Turvallisuussopimus 1 (12) 23.5.2014 SOPIMUKSEN OSAPUOLET Poliisiyksikkö (jäljempänä ”Tilaaja”) Yritys Oy (jäljempänä "Yritys") Osapuolet ovat tänään solmineet tämän keskinäistä yhteistyötä koskevan, turvallisuusjärjestelyjä koskevan ja ne määrittelevän turvallisuussopimuksen (jäljempänä ”Turvallisuussopimus”). Osapuolet sitoutuvat noudattamaan tätä Turvallisuussopimusta kaikessa toisiinsa liittyvässä toiminnassaan. 1 TURVALLISUUSJÄRJESTELYT 1.1 Luottamuksellisuus Yritys sitoutuu pitämään salassa Tilaajan henkilöstöä ja heidän henkilö- ja muita tietojaan koskevat tiedot, Tilaajan turvallisuus- ja varautumisjärjestelyt ja kaikki tehtävien hoidossa ja Tilaajan sille luovuttamat, keskeneräiset, valmisteltavana olevat tai sillä olevat Tilaajan salassa pidettäväksi tai ei julkisiksi säädetyt tai sellaisiksi lain nojalla määrätyt tiedot1. Salassa pidettävästä tiedosta, asiakirjasta ja materiaalista saa antaa tiedon vain erikseen nimetyille henkilöille. Salassapitovelvollisuus on voimassa myös tämän Sopimuksen päättymisen jälkeen. Tilaaja sitoutuu pitämään salassa kaikki Yrityksen sille luovuttamat tai sillä olevat Yrityksen salassa pidettäväksi säädetyt tai sellaisiksi lain nojalla määrätyt tiedot, kuten tiedot, jotka Yritys on määritellyt liike- ja ammattisalaisuuksikseen. Salassa pidettävästä tiedosta, asiakirjasta ja materiaalista saa antaa tietoja vain erikseen nimetyille henkilöille tai viranomaiselle. Salassapitovelvollisuus on voimassa myös tämän Turvallisuussopimuksen päättymisen jälkeen. Yritys sitoutuu säilyttämään ja käsittelemään tietoja, asiapapereita, laitteita, koneita, valokuvia, työpiirustuksia, tietolevyjä ja vastaavia tietoja ja tavaroita siten, että ne pysyvät vain käsittelyoikeuden omaavien hallinnassa, eivätkä joudu ulkopuolisten haltuun, tutkittavaksi tai tietoon. Edellä mainittujen asioiden ja materiaalin valokuvaus, kopiointi, vieminen pois toimitiloista tai muistiinpanojen tekeminen salassa pidettävistä tiedoista on kielletty ilman erillistä lupaa. Turvallisuussopimuksen päätyttyä yhteisesti sovittavana ajankohtana sopijaosapuolet mahdollisine alihankkijoineen palauttavat toisen sopijaosapuolen vaatimuksesta toimeksiantoon liittyvät salassa pidettävät tiedot tai tuhoavat ne sovitulla tavalla. Yritys vastaa tässä Turvallisuussopimuksessa sovitulla tavalla siitä, ettei Tilaajan kohteiden tai toiminnan turvallisuus vaarannu Yrityksen henkilöstön huolimattomuuden, virheellisten työtapojen tai muun sopimuksen vastaisen toiminnan johdosta. Tilaaja vastaa siitä, ettei Yrityksen kohteiden tai toiminnan turvallisuus vaarannu Tilaajan henkilöstön huolimattomuuden, virheellisten työtapojen tai muun toiminnan johdosta. 1 Laki viranomaisen toiminnan julkisuudesta 621/1999 1.2 Referenssit Yritys tai sen alihankkijat ei saa mainita kaupallisena tai muuna referenssinä tehneensä työtä Tilaajalle eikä käyttää Tilaajan kanssa tehtyjä sopimuksia tarjouskilpailujen referenssinä ellei asiasta ole erikseen Tilaajan kanssa kirjallisesti sovittu. Mikäli Yritykselle syntyy tekijänoikeus tai muu immateriaalioikeus tehtyjen tai tehtävien sopimusten perusteella, se ei sisällä oikeutta julkistaa tämän Turvallisuussopimuksen perusteella salassa pidettävää tietoa tai muuta aineistoa. 