policy ISO 27701 PIMS Policy Pack

CCTV ir fizinės stebėsenos privatumo politika

ISO/IEC 27701 CCTV privatumo politika dėl stebėsenos tikslo, informacinių ženklų, prieigos, saugojimo, atskleidimo, incidentų ir įrodymų kontrolės.

Apžvalga

Ši politika apibrėžia privatumo kontrolės priemones CCTV, lankytojų stebėsenai, fizinės prieigos žurnalams ir susijusiai stebėsenos PII. Joje reikalaujama patvirtintų tikslų, informacinių ženklų, rizikos peržiūros, prieigos apribojimų, saugojimo ir ištrynimo kontrolės priemonių, atskleidimo valdysenos, prašymų įgyvendinti teises nukreipimo, incidentų eskalavimo ir PIMS įrodymų valdymo.

Tikslingos stebėsenos kontrolės priemonės

Reikalaujama, kad CCTV ir fizinės stebėsenos veiklos būtų apibrėžtos, patvirtintos ir dokumentuotos prieš aktyvavimą.

Skaidraus informavimo įrodymai

Susieja stebėjimo informacinius ženklus ir pranešimus tinkamu momentu su patvirtintais tvarkymo tikslais ir PIMS įrodymų įrašais.

Prieigos ir saugojimo valdysena

Kontroliuoja stebėsenos PII peržiūrą, eksportą, atskleidimą, ištrynimą, saugojimo sulaikymus ir privilegijuotos prieigos peržiūrą.

Skaityti visą apžvalgą (click to expand)
CCTV ir fizinės stebėsenos privatumo politika nustato privatumo kontrolės priemones stebėsenos veikloms, kuriomis renkama arba kitaip tvarkoma PII. Jos taikymo sritis apima CCTV, vaizdo stebėseną, lankytojų stebėseną, fizinės prieigos kontrolės žurnalus, apsaugos darbuotojų vykdomos stebėsenos įrašus, patalpų stebėsenos sistemas ir susijusią fizinę stebėseną. Politika taikoma, kai organizacija veikia kaip PII duomenų valdytojas savo patalpų atžvilgiu ir kai ji palaiko duomenų tvarkytojo arba subtvarkytojo veiklas, kliento vardu eksploatuodama, talpindama, peržiūrėdama, saugodama, atskleisdama, ištrindama arba kitaip tvarkydama vaizdo stebėjimo įrašus, lankytojų duomenis arba fizinės prieigos žurnalus. Politika skirta užtikrinti, kad stebėsena būtų tikslinga, skaidri, proporcinga, kontroliuojama prieigos priemonėmis, saugoma nustatytais laikotarpiais, atskleidžiama tik patvirtintais kanalais ir pagrindžiama audituojamais PIMS įrodymais. Prieš pradedant stebėseną, procesų savininkas arba verslo savininkas turi užregistruoti kiekvieną stebėsenos veiklą REG02, įskaitant tikslą, teisinį pagrindą, stebimą vietą, PII kategorijas, duomenų subjektų kategorijas, saugojimo, pranešimo, prieigos ir atskleidimo laukus. Privatumo vadovas / PIMS vadovas patvirtina šiuos įrašus prieš naujos arba iš esmės pakeistos stebėsenos veiklos aktyvavimą. Patvirtintos stebimos zonos, neįtrauktos zonos ir rinkimo ribos taip pat turi būti užregistruotos prieš įjungiant kameras, jutiklius, lankytojų žurnalus arba prieigos kontrolės žurnalavimą. Politikoje daug dėmesio skiriama skaidrumui ir rizika grindžiamai peržiūrai. Stebėjimo informacinių ženklų arba lygiaverčių pranešimų tinkamu momentu įrodymai turi būti užregistruoti REG07 prieš atveriant stebimas zonas duomenų subjektams, o kiekvienas pranešimas turi būti susietas su atitinkamu REG02 tvarkymo tikslu. Alternatyvios skaidrumo priemonės turi būti užregistruotos neakivaizdžios arba avarinės stebėsenos atvejais. Didesnės rizikos stebėsena, įskaitant sistemingą stebėseną, garso įrašymą, biometrinį identifikavimą, analitika grindžiamą aptikimą, jautrias vietas, pažeidžiamus asmenis arba neakivaizdžią stebėseną, prieš aktyvavimą reikalauja REG04 privatumo rizikos sprendimo. Kai stebėsena yra didelės rizikos, neakivaizdi, didelio masto, nukreipta į darbuotojus arba susijusi su neišspręstu prašymų įgyvendinti teises ar incidentų eskalavimu, duomenų apsaugos pareigūnas / privatumo konsultantas teikia konsultaciją REG04 arba REG12. Operacinės kontrolės priemonės apima prieigą, peržiūrą, eksportą, atskleidimą, saugojimą, ištrynimą ir incidentų eskalavimą. Informacijos saugumo vadovas apibrėžia autorizuotus prieigos vaidmenis stebėsenos įrašams, lankytojų įrašams ir fizinės prieigos žurnalams, o sistemos savininkas / taikomosios programos savininkas sukonfigūruoja prieigos apribojimus ir bent kartą per ketvirtį REG12 užregistruoja privilegijuotos prieigos peržiūros rezultatus. Įprastinis nebegaliojančių stebėsenos įrašų ištrynimas, perrašymas arba išjungimas turi būti sukonfigūruotas pagal REG02, o ištrynimo arba perrašymo užbaigimo įrodymai saugykloms, kurioms taikomas automatizuotas arba suplanuotas ištrynimas, turi būti registruojami bent kartą per mėnesį. Saugojimo sulaikymai ir ištrauktos kopijos prieš pratęsiant įprastą saugojimą turi būti patvirtinti ir užregistruoti REG12. Išoriniai atskleidimai užregistruojami REG08 prieš atskleidimą arba REG10 per vieną darbo dieną, kai atskleidimas yra aktyvaus reagavimo į incidentus dalis. Politikoje taip pat apibrėžiama išorės stebėsenos ir fizinio saugumo paslaugų valdysena. Išorės stebėsenos sistemų paslaugų teikėjai, apsaugos paslaugų teikėjai, lankytojų valdymo paslaugų teikėjai ir fizinės prieigos kontrolės paslaugų teikėjai turi būti užregistruoti REG08 prieš paslaugos pradžią, įskaitant taikymo sritį, duomenų tvarkytojo arba subtvarkytojo statusą, prieigos leidimus, saugojimo palaikymą, ištrynimo palaikymą, incidentų eskalavimą ir atskleidimo apribojimus. Priežiūra palaikoma taikant ketvirtinius rodiklius, metines peržiūras, audito testavimą, išimčių tvarkymą, neatitikčių registravimą, korekcinių veiksmų savininkystę ir eskalavimą aukščiausiajai vadovybei, kai to reikia. Taip sukuriama įrodymais grindžiama sistema CCTV ir fizinės stebėsenos privatumo įpareigojimams valdyti duomenų valdytojo ir duomenų tvarkytojo kontekstuose.

