Pilvipalvelujen tiedonsiirtojen vaikutustenarvioinnit vuonna 2026
Maria, InnovatePayn tietoturvajohtaja, tarkasteli huolellisuusarvioinnin kyselyn sivua 12.
Hänen yrityksensä, nopeasti kasvava eurooppalainen FinTech SaaS -palveluntarjoaja, oli lähellä suurimman asiakkaansa sopimuksen allekirjoitusta: kyseessä oli merkittävä pankki, jolla oli tiukat odotukset operatiiviselle häiriönsietokyvylle. Kyselyssä ei pyydetty pelkästään ISO 27001 -sertifikaattia, penetraatiotestin yhteenvetoa tai tietoturvapolitiikkapakettia. Siinä pyydettiin täydellistä tiedonsiirron vaikutustenarviointia InnovatePayn ensisijaisesta yhdysvaltalaisesta pilvipalveluntarjoajasta, alikäsittelijäerittelyä, sovellettavia vakiosopimuslausekkeita, maantieteellistä tiedonsiirtoilmoitusta sekä näyttöä siitä, että täydentävät toimenpiteet oli kartoitettu ISO/IEC 27001:2022-, NIS2- ja DORA-vaatimuksiin.
Lakitiimillä oli tietojenkäsittelyliite. Hankinnalla oli toimittajaportaali. Kehitystiimillä oli pilvialueasetukset. Tietoturvatiimillä oli salauskaaviot. Asiakkuustiimi oli luvannut myyntipuhelussa ”EU-isännöinnin”. Kukaan ei pystynyt heti osoittamaan, kuuluiko Intiasta tapahtuva tukipääsy soveltamisalaan, käyttikö analytiikkalisäosa yhdysvaltalaista alikäsittelijää tai replikoitiinko virhelokeja globaalin valvontapalveluntarjoajan kautta.
Tämä on vuoden 2026 todellisuutta SaaS-yrityksille, pilvipalveluntarjoajille, FinTech-toimittajille ja hallinnoiduille ICT-palveluntarjoajille. Tiedonsiirron vaikutustenarviointi eli TIA ei ole enää hankinnan loppuvaiheessa laadittava tietosuojamuistio. Se on useita vaatimuksia yhdistävä näyttöpaketti, jonka on selitettävä, minne henkilötiedot siirtyvät, kuka voi päästä niihin käsiksi, mitä oikeudellista siirtomekanismia sovelletaan, mitkä täydentävät toimenpiteet pienentävät riskiä ja miten organisaatio seuraa siirtoa ajan kuluessa.
Monissa tiimeissä ongelma ei ole työn puute vaan hajanaisuus. SCC:t ovat sopimustietovarastossa. Alikäsittelijäluettelot ovat toimittajaportaaleissa. Tietojen sijaintiasetukset ovat pilvikonsolissa. Riskipäätökset ovat hautautuneet sähköposteihin. Salausnäyttö on Confluencessa. Vahva pilvipalvelun tiedonsiirron vaikutustenarviointi yhdistää nämä osat yhdeksi puolustettavaksi todentamisketjuksi.
Miksi pilvipalvelujen TIA-arvioinneista on tullut hallitustason riskikysymys
Tiedonsiirron vaikutustenarviointi arvioi, säilyykö Euroopan talousalueen ulkopuolelle siirrettyjen henkilötietojen suoja käytännössä. Arvioinnissa tulee tunnistaa tiedot, osapuolet, käsittelyn tarkoitukset, säilytyspaikat, pääsypaikat, edelleen siirrot, oikeudellinen siirtomekanismi, vastaanottajamaan riskit ja täydentävät toimenpiteet.
GDPR:n lähtökohta on laaja. Henkilötiedot, käsittely, rekisterinpitäjä, käsittelijä, pseudonymisointi ja henkilötietojen tietoturvaloukkaus määritellään laajasti. Pilvipalvelujen telemetriatiedot, tukipyynnöt, todennuslokit, laskutustiedot, käyttäjätunnisteet, IP-osoitteet ja tuoteanalytiikka voivat kaikki kuulua soveltamisalaan. GDPR:n Article 5 mukainen osoitusvelvollisuus edellyttää, että organisaatiot pystyvät osoittamaan vaatimustenmukaisuuden, kun taas Article 28 mukaiset käsittelijävelvoitteet ja V luvun kansainvälisiä siirtoja koskevat säännöt edellyttävät täsmällistä tietoa siitä, mitä tietoja siirtyy, minne ne siirtyvät ja kuka voi käsitellä niitä.
Schrems II -tuomio teki käytännön velvoitteen selkeämmäksi. SCC:iden allekirjoittaminen ei yksin riitä. Organisaatioiden on arvioitava, voivatko kohdemaan lait ja käytännöt heikentää sopimuksessa luvattua suojaa, ja tarvittaessa sovellettava täydentäviä toimenpiteitä.
Pilviliiketoiminnoissa tämä monimutkaistuu nopeasti. SaaS-tuote voi käyttää yhtä infrastruktuuripalveluntarjoajaa, erillistä tukialustaa, sähköpostipalvelua, virhevalvontatyökalua, CDN-palvelua, tietovarastoa ja tekoälypohjaista analytiikkatoimintoa. Jokaisella palveluntarjoajalla voi olla alikäsittelijöitä. Jokainen alikäsittelijä voi tuoda mukanaan uuden säilytyspaikan, pääsypaikan, operatiivisen tukipolun tai edelleen siirron.
Siksi ISO/IEC 27001:2022, NIS2, DORA ja NIST CSF 2.0 ovat tulleet osaksi TIA-keskustelua:
- GDPR kysyy, onko käytössä lainmukainen siirtomekanismi, asianmukaiset käsittelijäehdot, alikäsittelijöiden hallinta ja tehokkaat täydentävät toimenpiteet.
