Turvallisuussopimus 1 (12) 23.5.2014 SOPIMUKSEN

Turvallisuussopimus
1 (12)
23.5.2014
SOPIMUKSEN OSAPUOLET
Poliisiyksikkö (jäljempänä ”Tilaaja”)
Yritys Oy (jäljempänä "Yritys")
Osapuolet ovat tänään solmineet tämän keskinäistä yhteistyötä koskevan, turvallisuusjärjestelyjä
koskevan ja ne määrittelevän turvallisuussopimuksen (jäljempänä ”Turvallisuussopimus”). Osapuolet sitoutuvat noudattamaan tätä Turvallisuussopimusta kaikessa toisiinsa liittyvässä toiminnassaan.
1 TURVALLISUUSJÄRJESTELYT
1.1 Luottamuksellisuus
Yritys sitoutuu pitämään salassa Tilaajan henkilöstöä ja heidän henkilö- ja muita tietojaan koskevat tiedot, Tilaajan turvallisuus- ja varautumisjärjestelyt ja kaikki tehtävien
hoidossa ja Tilaajan sille luovuttamat, keskeneräiset, valmisteltavana olevat tai sillä
olevat Tilaajan salassa pidettäväksi tai ei julkisiksi säädetyt tai sellaisiksi lain nojalla
määrätyt tiedot1. Salassa pidettävästä tiedosta, asiakirjasta ja materiaalista saa antaa
tiedon vain erikseen nimetyille henkilöille. Salassapitovelvollisuus on voimassa myös
tämän Sopimuksen päättymisen jälkeen.
Tilaaja sitoutuu pitämään salassa kaikki Yrityksen sille luovuttamat tai sillä olevat Yrityksen salassa pidettäväksi säädetyt tai sellaisiksi lain nojalla määrätyt tiedot, kuten
tiedot, jotka Yritys on määritellyt liike- ja ammattisalaisuuksikseen. Salassa pidettävästä tiedosta, asiakirjasta ja materiaalista saa antaa tietoja vain erikseen nimetyille
henkilöille tai viranomaiselle. Salassapitovelvollisuus on voimassa myös tämän Turvallisuussopimuksen päättymisen jälkeen.
Yritys sitoutuu säilyttämään ja käsittelemään tietoja, asiapapereita, laitteita, koneita,
valokuvia, työpiirustuksia, tietolevyjä ja vastaavia tietoja ja tavaroita siten, että ne pysyvät vain käsittelyoikeuden omaavien hallinnassa, eivätkä joudu ulkopuolisten haltuun, tutkittavaksi tai tietoon. Edellä mainittujen asioiden ja materiaalin valokuvaus,
kopiointi, vieminen pois toimitiloista tai muistiinpanojen tekeminen salassa pidettävistä
tiedoista on kielletty ilman erillistä lupaa. Turvallisuussopimuksen päätyttyä yhteisesti
sovittavana ajankohtana sopijaosapuolet mahdollisine alihankkijoineen palauttavat
toisen sopijaosapuolen vaatimuksesta toimeksiantoon liittyvät salassa pidettävät tiedot tai tuhoavat ne sovitulla tavalla.
Yritys vastaa tässä Turvallisuussopimuksessa sovitulla tavalla siitä, ettei Tilaajan kohteiden tai toiminnan turvallisuus vaarannu Yrityksen henkilöstön huolimattomuuden,
virheellisten työtapojen tai muun sopimuksen vastaisen toiminnan johdosta.
Tilaaja vastaa siitä, ettei Yrityksen kohteiden tai toiminnan turvallisuus vaarannu Tilaajan henkilöstön huolimattomuuden, virheellisten työtapojen tai muun toiminnan
johdosta.
1
Laki viranomaisen toiminnan julkisuudesta 621/1999
1.2 Referenssit
Yritys tai sen alihankkijat ei saa mainita kaupallisena tai muuna referenssinä tehneensä työtä Tilaajalle eikä käyttää Tilaajan kanssa tehtyjä sopimuksia tarjouskilpailujen
referenssinä ellei asiasta ole erikseen Tilaajan kanssa kirjallisesti sovittu. Mikäli Yritykselle syntyy tekijänoikeus tai muu immateriaalioikeus tehtyjen tai tehtävien sopimusten perusteella, se ei sisällä oikeutta julkistaa tämän Turvallisuussopimuksen perusteella salassa pidettävää tietoa tai muuta aineistoa.
