policy ISO 27701 PIMS Policy Pack

CCTV un fiziskās uzraudzības privātuma politika

ISO/IEC 27701 CCTV privātuma politika uzraudzības nolūkiem, informatīvajām zīmēm, piekļuvei, glabāšanai, izpaušanai, incidentiem un pierādījumu kontrolei.

Pārskats

Šī politika nosaka privātuma kontroles pasākumus CCTV, apmeklētāju uzraudzībai, fiziskās piekļuves žurnāliem un ar tiem saistītai uzraudzības personu identificējošai informācijai (PII). Tā prasa apstiprinātus nolūkus, informatīvās zīmes, risku pārskatīšanu, piekļuves ierobežojumus, glabāšanas un dzēšanas kontroles pasākumus, izpaušanas pārvaldību, datu subjektu tiesību īstenošanas pieprasījumu maršrutēšanu, incidentu eskalāciju un PIMS pierādījumu pārvaldību.

Mērķtiecīgi uzraudzības kontroles pasākumi

Nosaka, ka CCTV un fiziskās uzraudzības darbībām pirms aktivizēšanas jābūt definētām, apstiprinātām un dokumentētām.

Pārredzami paziņojumu pierādījumi

Sasaista uzraudzības informatīvās zīmes un tieši laikā sniegtus paziņojumus ar apstiprinātiem apstrādes nolūkiem un PIMS pierādījumu ierakstiem.

Piekļuves un glabāšanas pārvaldība

Kontrolē ar uzraudzību saistītas personu identificējošas informācijas (PII) skatīšanu, eksportu, izpaušanu, dzēšanu, glabāšanas termiņa pagarināšanu un privileģētās piekļuves pārskatīšanu.

Lasīt pilnu pārskatu (click to expand)
CCTV un fiziskās uzraudzības privātuma politika nosaka privātuma kontroles pasākumus uzraudzības darbībām, kurās tiek vākta vai citādi apstrādāta personu identificējoša informācija (PII). Tās darbības joma ietver CCTV, videonovērošanu, apmeklētāju uzraudzību, fiziskās piekļuves kontroles žurnālus, apsardzes veiktas uzraudzības ierakstus, telpu uzraudzības sistēmas un saistītu fizisko uzraudzību. Politika ir piemērojama gadījumos, kad organizācija darbojas kā PII pārzinis savām telpām, kā arī gadījumos, kad tā atbalsta apstrādātāja vai apakšapstrādātāja darbības, klienta vārdā ekspluatējot, mitinot, pārskatot, glabājot, izpaužot, dzēšot vai citādi apstrādājot videonovērošanas ierakstus, apmeklētāju datus vai fiziskās piekļuves žurnālus. Politika ir izstrādāta, lai nodrošinātu, ka uzraudzība ir mērķtiecīga, pārredzama, samērīga, pakļauta piekļuves kontrolei, glabāta noteiktu termiņu, izpausta tikai caur apstiprinātiem kanāliem un pamatota ar auditējamiem PIMS pierādījumiem. Pirms uzraudzības sākšanas procesa īpašniekam vai uzņēmuma īpašniekam katra uzraudzības darbība jāreģistrē REG02, iekļaujot nolūku, tiesisko pamatu, uzraudzīto atrašanās vietu, PII kategorijas, datu subjektu kategorijas, glabāšanas, paziņojuma, piekļuves un izpaušanas laukus. Privātuma vadītājs / PIMS vadītājs validē šos ierakstus pirms jaunas vai būtiski mainītas uzraudzības darbības aktivizēšanas. Apstiprinātās uzraudzītās zonas, izslēgtās zonas un vākšanas robežas arī jāreģistrē pirms kameru, sensoru, apmeklētāju žurnālu vai piekļuves kontroles žurnālu veidošanas iespējošanas. Politika īpaši uzsver pārredzamību un uz risku balstītu pārskatīšanu. Uzraudzības informatīvās zīmes vai līdzvērtīgi tieši laikā sniegta paziņojuma pierādījumi jāreģistrē REG07, pirms uzraudzītās zonas tiek atvērtas datu subjektiem, un katrs paziņojums jāsasaista ar attiecīgo REG02 apstrādes nolūku. Alternatīvi pārredzamības pasākumi jāreģistrē acīmredzami nepamanāmai vai ārkārtas uzraudzībai. Paaugstināta riska uzraudzībai, tostarp sistemātiskai uzraudzībai, audioierakstīšanai, biometriskai identifikācijai, ar analītiku iespējotai atklāšanai, sensitīvām atrašanās vietām, neaizsargātām personām vai acīmredzami nepamanāmai uzraudzībai, pirms aktivizēšanas nepieciešams REG04 privātuma riska lēmums. Ja uzraudzība ir augsta riska, acīmredzami nepamanāma, liela mēroga, vērsta uz darbiniekiem vai saistīta ar neatrisinātu datu subjektu tiesību īstenošanas pieprasījumu vai incidenta eskalāciju, datu aizsardzības speciālists / privātuma konsultants sniedz konsultāciju REG04 vai REG12. Operatīvie kontroles pasākumi aptver piekļuvi, skatīšanu, eksportu, izpaušanu, glabāšanu, dzēšanu un incidentu eskalāciju. Informācijas drošības vadītājs nosaka autorizētās piekļuves lomas uzraudzības ierakstiem, apmeklētāju ierakstiem un fiziskās piekļuves žurnāliem, savukārt sistēmas īpašnieks / lietotnes īpašnieks konfigurē piekļuves ierobežojumus un vismaz reizi ceturksnī REG12 reģistrē privileģētās piekļuves pārskatīšanas rezultātus. Rutīnas dzēšana, pārrakstīšana vai termiņu pārsniegušu uzraudzības ierakstu atspējošana jākonfigurē saskaņā ar REG02, un dzēšanas vai pārrakstīšanas pabeigšanas pierādījumi vismaz reizi mēnesī jāreģistrē repozitorijiem, uz kuriem attiecas automatizēta vai plānota dzēšana. Glabāšanas termiņa pagarināšanai un izvilktām kopijām pirms parastās glabāšanas pagarināšanas nepieciešams apstiprinājums un reģistrācija REG12. Ārējās izpaušanas tiek reģistrētas REG08 pirms izpaušanas vai REG10 vienas darba dienas laikā, ja izpaušana ir aktīvas reaģēšanas uz incidentiem daļa. Politika nosaka arī ārpakalpojuma uzraudzības un fiziskās drošības pakalpojumu pārvaldību. Ārpakalpojuma uzraudzības sistēmu pakalpojumu sniedzēji, apsardzes pakalpojumu sniedzēji, apmeklētāju pārvaldības pakalpojumu sniedzēji un fiziskās piekļuves kontroles pakalpojumu sniedzēji pirms pakalpojuma sākšanas jāreģistrē REG08, iekļaujot darbības jomu, apstrādātāja vai apakšapstrādātāja statusu, piekļuves tiesības, glabāšanas atbalstu, dzēšanas atbalstu, incidentu eskalāciju un izpaušanas ierobežojumus. Pārraudzība tiek uzturēta ar ceturkšņa metriku, ikgadējām pārskatīšanām, audita testēšanu, izņēmumu pārvaldību, neatbilstību reģistrēšanu, korektīvo darbību īpašumtiesībām un eskalāciju Augstākajai vadībai, ja tas nepieciešams. Tas izveido uz pierādījumiem balstītu ietvaru CCTV un fiziskās uzraudzības privātuma pienākumu pārvaldībai pārziņa un apstrādātāja kontekstos.