- ISO/IEC 27001:2022 kysyy, onko siirtoriski tunnistettu, käsitelty, hallittu, seurattu ja sisällytetty soveltuvuuslausuntoon.
- NIS2 kysyy, hallitsevatko keskeiset ja tärkeät toimijat toimittajien ja palveluntarjoajien kyberturvallisuusriskiä johdon valvonnassa.
- DORA kysyy, pystyvätkö finanssialan toimijat osoittamaan ICT-kolmansien osapuolten hallinnan, sopimuslausekkeet, alihankinnan näkyvyyden, sijaintien läpinäkyvyyden, keskittymäriskin ja exit-valmiuden.
- NIST CSF 2.0 auttaa kääntämään nämä vaatimukset hallinnoinnin, toimittajariskin, suojauksen, reagoinnin ja palautumisen tavoitetiloiksi.
Käytännön johtopäätös on yksinkertainen: TIA:n tulee olla osa ISMS:ää, ei sen ulkopuolinen liite.
Käytä ISMS:ää vaatimustenmukaisuuden keskuksena
TIA-arviointien, GDPR:n, DORA:n ja NIS2:n hallinta erillisissä laskentataulukoissa synnyttää päällekkäistä työtä ja auditointiaukkoja. Skaalautuvampi lähestymistapa on käyttää ISO/IEC 27001:2022 -standardia hallintajärjestelmänä, joka yhdistää velvoitteet, riskit, hallintakeinot ja todentavan aineiston.
ISO/IEC 27001:2022 edellyttää, että organisaatiot ymmärtävät toimintaympäristönsä, sidosryhmien vaatimukset sekä rajapinnat ja riippuvuudet muihin organisaatioihin. Se edellyttää myös toistettavaa tietoturvariskien arviointia, riskien käsittelyprosessia, soveltuvuuslausuntoa ja näyttöä siitä, että valitut hallintakeinot toimivat tarkoitetulla tavalla.
Tämä rakenne sopii TIA-arviointiin erinomaisesti. Riski ”EU:n henkilötietoihin voidaan päästä kolmannesta maasta pilvipalveluntarjoajan tai alikäsittelijän kautta ilman tehokkaita suojatoimia” kuuluu riskirekisteriin. Riskinkäsittely kuuluu riskienkäsittelysuunnitelmaan. Valitut hallintakeinot kuuluvat SoA:han. Tukeva todentava aineisto kuuluu näyttöindeksiin.
Clarysecin Zenith Blueprint: auditoijan 30 askeleen tiekartta kuvaa tämän yhteyden riskienhallintavaiheen vaiheessa 13:
SoA on käytännössä yhdistävä asiakirja: se liittää riskien arvioinnin ja riskien käsittelyn käytössä oleviin todellisiin kontrolleihin. Kun se täytetään, samalla tarkistetaan, onko jokin kontrolli jäänyt huomaamatta.
Tämä lause on keskeinen TIA-valmiuden kannalta. TIA ei ole hallintakeino. Se on arviointi, joka selittää, miksi hallintakeinoja tarvitaan ja miten ne vähentävät siirtoon liittyvää jäännösriskiä. SoA on silta, joka kytkee riskin pilvipalvelujen hallinnointiin, toimittajasopimuksiin, kryptografiaan, pääsynhallintaan, seurantaan, tietoturvapoikkeamiin reagointiin, jatkuvuuteen ja lakisääteisten vaatimusten noudattamiseen.
Aloita siirtokartasta, älä SCC:stä
Monet organisaatiot aloittavat TIA-arvioinnin kysymällä, sisältääkö sopimus SCC:t. Tämä on tarpeen, mutta se ei ole ensimmäinen kysymys. SCC:t ovat merkityksellisiä vain, jos organisaatio tietää, mitä siirtoja ne kattavat.
Käytännöllinen pilvipalvelun TIA alkaa viidellä kysymyksellä.
| TIA-kysymys | Näytön lähde | Miksi auditoijat välittävät |
|---|---|---|
| Mitä henkilötietoja siirretään? | Käsittelytoimien selosteet, tietojen luokittelu, pilviomaisuuden luettelo, tietovirtakartat | GDPR:n osoitusvelvollisuus ja ISO 27001:n riskien tunnistaminen edellyttävät määriteltyjä omaisuuseriä ja käsittelykontekstia |
| Missä tietoja säilytetään, käytetään, tuetaan tai replikoidaan? | Pilvipalvelurekisteri, palveluntarjoajan sijaintiasetukset, alikäsittelijäilmoitukset | Kansainvälisten siirtojen analyysi riippuu sekä säilytys- että pääsypaikoista |
| Kuka vastaanottaa tiedot tai voi päästä niihin käsiksi? | Toimittajarekisteri, DPA, alikäsittelijäluettelo, etuoikeutetun pääsyn tallenteet | Käsittelijöiden ja alikäsittelijöiden hallinnan on oltava sopimuksellisesti velvoittavaa ja seurattua |
| Mikä mekanismi tukee siirtoa? | SCC:t, tietosuojan riittävyyttä koskeva päätös, EU-US Data Privacy Framework soveltuvin osin, BCR:t tai muu dokumentoitu peruste | GDPR:n V luku edellyttää voimassa olevaa siirtomekanismia ja edelleen siirtojen hallintaa |
| Mitkä täydentävät toimenpiteet pienentävät jäännösriskiä? | Salaussuunnittelu, avainten omistajuus, pseudonymisointi, pääsyn hyväksynnät, lokitus, DLP, poikkeamaprosessi | Arvioinnin on osoitettava käytännön suoja, ei pelkästään paperilausekkeita |
Clarysecin pk-yrityksille tarkoitettu Pilvipalvelujen käyttöpolitiikka tekee tästä operatiivisen vaatimuksen edellyttämällä rekisteriä:
IT-palveluntarjoajan tai toimitusjohtajan on ylläpidettävä pilvipalvelurekisteriä. Siihen on kirjattava:
Osio ”Hallinnointivaatimukset”, politiikan kohta 5.3.
