policy ISO 27701 PIMS Policy Pack

Kameravalvonnan ja fyysisen valvonnan tietosuojapolitiikka

ISO/IEC 27701 -standardin mukainen kameravalvonnan tietosuojapolitiikka valvonnan tarkoitusta, valvontakylttejä, pääsyä, säilytystä, luovutusta, poikkeamia ja todentavan aineiston hallintaa varten.

Yleiskatsaus

Tämä politiikka määrittää tietosuojakontrollit kameravalvonnalle, vierailijoiden valvonnalle, fyysisen pääsyn lokeille ja niihin liittyville valvonnan henkilötiedoille. Se edellyttää hyväksyttyjä tarkoituksia, valvontakylttejä, riskikatselmointia, pääsyrajoituksia, säilytys- ja poistokontrolleja, luovutusten hallinnointia, rekisteröityjen oikeuksia koskevien pyyntöjen ohjausta, poikkeamien eskalointia ja PIMS:n todentavan aineiston hallintaa.

Tarkoitussidonnaiset valvontakontrollit

Edellyttää, että kameravalvonta ja fyysinen valvonta määritellään, hyväksytään ja dokumentoidaan ennen käyttöönottoa.

Läpinäkyvä ilmoitusnäyttö

Yhdistää valvontakyltit ja oikea-aikaiset ilmoitukset hyväksyttyihin käsittelytarkoituksiin ja PIMS:n todentavan aineiston kirjauksiin.

Pääsyn ja säilytyksen hallinnointi

Kontrolloi valvontaan liittyvien henkilötietojen katselua, vientiä, luovutusta, poistamista, säilytysvelvoitteita ja etuoikeutettujen käyttöoikeuksien katselmointia.