1.3 Riskienhallinta ja käytettävät normistot
Yrityksellä tulee olla koko organisaation kattavat systemaattiset menetelmät riskien
tunnistamiseksi, arvioimiseksi ja seuraamiseksi sekä niiden hallitsemiseksi. Tähän
sopimukseen liittyvien riskien arviointiin ja hallintaan käytetään ensisijaisesti Tilaajalla
käytössä olevia menetelmiä, normistoja ja viitekehyksiä tai tapauskohtaisesti myös
muita yhteisesti sovittuja arviointitapoja.
Käytettäviä normistoja ja viitekehyksiä ovat muun muassa kulloinkin voimassaolevat
valtionhallinnon ohjeet ja kriteeristöt sekä sisäasiainhallinnon ja poliisin turvallisuusmääräykset.
1.4 Turvallisuuden tarkastaminen
Tilaajalla on oikeus tarkastaa etukäteen ilmoitettuna ajankohtana Yrityksen turvallisuusjärjestelyt tähän Turvallisuussopimukseen liittyviltä osilta. Tilaajan oikeus ulottuu
koko alihankintaketjuun. Havaittujen poikkeamien osalta Yritys laatii aikataulutetun ja
vastuutetun korjaussuunnitelman, jonka Tilaaja hyväksyy.
Tilaajalla on myös oikeus turvallisuusjärjestelyjen tarkastamiseen ennalta ilmoittamatta.
1.5 Yrityksen Henkilöstö
Yritys saattaa Tilaajan kanssa yhteistyötä tekevän ja tämän Turvallisuussopimuksen
vaikutusalaan kuuluvan henkilöstönsä tietoiseksi tämän Turvallisuussopimuksen salassapitovelvoitteista sekä sitoutuu valvomaan, että henkilöstö noudattaa Turvallisuussopimusta.
Yritys toimittaa Turvallisuussopimuksen kohteena olevaan toimintaan liittyvän henkilöstönsä täyttämät ja allekirjoittamat turvallisuusselvityshakemuslomakkeet Tilaajalle
turvallisuusselvityksen2 tekemistä varten. Turvallisuusselvitys tehdään henkilöistä, jotka käsittelevät työssään tämän Turvallisuussopimuksen kohteena olevia salassa pidettäviä tietoja tai joilla on pääsy sellaisiin Tilaajan hallinnassa oleviin tiloihin, joissa
liikkumista on syytä rajoittaa.
Yhteistyöhön nimettävän ja Tilaajan hyväksymän henkilöstön tulee tehdä Tilaajan hyväksymälle lomakkeelle laadittu vaitiolositoumus ennen kaupallisen sopimuksen syntyä.
Mikäli Yrityksen tai sen alihankkijoiden kyseeseen tulevassa henkilöstössä on ulkomaiden kansalaisia ja heidän oleskelunsa suomessa on kestänyt alle kymmenen
vuotta, heiltä edellytetään kotimaan viranomaisen myöntämää henkilöturvallisuustodistusta (Personal Security Clearance, PSC) suojaustasosta III (CONFIDENTIAL) alkaen. Tilaaja voi tapauskohtaisesti hyväksyä myös muun riittäväksi arvioidun viranomaisen myöntämän todistuksen tai selvityksen henkilön luotettavuudesta tai nuhteettomuudesta.
2
laki turvallisuusselvityksistä, 177/2002
1.6 Alihankkijat
Mikäli Yritys käyttää alihankkijoita, aliurakoitsijoita tai muita palvelujen toimittajia Tilaajan hankkeissa, tulee Yrityksen hyväksyttää alihankkijat ja niiden yhteistoimintaan
osallistuva henkilöstö Tilaajalla tässä Turvallisuussopimuksessa kuvattujen menettelyjen mukaisesti ennen aliurakointi- tai muun sopimuksen tekemistä sillä edellytyksellä,
että alihankkija käsittelee Tilaajan salassa pidettävää tietoa tai toimii tiloissa, joissa
käsitellään salassa pidettävää tietoa.