Samaan kohtaperheeseen sisältyy sijaintivaatimus, joka on TIA-arvioinneille olennainen:
Maa tai alue, jossa tietoja säilytetään
Osio ”Hallinnointivaatimukset”, politiikan kohta 5.3.4.
Suuremmissa ympäristöissä Clarysecin Pilvipalvelujen käyttöpolitiikka kytkee pilvipalvelujen hallinnoinnin nimenomaisesti siirtomekanismeihin:
Katselmoi vakiosopimuslausekkeet (SCC) ja GDPR:n mukaiset siirtomekanismit soveltuvin osin.
Osio ”Roolit ja vastuut”, politiikan kohta 4.5.2.
Sama politiikka lisää eri sääntelyvaatimukset yhdistävän vaatimuksen:
Rajat ylittävien tietosiirtojen on oltava GDPR:n V luvun ja soveltuvin osin DORA:n Article 28 mukaisia.
Osio ”Politiikan toteutusvaatimukset”, politiikan kohta 6.6.3.
Tämä muuttaa TIA-keskustelua. Kysymys ei ole ”onko meillä SCC:t?” Kysymys on ”mikä pilvipalvelu, mitkä henkilötiedot, mikä maa, mikä pääsypolku, mikä alikäsittelijä, mikä siirtomekanismi, mitkä täydentävät toimenpiteet ja mikä jäännösriski?”
Kartoita pilvipalvelujen TIA-arvioinnit ISO/IEC 27001:2022 -näyttöön
ISO/IEC 27001:2022 tarjoaa rakenteen sen osoittamiseen, että TIA on osa toimivaa hallintaympäristöä. Olennaisimmat näyttöalueet ovat toimittajahallinta, pilvipalvelujen hallinnointi, lakisääteiset velvoitteet, tietosuoja, kryptografia, pääsynhallinta, seuranta, tietoturvapoikkeamiin reagointi ja jatkuvuus.
| ISO/IEC 27001:2022 -näyttöalue | Mitä TIA:a varten tulee osoittaa | Esimerkkiaineisto |
|---|---|---|
| Toimittajariskien hallinta | Toimittajan huolellisuusarviointi kattaa kansainväliset siirrot, tietojen sijainnin ja alikäsittelijäriskin | Toimittajan riskienarviointi, jossa on siirtoa koskeva osio |
| Toimittajasopimukset | Tietoturvaa, tietosuojaa, auditointia, loukkausilmoituksia, alihankkijoita ja exit-menettelyä koskevat lausekkeet on määritelty | DPA, SCC:t, ICT-sopimusliite, tietoturvaliite |
| ICT-toimitusketju | Alemmat palveluntarjoajat ja pilviriippuvuudet on tunnistettu ja hallittu | Alikäsittelijärekisteri ja näyttö vaatimusten siirtämisestä alavirtaan |
| Toimittajien seuranta | Palveluntarjoajan todentava aineisto katselmoidaan säännöllisesti, ja muutokset käynnistävät uudelleenarvioinnin | SOC-raportin katselmointi, ISO-sertifikaatin katselmointi, alikäsittelijöiden muutosloki |
| Pilvipalvelut | Pilvipalvelujen hankintaa, käyttöä, hallintaa ja käytöstä poistumista hallinnoidaan | Pilvipalvelurekisteri, jaetun vastuun matriisi, pilvipalvelun exit-suunnitelma |
| Lakisääteiset ja tietosuojavelvoitteet | GDPR:n V luku, käsittelijävelvoitteet ja asiakassitoumukset on dokumentoitu | Lakisääteisten velvoitteiden rekisteri, TIA, käsittelytoimien selosteet |
| Kryptografia ja pääsynhallinta | Täydentävät toimenpiteet on toteutettu ja varmennettu | Salausarkkitehtuuri, KMS-asetukset, käyttöoikeuskatselmointien lokit |
| Poikkeamat ja jatkuvuus | Pilvi- ja toimittajapoikkeamat havaitaan, ilmoitetaan, käsitellään ja niistä opitaan | Poikkeamien käsittelyohje, ilmoituslausekkeet, palautustestien tallenteet |
Clarysecin Zenith Controls: vaatimustenmukaisuuden poikkikehikkoinen opas on tässä erityisen hyödyllinen. Zenith Controls käsittelee ISO/IEC 27002:2022 -standardin hallintakeinoa 5.23, pilvipalvelujen käytön tietoturvaa, ennaltaehkäisevänä hallintakeinona, joka tukee luottamuksellisuutta, eheyttä ja saatavuutta hallinnoinnin, ekosysteemin ja suojauksen osa-alueilla. Se kytkee pilvipalvelujen käytön toimittajasuhteisiin, päätelaiteturvallisuuteen, verkkoturvallisuuteen, tietojen siirtoon, tietojen maskaukseen, tietovuodon estämiseen, omaisuusluetteloon ja turvallisen järjestelmäkehityksen elinkaareen.
Tällä kartoituksella on merkitystä, koska TIA ratkeaa harvoin yhdellä oikeudellisella lausekkeella. Siihen liittyy usein pilviympäristön ylläpitäjäpääsyä, alueiden välillä tietoja siirtäviä ohjelmointirajapintoja, tukikonsoleita, lokeja, pilvitallennussäiliöitä, valvonta-alustoja ja varmuuskopiointipaikkoja.