1.3 Riskienhallinta ja käytettävät normistot Yrityksellä tulee olla koko organisaation kattavat systemaattiset menetelmät riskien tunnistamiseksi, arvioimiseksi ja seuraamiseksi sekä niiden hallitsemiseksi. Tähän sopimukseen liittyvien riskien arviointiin ja hallintaan käytetään ensisijaisesti Tilaajalla käytössä olevia menetelmiä, normistoja ja viitekehyksiä tai tapauskohtaisesti myös muita yhteisesti sovittuja arviointitapoja. Käytettäviä normistoja ja viitekehyksiä ovat muun muassa kulloinkin voimassaolevat valtionhallinnon ohjeet ja kriteeristöt sekä sisäasiainhallinnon ja poliisin turvallisuusmääräykset. 1.4 Turvallisuuden tarkastaminen Tilaajalla on oikeus tarkastaa etukäteen ilmoitettuna ajankohtana Yrityksen turvallisuusjärjestelyt tähän Turvallisuussopimukseen liittyviltä osilta. Tilaajan oikeus ulottuu koko alihankintaketjuun. Havaittujen poikkeamien osalta Yritys laatii aikataulutetun ja vastuutetun korjaussuunnitelman, jonka Tilaaja hyväksyy. Tilaajalla on myös oikeus turvallisuusjärjestelyjen tarkastamiseen ennalta ilmoittamatta. 1.5 Yrityksen Henkilöstö Yritys saattaa Tilaajan kanssa yhteistyötä tekevän ja tämän Turvallisuussopimuksen vaikutusalaan kuuluvan henkilöstönsä tietoiseksi tämän Turvallisuussopimuksen salassapitovelvoitteista sekä sitoutuu valvomaan, että henkilöstö noudattaa Turvallisuussopimusta. Yritys toimittaa Turvallisuussopimuksen kohteena olevaan toimintaan liittyvän henkilöstönsä täyttämät ja allekirjoittamat turvallisuusselvityshakemuslomakkeet Tilaajalle turvallisuusselvityksen2 tekemistä varten. Turvallisuusselvitys tehdään henkilöistä, jotka käsittelevät työssään tämän Turvallisuussopimuksen kohteena olevia salassa pidettäviä tietoja tai joilla on pääsy sellaisiin Tilaajan hallinnassa oleviin tiloihin, joissa liikkumista on syytä rajoittaa. Yhteistyöhön nimettävän ja Tilaajan hyväksymän henkilöstön tulee tehdä Tilaajan hyväksymälle lomakkeelle laadittu vaitiolositoumus ennen kaupallisen sopimuksen syntyä. Mikäli Yrityksen tai sen alihankkijoiden kyseeseen tulevassa henkilöstössä on ulkomaiden kansalaisia ja heidän oleskelunsa suomessa on kestänyt alle kymmenen vuotta, heiltä edellytetään kotimaan viranomaisen myöntämää henkilöturvallisuustodistusta (Personal Security Clearance, PSC) suojaustasosta III (CONFIDENTIAL) alkaen. Tilaaja voi tapauskohtaisesti hyväksyä myös muun riittäväksi arvioidun viranomaisen myöntämän todistuksen tai selvityksen henkilön luotettavuudesta tai nuhteettomuudesta. 2 laki turvallisuusselvityksistä, 177/2002 1.6 Alihankkijat Mikäli Yritys käyttää alihankkijoita, aliurakoitsijoita tai muita palvelujen toimittajia Tilaajan hankkeissa, tulee Yrityksen hyväksyttää alihankkijat ja niiden yhteistoimintaan osallistuva henkilöstö Tilaajalla tässä Turvallisuussopimuksessa kuvattujen menettelyjen mukaisesti ennen aliurakointi- tai muun sopimuksen tekemistä sillä edellytyksellä, että alihankkija käsittelee Tilaajan salassa pidettävää tietoa tai toimii tiloissa, joissa käsitellään salassa pidettävää tietoa. Mikäli Yritys käyttää sellaista alihankkijaa, joka käsittelee tai