Mikäli Yritys käyttää sellaista alihankkijaa, joka käsittelee tai säilyttää salassa pidettäviä tietoja Suomen rajojen ulkopuolella, tulee alihankkijasta edellytysten täyttyessä
hankkia sen kotimaan viranomaisen myöntämä yritysturvallisuustodistusta (Facility
Security Clearance, FSC). Lisäksi salassa pidettävien tietojen käsittelyyn osallistuvista ulkomaiden kansalaisista tulee hankkia tarvittavat henkilöturvallisuustodistukset.
Ulkomaiseksi turvallisuustodistukseksi hyväksytään ulkomaan toimivaltaisen kansallisen turvallisuusviranomaisen (National Security Authority, NSA) myöntämä todistus.
Tapauskohtaisesti Tilaaja voi myös hyväksyä riittäväksi arvioidun muun vastaavan todistuksen henkilön tai yrityksen luotettavuudesta, nuhteettomuudesta sekä kyvystä
käsitellä turvallisuusluokiteltua tietoa.
Mikäli edellisten kappaleiden ehdot täyttyvät, Yrityksen tulee tehdä alihankkijansa
kanssa turvallisuussopimus, joka vastaa ehdoiltaan tätä Turvallisuussopimusta. Yrityksen on tiedotettava alihankkijalleen, että turvallisuusjärjestelyjen saattamisesta Tilaajan vaatimalle tasolle saattaa syntyä kustannuksia. Ennen Yrityksen ja alihankkijan
välisen turvallisuussopimuksen solmimista sopimuksen yksityiskohdat on hyväksytettävä Tilaajalla. Hyväksyvä taho on ensisijaisesti Yrityksen ja Tilaajan välisen turvallisuussopimuksen valmistelija.
1.7 Henkilöstön ja alihankkijoiden hyväksyminen
Tilaajalla on oikeus ennen työn tai sopimuskauden alkamista tai sen kestäessä kieltää
erikseen nimeämiensä henkilöiden ja yritysten osallistuminen sopimuksen toimeenpanoon tai työskentelyyn.
Työhön hyväksytyistä henkilöstöstä tulee olla ajan tasalla oleva luettelo, joka sisältää
vähintään seuraavat tiedot: Nimi, henkilötunnus, tehtävä sekä yrityksen nimi / osasto,
työhön hyväksyntä päivämäärä sekä tietoturvakoulutuksen suorituspäivämäärä. Tilaaja ja Yritys ylläpitävät listaa yhteistyössä.
1.8 Koulutus ja osaamisen ylläpitäminen
Yritys on velvollinen ylläpitämään henkilöstönsä turvallisuusosaamista säännöllisesti.
Yritys sitoutuu kouluttamaan yhteistyössä toimiville henkilöille tämän Turvallisuussopimuksen mukaiset vaatimukset sekä muut Tilaajan Yritykselle osoittamat vaatimukset.
Pyydettäessä Yritys sitoutuu toimittaan Tilaajalle koulutusrekisterin, joka osoittaa yhteistyössä olevien henkilöiden osallistuneen vaadittuun koulutukseen.
Yritys vastaa käyttämistään alihankkijoista kuin omasta henkilöstöstään.
1.9 Muutokset omistussuhteissa, henkilöstössä tai toiminnoissa
Yritys on velvollinen ilmoittamaan Tilaajalle, jos Yrityksen tai sen alihankkijan tämän
turvallisuussopimuksen kannalta keskeisissä toiminnoissa tai henkilöstö- tai turvalli-
suusjärjestelyissä tapahtuu muutoksia tai jos Yrityksen tai sen alihankkijan omistussuhteissa tapahtuu merkittäviä muutoksia.
Yritys ei saa muuttaa työn tekemiseen tai tietojen säilyttämiseen käytettyä paikkaan
ilman erillistä lupaa.
1.10 Salassa pidettävän tietoaineiston hallinta
Yritys sitoutuu pitämään kirjaa kaikista saamistaan salassa pidettävistä tietoaineistoista yhteistyössä Tilaajan kanssa. Rekisteristä tulee selvitä, milloin Yritys on saanut
tietoaineiston. Suojaustason III osalta Yrityksen tulee lisäksi pitää kirjaa kenelle tietoaineisto on luovutettu sekä milloin suojaustason III tietoaineisto on tuhottu.