Zenith Controls kartoittaa 5.23:n myös siihen liittyviin standardeihin, kuten ISO/IEC 27017 pilvipalvelujen jaetusta vastuusta ja auditointijäljistä, ISO/IEC 27018 henkilötietojen suojaamisesta julkisessa pilvessä, ISO/IEC 27701 tietosuojalaajennuksen vaatimuksista, ISO/IEC 27036-4 pilvipalvelujen seurannasta ja ISO/IEC 27005 pilviriskien arvioinnista.
Toimittajasopimusten osalta Zenith Controls kattaa ISO/IEC 27002:2022 -standardin hallintakeinon 5.20, tietoturvan huomioon ottamisen toimittajasopimuksissa. Tämä hallintakeino muuttaa siirtovaatimukset täytäntöönpantaviksi sitoumuksiksi. GDPR:n Article 28 mukaiset käsittelijäehdot, alikäsittelijähallintakeinot, NIS2:n toimitusketjuodotukset ja DORA:n Article 30 sopimusmääräykset muodostuvat kaikki sopimusnäytöksi.
Jatkuvan valvonnan kannalta keskeinen on ISO/IEC 27002:2022 -standardin hallintakeino 5.22, toimittajapalvelujen seuranta, katselmointi ja muutoksenhallinta. Käyttöönoton yhteydessä tehty TIA voi vanhentua, jos palveluntarjoaja lisää alikäsittelijän, muuttaa tukisijainteja, muokkaa lokitusarkkitehtuuria tai julkaisee uuden toiminnon.
Korjaa alikäsittelijöihin liittyvä heikko kohta
Yleisin TIA-puute ei ole puuttuvat SCC:t. Se on vanhentunut alikäsittelijätieto.
Pilvipalveluntarjoajat ja SaaS-alustat muuttavat usein palvelualueita, tukimalleja, telemetriaputkia, CDN-palveluja ja alihankkijoita. Jos TIA perustuu hankinnan aikana kerran ladattuun alikäsittelijäluetteloon, siitä tulee nopeasti epäluotettava.
Clarysecin Kolmansien osapuolten ja toimittajien tietoturvapolitiikka käsittelee tätä sopimusvaatimuksella:
Alihankkijoiden käyttö edellyttää etukäteistä kirjallista suostumusta
Osio ”Hallinnointivaatimukset”, politiikan kohta 5.3.5.
Clarysecin Laki- ja sääntelyvaatimusten noudattamisen politiikka tunnistaa ylläpidettävän oikeudellisen näytön:
Alikäsittelijäilmoitukset ja maantieteelliset tietosiirtoilmoitukset
Osio ”Politiikan toteutusvaatimukset”, politiikan kohta 6.3.1.2.
Vaatimus on lyhyt, mutta se erottaa usein uskottavan TIA:n puutteellisesta. Jos organisaatio ei pysty tuottamaan alikäsittelijäilmoituksia ja maantieteellisiä siirtoilmoituksia, se ei voi luotettavasti selittää edelleen siirtoja.
Zenith Blueprint lisää Controls in Action -vaiheen vaiheessa 23 operatiivisen odotuksen:
Tunnista jokaisen kriittisen toimittajan osalta, käyttävätkö he alihankkijoita (alikäsittelijöitä), jotka voivat päästä tietoihisi tai järjestelmiisi. Dokumentoi, miten tietoturvavaatimuksesi siirretään näille osapuolille joko toimittajasi sopimusehtojen tai omien suorien lausekkeidesi kautta.
Käytännössä tämä tarkoittaa, että korkean riskin toimittajilla tulee olla vuosittainen alikäsittelijäkatselmointi, muutosilmoitusprosessi, dokumentoitu hyväksyntätyönkulku ja riskin uudelleenarvioinnin laukaisin. DORA-relevanteissa palveluissa sama näyttö tukee myös alihankinnan ja keskittymäriskin analyysiä.
Tee täydentävistä toimenpiteistä täsmällisiä ja todennettavia
Täydentäviä toimenpiteitä ei tule koskaan dokumentoida yleisellä toteamuksella ”käytämme salausta”. Auditoijat ja yritysasiakkaat kysyvät, mitä salataan, missä salaus tehdään, kuka hallitsee avaimia, voivatko palveluntarjoajan henkilöt päästä selväkieliseen tietoon, sisältävätkö lokit henkilötietoja ja miten etuoikeutettu pääsy hyväksytään.
Vahva täydentävien toimenpiteiden paketti yhdistää tekniset, sopimusperusteiset, organisatoriset ja häiriönsietokykyä tukevat suojatoimet.
| Toimenpidetyyppi | Esimerkki | TIA-näyttö |
|---|---|---|
| Tekninen | Salaus siirron aikana, levossa olevien tietojen salaus, asiakkaan hallinnoimat avaimet, pseudonymisointi, tokenisointi, DLP, käytön lokitus | Arkkitehtuurikaavio, KMS-konfiguraatio, salauspolitiikka, lokinäytteet |
| Sopimusperusteinen | SCC:t, DPA, alikäsittelijöiden hyväksyntä, loukkausilmoitus, auditointioikeudet, tietojen palautus ja poistaminen | Allekirjoitetut sopimukset, lauseketarkistuslista, sopimuskartoitus |
| Organisatorinen | Siirtojen katselmointityönkulku, pääsyn hyväksynnät, henkilöstön koulutus, toimittajakatselmointien tiheys | TIA-menettely, käyttöoikeuskatselmointien tallenteet, koulutuslokit |
| Häiriönsietokyky | Varmuuskopiointi, palautus, exit-suunnitelma, vaihtoehtoisen palveluntarjoajan strategia, poikkeamaviestintä | Palautustesti, pilvipalvelun exit-suunnitelma, kriisiviestintäsuunnitelma |
Clarysecin Kryptografisten hallintakeinojen politiikka antaa ankkurin:
Salausta on sovellettava seuraaviin:
Osio ”Politiikan toteutusvaatimukset”, politiikan kohta 6.1.1.
