policy ISO 27701 PIMS Policy Pack

CCTV ja füüsilise seire privaatsuspoliitika

ISO/IEC 27701 CCTV-privaatsuspoliitika seire eesmärgi, seirest teavitavate siltide, juurdepääsu, säilitamise, avalikustamise, intsidentide ja tõendusmaterjali ohje jaoks.

Ülevaade

See poliitika määratleb privaatsuse kontrollimeetmed CCTV, külastajate seire, füüsilise juurdepääsu logide ja nendega seotud isikut tuvastava teabe jaoks. See nõuab heakskiidetud eesmärke, seirest teavitavaid silte, riski läbivaatamist, juurdepääsupiiranguid, säilitamise ja kustutamise kontrollimeetmeid, avalikustamise juhtimist, õiguste taotluste marsruutimist, intsidentide eskaleerimist ning PIMS-i tõendusmaterjali haldust.

Eesmärgipõhised seire kontrollimeetmed

Nõuab, et CCTV ja füüsilise seire tegevused oleksid enne aktiveerimist määratletud, heaks kiidetud ja dokumenteeritud.

Läbipaistva teavitamise tõendusmaterjal

Seob seirest teavitavad sildid ja õigeaegsed teated heakskiidetud töötlemise eesmärkide ning PIMS-i tõendusmaterjali kirjetega.

Juurdepääsu ja säilitamise juhtimine

Reguleerib seirega seotud isikut tuvastava teabe vaatamist, eksporti, avalikustamist, kustutamist, säilitamiskohustusi ja privilegeeritud juurdepääsu läbivaatamist.

Loe täielikku ülevaadet (click to expand)
CCTV ja füüsilise seire privaatsuspoliitika kehtestab privaatsuse kontrollimeetmed seiretegevuste jaoks, mille käigus kogutakse või muul viisil töödeldakse isikut tuvastavat teavet. Selle kohaldamisala hõlmab CCTV-d, videovalvet, külastajate seiret, füüsilise juurdepääsukontrolli logisid, valvetöötajate hallatavaid seirekirjeid, ruumide seiresüsteeme ja nendega seotud füüsilist seiret. Poliitikat kohaldatakse olukordades, kus organisatsioon tegutseb oma ruumide puhul isikut tuvastava teabe vastutava töötlejana, ning olukordades, kus ta toetab volitatud töötleja või alltöötleja tegevusi, käitades, majutades, läbi vaadates, säilitades, avalikustades, kustutades või muul viisil töödeldes seiresalvestisi, külastajaandmeid või füüsilise juurdepääsu logisid kliendi nimel. Poliitika eesmärk on tagada, et seire oleks eesmärgipärane, läbipaistev, proportsionaalne, juurdepääsukontrolliga kaitstud, kindlaksmääratud tähtaegade jooksul säilitatav, avalikustatav ainult heakskiidetud kanalite kaudu ning toetatud auditiks sobiva PIMS-i tõendusmaterjaliga. Enne seire alustamist peab protsessiomanik või ettevõtte omanik registreerima iga seiretegevuse REG02-s, sealhulgas eesmärgi, õigusliku aluse, jälgitava asukoha, isikut tuvastava teabe kategooriad, isikuandmesubjektide kategooriad, säilitamise, teavitamise, juurdepääsu ja avalikustamise väljad. Privaatsusvaldkonna juht / PIMS-i juht valideerib need kanded enne uue või oluliselt muudetud seiretegevuse aktiveerimist. Heakskiidetud jälgitavad tsoonid, välistatud tsoonid ja kogumise piirid tuleb samuti registreerida enne kaamerate, andurite, külastajalogi või juurdepääsukontrolli logimise lubamist. Poliitika pöörab suurt tähelepanu läbipaistvusele ja riskipõhisele läbivaatamisele. Seirest teavitavad sildid või samaväärne õigeaegse teate tõendusmaterjal tuleb REG07-s registreerida enne jälgitavate alade avamist isikuandmesubjektidele ning iga teade tuleb siduda vastava REG02 töötlemise eesmärgiga. Mitte-ilmse või hädaolukorra seire puhul tuleb registreerida alternatiivsed läbipaistvusmeetmed. Kõrgema riskiga seire, sealhulgas süstemaatiline seire, helisalvestus, biomeetriline tuvastamine, analüütikaga toetatud tuvastus, tundlikud asukohad, haavatavad isikud või mitte-ilmne seire, nõuab enne aktiveerimist REG04 privaatsusriski otsust. Kui seire on kõrge riskiga, mitte-ilmne, suuremahuline, töötajatele suunatud või seotud lahendamata õiguste taotluse või intsidendi eskaleerimisega, annab andmekaitseametnik / andmekaitsenõustaja nõu REG04-s või REG12-s. Operatiivsed kontrollimeetmed käsitlevad juurdepääsu, vaatamist, eksporti, avalikustamist, säilitamist, kustutamist ja intsidentide eskaleerimist. Infoturbe juht määratleb seiresalvestiste, külastajakirjete ja füüsilise juurdepääsu logide lubatud juurdepääsurollid, samal ajal kui süsteemiomanik / rakenduse omanik konfigureerib juurdepääsupiirangud ja registreerib privilegeeritud juurdepääsu läbivaatamise tulemused vähemalt kord kvartalis REG12-s. Aegunud seiresalvestiste rutiinne kustutamine, ülekirjutamine või keelamine tuleb konfigureerida REG02 kohaselt ning kustutamise või ülekirjutamise lõpetamise tõendusmaterjal tuleb automatiseeritud või ajastatud kustutamisega hõlmatud hoidlate puhul registreerida vähemalt kord kuus. Säilitamiskohustused ja väljavõetud koopiad nõuavad enne tavapärase säilitamise pikendamist heakskiitu ja registreerimist REG12-s. Välised avalikustamised registreeritakse REG08-s enne avalikustamist või REG10-s ühe tööpäeva jooksul, kui avalikustamine on osa aktiivsest intsidendihaldusest. Poliitika määratleb ka allhanke korras osutatavate seire- ja füüsilise turbe teenuste juhtimise. Allhanke korras kasutatavad seiresüsteemide pakkujad, valveteenuse osutajad, külastajahalduspakkujad ja füüsilise juurdepääsukontrolli pakkujad tuleb enne teenuse algust registreerida REG08-s, sealhulgas kohaldamisala, volitatud töötleja või alltöötleja staatus, juurdepääsuõigused, säilitamise tugi, kustutamise tugi, intsidendi eskaleerimine ja avalikustamispiirangud. Järelevalvet hoitakse kord kvartalis mõõdikute, iga-aastaste läbivaatamiste, audititestimise, erandite käsitlemise, mittevastavuste registreerimise, parandusmeetmete vastutuse ja vajaduse korral tippjuhtkonnale eskaleerimise kaudu. See loob tõendusmaterjalil põhineva raamistiku CCTV ja füüsilise seire privaatsuskohustuste haldamiseks nii vastutava töötleja kui ka volitatud töötleja kontekstis.

