The organisation should ensure staff receive appropriate role-specific training and are aware of their security responsibilities. Training should provide practical instructions and materials for daily work in critical facilities. Training should cover topics such as:

• Incident prevention
• Protection of physical spaces
• Incident response
• Incident recovery
• Employee security management
• Communication

Standalone information materials such as posters, newsletters or intranet resources should be utilised to continuously reinforce awareness. Training should also be easily accessible to all employees. The effectiveness of training measures should be reviewed periodically to ensure they remain relevant.

The organisation should ensure the initial incident notification is submitted to the competent supervisory authority and the Government Situation Centre (Valtioneuvoston tilannekeskus). It should cover:

• the nature and detection of the incident
• an initial assessment of its cause and consequences
• the estimated share of essential service users affected
• any information relevant to potential cross-border impact.

A detailed incident report should be submitted to the coordinating ministry, the sector ministry, and the competent supervisory authority. The report should provide a full account of the incident, including a detailed description of the incident, its severity, impacts and geographical extent, the likely threat or cause, mitigation measures taken or ongoing, possible cross-border effects, and any other information relevant to the management of the incident.

Information from both the initial notification and the detailed report should be made available to the National Emergency Supply Agency (Huoltovarmuuskeskus) upon request.

A process for handling follow-up information requests from the supervisory authority should be in place.

Organisaation olisi varmistettava, että taustatarkastuksissa kerättyjä henkilötietoja käsitellään tietosuojasäännösten mukaisesti. Prosessi olisi saatettava päätökseen kohtuullisessa ajassa, ja sen on oltava oikeassa suhteessa arvioitavaan turvallisuusriskiin. Henkilöille olisi tiedotettava tarkastuksesta, ja kerätyt tiedot olisi rajoitettava ehdottoman välttämättömään ja poistettava turvallisesti sen jälkeen, kun niiden tarkoitus on täytetty.

Taustatarkastusten suorittamisprosessi, mukaan lukien niiden pyytäminen ja suorittaminen, olisi sovitettava yhteen asiaankuuluvien kansallisten ja EU:n lakien ja menettelyjen kanssa.

Henkilöstöllä on oltava tietoturvaohjeet, joissa on käsiteltävä mm. seuraavia aiheita:

• mobiilaitteiden käyttö ja päivitykset
• tiedon tallentaminen ja varmuuskopiointi
• tietosuoja
• sähköpostin käyttö
• tulosteiden, papereiden ja tiedostojen käsittely
• häiriöistä ilmoittaminen
• huijausten estäminen

Organisaation olisi määriteltävä ja dokumentoitava, mitkä viestintäkanavat on hyväksytty erityyppisten tietojen käsittelyyn tiedonluokitusjärjestelmänsä perusteella. Näin varmistetaan, että arkaluonteisia tietoja siirretään vain sellaisten kanavien kautta, jotka tarjoavat asianmukaisen turvallisuustason. Käytännössä voidaan esimerkiksi määritellä, että luottamuksellisia tietoja voidaan jakaa vain päästä päähän salatun viestipalvelun kautta, kun taas julkiset tiedot voidaan lähettää tavallisen tekstiviestin välityksellä.

Organisaation on suoritettava taustaselvitykset työntekijöille ja ehdokkaille, joilla on tai tulee olemaan suora tai etäkäyttöoikeus kriittisiin tietojärjestelmiin, sekä vastaavissa tehtävissä toimiville alihankkijoiden työntekijöille.

Tarkastusten olisi perustuttava riskinarviointiin ja katettava viimeiset viisi vuotta. Henkilöltä on saatava ennakkosuostumus, ja suostumuksen puuttuminen estää häntä työskentelemästä tehtävissä, joissa on pääsy kriittisiin järjestelmiin.