TIA:ssa tämän politiikkakirjauksen tulee muuttua täsmälliseksi näytöksi. Salaus tulee kuvata henkilötiedoille, joita siirretään EU-järjestelmien ja kolmansissa maissa sijaitsevien pilvipalvelujen välillä, joita säilytetään pilvitallennuksessa ja jotka sisältyvät varmuuskopioihin. Avainten omistajuus tulee määritellä. Jos käytössä ovat asiakkaan hallinnoimat avaimet, TIA:n tulee selittää, voiko palveluntarjoaja päästä selväkieliseen tietoon, milloin tukipääsy sallitaan ja miten ylläpitäjäpääsy kirjataan lokiin.
Clarysecin Kolmansien osapuolten ja toimittajien tietoturvapolitiikka pk-yrityksille vahvistaa sijaintivarmennusta:
Kun toimittajia vaaditaan säilyttämään tietoja toimipaikan ulkopuolella, yrityksen on hankittava varmuus tietosuojasta, fyysisestä turvallisuudesta ja maantieteellisestä säilytyspaikasta (esim. vain EU:ssa tapahtuva isännöinti, kun GDPR sitä edellyttää).
Osio ”Politiikan toteutusvaatimukset”, politiikan kohta 6.2.4.
Sama pk-yrityspolitiikka tukee myös sopimusten kattavuutta:
Sopimusten on sisällettävä pakolliset lausekkeet, jotka kattavat:
Osio ”Hallinnointivaatimukset”, politiikan kohta 5.3.
TIA-arvioinneissa näiden pakollisten lausekkeiden tulee kattaa luottamuksellisuus, tietoturvatoimenpiteet, loukkausilmoitus, alikäsittelijät, auditointioikeudet, tietojen palautus, poistaminen, siirtomekanismit ja sijaintisitoumukset.
Rakenna auditointivalmis TIA-näyttöpaketti
Oletetaan, että eurooppalainen B2B SaaS -palveluntarjoaja käyttää yhdysvaltalaista analytiikka-alustaa. Alusta vastaanottaa asiakkaiden käyttötapahtumia, käyttäjätunnuksia, IP-osoitteita ja tukimetatietoja. Se tarjoaa EU-isännöinnin ja SCC:t, mutta tukihenkilöstö ETA-alueen ulkopuolelta voi päästä tukipyyntöihin, ja virhelokeja voi käsitellä kolmannessa maassa sijaitseva alikäsittelijä.
Käytännöllinen näyttöpaketti voidaan rakentaa kuudessa vaiheessa.
1. Luo siirtotallenne
Aloita Pilvipalvelujen käyttöpolitiikan edellyttämästä pilvipalvelurekisteristä. Lisää palveluomistaja, liiketoimintatarkoitus, tietoluokat, rekisteröidyt, rooli, isännöintialue, pääsymaat, tukisijainnit, alikäsittelijät, siirtomekanismi, täydentävät toimenpiteet, riskiluokitus ja seuraava katselmointipäivä.
Kirjaa analytiikka-alustan osalta, että tapahtumat isännöidään EU:ssa, tukipääsy voi tapahtua ETA-alueen ulkopuolelta ja virhevalvonta aiheuttaa edelleen siirron.
2. Liitä sopimusnäyttö
Liitä DPA, SCC:t tai muu siirtomekanismin näyttö, tietoturvaliite, poikkeamailmoitusehdot ja alikäsittelijäluettelo. Käytä Pilvipalvelujen käyttöpolitiikan kohtaa 4.5.2 näyttönä SCC:iden ja siirtomekanismien katselmoinnista. Käytä Kolmansien osapuolten ja toimittajien tietoturvapolitiikan kohtaa 5.3.5 näyttönä alikäsittelijän hyväksynnästä tai suostumuksesta.
Jos palveluntarjoajan osalta tukeudutaan EU-US Data Privacy Frameworkiin, kirjaa soveltamisala, sertifioinnin tila, palvelukattavuus ja varamekanismi. Älä oleta, että se kattaa jokaisen edelleen siirron.
3. Luo riskiskenaario
Lisää riski ISMS-riskirekisteriin:
”Analytiikka-alustan kautta käsiteltäviin EU:n henkilötietoihin voidaan päästä kolmannesta maasta palveluntarjoajan tuen tai alikäsittelijöiden toimesta, mikä aiheuttaa luottamuksellisuuteen sekä laki- ja sääntelyvaatimusten noudattamiseen liittyvän riskin.”
Määritä omistaja, todennäköisyys, vaikutus, luontainen riskitaso, riskienkäsittelysuunnitelma ja jäännösriskitaso. Linkitä riski GDPR:n V lukuun, asiakassitoumuksiin, ISO/IEC 27001:2022 -standardin pilvi- ja toimittajahallintakeinoihin, soveltuvin osin NIS2:n Article 21:een sekä finanssialan yhteyksissä DORA:n Articles 28, 29 ja 30:een.
Clarysecin Riskienhallintapolitiikka asettaa riskien käsittelylle kurinalaisuuden:
Riskivastaavan on varmistettava, että käsittelytoimet ovat realistisia, aikarajoitettuja ja kartoitettu ISO/IEC 27001 Annex A -kontrolleihin.
Osio ”Politiikan toteutusvaatimukset”, politiikan kohta 6.4.2.