1.11 Turvallisuushäiriöiden hallinta
Yritys on velvollinen ilmoittamaan Tilaajalle kirjallisesti ilman viivytystä turvallisuutta
vaarantavista tapahtumista tai seikoista sekä sellaisista muutoksista, jotka saattavat
vaarantaa Tilaajan tietojen luottamuksellisuuden. Kiireellisissä tapauksissa ilmoitus tulee tehdä välittömästi, jolloin kirjallinen ilmoitus voidaan tehdä myöhemmin, mutta ilman viivytystä.
Yritys on velvollinen ilmoittamaan välittömästi kirjallisena Tilaajalle turvallisuutta vaarantavista tapahtumista tai seikoista sekä sellaisista muutoksista, jotka saattavat vaarantaa Tilaajan tietojen luottamuksellisuuden.
1.12 Varautuminen
Silloin kun yhteistyö on Tilaajalle erityisen tärkeää, sovitaan jatkuvuuden hallinnan ja
tiedon turvaamisen vaatimukset erikseen. Vaatimusten avulla pyritään turvaamaan
turvallisuuden lisäksi jatkuvuus ja käytettävyys normaali- ja poikkeusolojen häiriö- sekä erityistilanteissa.
2 MUUT SOPIMUKSEN SISÄLTÄMÄT ASIAT
2.1 Yhteyshenkilöt
Yhteyshenkilöinä ja vastuutahona tämän Turvallisuussopimuksen toteuttamiseen liittyvissä kysymyksissä toimivat erikseen nimetyt henkilöt. Osapuolet ilmoittavat yhteyshenkilönsä tämän Turvallisuussopimuksen allekirjoituksen yhteydessä (liite 1).
Yrityksen yhteyshenkilöllä tulee olla ajan tasalla oleva listaus tämän Turvallisuussopimuksen alle kuuluvista hankkeista.
2.2 Sopimuksen päivittäminen
Yhteyshenkilöt vastaavat Turvallisuussopimuksen tarpeellisesta päivittämisestä. Päivittämistarve on arvioitava yhteyshenkilöiden kesken vähintään kahden vuoden välein, ellei nopeampaan arviointiaikatauluun ole tarvetta.
Sopimukseen tehtävät muutokset tulee molempien osapuolten vahvistaa allekirjoituksellaan. Yhteyshenkilöiden vaihtumista ei katsota sopimuksen muutokseksi.
2.3 Vahingonkorvaus ja sopimussakko
Tilaajalla on oikeus saada vahingonkorvausta ja sopimussakkoa, mikäli Yritys rikkoo
tämän sopimuksen turvallisuusmääräyksiä. Sopimussakon laskennassa noudatetaan
seuraavaa laskentamallia:
Tilaajalla on oikeus saada sopimussakkona 10 % kaupallisen sopimuksen kokonaishinnasta tai vähintään 50 000 €.
Sopimuksen turvallisuusmääräysten rikkomisesta maksettavan sopimussakon enimmäismäärä voi kuitenkin olla sopimuskohtaisesti enintään sopimuksen kokonaishinta.
Erillisessä hankintasopimuksen turvallisuusliitteessä voidaan tapauskohtaisesti käyttää, hankinnan luonteen niin vaatiessa, jotakin edellä mainitusta laskentamallista
poikkeavaa, molempien sopimusosapuolten hyväksymää mallia.
Tämä sopimussakko-oikeus koskee kaikkia niitä sopimuksia, joiden osalta turvallisuusmääräyksiä on rikottu.
2.4 Sopimuksen irtisanominen ja purkaminen
Kumpikin osapuoli voi irtisanoa Turvallisuussopimuksen päättymään kolmen (3) kuukauden kuluessa kirjallisesta irtisanomisilmoituksesta. Irtisanominen ei poista velvollisuutta täyttää ennen irtisanomista syntyneitä velvoitteita.
Kumpikin osapuoli on oikeutettu purkamaan Turvallisuussopimuksen välittömästi kirjallisella ilmoituksella toiselle sopimuspuolelle, mikäli toinen sopijapuoli rikkoo sopimusvelvoitteitaan niin olennaisesti, ettei toisen sopijapuolen voida kohtuudella edellyttää jatkavan sopimussuhdetta edes irtisanomisaikaa.