säilyttää salassa pidettäviä tietoja Suomen rajojen ulkopuolella, tulee alihankkijasta edellytysten täyttyessä hankkia sen kotimaan viranomaisen myöntämä yritysturvallisuustodistusta (Facility Security Clearance, FSC). Lisäksi salassa pidettävien tietojen käsittelyyn osallistuvista ulkomaiden kansalaisista tulee hankkia tarvittavat henkilöturvallisuustodistukset. Ulkomaiseksi turvallisuustodistukseksi hyväksytään ulkomaan toimivaltaisen kansallisen turvallisuusviranomaisen (National Security Authority, NSA) myöntämä todistus. Tapauskohtaisesti Tilaaja voi myös hyväksyä riittäväksi arvioidun muun vastaavan todistuksen henkilön tai yrityksen luotettavuudesta, nuhteettomuudesta sekä kyvystä käsitellä turvallisuusluokiteltua tietoa. Mikäli edellisten kappaleiden ehdot täyttyvät, Yrityksen tulee tehdä alihankkijansa kanssa turvallisuussopimus, joka vastaa ehdoiltaan tätä Turvallisuussopimusta. Yrityksen on tiedotettava alihankkijalleen, että turvallisuusjärjestelyjen saattamisesta Tilaajan vaatimalle tasolle saattaa syntyä kustannuksia. Ennen Yrityksen ja alihankkijan välisen turvallisuussopimuksen solmimista sopimuksen yksityiskohdat on hyväksytettävä Tilaajalla. Hyväksyvä taho on ensisijaisesti Yrityksen ja Tilaajan välisen turvallisuussopimuksen valmistelija. 1.7 Henkilöstön ja alihankkijoiden hyväksyminen Tilaajalla on oikeus ennen työn tai sopimuskauden alkamista tai sen kestäessä kieltää erikseen nimeämiensä henkilöiden ja yritysten osallistuminen sopimuksen toimeenpanoon tai työskentelyyn. Työhön hyväksytyistä henkilöstöstä tulee olla ajan tasalla oleva luettelo, joka sisältää vähintään seuraavat tiedot: Nimi, henkilötunnus, tehtävä sekä yrityksen nimi / osasto, työhön hyväksyntä päivämäärä sekä tietoturvakoulutuksen suorituspäivämäärä. Tilaaja ja Yritys ylläpitävät listaa yhteistyössä. 1.8 Koulutus ja osaamisen ylläpitäminen Yritys on velvollinen ylläpitämään henkilöstönsä turvallisuusosaamista säännöllisesti. Yritys sitoutuu kouluttamaan yhteistyössä toimiville henkilöille tämän Turvallisuussopimuksen mukaiset vaatimukset sekä muut Tilaajan Yritykselle osoittamat vaatimukset. Pyydettäessä Yritys sitoutuu toimittaan Tilaajalle koulutusrekisterin, joka osoittaa yhteistyössä olevien henkilöiden osallistuneen vaadittuun koulutukseen. Yritys vastaa käyttämistään alihankkijoista kuin omasta henkilöstöstään. 1.9 Muutokset omistussuhteissa, henkilöstössä tai toiminnoissa Yritys on velvollinen ilmoittamaan Tilaajalle, jos Yrityksen tai sen alihankkijan tämän turvallisuussopimuksen kannalta keskeisissä toiminnoissa tai henkilöstö- tai turvalli- suusjärjestelyissä tapahtuu muutoksia tai jos Yrityksen tai sen alihankkijan omistussuhteissa tapahtuu merkittäviä muutoksia. Yritys ei saa muuttaa työn tekemiseen tai tietojen säilyttämiseen käytettyä paikkaan ilman erillistä lupaa. 1.10 Salassa pidettävän tietoaineiston hallinta Yritys sitoutuu pitämään kirjaa kaikista saamistaan salassa pidettävistä tietoaineistoista yhteistyössä Tilaajan kanssa. Rekisteristä tulee selvitä, milloin Yritys on saanut tietoaineiston. Suojaustason III osalta Yrityksen tulee lisäksi pitää kirjaa kenelle tietoaineisto on luovutettu sekä milloin suojaustason III tietoaineisto on tuhottu. 