Lue koko yleiskatsaus (click to expand)
Kameravalvonnan ja fyysisen valvonnan tietosuojapolitiikka määrittää tietosuojakontrollit valvontatoimille, joissa kerätään tai muutoin käsitellään henkilötietoja. Sen soveltamisala kattaa kameravalvonnan, videovalvonnan, vierailijoiden valvonnan, fyysisen pääsynhallinnan lokit, vartioinnin tuottamat valvontakirjaukset, toimitilojen valvontajärjestelmät ja niihin liittyvän fyysisen valvonnan. Politiikkaa sovelletaan tilanteissa, joissa organisaatio toimii rekisterinpitäjänä omissa toimitiloissaan, sekä tilanteissa, joissa se tukee henkilötietojen käsittelijän tai alikäsittelijän toimintoja käyttämällä, ylläpitämällä, katselmoimalla, säilyttämällä, luovuttamalla, poistamalla tai muutoin käsittelemällä asiakkaan puolesta valvontatallenteita, vierailijatietoja tai fyysisen pääsyn lokeja. Politiikan tarkoituksena on varmistaa, että valvonta on tarkoitussidonnaista, läpinäkyvää, oikeasuhtaista, pääsynhallinnalla suojattua, määritellyn ajan säilytettävää, vain hyväksyttyjen kanavien kautta luovutettavaa ja auditoitavissa olevalla PIMS:n todentavalla aineistolla tuettua. Ennen valvonnan aloittamista prosessin omistajan tai liiketoimintavastaavan tulee kirjata kukin valvontatoimi REG02:een, mukaan lukien tarkoitus, oikeusperuste, valvottu sijainti, henkilötietoluokat, rekisteröityjen ryhmät, säilytys, ilmoitus, pääsy ja luovutuskentät. Tietosuojavastaava / PIMS-päällikkö validoi nämä kirjaukset ennen uuden tai olennaisesti muuttuneen valvontatoimen käyttöönottoa. Hyväksytyt valvontavyöhykkeet, poissuljetut vyöhykkeet ja keruun rajat tulee myös kirjata ennen kameroiden, anturien, vierailijalokien tai pääsynhallinnan lokituksen käyttöönottoa. Politiikka painottaa läpinäkyvyyttä ja riskiperusteista katselmointia. Valvontakyltit tai vastaava oikea-aikainen ilmoitusnäyttö tulee kirjata REG07:ään ennen kuin valvotut alueet avataan rekisteröidyille, ja jokainen ilmoitus tulee yhdistää vastaavaan REG02:n käsittelytarkoitukseen. Vaihtoehtoiset läpinäkyvyystoimet tulee kirjata ei-ilmeistä tai hätätilanteessa tehtävää valvontaa varten. Korkeamman riskin valvonta, mukaan lukien järjestelmällinen valvonta, äänitallennus, biometrinen tunnistaminen, analytiikkaan perustuva havaitseminen, arkaluonteiset sijainnit, haavoittuvassa asemassa olevat henkilöt tai ei-ilmeinen valvonta, edellyttää REG04-tietosuojariskipäätöstä ennen käyttöönottoa. Kun valvonta on korkeariskistä, ei-ilmeistä, laajamittaista, työntekijöihin kohdistuvaa tai siihen liittyy ratkaisemattomia rekisteröidyn oikeuksia koskevia pyyntöjä tai poikkeamaeskalointia, tietosuojavastaava / tietosuojaneuvonantaja antaa neuvoja REG04:ssä tai REG12:ssa. Operatiiviset kontrollit koskevat pääsyä, katselua, vientiä, luovutusta, säilytystä, poistamista ja poikkeamien eskalointia. Tietoturvavastaava määrittää valtuutetut pääsyroolit valvontatallenteille, vierailijatallenteille ja fyysisen pääsyn lokeille, ja järjestelmäomistaja / sovellusomistaja konfiguroi pääsyrajoitukset sekä kirjaa etuoikeutettujen käyttöoikeuksien katselmoinnin tulokset vähintään neljännesvuosittain REG12:een. Vanhentuneiden valvontatallenteiden rutiininomainen poistaminen, ylikirjoittaminen tai poistaminen käytöstä tulee konfiguroida REG02:n mukaisesti, ja poistamisen tai ylikirjoittamisen valmistumisnäyttö kirjataan vähintään kuukausittain tietovarastoista, joihin sovelletaan automatisoitua tai aikataulutettua poistamista. Säilytysvelvoitteet ja poimitut kopiot edellyttävät hyväksyntää ja kirjausta REG12:een ennen normaalin säilytysajan pidentämistä. Ulkoiset luovutukset kirjataan REG08:aan ennen luovutusta tai REG10:een yhden työpäivän kuluessa, kun luovutus on osa aktiivista tietoturvapoikkeamiin reagointia. Politiikka määrittää myös hallinnointivaatimukset ulkoistetuille valvonta- ja fyysisen turvallisuuden palveluille. Ulkoistetut valvontajärjestelmätoimittajat, vartiointipalvelujen tarjoajat, vierailijahallinnan tarjoajat ja fyysisen pääsynhallinnan tarjoajat tulee kirjata REG08:aan ennen palvelun aloittamista, mukaan lukien soveltamisala, henkilötietojen käsittelijän tai alikäsittelijän asema, pääsyoikeudet, säilytyksen tuki, poistamisen tuki, poikkeamien eskalointi ja luovutusrajoitukset. Valvontaa ylläpidetään neljännesvuosittaisten mittareiden, vuosittaisten katselmointien, auditointitestauksen, poikkeusten käsittelyn, poikkeamien kirjaamisen, korjaavien toimenpiteiden omistajuuden ja tarvittaessa ylimmälle johdolle tehtävän eskaloinnin avulla. Tämä muodostaa näyttöön perustuvan viitekehyksen kameravalvonnan ja fyysisen valvonnan tietosuojavelvoitteiden hallintaan rekisterinpitäjän ja henkilötietojen käsittelijän konteksteissa.