Mikäli tämä Turvallisuussopimus irtisanotaan tai purkautuu, voi Tilaaja purkaa välittömästi myös tähän Turvallisuussopimukseen viittaavat, Yrityksen kanssa tehdyt sekä kaupalliset sopimukset että muut sopimukset. Turvallisuussopimuksen purkamisen
seurauksena Yritykselle aiheutuu kaupallisissa ja muissa sopimuksissa sovitut seuraamukset turvallisuusmääräysten rikkomisesta.
2.5 Sovellettava laki
Tähän sopimukseen sovelletaan Suomen lakia.
Tästä Turvallisuussopimuksesta aiheutuneet erimielisyydet pyritään ensisijaisesti ratkaisemaan osapuolten välisin neuvotteluin. Mikäli osapuolet eivät pääse sovinnolliseen ratkaisuun, erimielisyydet ratkotaan Helsingin käräjäoikeudessa.
2.6 Sopimuksen voimassaoloaika
Tämä Turvallisuussopimus on voimassa toistaiseksi.
Tämä Turvallisuussopimus tulee voimaan, kun kumpikin sopijapuoli on sen allekirjoittanut.
Turvallisuussopimus on laadittu kahtena samansanaisena kappaleena, yksi kummallekin osapuolelle.
Helsingissä XX.XX.20XX
Yritys Oy
Poliisiyksikkö
JAKELU
Poliisiyksikkö
Yritys Oy
LIITTEET
LIITE 1 Osapuolten yhteyshenkilöt Turvallisuussopimukseen liittyen
LIITE 2 Ohje salassa pidettävien tietojen ja tietoaineistojen käsittelystä
LIITE 3 Vaitiolositoumukset
LIITE 4 Kuvaus Yrityksen turvallisuuspolitiikasta ja/tai turvallisuusjärjestelyistä
Liite 1
Osapuolten yhteyshenkilöt
Tilaajan yhteyshenkilö Sukunimi, Etunimi
,
Lähiosoite, postinumero, postitoimipaikka
Puhelin
Matkapuhelin
Sähköpostiosoite
Yrityksen yhteyshenki- Sukunimi, Etunimi
lö
,
Lähiosoite, postinumero, postitoimipaikka
Puhelin
Sähköpostiosoite
Matkapuhelin
Liite 2
1. Ohje salassa pidettävien tietojen ja tietoaineistojen käsittelystä
a. Yleistä
Yritys sitoutuu pitämään salassa kaikki tehtäviensä hoidossa tarvitut ei julkiset tiedot,
sekä tilaajan salassa pidettäväksi tai ei julkisiksi säädetyt tai sellaisiksi lain nojalla
määrätyt tiedot.
Salassapitovelvollisuus koskee Tilaajan tietoja tiedon kaikissa eri muodoissa ja kaikissa tiedon elinkaaren vaiheissa.
Tämä ohje kuvaa ne käsittelysäännöt, joiden mukaan Yrityksen tulee käsitellä Tilaajan tietoja suojaustasoilla IV ja III. Korkeampien suojaustasojen käsittely ohjeistetaan
tarvittaessa erikseen.
2. Tietoaineistojen luokittelut
Tilaajan salassa pidettävät tiedot luokitellaan suojaustasoihin IV – I. Suojaustason I
asiakirja on kaikkien luottamuksellisin suojaustasoista.
Asiakirjoissa voi olla myös turvallisuusluokitusmerkintä. Tällöin sovelletaan vastaavan
suojaustasoluokan käsittelysääntöjä.
Mikäli Yrityksen kanssa ei erityisesti kirjallisesti muuta ole sovittu, Yritys käyttää Tilaajalle asiakirjoja tuottaessaan tai niitä muokatessaan tässä kuvattua merkintätapaa.
3. Tietoaineistojen hallussapito- ja käsittelyoikeudet
Suojaustasojen IV ja III tietoaineistoja voivat pitää hallussaan ja käsitellä kaikki Yrityksen yhteistyöhön nimeämät ja Tilaajan hyväksymät henkilöt heidän työtehtäviensä
mukaisissa asioissa.