1.11 Turvallisuushäiriöiden hallinta Yritys on velvollinen ilmoittamaan Tilaajalle kirjallisesti ilman viivytystä turvallisuutta vaarantavista tapahtumista tai seikoista sekä sellaisista muutoksista, jotka saattavat vaarantaa Tilaajan tietojen luottamuksellisuuden. Kiireellisissä tapauksissa ilmoitus tulee tehdä välittömästi, jolloin kirjallinen ilmoitus voidaan tehdä myöhemmin, mutta ilman viivytystä. Yritys on velvollinen ilmoittamaan välittömästi kirjallisena Tilaajalle turvallisuutta vaarantavista tapahtumista tai seikoista sekä sellaisista muutoksista, jotka saattavat vaarantaa Tilaajan tietojen luottamuksellisuuden. 1.12 Varautuminen Silloin kun yhteistyö on Tilaajalle erityisen tärkeää, sovitaan jatkuvuuden hallinnan ja tiedon turvaamisen vaatimukset erikseen. Vaatimusten avulla pyritään turvaamaan turvallisuuden lisäksi jatkuvuus ja käytettävyys normaali- ja poikkeusolojen häiriö- sekä erityistilanteissa. 2 MUUT SOPIMUKSEN SISÄLTÄMÄT ASIAT 2.1 Yhteyshenkilöt Yhteyshenkilöinä ja vastuutahona tämän Turvallisuussopimuksen toteuttamiseen liittyvissä kysymyksissä toimivat erikseen nimetyt henkilöt. Osapuolet ilmoittavat yhteyshenkilönsä tämän Turvallisuussopimuksen allekirjoituksen yhteydessä (liite 1). Yrityksen yhteyshenkilöllä tulee olla ajan tasalla oleva listaus tämän Turvallisuussopimuksen alle kuuluvista hankkeista. 2.2 Sopimuksen päivittäminen Yhteyshenkilöt vastaavat Turvallisuussopimuksen tarpeellisesta päivittämisestä. Päivittämistarve on arvioitava yhteyshenkilöiden kesken vähintään kahden vuoden välein, ellei nopeampaan arviointiaikatauluun ole tarvetta. Sopimukseen tehtävät muutokset tulee molempien osapuolten vahvistaa allekirjoituksellaan. Yhteyshenkilöiden vaihtumista ei katsota sopimuksen muutokseksi. 2.3 Vahingonkorvaus ja sopimussakko Tilaajalla on oikeus saada vahingonkorvausta ja sopimussakkoa, mikäli Yritys rikkoo tämän sopimuksen turvallisuusmääräyksiä. Sopimussakon laskennassa noudatetaan seuraavaa laskentamallia: Tilaajalla on oikeus saada sopimussakkona 10 % kaupallisen sopimuksen kokonaishinnasta tai vähintään 50 000 €. Sopimuksen turvallisuusmääräysten rikkomisesta maksettavan sopimussakon enimmäismäärä voi kuitenkin olla sopimuskohtaisesti enintään sopimuksen kokonaishinta. Erillisessä hankintasopimuksen turvallisuusliitteessä voidaan tapauskohtaisesti käyttää, hankinnan luonteen niin vaatiessa, jotakin edellä mainitusta laskentamallista poikkeavaa, molempien sopimusosapuolten hyväksymää mallia. Tämä sopimussakko-oikeus koskee kaikkia niitä sopimuksia, joiden osalta turvallisuusmääräyksiä on rikottu. 2.4 Sopimuksen irtisanominen ja purkaminen Kumpikin osapuoli voi irtisanoa Turvallisuussopimuksen päättymään kolmen (3) kuukauden kuluessa kirjallisesta irtisanomisilmoituksesta. Irtisanominen ei poista velvollisuutta täyttää ennen irtisanomista syntyneitä velvoitteita. Kumpikin osapuoli on oikeutettu purkamaan Turvallisuussopimuksen välittömästi kirjallisella ilmoituksella toiselle sopimuspuolelle, mikäli toinen sopijapuoli rikkoo sopimusvelvoitteitaan niin olennaisesti, ettei toisen sopijapuolen voida kohtuudella edellyttää jatkavan sopimussuhdetta edes irtisanomisaikaa. Mikäli tämä Turvallisuussopimus irtisanotaan tai purkautuu, voi Tilaaja purkaa välittömästi myös tähän Turvallisuussopimukseen viittaavat, Yrityksen kanssa tehdyt sekä kaupalliset sopimukset että muut sopimukset. Turvallisuussopimuksen purkamisen seurauksena Yritykselle aiheutuu kaupallisissa ja muissa sopimuksissa sovitut seuraamukset turvallisuusmääräysten rikkomisesta. 