Taustatarkastuksen on sisällettävä seuraavat seikat

• Henkilön henkilöllisyyden vahvistaminen.
• Rikosrekisteritietojen tarkistaminen Sloveniassa, EU:ssa ja kolmansissa maissa sellaisten erityisten rikosten osalta, jotka voivat vaarantaa kriittisten järjestelmien turvallisuuden.

Organisaatio voi kerätä näitä tarkastuksia varten tarvittavia henkilötietoja, kuten etu- ja sukunimen, yksilöllisen tunnistenumeron (esim. EMŠO) tai syntymäajan, virallisen henkilöllisyystodistuksen numeron ja tietoja rikostuomioista. Näitä tietoja on säilytettävä viisi vuotta sen kalenterivuoden päättymisestä, jona ne kerättiin, ja sen jälkeen ne on poistettava tai tuhottava peruuttamattomasti.

Organisaation olisi laadittava ja ylläpidettävä sisäisen ääni-, video- ja tekstiviestinnän hyväksyttyjä välineitä koskevat käytännöt. Näitä välineitä olisi käytettävä eri tilanteissa, kuten tiedonsiirrossa, etäkäytössä ja etätyössä. Työkalujen valinnan olisi perustuttava määriteltyihin turvallisuuskriteereihin, kuten päästä päähän -salaus, vahvat pääsynvalvontakeinot ja MFA-tuki. Käytännössä olisi ilmoitettava selkeästi, mitkä työkalut hyväksytään erityyppiseen sisäiseen viestintään, erityisesti silloin, kun kyse on arkaluonteisista tiedoista. Hyväksymättömien viestintäsovellusten käyttö työtehtävissä olisi kiellettävä.

Työntekijät olisi koulutettava vastaavasti ja heille olisi tiedotettava riskeistä, jotka liittyvät hyväksymättömien viestintätyökalujen käyttämiseen työhön liittyvässä toiminnassa (esim. mahdolliset tietomurrot tai arkaluonteisten tietojen luvaton käyttö). Hyväksyttyjen välineiden luetteloa olisi tarkistettava säännöllisesti, jotta varmistetaan niiden jatkuva turvallisuus ja soveltuvuus.

Työntekijöitä kannustetaan tekemään turvallisuusehdotuksia, ja organisaatio kerää ja arvioi niitä säännöllisesti. Työntekijöille annetaan palautetta ehdotuksista, ja ehdotuksia voidaan käyttää jatkokehittämiseen tai parantamiseen.

Organisaation olisi varmistettava, että turvallisuusarvioinnit perustuvat kaiken asiaankuuluvan tiedon kattavaan ja järjestelmälliseen arviointiin. Tähän sisältyy:

• Perustutkinnan aikana saadut tiedot.
• Muutoin saatavilla oleva tieto tarkastettavasta henkilöstä.
• Rekisteritarkastuksen ja erityisen henkilötutkinnan jälkeen paljastuneet tiedot.
• sen turvallisuuden kannalta arkaluonteisen toiminnan erityisluonne, jota tarkastus koskee.
• Kaikki muut asiaankuuluvat olosuhteet, jotka voivat vaikuttaa henkilön soveltuvuuteen tai aiheuttaa turvallisuusriskin.

Arviointiprosessissa olisi punnittava kokonaisvaltaisesti kaikkia näitä tekijöitä, jotta voidaan määritellä henkilön soveltuvuus osallistua arkaluonteisiin turvallisuustoimiin, ja varmistettava, että päätös on perusteltu ja että siinä otetaan huomioon kaikki tehtävään liittyvät mahdolliset turvallisuusvaikutukset.

Organisaation olisi luotava prosessi, jolla hallinnoidaan kaikkien asianomaisten työntekijöiden ja edustajien turvallisuusselvitysten koko elinkaarta. Tämä koskee henkilöitä, joiden on päästävä turvaluokiteltuihin tietoihin, jotka suorittavat selvitystä edellyttäviä tehtäviä tai jotka hoitavat valmiuteen liittyviä yhteyksiä Yhteiskunnan turvallisuusvirastoon.