4. Valitse täydentävät toimenpiteet
Analytiikka-alustan osalta toimenpiteitä voivat olla EU-isännöinti, minimoidut tapahtumahyötykuormat, pseudonyymit tunnisteet, salaus siirron aikana, levossa olevien tietojen salaus, rajoitettu tukipääsy, ylläpitäjien MFA, etuoikeutetun pääsyn lokitus, DLP-säännöt, jotka estävät arkaluonteiset kentät analytiikkatapahtumissa, alikäsittelijäilmoitusvelvoitteet ja vuosittainen näytön katselmointi.
Kartoita nämä toimenpiteet ISO/IEC 27002:2022 -kontrolleihin, kuten 5.14 tietojen siirto, 5.15 pääsynhallinta, 5.20 tietoturvan huomioon ottaminen toimittajasopimuksissa, 5.22 toimittajapalvelujen seuranta, katselmointi ja muutoksenhallinta, 5.23 pilvipalvelujen käytön tietoturva, 5.31 lakisääteiset, sääntelyyn perustuvat ja sopimusperusteiset vaatimukset, 5.34 yksityisyys ja henkilötietojen suoja, 8.11 tietojen maskaus, 8.12 tietovuodon estäminen, 8.16 seurantatoimet ja 8.24 kryptografian käyttö.
5. Määritä katselmoinnin laukaisimet
TIA ei ole valmis ennen kuin katselmoinnin laukaisimet on määritelty. Laukaisimia tulee olla uusi alikäsittelijä, uusi pääsymaa, uusi tietoluokka, tukimallin muutos, tietoturvapoikkeama, sopimuksen uusiminen, uusi kriittinen asiakasvaatimus, uusi DORA-luokittelu tai olennainen pilviarkkitehtuurin muutos.
Tässä ISO/IEC 27002:2022 -standardin kontrolli 5.22 muuttuu operatiiviseksi. Katselmoi SOC-raportit, ISO-sertifikaatit, penetraatiotestien yhteenvedot, palvelumuutosilmoitukset, poikkeamahistoria ja alikäsittelijäpäivitykset. Seuraa poikkeukset sulkemiseen asti.
6. Päivitä SoA ja näyttöindeksi
Merkitse soveltuvuuslausuntoon pilvi-, toimittaja-, laki-, tietosuoja-, kryptografia-, pääsynhallinta-, seuranta-, poikkeama- ja jatkuvuushallintakeinot sovellettaviksi. Lisää SoA-huomautuksia, kuten ”tukee analytiikka-alustan GDPR:n V luvun TIA:a”, ”tukee DORA:n ICT-kolmansien osapuolten sopimusnäyttöä” tai ”tukee NIS2:n toimitusketjun tietoturvanäyttöä”.
Tämä viimeinen indeksointivaihe muuttaa tietosuoja-arvioinnin auditointivalmiiksi vaatimustenmukaisuusnäytöksi.
Kartoita sama näyttö GDPR:ään, DORA:an, NIS2:een ja ISO 27001:een
Hyvin rakennettu TIA-näyttöpaketti täyttää useita auditointinäkökulmia ilman päällekkäistä dokumentaatiota.
| Haastealue | GDPR-vaatimus | DORA-vaatimus | NIS2-vaatimus | ISO/IEC 27001:2022 -näyttö |
|---|---|---|---|---|
| Kansainvälinen tietosiirto | V luvun siirtomekanismi ja TIA | Articles 28 ja 30, sijainti- ja sopimusnäyttö | Article 21 toimitusketjun tietoturva | 5.23 pilvirekisteri, 5.14 tietojen siirto, 5.31 lakisääteiset velvoitteet |
| Alikäsittelijöiden hallinta | Article 28(2) mukainen etukäteinen erityinen tai yleinen kirjallinen valtuutus | Article 29 alihankinta ja keskittymäriski | Article 21 toimittaja- ja palveluntarjoajariski | 5.20 sopimusvaatimusten siirtäminen alavirtaan, 5.21 ICT-toimitusketju, 5.22 seuranta |
| Täydentävät toimenpiteet | Article 32 käsittelyn turvallisuus | Article 9 suojaus ja ehkäisy | Article 21 kryptografia, pääsynhallinta ja kyberhygienia | 8.24 kryptografian käyttö, 5.15 pääsynhallinta, 8.16 seurantatoimet |
| Osoitusvelvollisuus ja hallinnointi | Article 5(2) vaatimustenmukaisuuden osoittaminen | Articles 5 ja 6 hallinnointi ja ICT-riskien hallinnan viitekehys | Article 20 johdon valvonta | Kohdat 5 ja 6, riskirekisteri, riskienkäsittelysuunnitelma, SoA |
| Poikkeama- ja häiriönsietokykynäyttö | Articles 33 ja 34 loukkausilmoitus soveltuvin osin | Poikkeamien raportointi, reagointi, palautuminen ja exit-odotukset | Article 23 merkittävien poikkeamien raportointi | Poikkeamien käsittelyohjeet, ilmoituslausekkeet, palautustestit, exit-suunnitelmat |
DORA on erityisen tärkeä, kun asiakas on finanssialan toimija tai palvelu tukee finanssialan ICT-ketjua. DORA:a sovelletaan 17. tammikuuta 2025 alkaen, ja se asettaa vaatimuksia ICT-riskien hallinnalle, poikkeamien raportoinnille, häiriönsietokyvyn testaukselle, tiedon jakamiselle ja ICT-kolmansien osapuolten riskille. Article 8 edellyttää ICT-omaisuuserien, tietovarojen ja riippuvuuksien tunnistamista ja luokittelua. Article 28 edellyttää ICT-kolmansien osapuolten riskien hallinnointia, tietorekistereitä, huolellisuutta ja exit-strategioita. Article 29 käsittelee ICT-keskittymä- ja alihankintariskiä. Article 30 edellyttää kirjallisia sopimuksia, joissa määritellään palvelukuvaukset, käsittelypaikat, tietosuoja, pääsy, palautuminen, tietojen palautus, poikkeama-avustus, yhteistyö viranomaisten kanssa, irtisanomisoikeudet, auditointioikeudet ja siirtymäjärjestelyt.