2.5 Sovellettava laki Tähän sopimukseen sovelletaan Suomen lakia. Tästä Turvallisuussopimuksesta aiheutuneet erimielisyydet pyritään ensisijaisesti ratkaisemaan osapuolten välisin neuvotteluin. Mikäli osapuolet eivät pääse sovinnolliseen ratkaisuun, erimielisyydet ratkotaan Helsingin käräjäoikeudessa. 2.6 Sopimuksen voimassaoloaika Tämä Turvallisuussopimus on voimassa toistaiseksi. Tämä Turvallisuussopimus tulee voimaan, kun kumpikin sopijapuoli on sen allekirjoittanut. Turvallisuussopimus on laadittu kahtena samansanaisena kappaleena, yksi kummallekin osapuolelle. Helsingissä XX.XX.20XX Yritys Oy Poliisiyksikkö JAKELU Poliisiyksikkö Yritys Oy LIITTEET LIITE 1 Osapuolten yhteyshenkilöt Turvallisuussopimukseen liittyen LIITE 2 Ohje salassa pidettävien tietojen ja tietoaineistojen käsittelystä LIITE 3 Vaitiolositoumukset LIITE 4 Kuvaus Yrityksen turvallisuuspolitiikasta ja/tai turvallisuusjärjestelyistä Liite 1 Osapuolten yhteyshenkilöt Tilaajan yhteyshenkilö Sukunimi, Etunimi , Lähiosoite, postinumero, postitoimipaikka Puhelin Matkapuhelin Sähköpostiosoite Yrityksen yhteyshenki- Sukunimi, Etunimi lö , Lähiosoite, postinumero, postitoimipaikka Puhelin Sähköpostiosoite Matkapuhelin Liite 2 1. Ohje salassa pidettävien tietojen ja tietoaineistojen käsittelystä a. Yleistä Yritys sitoutuu pitämään salassa kaikki tehtäviensä hoidossa tarvitut ei julkiset tiedot, sekä tilaajan salassa pidettäväksi tai ei julkisiksi säädetyt tai sellaisiksi lain nojalla määrätyt tiedot. Salassapitovelvollisuus koskee Tilaajan tietoja tiedon kaikissa eri muodoissa ja kaikissa tiedon elinkaaren vaiheissa. Tämä ohje kuvaa ne käsittelysäännöt, joiden mukaan Yrityksen tulee käsitellä Tilaajan tietoja suojaustasoilla IV ja III. Korkeampien suojaustasojen käsittely ohjeistetaan tarvittaessa erikseen. 2. Tietoaineistojen luokittelut Tilaajan salassa pidettävät tiedot luokitellaan suojaustasoihin IV – I. Suojaustason I asiakirja on kaikkien luottamuksellisin suojaustasoista. Asiakirjoissa voi olla myös turvallisuusluokitusmerkintä. Tällöin sovelletaan vastaavan suojaustasoluokan käsittelysääntöjä. Mikäli Yrityksen kanssa ei erityisesti kirjallisesti muuta ole sovittu, Yritys käyttää Tilaajalle asiakirjoja tuottaessaan tai niitä muokatessaan tässä kuvattua merkintätapaa. 3. Tietoaineistojen hallussapito- ja käsittelyoikeudet Suojaustasojen IV ja III tietoaineistoja voivat pitää hallussaan ja käsitellä kaikki Yrityksen yhteistyöhön nimeämät ja Tilaajan hyväksymät henkilöt heidän työtehtäviensä mukaisissa asioissa. 