Politikas diagramma

Procesa plūsmas shēma, kas attēlo CCTV un fiziskās uzraudzības pārvaldību: definēt nolūku un darbības jomu REG02, izvērtēt risku REG04, publicēt paziņojuma pierādījumus REG07, konfigurēt piekļuves un glabāšanas kontroles pasākumus, pārvaldīt izpaušanas un pakalpojumu sniedzējus REG08, maršrutēt datu subjektu tiesību īstenošanas pieprasījumus caur REG06, eskalēt incidentus REG10 un reģistrēt pārskatīšanas, metriku, izņēmumus un korektīvās darbības REG12.

Noklikšķiniet uz diagrammas, lai skatītu pilnā izmērā

Saturs

CCTV un fiziskās uzraudzības darbības joma

Uzraudzības uzskaite, nolūks un apstiprināšana

Paziņojumi, informatīvās zīmes un pārredzamības pierādījumi

Piekļuves, skatīšanas, eksporta un izpaušanas kontroles pasākumi

Glabāšanas, dzēšanas un izvilkto kopiju apstrāde

Datu subjektu tiesību īstenošanas pieprasījumu maršrutēšana, incidentu eskalācija un pakalpojumu sniedzēju pārraudzība

Atbilstība ietvaram

🛡️ Atbalstītie standarti un ietvari

Šis produkts ir saskaņots ar šādiem atbilstības ietvariem ar detalizētu klauzulu un kontroles kartēšanu.

Ietvars Aplūkotās klauzulas / Kontroles
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.3Annex A.1.2.6Annex A.1.2.9Annex A.1.2.7Annex A.1.2.8Annex A.1.3.2Annex A.1.3.6Annex A.1.3.7Annex A.1.3.10Annex A.1.4.2Annex A.1.4.3Annex A.1.4.5Annex A.1.4.8Annex A.1.4.9Annex A.1.5.4Annex A.1.5.5Annex A.2.2.2Annex A.2.2.3Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.3.14Annex A.3.25
EU GDPR
Article 5(1)(a)Article 5(1)(b)Article 5(1)(c)Article 5(1)(e)Article 5(2)Article 6Article 12Article 13Article 14Article 15Article 16Article 17Article 18Article 21Article 24Article 26Article 28Article 30Article 32Article 35Article 39
ISO/IEC 29100:2020
Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.8Clause 5.9Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29134:2020
Clause 5.1Clause 6.2
ISO/IEC 29151:2022
Annex A.3Annex A.4Annex A.5Annex A.7Annex A.10Clause 9.2.3Clause 9.4.2Clause 11.1.3
ISO/IEC 27002:2022
Controls 5.34Controls 7.2Controls 7.4Controls 8.2Controls 8.3Controls 8.15

Saistītās politikas

Apstrādes uzskaites un tiesiskā pamata politika

Uzraudzības darbības jāreģistrē REG02, norādot nolūku, tiesisko pamatu, atrašanās vietu, PII kategorijas, glabāšanu, piekļuvi un izpaušanas informāciju.

