuitenkaan täysin niiden ollessa eri kokonaisuuksia ja standardi toimii parhaiten yhtenä tärkeänä rakennuspalikkana kohti täyttä vaatimustenmukaisuutta.

ISO/IEC 27001 -standard in context of the general data protection regulation.

EU data protection legislation underwent a reform in 24.5.2016 when general data protection regulation, or GDPR, came into effect and the new legislation will be applied after a two-year transition period from 25.5.2018 onwards. This GDPR is a major reform and it will introduce many additions and refinements to the previous data protection directive and at the time of writing this thesis the transition period is already underway. This thesis was carried out as a literary review and the main focus of the thesis was to solve if a well known information security management system -standard, ISO/IEC 27001:2013, can meet the many requirements of the GDPR. In other words the purpose was to compare the requirements of the standard to the requirements of the GDPR and in doing so solve if organizations can use the standard as a tool while preparing themselves for the impending reform. The thesis also broadly introduced the reader to both the standard and the GDPR. In the comparison of the requirements it was discovered that the ISO/IEC 27001:2013 meets the requirements of the GDPR for the most part but not complitely as they are different entities and the standard functions best as an important building block towards full compliance with the GDPR.