Poliitika diagramm

Protsessivooskeem, mis näitab CCTV ja füüsilise seire juhtimist: eesmärgi ja kohaldamisala määratlemine REG02-s, riski hindamine REG04-s, teavitamise tõendusmaterjali avaldamine REG07-s, juurdepääsu ja säilitamise kontrollimeetmete konfigureerimine, avalikustamiste ja teenuseosutajate haldamine REG08-s, õiguste taotluste marsruutimine REG06 kaudu, intsidentide eskaleerimine REG10-s ning läbivaatamiste, mõõdikute, erandite ja parandusmeetmete registreerimine REG12-s.

Klõpsake diagrammil, et vaadata seda täissuuruses

Sisu

CCTV ja füüsilise seire kohaldamisala

Seireregister, eesmärk ja heakskiitmine

Teavitamine, seirest teavitavad sildid ja läbipaistvuse tõendusmaterjal

Juurdepääsu, vaatamise, ekspordi ja avalikustamise kontrollimeetmed

Säilitamise, kustutamise ja väljavõetud koopiate käsitlemine

Õiguste taotluste marsruutimine, intsidentide eskaleerimine ja teenuseosutajate järelevalve

Raamistiku vastavus

🛡️ Toetatud standardid ja raamistikud

See toode on kooskõlas järgmiste vastavusraamistikkudega, üksikasjalike klauslite ja kontrolli kaardistustega.

Raamistik Kaetud klauslid / Kontrollid
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.3Annex A.1.2.6Annex A.1.2.9Annex A.1.2.7Annex A.1.2.8Annex A.1.3.2Annex A.1.3.6Annex A.1.3.7Annex A.1.3.10Annex A.1.4.2Annex A.1.4.3Annex A.1.4.5Annex A.1.4.8Annex A.1.4.9Annex A.1.5.4Annex A.1.5.5Annex A.2.2.2Annex A.2.2.3Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.3.14Annex A.3.25
EU GDPR
Article 5(1)(a)Article 5(1)(b)Article 5(1)(c)Article 5(1)(e)Article 5(2)Article 6Article 12Article 13Article 14Article 15Article 16Article 17Article 18Article 21Article 24Article 26Article 28Article 30Article 32Article 35Article 39
ISO/IEC 29100:2020
Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.8Clause 5.9Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29134:2020
Clause 5.1Clause 6.2
ISO/IEC 29151:2022
Annex A.3Annex A.4Annex A.5Annex A.7Annex A.10Clause 9.2.3Clause 9.4.2Clause 11.1.3
ISO/IEC 27002:2022
Controls 5.34Controls 7.2Controls 7.4Controls 8.2Controls 8.3Controls 8.15

Seotud poliitikad

Töötlemise registri ja õigusliku aluse poliitika

Seiretegevused tuleb REG02-s registreerida koos eesmärgi, õigusliku aluse, asukoha, isikut tuvastava teabe kategooriate, säilitamise, juurdepääsu ja avalikustamise üksikasjadega.