Politikos diagrama

Proceso srauto diagrama, rodanti CCTV ir fizinės stebėsenos valdyseną: tikslo ir taikymo srities apibrėžimas REG02, rizikos vertinimas REG04, pranešimų įrodymų paskelbimas REG07, prieigos ir saugojimo kontrolės priemonių konfigūravimas, atskleidimų ir paslaugų teikėjų valdymas REG08, prašymų įgyvendinti teises nukreipimas per REG06, incidentų eskalavimas REG10 ir peržiūrų, rodiklių, išimčių bei korekcinių veiksmų registravimas REG12.

Spustelėkite diagramą, kad peržiūrėtumėte visu dydžiu

Turinys

CCTV ir fizinės stebėsenos taikymo sritis

Stebėsenos apskaita, tikslas ir patvirtinimas

Pranešimo, informacinių ženklų ir skaidrumo įrodymai

Prieigos, peržiūros, eksporto ir atskleidimo kontrolės priemonės

Saugojimo, ištrynimo ir ištrauktų kopijų tvarkymas

Prašymų įgyvendinti teises nukreipimas, incidentų eskalavimas ir paslaugų teikėjų priežiūra

Sistemos atitiktis

🛡️ Palaikomi standartai ir sistemos

Šis produktas yra suderintas su šiomis atitikties sistemomis su išsamiu sąlygų ir kontrolės susiejimu.

Sistema Aptariamos sąlygos / Kontrolės
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.3Annex A.1.2.6Annex A.1.2.9Annex A.1.2.7Annex A.1.2.8Annex A.1.3.2Annex A.1.3.6Annex A.1.3.7Annex A.1.3.10Annex A.1.4.2Annex A.1.4.3Annex A.1.4.5Annex A.1.4.8Annex A.1.4.9Annex A.1.5.4Annex A.1.5.5Annex A.2.2.2Annex A.2.2.3Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.3.14Annex A.3.25
EU GDPR
Article 5(1)(a)Article 5(1)(b)Article 5(1)(c)Article 5(1)(e)Article 5(2)Article 6Article 12Article 13Article 14Article 15Article 16Article 17Article 18Article 21Article 24Article 26Article 28Article 30Article 32Article 35Article 39
ISO/IEC 29100:2020
Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.8Clause 5.9Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29134:2020
Clause 5.1Clause 6.2
ISO/IEC 29151:2022
Annex A.3Annex A.4Annex A.5Annex A.7Annex A.10Clause 9.2.3Clause 9.4.2Clause 11.1.3
ISO/IEC 27002:2022
Controls 5.34Controls 7.2Controls 7.4Controls 8.2Controls 8.3Controls 8.15

Susijusios politikos

Tvarkymo veiklos apskaitos ir teisinio pagrindo politika

Stebėsenos veiklos turi būti užregistruotos REG02, nurodant tikslą, teisinį pagrindą, vietą, PII kategorijas, saugojimo, prieigos ir atskleidimo informaciją.