4. Tietoaineiston vastaanotto ja kirjaaminen
Suojaustasojen IV ja III tietoaineistojen vastaanotto tulee merkitä erilliseen vastaanottorekisteriin. Rekisteristä tulee selvitä vastaanotetun tiedon tai asiakirjan nimi, sen
luokittelu ja vastaanottopäivä.
Suojaustason III asiakirjojen osalta rekisteristä tulee lisäksi selvitä kenelle asiakirja on
luovutettu tai keillä kaikilla on mahdollisuus päästä asiakirjaan käsiksi sekä mikäli
asiakirja on tuhottu, niin sen tuhoamispäivämäärä.
5. Tietoaineiston käsittely, tallennus tietovälineille ja tulostus
Suojaustasojen IV ja III mukaista sähköistä tietoaineistoa saa käsitellä ja tallentaa
vain Tilaajan hyväksymillä laitteilla tai tietojärjestelmillä. Suojaustason IV tietojen käsittelyyn käytettävien laitteiden tulee toteuttaa KATAKRIn perustason vaatimukset.
Suojaustason III käsittelylaitteiden tulee käyttää KATAKRIn korotetun tason vaatimukset, ellei Tilaajan kanssa sovita jotain muuta.
Salassa pidettävät tietoaineistot on tallennettava tietojärjestelmiin, levyalueille tai erillisille tietovälineille siten, että tietoa voivat käsitellä vain siihen oikeutetut henkilöt.
Salassa pidettävien tietoaineistojen tallennus siirrettäville tietovälineille tulee tehdä
aina vahvasti salattuna. Käytettävä salausmenettely tulee sopia Tilaajan kanssa.
Salassa pidettävää tietoaineistoa saa tulostaa käsittelylaitteeseen kytketyllä tulostimella. Verkkotulostaminen on mahdollista, mikäli Tilaaja on hyväksynyt käytetyn lähiverkkoratkaisun ja tulostettu asiakirja noudetaan välittömästi tulostimelta.
6. Tietoaineiston käsittely- ja säilytystilat
Suojaustasojen IV ja III tietoaineiston käsittely- ja säilytystilojen tulee olla Tilaajan
hyväksymät. Salassa pidettäviä tietoaiheistoja ei saa käsitellä missään muualla missään muodossa.
Suojaustasoon IV luokitellut tietoaineistot on laitettava kassakaappiin tai lukittaviin
kaappeihin ja työskentelytila on lukittava poistuttaessa työskentelytilasta. Jos tietoaineistoa säilytetään lukitussa kaapissa, tulee tilan olla valvottu rikosilmoitinjärjestelmällä (rikosilmoitinkeskuksen taso oltava vähintään 2-luokka FK).
Suojaustason IV käsittelyssä käytettäviä kannettavia tietokoneita tai vastaavia laitteita
tulee säilyttää kuten suojaustason IV tietoaineistoa
Suojaustasoon III luokitellut tietoaineistot on säilytettävä (paperimuotoiset aineistot,
ulkoiset muistivälineet ja vastaavat) EURO II -tason kassakaapissa tai vastaavaan
tarkoitukseen hyväksytyssä säilytystilassa, kuten hälytysjärjestelmällä varustetussa
holvissa (EURO IV) silloin kun materiaalia ei tarvita työskentelyssä. Lisäksi työskentelytila tulee lukita poistuttaessa työskentelytilasta.
Suojaustason III käsittelyssä käytettäviä kannettavia tietokoneita tai vastaavia laitteita
tulee säilyttää kuten suojaustason III tietoaineistoa.
Pääsy käsittely- ja säilytystiloihin tulee rajata vain tunnistettaviin henkilöihin. Sama
vaatimus koskee myös arkistoissa, tietokonesaleissa tai muissa tietojärjestelmien ylläpidon tai tietoliikenteen toimivuuden kannalta merkityksellisissä tiloissa, joissa käsitellään tai säilytetään suojaustasoon III tai IV kuuluvia tietoja.
Tiloissa tehtävät huoltotyöt, siivoukset tai muut vastaavat tehtävät tulee toteuttaa valvottuna. Salassa pidettävää tietoaineistoa saa olla esillä sivullisten läsnä ollessa.
Sekä kassakaappi että asiakirjojen säilytyksessä käytettävä kaappi tulee olla kiinnitettynä rakenteisiin.