4. Tietoaineiston vastaanotto ja kirjaaminen Suojaustasojen IV ja III tietoaineistojen vastaanotto tulee merkitä erilliseen vastaanottorekisteriin. Rekisteristä tulee selvitä vastaanotetun tiedon tai asiakirjan nimi, sen luokittelu ja vastaanottopäivä. Suojaustason III asiakirjojen osalta rekisteristä tulee lisäksi selvitä kenelle asiakirja on luovutettu tai keillä kaikilla on mahdollisuus päästä asiakirjaan käsiksi sekä mikäli asiakirja on tuhottu, niin sen tuhoamispäivämäärä. 5. Tietoaineiston käsittely, tallennus tietovälineille ja tulostus Suojaustasojen IV ja III mukaista sähköistä tietoaineistoa saa käsitellä ja tallentaa vain Tilaajan hyväksymillä laitteilla tai tietojärjestelmillä. Suojaustason IV tietojen käsittelyyn käytettävien laitteiden tulee toteuttaa KATAKRIn perustason vaatimukset. Suojaustason III käsittelylaitteiden tulee käyttää KATAKRIn korotetun tason vaatimukset, ellei Tilaajan kanssa sovita jotain muuta. Salassa pidettävät tietoaineistot on tallennettava tietojärjestelmiin, levyalueille tai erillisille tietovälineille siten, että tietoa voivat käsitellä vain siihen oikeutetut henkilöt. Salassa pidettävien tietoaineistojen tallennus siirrettäville tietovälineille tulee tehdä aina vahvasti salattuna. Käytettävä salausmenettely tulee sopia Tilaajan kanssa. Salassa pidettävää tietoaineistoa saa tulostaa käsittelylaitteeseen kytketyllä tulostimella. Verkkotulostaminen on mahdollista, mikäli Tilaaja on hyväksynyt käytetyn lähiverkkoratkaisun ja tulostettu asiakirja noudetaan välittömästi tulostimelta. 6. Tietoaineiston käsittely- ja säilytystilat Suojaustasojen IV ja III tietoaineiston käsittely- ja säilytystilojen tulee olla Tilaajan hyväksymät. Salassa pidettäviä tietoaiheistoja ei saa käsitellä missään muualla missään muodossa. Suojaustasoon IV luokitellut tietoaineistot on laitettava kassakaappiin tai lukittaviin kaappeihin ja työskentelytila on lukittava poistuttaessa työskentelytilasta. Jos tietoaineistoa säilytetään lukitussa kaapissa, tulee tilan olla valvottu rikosilmoitinjärjestelmällä (rikosilmoitinkeskuksen taso oltava vähintään 2-luokka FK). Suojaustason IV käsittelyssä käytettäviä kannettavia tietokoneita tai vastaavia laitteita tulee säilyttää kuten suojaustason IV tietoaineistoa Suojaustasoon III luokitellut tietoaineistot on säilytettävä (paperimuotoiset aineistot, ulkoiset muistivälineet ja vastaavat) EURO II -tason kassakaapissa tai vastaavaan tarkoitukseen hyväksytyssä säilytystilassa, kuten hälytysjärjestelmällä varustetussa holvissa (EURO IV) silloin kun materiaalia ei tarvita työskentelyssä. Lisäksi työskentelytila tulee lukita poistuttaessa työskentelytilasta. Suojaustason III käsittelyssä käytettäviä kannettavia tietokoneita tai vastaavia laitteita tulee säilyttää kuten suojaustason III tietoaineistoa. Pääsy käsittely- ja säilytystiloihin tulee rajata vain tunnistettaviin henkilöihin. Sama vaatimus koskee myös arkistoissa, tietokonesaleissa tai muissa tietojärjestelmien ylläpidon tai tietoliikenteen toimivuuden kannalta merkityksellisissä tiloissa, joissa käsitellään tai säilytetään suojaustasoon III tai IV kuuluvia tietoja. Tiloissa tehtävät huoltotyöt, siivoukset tai muut vastaavat tehtävät tulee toteuttaa valvottuna. Salassa pidettävää tietoaineistoa saa olla esillä sivullisten läsnä ollessa. Sekä kassakaappi että asiakirjojen säilytyksessä käytettävä kaappi tulee olla kiinnitettynä rakenteisiin. Neuvottelutiloista ja vastaavista on poistettava yhteistyöhön liittyvät materiaalit ja piirrokset viimeistään tilaisuuden päätyttyä. 