Käytäntökaavio

Prosessikaavio, joka esittää kameravalvonnan ja fyysisen valvonnan hallinnoinnin: tarkoituksen ja soveltamisalan määrittäminen REG02:ssa, riskin arviointi REG04:ssä, ilmoitusnäytön julkaiseminen REG07:ssä, pääsy- ja säilytyskontrollien konfigurointi, luovutusten ja palveluntarjoajien hallinta REG08:ssa, rekisteröidyn oikeuksia koskevien pyyntöjen ohjaus REG06:n kautta, poikkeamien eskalointi REG10:ssä sekä katselmointien, mittareiden, poikkeusten ja korjaavien toimenpiteiden kirjaaminen REG12:ssa.

Napsauta kaaviota nähdäksesi sen täydessä koossa

Sisältö

Kameravalvonnan ja fyysisen valvonnan soveltamisala

Valvonnan luettelo, tarkoitus ja hyväksyntä

Ilmoitus, valvontakyltit ja läpinäkyvyysnäyttö

Pääsyn, katselun, viennin ja luovutuksen kontrollit

Säilytys, poistaminen ja poimittujen kopioiden käsittely

Rekisteröidyn oikeuksia koskevien pyyntöjen ohjaus, poikkeamien eskalointi ja palveluntarjoajien valvonta

Kehysmääräysten noudattaminen

🛡️ Tuetut standardit ja kehykset

Tämä tuote on linjassa seuraavien vaatimustenmukaisuuskehysten kanssa, yksityiskohtaisilla lauseke- ja valvontamappingeillä.

Kehys Katetut lausekkeet / Kontrollit
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.3Annex A.1.2.6Annex A.1.2.9Annex A.1.2.7Annex A.1.2.8Annex A.1.3.2Annex A.1.3.6Annex A.1.3.7Annex A.1.3.10Annex A.1.4.2Annex A.1.4.3Annex A.1.4.5Annex A.1.4.8Annex A.1.4.9Annex A.1.5.4Annex A.1.5.5Annex A.2.2.2Annex A.2.2.3Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.3.14Annex A.3.25
EU GDPR
Article 5(1)(a)Article 5(1)(b)Article 5(1)(c)Article 5(1)(e)Article 5(2)Article 6Article 12Article 13Article 14Article 15Article 16Article 17Article 18Article 21Article 24Article 26Article 28Article 30Article 32Article 35Article 39
ISO/IEC 29100:2020
Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.8Clause 5.9Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29134:2020
Clause 5.1Clause 6.2
ISO/IEC 29151:2022
Annex A.3Annex A.4Annex A.5Annex A.7Annex A.10Clause 9.2.3Clause 9.4.2Clause 11.1.3
ISO/IEC 27002:2022
Controls 5.34Controls 7.2Controls 7.4Controls 8.2Controls 8.3Controls 8.15

Liittyvät käytännöt

Käsittelytoimien luettelon ja oikeusperusteen politiikka

Valvontatoimet tulee kirjata REG02:een tarkoituksen, oikeusperusteen, sijainnin, henkilötietoluokkien, säilytyksen, pääsyn ja luovutustietojen kanssa.

Tietosuojaseloste- ja läpinäkyvyyspolitiikka

Kameravalvonta ja fyysinen valvonta edellyttävät valvontakylttejä, oikea-aikaista ilmoitusnäyttöä sekä yhteyttä ilmoitusten ja käsittelytarkoitusten välillä.

Rekisteröityjen oikeuksien hallintapolitiikka

Pyynnöt, jotka koskevat valvontatallenteita, vierailijatietoja tai fyysisen pääsyn lokeja, ohjataan REG06:n kautta rekisteröidyn oikeuksia koskevan prosessin mukaisesti.

Tietosuojariskien arviointi- ja DPIA-politiikka

Korkeamman riskin valvonta käynnistää REG04-tietosuojariskipäätökset ja tarvittaessa DPIA:han liittyvän katselmoinnin ennen käyttöönottoa.

Säilytys-, poisto- ja hävityspolitiikka

Valvontatietovarastot edellyttävät määriteltyä säilytystä, rutiininomaista poistamista tai ylikirjoittamista, poistamista koskevaa näyttöä ja hallittuja säilytysvelvoitteita.