Privaatsusteate ja läbipaistvuse poliitika

CCTV ja füüsiline seire nõuavad seirest teavitavaid silte, õigeaegse teate tõendusmaterjali ning teadete ja töötlemise eesmärkide vahelist seost.

Andmesubjekti õiguste halduse poliitika

Seiresalvestisi, külastajaandmeid või füüsilise juurdepääsu logisid hõlmavad taotlused suunatakse õiguste protsessi alusel REG06 kaudu.

Privaatsusriski hindamise ja DPIA poliitika

Kõrgema riskiga seire käivitab REG04 privaatsusriski otsused ning vajaduse korral DPIA-ga seotud läbivaatamise enne aktiveerimist.

Säilitamise, kustutamise ja kõrvaldamise poliitika

Seirehoidlad nõuavad määratletud säilitamist, rutiinset kustutamist või ülekirjutamist, kustutamise tõendusmaterjali ja kontrollitud säilitamiskohustusi.

Turbe- ja juurdepääsukontrolli poliitika

Seiresüsteemid sõltuvad heakskiidetud juurdepääsurollidest, juurdepääsupiirangutest, privilegeeritud juurdepääsu läbivaatamistest, logimisest ja ohjemeetmetest.

Claryseci poliitikate kohta - CCTV ja füüsilise seire privaatsuspoliitika

See poliitika annab operatiivse privaatsusraamistiku CCTV ja füüsilise seire tegevuste jaoks, mille käigus töödeldakse isikut tuvastavat teavet. See määratleb, kuidas seire eesmärgid, õiguslik alus, asukohad, teavitamise tõendusmaterjal, juurdepääsurollid, avalikustamise piirid, säilitustähtajad, kustutamise kontrollimeetmed, teenuseosutajate tõendusmaterjal, intsidentide eskaleerimine ja läbivaatamistegevus dokumenteeritakse REG02, REG04, REG06, REG07, REG08, REG10 ja REG12 kaudu. Poliitikat kohaldatakse organisatsiooni enda ruumidega seotud vastutava töötleja tegevustele ning volitatud töötleja või alltöötleja tugitegevustele, mis hõlmavad kliendi seiresalvestisi, külastajakirjeid või füüsilise juurdepääsu logisid.

Määratletud seire kohaldamisala

Hõlmab CCTV-d, külastajate seiret, juurdepääsulogisid, valvetöötajate kirjeid, ruumide süsteeme ja seirega seotud isikut tuvastavat teavet.

Riskipõhine aktiveerimine

Nõuab REG04 läbivaatamist enne kõrge riskiga, mitte-ilmse, heli-, biomeetrilise, analüütikaga või tundliku seire alustamist.

Vastutava töötleja ja volitatud töötleja kasutus

Kohaldub oma ruumide seirele ning kliendi juhise alusel osutatavale toele seiresalvestiste, külastajaandmete ja juurdepääsulogide puhul.

Auditiks sobiv tõendusmaterjali mudel

Kasutab REG02, REG04, REG06, REG07, REG08, REG10 ja REG12 kirjete, läbivaatamiste, intsidentide ja järelevalve jaoks.

Korduma kippuvad küsimused

Loodud juhtidele, juhtide poolt

Selle poliitika on koostanud turbejuht, kellel on üle 25 aasta kogemust ISMS-raamistike juurutamisel ja auditeerimisel globaalsetes organisatsioonides. See ei ole mõeldud vaid dokumendina, vaid kaitstava raamistikuna, mis peab vastu audiitori kontrollile.

Koostanud ekspert järgmiste kvalifikatsioonidega:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Katvus ja teemad

🏢 Sihtosakond

Privaatsus Õigus Vastavus IT-turve Andmekaitseametniku büroo

🏷️ Temaatiline katvus

Privaatsusteabe haldus isikuandmete töötlemine privaatsuse mõjuhindamine töötlemistoimingute kirjed andmesubjekti õiguste haldus andmete säilitamine ja kõrvaldamine kolmandate osapoolte haldus
€49

Ühekordne ost

Kohene allalaadimine
Eluaegsed uuendused

See poliitika on 1 25-st täielikus ISO/IEC 27701 PIMS-paketis

Säästke 52%

Hankige kõik 25 PIMS-poliitikat, täielik registrikomplekt ja üksikasjalik rakenduskava hinnaga €799 üksikult ostetava €1 675 asemel.

Vaata täielikku 27701 paketti →
CCTV and Physical Monitoring Privacy Policy

Toote üksikasjad

Tüüp: policy
Kategooria: ISO 27701 PIMS Policy Pack
Standardid: 6