Neuvottelutiloista ja vastaavista on poistettava yhteistyöhön liittyvät materiaalit ja piirrokset viimeistään tilaisuuden päätyttyä.
7. Tietoaineiston kuljettaminen yrityksen ulkopuolella valvottuna
Suojaustasoon IV ja III kuuluvaa tietoaineistoa saa kuljettaa yrityksen ulkopuolelle
työtehtäviin liittyen. Kuljetettavan sähköisen tietoaineiston tulee olla vahvasti salattu.
IV suojaustasoon kuuluva paperimateriaali tulee kuljettaa suljetussa, läpinäkymättömässä kirjekuoressa tai vastaavassa pakkauksessa. Kuoressa ei saa olla merkintää suojaustasosta. Kuoreen tulee merkitä vastaanottajan tiedot ja muut toimituksen
kannalta tarvittavat tiedot. Kuljetustavan tulee olla huomiota herättämätön.
III suojaustasoon kuuluva paperimateriaali tulee kuljettaa suljetussa, läpinäkymättömässä kaksinkertaisessa kirjekuoressa tai vastaavassa pakkauksessa. Ulommassa
kuoressa ei saa olla merkintää suojaustasosta. Ulompaan kirjekuoreen tulee merkitä
vastaanottajan tiedot ja muut toimituksen kannalta tarvittavat tiedot. Kuljetustavan tulee olla huomiota herättämätön. Tietoaineiston kuljettamisen suhteen tulee varmistaa,
että kuljetus on valvottu koko siirron ajan ja että kuljetus toteutetaan huomiota herättämättömällä tavalla.
8. Tietoaineiston toimittaminen tai siirtäminen vastaanottajalle valvomatta
Suojaustason IV tietoaineistot saa lähettää vastaanottajalle sähköisesti, mikäli tietoaineisto on vahvasti salattu. Käytettävä salausmenettely tulee sopia Tilaajan kanssa.
Suojaustason IV aineistoa saa lähettää telekopiosanomana vastaanottaja varmistaen.
Suojaustason IV tietoaineistot voidaan lähettää vastaanottajalle postilla tai muulla
vastaavalla menettelyllä. Sähköisessä muodossa oleva materiaali on salattava vahvasti ja käytettävä salausmenettely tulee sopia Tilaajan kanssa. Suojaustasoon IV
kuuluva paperimateriaali tulee lähettää suljetussa läpinäkymättömässä kirjekuoressa
tai vastaavassa pakkauksessa. Kuoressa ei saa olla merkintää suojaustasosta. Kuoreen tulee merkitä vastaanottajan tiedot ja muut toimituksen kannalta tarvittavat tiedot.
Suojaustason III tietoaineistot saa lähettää vastaanottajalle sähköisesti, mikäli tietoaineisto on vahvasti salattu. Käytettävä salausmenettely tulee sopia Tilaajan kanssa.
Suojaustason III aineistoa ei saa lähettää telekopiosanomana.
Suojaustason III tietoaineisto voidaan lähettää vastaanottajalle postilla tai vastaavalla menettelyllä. Suojaustasoon III kuuluva tietoaineisto tulee lähettää kirjattuna. Sähköisessä muodossa oleva materiaali on salattava vahvasti. Käytettävä salausmenettely tulee sopia Tilaajan kanssa. Suojaustasoon III kuuluva paperimateriaali tulee lähettää suljetussa, läpinäkymättömässä kaksinkertaisessa kirjekuoressa tai vastaavassa pakkauksessa. Ulommassa kuoressa ei saa olla merkintää suojaustasosta.
Ulompaan kirjekuoreen tulee merkitä vastaanottajan tiedot ja muut toimituksen kannalta tarvittavat tiedot.
9. Tietoaineiston tuhoaminen
Hävitettävä sähköisessä tai paperisessa muodossa oleva tietoaineisto poistetaan
käytöstä joko tuhoamalla fyysisesti tai saattamalla sellaiseen muotoon, ettei niiden sisältämää tietoa voida käyttää. Tietoaineistot tulee tuhota, ellei niille ole enää käyttöä
viimeistään kuitenkin toimeksiannon päättyessä. Suojaustason III tietoaineiston tuhoamispäivämäärä tulee merkitä näkyviin tietoaineistojen vastaanottorekisteriin.