Prosessissa olisi myös hahmotettava vaiheet, joiden mukaisesti alkuperäinen turvallisuusselvitys hankitaan virastolta, sekä menettelyt kyseisen selvityksen jatkuvaa hallinnointia varten, kuten jatkuvan tarpeen säännöllinen tarkistaminen, vaatimusten uudelleenarviointi tehtävien vaihtuessa, selvityksen saaneiden henkilöiden virallisen poistamisen hoitaminen ja tarkan rekisterin pitäminen kaikesta henkilökunnasta ja heidän tämänhetkisestä turvallisuusselvitystilanteestaan.

Ohjeista on ilmoitettava henkilöstölle, kun uusi ohje otetaan käyttöön tai nykyisiä ohjeita muutetaan.

Henkilöstöllä on oltava ohjeet, joissa käsitellään seuraavia aiheita:

• Hyväksytyt laitteet ja ohjelmistot, joita työntekijät tarvitsevat työssään.
• Laitteet ja ohjelmistot, joita ei tarvita työssä, mutta jotka ovat silti sallittuja.
• Laitteet ja ohjelmistot, jotka eivät ole toivottuja

Organisaation olisi muistutettava työntekijöitä siitä, että heidän vastuullaan on pitää salasanat ja salaisuudet turvassa. Heidän ei pitäisi koskaan jakaa niitä kenenkään kanssa, mukaan lukien kollegat ja esimiehet.

Heidän tulisi myös aina lukita laitteensa, kun he poistuvat niiden ääreltä.

Organisaation johdon on huolehdittava siitä, että organisaatiossa on ajantasaiset ohjeet tietojen käsittelystä, tietojärjestelmien käytöstä, tietojenkäsittelyoikeuksista, tiedonhallinnan vastuiden toteuttamisesta, tiedonsaantioikeuksien toteuttamisesta sekä tietoturvallisuustoimenpiteistä.

Käytännössä johto määrittelee, miten ohjeiden ajantasaisuus varmistetaan ja mille toimijoille ohjeiden ajantasaisuudesta huolehtiminen kuuluu.

Ohjeiden ajan tasalla pitäminen on suositeltavaa vastuuttaa niille toimijoille, jotka ovat kokonaisvastuussa tietoturvallisuudesta, tietojärjestelmistä, tietovarannoista, rekisterinpidosta, asiakirjapyyntöihin liittyvästä päätöksenteosta, asianhallinnasta ja arkistotoimesta.

Tietoa käsitteleville henkilöille selvitetään tietojen suojaamista ja asiakirjojen käsittelyä koskevat tietoturvaohjeet ja -periaatteet ennen pääsyä tietoihin tai organisaation tarkasti määrittelemien aikamääreiden sisällä.

Tietoturvaohjeistusta tarkennetaan työntekijän työtehtävään liittyen. Organisaatio on määritellyt yksiköt ja roolit, jotka vaativat erillistä ohjeistusta, ja muodostaa näille omia tarkennettuja tietoturvaohjeitaan.

Esimerkkejä omaa ohjeistusta vaativista yksiköistä ovat mm. asiakaspalvelu, IT ja HR. Esimerkkejä omaa ohjeistusta vaativista työrooleista puolestaan järjestelmän pääkäyttäjä sekä etätyön tekijä.

Ohjeiden noudattamista voidaan valvoa joko teknisesti tai suoraan kysymällä / testaamalla työntekijöiltä.

Mikäli henkilöstöllä on ristiriitaisia tavoitteita tietoturvaohjeiden kanssa, he eivät todennäköisesti noudata ohjeita.

Organisaatio pyrkii aktiivisesti löytämään huonosti toimivat ohjeet ja muokkaamaan joko ohjetta, työkaluja tai henkilöstön prioriteetteja, jotta ohjeita noudatetaan.