7. Tietoaineiston kuljettaminen yrityksen ulkopuolella valvottuna Suojaustasoon IV ja III kuuluvaa tietoaineistoa saa kuljettaa yrityksen ulkopuolelle työtehtäviin liittyen. Kuljetettavan sähköisen tietoaineiston tulee olla vahvasti salattu. IV suojaustasoon kuuluva paperimateriaali tulee kuljettaa suljetussa, läpinäkymättömässä kirjekuoressa tai vastaavassa pakkauksessa. Kuoressa ei saa olla merkintää suojaustasosta. Kuoreen tulee merkitä vastaanottajan tiedot ja muut toimituksen kannalta tarvittavat tiedot. Kuljetustavan tulee olla huomiota herättämätön. III suojaustasoon kuuluva paperimateriaali tulee kuljettaa suljetussa, läpinäkymättömässä kaksinkertaisessa kirjekuoressa tai vastaavassa pakkauksessa. Ulommassa kuoressa ei saa olla merkintää suojaustasosta. Ulompaan kirjekuoreen tulee merkitä vastaanottajan tiedot ja muut toimituksen kannalta tarvittavat tiedot. Kuljetustavan tulee olla huomiota herättämätön. Tietoaineiston kuljettamisen suhteen tulee varmistaa, että kuljetus on valvottu koko siirron ajan ja että kuljetus toteutetaan huomiota herättämättömällä tavalla. 8. Tietoaineiston toimittaminen tai siirtäminen vastaanottajalle valvomatta Suojaustason IV tietoaineistot saa lähettää vastaanottajalle sähköisesti, mikäli tietoaineisto on vahvasti salattu. Käytettävä salausmenettely tulee sopia Tilaajan kanssa. Suojaustason IV aineistoa saa lähettää telekopiosanomana vastaanottaja varmistaen. Suojaustason IV tietoaineistot voidaan lähettää vastaanottajalle postilla tai muulla vastaavalla menettelyllä. Sähköisessä muodossa oleva materiaali on salattava vahvasti ja käytettävä salausmenettely tulee sopia Tilaajan kanssa. Suojaustasoon IV kuuluva paperimateriaali tulee lähettää suljetussa läpinäkymättömässä kirjekuoressa tai vastaavassa pakkauksessa. Kuoressa ei saa olla merkintää suojaustasosta. Kuoreen tulee merkitä vastaanottajan tiedot ja muut toimituksen kannalta tarvittavat tiedot. Suojaustason III tietoaineistot saa lähettää vastaanottajalle sähköisesti, mikäli tietoaineisto on vahvasti salattu. Käytettävä salausmenettely tulee sopia Tilaajan kanssa. Suojaustason III aineistoa ei saa lähettää telekopiosanomana. Suojaustason III tietoaineisto voidaan lähettää vastaanottajalle postilla tai vastaavalla menettelyllä. Suojaustasoon III kuuluva tietoaineisto tulee lähettää kirjattuna. Sähköisessä muodossa oleva materiaali on salattava vahvasti. Käytettävä salausmenettely tulee sopia Tilaajan kanssa. Suojaustasoon III kuuluva paperimateriaali tulee lähettää suljetussa, läpinäkymättömässä kaksinkertaisessa kirjekuoressa tai vastaavassa pakkauksessa. Ulommassa kuoressa ei saa olla merkintää suojaustasosta. Ulompaan kirjekuoreen tulee merkitä vastaanottajan tiedot ja muut toimituksen kannalta tarvittavat tiedot. 