Mikäli Yritys on velvollinen säilyttämään tietoaineistoa toimeksiannon päätyttyä Tilaajasta riippumattomista syistä, tulee menettelystä sopia aina tapauskohtaisesti.
Suojaustasoon III ja IV luokitellut paperiset tietoaineistot tuhotaan silppuamalla tai
keräämällä ne lukittaviin paperinkeräysastioihin. Hyväksyttävä palasen pinta-ala on
maksimissaan 30 mm2 ja silpun leveys maksimissaan 2 mm (DIN 66399/P-5).
Hävitettävät, salassa pidettävää tietoa sisältäneet tai sisältävät muistivälineet kuten
koneiden kovalevyt, CD- ja DVD -levyt, magneettinauhat, kasetit, muistitikut, sekä kortit tulee ylikirjoittaa tai tuhota NCSA-FI:n antamien ohjeiden mukaisesti.
Tilaajalla on oikeus hyväksyä tai hylätä toimittajan hävittämismenettelyt.
10. Yhteenveto salassa pidettävien tietoaineistojen käsittelystä
KÄSITTELY
Käsittely, laatiminen
Yrityksen oma vakioitu työasema
Tilaajan hyväksymä Yrityksen oma vakioitu työasema
Tietoverkkoon kytketty poliisihallinnon hallinnoima työasema
Tietoverkosta erillään oleva poliisihallinnon hallinnoima työasema
Yrityksen omat mobiililaitteet
Etäkäyttö
Tulostus ja kopiointi
Yrityksen verkkotulostin
Verkkotulostin tai verkkoon kytketty poliisihallinnon hyväksymä monitoimilaite, huomioita vaatimukset verkolle
Verkosta erillään oleva tulostin tai monitoimilaite
Salassa pidettävän tietoaineiston rekisteröinti
Asiakirjojen rekisteröinti
ST III asiakirjojen luovutuksen rekisteröinti pakollista
ST III asiakirjojen tuhoamisen rekisteröinti pakollista
Lähettäminen
Kirjaamaton kirje, huomioitava ST IV erityisvaatimukset
Kirjattu kirje, huomioitava ST III erityisvaatimukset
Salaamattomana sähköpostina
Vahvasti salattuna sähköpostina
Fax, vastaanottaja varmistettava
Säilyttäminen, tallentaminen
Murtosuojattu tila, kuten kassakaappi tai holvi
Lukittu kaappi tai muu vastaava tila
Työasema: katso Käsittely, laatiminen –kohdan vaatimukset
Tietoverkkoon kytketty Yrityksen hallinnoima tallennuspalvelin, tietoaineisto salaamatonta
Tietoverkkoon kytketty Yrityksen hallinnoima tallennuspalvelin, tietoaineisto vahvasti salattu
Tietoverkkoon kytketty Yrityksen hallinnoima ja Tilaajan hyväksymä
tallennuspalvelin, tietoaineisto vahvasti salattu
Poliisihallinnon hyväksymät salatut tallennusmediat ja muistilaitteet
Hävittäminen
Paperinkeräys
Lukittu tietosuojalaatikko ja ulkoisten medioiden lukitut keräyslaatikot
Silppuri, huomioitava silppurin luokitus (taso merkittävä silppuriin)
Työasemien tai muiden hyväksyttyjen käsittely- ja tallennuslaitteiden
massamuistion tyhjennys poliisin ohjeiden mukaan
Suojaustaso
IV
III
Ei
Kyllä
Kyllä
Kyllä
Ei
Ei
Ei
EI
Kyllä*
Kyllä*
Ei
Ei
Ei
Kyllä
Ei
Ei*
Kyllä
Kyllä
Kyllä
Ei
Ei
Kyllä
Kyllä
Kyllä
Kyllä
Kyllä
Ei
Kyllä
Kyllä
Ei
Kyllä
Ei
Kyllä
Ei
Kyllä
Kyllä
Kyllä
Kyllä
Ei
Ei
Ei
Ei
Kyllä
Ei*
Kyllä
Kyllä
Ei
Ei
Kyllä
Kyllä
Ei
Ei
Kyllä
Kyllä
* Tilaaja voi tapauskohtaisesti hyväksyä myös ST III käsittelyn toimittajan tietojärjestelmissä.