Tietoturva- ja pääsynhallintapolitiikka

Valvontajärjestelmät perustuvat hyväksyttyihin pääsyrooleihin, pääsyrajoituksiin, etuoikeutettujen käyttöoikeuksien katselmointeihin, lokitukseen ja rajaamistoimiin.

Tietoa Clarysecin käytännöistä - Kameravalvonnan ja fyysisen valvonnan tietosuojapolitiikka

Tämä politiikka tarjoaa operatiivisen tietosuojakehyksen kameravalvonnalle ja fyysisen valvonnan toimille, joissa käsitellään henkilötietoja. Se määrittää, miten valvonnan tarkoitukset, oikeusperuste, sijainnit, ilmoitusnäyttö, pääsyroolit, luovutusten rajat, säilytysajat, poistokontrollit, palveluntarjoajia koskeva todentava aineisto, poikkeamien eskalointi ja katselmointitoiminta dokumentoidaan REG02:ssa, REG04:ssä, REG06:ssa, REG07:ssä, REG08:ssa, REG10:ssä ja REG12:ssa. Politiikkaa sovelletaan organisaation omia toimitiloja koskeviin rekisterinpitäjän toimintoihin sekä henkilötietojen käsittelijän tai alikäsittelijän tukitoimintoihin, jotka koskevat asiakkaan valvontatallenteita, vierailijatallenteita tai fyysisen pääsyn lokeja.

Määritelty valvonnan soveltamisala

Kattaa kameravalvonnan, vierailijoiden valvonnan, käyttölokit, vartioinnin kirjaukset, toimitilojen järjestelmät ja niihin liittyvät valvonnan henkilötiedot.

Riskiperusteinen käyttöönotto

Edellyttää REG04-katselmointia ennen korkeariskisen, ei-ilmeisen, ääntä käyttävän, biometrisen, analytiikkaan perustuvan tai arkaluonteisen valvonnan aloittamista.

Rekisterinpitäjän ja henkilötietojen käsittelijän käyttö

Sovelletaan omien toimitilojen valvontaan sekä asiakkaan ohjeistamaan tukeen, joka koskee tallenteita, vierailijatietoja ja käyttölokeja.

Auditoitavissa oleva näyttömalli

Käyttää REG02:ta, REG04:ää, REG06:ta, REG07:ää, REG08:aa, REG10:tä ja REG12:ta tallenteisiin, katselmointeihin, poikkeamiin ja valvontaan.

Usein kysytyt kysymykset

Suunniteltu johtajille, johtajien toimesta

Tämän käytännön on laatinut tietoturvajohtaja, jolla on yli 25 vuoden kokemus ISMS-viitekehysten käyttöönotosta ja auditoinnista globaaleissa organisaatioissa. Se ei ole pelkkä asiakirja, vaan puolustettava viitekehys, joka kestää auditorin tarkastelun.

Laatinut asiantuntija, jolla on seuraavat pätevyydet:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Kattavuus & Aiheet

🏢 Kohdeosastot

Tietosuoja Lakiasiat Vaatimustenmukaisuus IT-tietoturva Tietosuojavastaavan toimisto

🏷️ Aiheen kattavuus

Henkilötietojen hallinta Henkilötietojen käsittely Tietosuojaa koskeva vaikutustenarviointi Käsittelytoimien tallenteet Rekisteröityjen oikeuksien hallinta Tietojen säilytys ja hävitys Kolmansien osapuolten hallinta
€49

Kertaosto

Välitön lataus
Elinikäiset päivitykset

Tämä käytäntö on 1/25 täydellisessä ISO/IEC 27701 PIMS -paketissa

Säästä 52%

Hanki kaikki 25 PIMS-käytäntöä, täydellinen rekisterisarja ja yksityiskohtainen toteutussuunnitelma hintaan €799 erikseen ostettujen €1 675 sijaan.

Katso täydellinen 27701-paketti →
CCTV and Physical Monitoring Privacy Policy

Tuotetiedot

Tyyppi: policy
Luokka: ISO 27701 PIMS Policy Pack
Standardit: 6