NIS2 lisää johdon vastuuvelvollisuutta. Article 20 edellyttää, että johtoelimet hyväksyvät kyberturvallisuusriskien hallintatoimenpiteet ja valvovat niitä. Article 21 edellyttää asianmukaisia ja oikeasuhtaisia teknisiä, operatiivisia ja organisatorisia toimenpiteitä, mukaan lukien riskipolitiikat, poikkeamien käsittely, liiketoiminnan jatkuvuus, toimitusketjun tietoturva, turvallinen hankinta ja kehittäminen, hallintakeinojen tehokkuuden arviointi, kyberhygienia, kryptografia, henkilöstöturvallisuus, pääsynhallinta, omaisuudenhallinta ja MFA soveltuvin osin.
Päällekkäisyys on selvä. TIA, joka tunnistaa alikäsittelijät, siirtosijainnit, täydentävät toimenpiteet, poikkeamavelvoitteet ja toimittajien seurannan, toimii myös näyttönä toimittajien häiriönsietokyvystä.
Miten auditoijat testaavat TIA:n
Eri auditoijat kysyvät eri kysymyksiä, mutta näytön tulee olla uudelleenkäytettävää.
| Auditoijan näkökulma | Todennäköinen auditointikysymys | Vahva näyttö |
|---|---|---|
| GDPR-tietosuoja-auditointi | Voitteko osoittaa siirtomekanismin, alikäsittelijöiden hallinnan ja täydentävät toimenpiteet? | TIA, SCC:t, DPA, alikäsittelijärekisteri, tietojen sijainti-ilmoitus, salaus- ja pääsynhallintanäyttö |
| ISO/IEC 27001:2022 -auditointi | Onko siirtoriski tunnistettu, käsitelty, hallittu ja sisällytetty SoA:han? | Riskirekisteri, riskienkäsittelysuunnitelma, SoA-huomautukset, pilvirekisteri, toimittajakatselmusten tallenteet |
| ISO/IEC 27701 -tietosuoja-auditointi | Toimivatko käsittelijävelvoitteet operatiivisesti pilvipalveluissa, joissa käsitellään henkilötietoja? | DPA-lausekkeet, rekisteröityjen pyyntöjen tuki, poistotyönkulku, poikkeamailmoitusprosessi |
| NIS2-valmiuskatselmointi | Hallitaanko toimittaja- ja pilviriskejä johdon hyväksymillä toimenpiteillä? | Toimittajan riskienarviointi, johdon katselmointi, kryptografiapolitiikka, poikkeama- ja jatkuvuustallenteet |
| DORA:n ICT-kolmansien osapuolten katselmointi | Ovatko ICT-sopimukset, alihankinta, sijainnit, seuranta ja exit-suunnitelmat hallinnassa? | ICT-sopimusrekisteri, Article 30 -lausekekartoitus, alihankkijakatselmointi, exit-testi |
| NIST CSF 2.0 -arviointi | Hallinnoidaanko ja parannetaanko oikeudellisia, sääntelyyn liittyviä, sopimusperusteisia ja toimittajariskejä? | Nykyprofiili ja tavoiteprofiili, puutesuunnitelma, toimittajien kriittisyys, riskivasteiden seuranta |
| COBIT 2019- tai ISACA-tyyppinen auditointi | Ovatko hallinnoinnin omistajuus, prosessin suorituskyky ja hallintakeinojen vastuut selkeitä? | RACI, politiikan omistajuus, KPI:t, KRI:t, asianhallinta, hallitusraportointi |
Zenith Controls tarjoaa näille alueille käytännön auditointimenetelmän. Pilvipalvelujen osalta auditoijat etsivät hyväksyttyjen pilvipalvelujen rekisteriä ja näyttöä siitä, että luvattomien pilvipalvelujen käyttöä seurataan. Toimittajasopimusten osalta auditoijat tekevät sopimusotantaa korkean riskin toimittajista ja validoivat luottamuksellisuuden, tietosuojan, loukkausilmoitusten määräajat, auditointioikeudet, alikäsittelijöiden hyväksynnän sekä tietojen palautuksen tai tuhoamisen. Toimittajien seurannan osalta auditoijat tarkastelevat katselmusten tallenteita, KPI-raportteja, toimittajasertifiointeja, SOC-raportteja, penetraatiotestien yhteenvetoja, poikkeuksia ja korjaavia toimenpiteitä.
Auditoinnin opetus on suoraviivainen: näytön on osoitettava toiminta ajan kuluessa. Kerran allekirjoitettu ja sen jälkeen katselmoimatta jätetty TIA ei täytä vakavasti otettavan pilvi-, toimittaja- tai häiriönsietokykytarkastelun vaatimuksia.
Käytä NIST CSF 2.0 -viitekehystä TIA-riskin selittämiseen johdolle
Hallitus ei yleensä halua keskustella yksityiskohtaisesti SCC-moduuleista tai pilvipalvelujen tukisijainneista. Se haluaa tietää, hallinnoidaanko riskiä, priorisoidaanko sitä ja paraneeko tilanne. NIST CSF 2.0 auttaa kääntämään TIA:n johdon kielelle toimintojen GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND ja RECOVER kautta.