Privātuma paziņojumu un pārredzamības politika

CCTV un fiziskajai uzraudzībai nepieciešamas informatīvās zīmes, tieši laikā sniegta paziņojuma pierādījumi un sasaiste starp paziņojumiem un apstrādes nolūkiem.

Datu subjektu tiesību pārvaldības politika

Pieprasījumi, kas attiecas uz videonovērošanas ierakstiem, apmeklētāju datiem vai fiziskās piekļuves žurnāliem, tiesību procesa ietvaros tiek maršrutēti caur REG06.

Privātuma risku izvērtēšanas un DPIA politika

Paaugstināta riska uzraudzība ierosina REG04 privātuma riska lēmumus un, ja piemērojams, ar DPIA saistītu pārskatīšanu pirms aktivizēšanas.

Glabāšanas, dzēšanas un likvidēšanas politika

Uzraudzības repozitorijiem nepieciešama definēta glabāšana, rutīnas dzēšana vai pārrakstīšana, dzēšanas pierādījumi un kontrolēta glabāšanas termiņa pagarināšana.

Drošības un piekļuves kontroles politika

Uzraudzības sistēmas ir atkarīgas no apstiprinātām piekļuves lomām, piekļuves ierobežojumiem, privileģētās piekļuves pārskatīšanas, žurnālfiksēšanas un ierobežošanas darbībām.

Par Clarysec politikām - CCTV un fiziskās uzraudzības privātuma politika

Šī politika nodrošina operatīvu privātuma ietvaru CCTV un fiziskās uzraudzības darbībām, kurās tiek apstrādāta personu identificējoša informācija (PII). Tā nosaka, kā uzraudzības nolūki, tiesiskais pamats, atrašanās vietas, paziņojumu pierādījumi, piekļuves lomas, izpaušanas robežas, glabāšanas termiņi, dzēšanas kontroles pasākumi, pakalpojumu sniedzēju pierādījumi, incidentu eskalācija un pārskatīšanas darbības tiek dokumentētas REG02, REG04, REG06, REG07, REG08, REG10 un REG12. Politika attiecas uz pārziņa darbībām organizācijas pašas telpās un uz apstrādātāja vai apakšapstrādātāja atbalsta darbībām, kas ietver klienta videonovērošanas ierakstus, apmeklētāju ierakstus vai fiziskās piekļuves žurnālus.

Definēta uzraudzības darbības joma

Aptver CCTV, apmeklētāju uzraudzību, piekļuves žurnālus, apsardzes ierakstus, telpu sistēmas un saistītu uzraudzības PII.

Uz risku balstīta aktivizēšana

Prasa REG04 pārskatīšanu pirms augsta riska, acīmredzami nepamanāmas, audio, biometriskas, analītiskas vai sensitīvas uzraudzības sākšanas.

Pārziņa un apstrādātāja izmantošana

Attiecas uz uzraudzību organizācijas telpās un klienta norādītu atbalstu ierakstiem, apmeklētāju datiem un piekļuves žurnāliem.

Auditējams pierādījumu modelis

Izmanto REG02, REG04, REG06, REG07, REG08, REG10 un REG12 ierakstiem, pārskatīšanai, incidentiem un pārraudzībai.

Biežāk uzdotie jautājumi

Izstrādāts līderiem, līderu veidots

Šo politiku ir izstrādājis drošības līderis ar vairāk nekā 25 gadu pieredzi ISMS ietvaru ieviešanā un auditēšanā globālos uzņēmumos. Tā ir paredzēta ne tikai kā dokuments, bet kā aizstāvams ietvars, kas iztur auditoru pārbaudi.

Izstrādājis eksperts ar šādām kvalifikācijām:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pārklājums un tēmas

🏢 Mērķa departamenti

Privātums juridiskās lietas atbilstība IT drošība datu aizsardzības speciālista birojs

🏷️ Tematiskais pārklājums

Privātuma informācijas pārvaldība personas datu apstrāde privātuma ietekmes novērtējums apstrādes darbību ieraksti datu subjektu tiesību pārvaldība datu glabāšana un likvidēšana trešo pušu pārvaldība
€49

Vienreizējs pirkums

Tūlītēja lejupielāde
Mūža atjauninājumi

Šī politika ir 1 no 25 pilnajā ISO/IEC 27701 PIMS komplektā

Ietaupiet 52%

Saņemiet visas 25 PIMS politikas, pilnu reģistru komplektu un detalizētu ieviešanas plānu par €799, nevis €1 675, iegādājoties atsevišķi.

Skatīt pilno 27701 komplektu →
CCTV and Physical Monitoring Privacy Policy

Produkta informācija

Veids: policy
Kategorija: ISO 27701 PIMS Policy Pack
Standarti: 6