Privatumo pranešimų ir skaidrumo politika

CCTV ir fizinei stebėsenai reikalingi informaciniai ženklai, pranešimų tinkamu momentu įrodymai ir sąsajos tarp pranešimų bei tvarkymo tikslų.

Duomenų subjektų teisių valdymo politika

Prašymai, susiję su vaizdo stebėjimo įrašais, lankytojų duomenimis arba fizinės prieigos žurnalais, pagal teisių procesą nukreipiami per REG06.

Privatumo rizikos vertinimo ir DPIA politika

Didesnės rizikos stebėsena inicijuoja REG04 privatumo rizikos sprendimus ir, kai taikoma, su DPIA susijusią peržiūrą prieš aktyvavimą.

Saugojimo, ištrynimo ir sunaikinimo politika

Stebėsenos saugykloms reikalingas apibrėžtas saugojimas, įprastinis ištrynimas arba perrašymas, ištrynimo įrodymai ir kontroliuojami saugojimo sulaikymai.

Saugumo ir prieigos kontrolės politika

Stebėsenos sistemos priklauso nuo patvirtintų prieigos vaidmenų, prieigos apribojimų, privilegijuotos prieigos peržiūrų, žurnalavimo ir lokalizavimo veiksmų.

Apie Clarysec politikas - CCTV ir fizinės stebėsenos privatumo politika

Ši politika suteikia operacinę privatumo sistemą CCTV ir fizinės stebėsenos veikloms, kuriomis tvarkoma PII. Joje apibrėžiama, kaip REG02, REG04, REG06, REG07, REG08, REG10 ir REG12 dokumentuojami stebėsenos tikslai, teisinis pagrindas, vietos, pranešimų įrodymai, prieigos vaidmenys, atskleidimo ribos, saugojimo laikotarpiai, ištrynimo kontrolės priemonės, paslaugų teikėjų įrodymai, incidentų eskalavimas ir peržiūros veikla. Politika taikoma duomenų valdytojo veikloms organizacijos patalpose ir duomenų tvarkytojo arba subtvarkytojo palaikymo veikloms, susijusioms su klientų vaizdo stebėjimo įrašais, lankytojų įrašais arba fizinės prieigos žurnalais.

Apibrėžta stebėsenos taikymo sritis

Apima CCTV, lankytojų stebėseną, prieigos žurnalus, apsaugos darbuotojų įrašus, patalpų sistemas ir susijusią stebėsenos PII.

Rizika grindžiamas aktyvavimas

Reikalaujama REG04 peržiūros prieš pradedant didelės rizikos, neakivaizdžią, garso, biometrinę, analitinę arba jautrią stebėseną.

Duomenų valdytojo ir duomenų tvarkytojo naudojimas

Taikoma stebėsenai organizacijos patalpose ir kliento nurodytam palaikymui dėl vaizdo įrašų, lankytojų duomenų ir prieigos žurnalų.

Audituojamas įrodymų modelis

REG02, REG04, REG06, REG07, REG08, REG10 ir REG12 naudojami įrašams, peržiūrai, incidentams ir priežiūrai.

Dažniausiai užduodami klausimai

Sukurta lyderiams, lyderių

Šią politiką parengė saugumo lyderis, turintis daugiau nei 25 metų patirtį diegiant ir audituojant ISMS sistemas tarptautinėse organizacijose. Ji sukurta ne tik kaip dokumentas, bet kaip pagrįsta sistema, atlaikanti auditoriaus vertinimą.

Parengė ekspertas, turintis šias kvalifikacijas:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Aprėptis ir temos

🏢 Tiksliniai skyriai

Privatumas Teisė Atitiktis IT saugumas DAP biuras

🏷️ Teminė aprėptis

Privačios informacijos apsaugos valdymas Asmens duomenų tvarkymas Poveikio privatumui vertinimas Tvarkymo veiklos įrašai Duomenų subjektų teisių valdymas Duomenų saugojimas ir sunaikinimas Trečiųjų šalių valdymas
€49

Vienkartinis pirkimas

Momentinis atsisiuntimas
Visą gyvenimą trunkantys atnaujinimai

Ši politika yra 1 iš 25 visame ISO/IEC 27701 PIMS rinkinyje

Sutaupykite 52%

Gaukite visas 25 PIMS politikas, pilną registrų rinkinį ir išsamų įgyvendinimo planą už €799 vietoj €1 675 perkant atskirai.

Žiūrėti visą 27701 rinkinį →
CCTV and Physical Monitoring Privacy Policy

Produkto informacija

Tipas: policy
Kategorija: ISO 27701 PIMS Policy Pack
Standartai: 6