TIA:n kannalta GOVERN-toiminto on erityisen hyödyllinen. Se sisältää oikeudelliset, sääntelyyn liittyvät ja sopimusperusteiset vaatimukset, riskinottohalukkuuden, roolit, politiikat, valvonnan ja toimittajien kyberturvallisuusriskien hallinnan. Laadi nykyprofiili, joka kuvaa tämänhetkisen tilan, kuten osittainen pilvirekisteri, SCC-tietovarasto, rajallinen alikäsittelijäkatselmointi ja puuttuva TIA-katselmointitiheys. Määritä sen jälkeen tavoiteprofiili, kuten täydellinen siirtoinventaario, riskiluokitellut alikäsittelijät, varmennetut siirtomekanismit, asiakkaan hallinnoimat avaimet korkean riskin tiedoille, neljännesvuosittaiset kriittisten toimittajien katselmoinnit, DORA-valmis sopimuskartoitus ja testatut pilvipalvelujen exit-suunnitelmat.
Puutesuunnitelmasta tulee käytännön tiekartta, jota johto voi rahoittaa ja seurata.
Clarysecin pilvipalvelujen TIA-tarkistuslista vuodelle 2026
Käytä tätä tarkistuslistaa testataksesi, onko tiedonsiirron vaikutustenarviointisi auditointivalmis:
- Ylläpidä pilvipalvelurekisteriä, jossa on omistaja, tarkoitus, tietoluokat, sijainnit, pääsymaat ja alikäsittelijät.
- Tunnista, onko kukin palvelu rekisterinpitäjä-, käsittelijä-, alikäsittelijä- vai itsenäinen palveluntarjoajasuhde.
- Liitä DPA, SCC:t tai muu siirtomekanismin näyttö toimittajatallenteeseen.
- Kirjaa EU-US Data Privacy Frameworkiin tukeutuminen vain, kun soveltamisala ja edelleen siirrot on varmennettu.
- Ylläpidä alikäsittelijäilmoituksia ja maantieteellisiä siirtoilmoituksia.
- Edellytä uusille alikäsittelijöille etukäteistä kirjallista suostumusta tai sopimusperusteista ilmoitusta riskin perusteella.
- Kartoita täydentävät toimenpiteet täsmällisiin teknisiin hallintakeinoihin, ei yleisluonteisiin lausumiin.
- Osoita salaus siirron aikana, levossa olevien tietojen salaus, avaintenhallinnan omistajuus ja etuoikeutetun pääsyn lokitus.
- Minimoi, pseudonymisoi tai maskaa henkilötiedot ennen siirtoa aina kun mahdollista.
- Määritä katselmoinnin laukaisimet uusille maille, uusille alikäsittelijöille, uusille tietoluokille, poikkeamille ja sopimusmuutoksille.
- Linkitä jokainen TIA-riski riskirekisteriin, riskienkäsittelysuunnitelmaan ja SoA:han.
- Katselmoi toimittajan näyttö säännöllisesti ja seuraa poikkeukset sulkemiseen asti.
- Sisällytä sopimuksiin poikkeamailmoitus, auditointioikeudet, tietojen palautus, poistaminen ja exit-velvoitteet.
- DORA-relevanteissa palveluissa kartoita sopimukset ICT-kolmansia osapuolia koskeviin vaatimuksiin, alihankintaan, sijainteihin, keskittymäriskiin ja exit-strategiaan.
- Raportoi korkean riskin siirtopäätökset johdolle osana ISMS-hallinnointia.
Muuta siirtoihin liittyvä epävarmuus auditointivalmiiksi näytöksi
InnovatePay voitti pankkisopimuksen, koska Maria lakkasi käsittelemästä TIA:a viime hetken oikeudellisena asiakirjana. Hänen tiiminsä rakensi pilvipalvelurekisterin, liitti mukaan SCC:t ja DPA:t, dokumentoi alikäsittelijät, kartoitti täydentävät toimenpiteet ISO/IEC 27001:2022 -kontrolleihin, päivitti riskirekisterin, lisäsi SoA-huomautukset ja loi seurantaa käynnistävät laukaisimet. Tuloksena ei ollut vain parempi vastaus kyselyyn. Tuloksena oli toistettava toimittajariskiprosessi.
Organisaatiosi voi tehdä samoin.
Aloita Zenith Blueprint: auditoijan 30 askeleen tiekartasta, jotta siirtoriskit voidaan kytkeä riskirekisteriin, riskienkäsittelysuunnitelmaan ja soveltuvuuslausuntoon. Käytä Zenith Controls: vaatimustenmukaisuuden poikkikehikkoista opasta kartoittamaan ISO/IEC 27002:2022 -standardin pilvi-, toimittajasopimus- ja toimittajaseurantakontrollit GDPR-, NIS2-, DORA-, NIST- ja auditointiodotuksiin. Vie näyttö käytäntöön Clarysecin politiikoilla, kuten Pilvipalvelujen käyttöpolitiikka, Kolmansien osapuolten ja toimittajien tietoturvapolitiikka, Laki- ja sääntelyvaatimusten noudattamisen politiikka, Riskienhallintapolitiikka, sekä soveltuvin osin pk-yritysversioilla.
Pilvipalvelun tiedonsiirron vaikutustenarvioinnin ei tule olla myynnin hätätilanne. Vuonna 2026 se on osa pilvipalvelujen hallinnointia, toimittajavarmennusta, tietosuojan osoitusvelvollisuutta ja operatiivista häiriönsietokykyä. Luottamuksen ansaitsevat ne organisaatiot, jotka pystyvät nopeasti osoittamaan, minne tiedot siirtyvät, kuka niitä käsittelee, mikä niitä suojaa ja miten riskiä hallitaan ajan kuluessa.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