9. Tietoaineiston tuhoaminen Hävitettävä sähköisessä tai paperisessa muodossa oleva tietoaineisto poistetaan käytöstä joko tuhoamalla fyysisesti tai saattamalla sellaiseen muotoon, ettei niiden sisältämää tietoa voida käyttää. Tietoaineistot tulee tuhota, ellei niille ole enää käyttöä viimeistään kuitenkin toimeksiannon päättyessä. Suojaustason III tietoaineiston tuhoamispäivämäärä tulee merkitä näkyviin tietoaineistojen vastaanottorekisteriin. Mikäli Yritys on velvollinen säilyttämään tietoaineistoa toimeksiannon päätyttyä Tilaajasta riippumattomista syistä, tulee menettelystä sopia aina tapauskohtaisesti. Suojaustasoon III ja IV luokitellut paperiset tietoaineistot tuhotaan silppuamalla tai keräämällä ne lukittaviin paperinkeräysastioihin. Hyväksyttävä palasen pinta-ala on maksimissaan 30 mm2 ja silpun leveys maksimissaan 2 mm (DIN 66399/P-5). Hävitettävät, salassa pidettävää tietoa sisältäneet tai sisältävät muistivälineet kuten koneiden kovalevyt, CD- ja DVD -levyt, magneettinauhat, kasetit, muistitikut, sekä kortit tulee ylikirjoittaa tai tuhota NCSA-FI:n antamien ohjeiden mukaisesti. Tilaajalla on oikeus hyväksyä tai hylätä toimittajan hävittämismenettelyt. 10. Yhteenveto salassa pidettävien tietoaineistojen käsittelystä KÄSITTELY Käsittely, laatiminen Yrityksen oma vakioitu työasema Tilaajan hyväksymä Yrityksen oma vakioitu työasema Tietoverkkoon kytketty poliisihallinnon hallinnoima työasema Tietoverkosta erillään oleva poliisihallinnon hallinnoima työasema Yrityksen omat mobiililaitteet Etäkäyttö Tulostus ja kopiointi Yrityksen verkkotulostin Verkkotulostin tai verkkoon kytketty poliisihallinnon hyväksymä monitoimilaite, huomioita vaatimukset verkolle Verkosta erillään oleva tulostin tai monitoimilaite Salassa pidettävän tietoaineiston rekisteröinti Asiakirjojen rekisteröinti ST III asiakirjojen luovutuksen rekisteröinti pakollista ST III asiakirjojen tuhoamisen rekisteröinti pakollista Lähettäminen Kirjaamaton kirje, huomioitava ST IV erityisvaatimukset Kirjattu kirje, huomioitava ST III erityisvaatimukset Salaamattomana sähköpostina Vahvasti salattuna sähköpostina Fax, vastaanottaja varmistettava Säilyttäminen, tallentaminen Murtosuojattu tila, kuten kassakaappi tai holvi Lukittu kaappi tai muu vastaava tila Työasema: katso Käsittely, laatiminen –kohdan vaatimukset Tietoverkkoon kytketty Yrityksen hallinnoima tallennuspalvelin, tietoaineisto salaamatonta Tietoverkkoon kytketty Yrityksen hallinnoima tallennuspalvelin, tietoaineisto vahvasti salattu Tietoverkkoon kytketty Yrityksen hallinnoima ja Tilaajan hyväksymä tallennuspalvelin, tietoaineisto vahvasti salattu Poliisihallinnon hyväksymät salatut tallennusmediat ja muistilaitteet Hävittäminen Paperinkeräys Lukittu tietosuojalaatikko ja ulkoisten medioiden lukitut keräyslaatikot Silppuri, huomioitava silppurin luokitus (taso merkittävä silppuriin) Työasemien tai muiden hyväksyttyjen käsittely- ja tallennuslaitteiden massamuistion tyhjennys poliisin ohjeiden mukaan Suojaustaso IV III Ei Kyllä Kyllä Kyllä Ei Ei Ei EI Kyllä* Kyllä* Ei Ei Ei Kyllä Ei Ei* Kyllä Kyllä Kyllä Ei Ei Kyllä Kyllä Kyllä Kyllä Kyllä Ei Kyllä Kyllä Ei Kyllä Ei Kyllä Ei Kyllä Kyllä Kyllä Kyllä Ei Ei Ei Ei Kyllä Ei* Kyllä Kyllä Ei Ei Kyllä Kyllä Ei Ei Kyllä Kyllä * Tilaaja voi tapauskohtaisesti hyväksyä myös ST III käsittelyn toimittajan tietojärjestelmissä.
© Copyright 2024