Organisaatiomme on määritellyt toimintatavat, joiden avulla koordinoidaan työsuhteen päättymishetkellä mm.:

• Laitteiston palauttaminen
• Pääsyoikeuksien poisto
• Muun tieto-omaisuuden palauttaminen

Henkilön työsuhteen käynnistyessä hänelle huolehditaan kerralla käyttöoikeus kaikkien rooliinsa liittyvien tietojärjestelmien käyttöön.

Organisaation on laadittava ja ylläpidettävä henkilöstöpolitiikka. Sen tulisi sisältää:

• Määritellyt tietoturvavastuut
• Henkilöstöä koskevat vaatimukset
• Vaatimukset kolmansien osapuolten palveluille, jotka käyttävät varoja

Näihin vaatimuksiin kuuluvat:

• Tiedottaminen organisaation tietoturvapolitiikoista, -menettelyistä ja -valvonnasta
• Tietoisuus poikkeavaa toimintaa ja ilmiantoja koskevista ilmoituskanavista (Euroopan parlamentin ja neuvoston direktiivi (EU) 2019/1937)
• Varojen palauttaminen työsuhteen päättyessä

Organisaatiolla on oltava menettely, jolla henkilöstö voi työsuhteen päättyessä palauttaa kaiken hallussaan olevan, rahoitusyksikölle kuuluvan tieto- ja viestintäteknisen omaisuuden ja aineellisen tietovarallisuuden.

Define and document a background check procedure to formally define the triggers and scope.

The procedure must specify:

1. The specific conditions and justification process required to initiate a background check, ensuring each case is reasoned and linked to the official Member State risk assessment.
2. A clear definition of personnel who fall under this scope, including:
   • Individuals in sensitive roles that are integral to the resilience of the entity.
   • Anyone authorized for direct or remote access to premises, information, or control systems.
3. Confirmation that the procedure explicitly applies to candidates under consideration for recruitment into the roles defined above.

Authorities must identify the tasks that require special reliability from individuals employed by or acting on behalf of the organization. A personnel security clearance is requested by the authority that owns the classified information.

The clearance is applied for from the Finnish Security Intelligence Service, which decides on its issuance. If the clearance concerns a person performing duties assigned by the Defence Forces or otherwise related to the Defence Forces’ activities or procurements, the application is submitted to the Defence Command, which makes the decision. The clearance may be limited, basic, or comprehensive depending on the sensitivity of the classified information being handled.

To meet international security obligations, a personnel security clearance certificate (PSC) is applied for from the National Security Authority (NSA) operating under the Ministry for Foreign Affairs. For example, handling EU or NATO classified information requires a PSC starting from security classification level III (CONFIDENTIAL).

Organisaatio arvioi turvallisuusselvityksen tarpeen ja mikäli sellaista edellytetään, toteuttaa turvallisuusselvityksen myöntää henkilöille pääsyn suojattaviin kohteisiin vasta turvallisuusselvityksen jälkeen.

Turvallisuusselvityksen laajuus riippuu ihmisen työtehtävästä ja tarvittavista oikeuksista esimerkiksi salassa pidettävän tiedon käsittelyyn. Selvityksen laajuus ratkaisee, mitä tietolähteitä selvityksen tekemisessä käytetään. Henkilöä itseään voidaan tarvittaessa haastatella.

Työsopimuksessa olisi eroteltava tietoturvavastuut ja -velvollisuudet, jotka jäävät voimaan työsuhteen päättymisen. Työntekijää muistutetaan vielä näistä työsuhteen päättyessä, jotta noudattamista voidaan varmistaa.

Kaikissa työsuhteen muutostilanteissa pääsyoikeudet olisi katselmoitava yhteistyössä suojattavan omaisuuden omistajien kanssa, ja myönnettävä henkilölle kokonaan uudelleen, kun henkilön työsuhteessa tapahtuu merkittävä muutos. Muutos voi olla ylennys tai roolin vaihtaminen (esim. yksiköstä toiseen siirtyminen).

Vähintään digiturvan kannalta tärkeisiin rooleihin hakeutuvien työnhakijoiden tausta olisi tarkastettava, huomioiden asianmukaiset lait ja määräykset.

Tarkastus voi sisältää mm.:

• suositusten tarkistuksen
• CV:n oikeellisuuden tarkistuksen
• koulutuksellisen pätevyyden varmistamisen
• henkilöllisyyden tarkistamisen riippumattomasta lähteestä
• muut yksityiskohtaisemmat tarkistukset (esim. luottotietojen, aiempien korvausvaatimusten tai rikosrekisterin tarkistus)

Taustatarkistus voi olla syytä ulottaa myös esimerkiksi täysin etänä työskenteleviin, urakoitsijoihin tai muihin kolmansiin osapuoliin. Taustatarkistuksen syvyyttä voidaan suhteuttaa tehtävän oikeuttavaan tietoluokkaan.

Organisaatio on muodostanut ohjeistukset, joilla varmistetaan turvallisuutta eri työsuhteen elinkaaren vaiheissa. Ohjeistuksia koulutetaan ja valvotaan tarvittavien henkilöstöryhmien parissa (esim. esihenkilöt).

Menettelyohjeet voidaan kohdistaa työsuhteen eri elinkaaren vaiheisiin. Eri ohjeistuksia voivat olla esimerkiksi:

• rekrytointiohjeet
• perehdyttämisohjeet
• työsuhteen aikaisten muutosten ohjeet
• työsuhteen päättymisen ohjeet
• ja ohjeet yksityiskohtaisempiin toimiin kuten esimerkiksi ohjeet käyttö- ja pääsyoikeuksien muutoksiin

Työsuhteen irtisanomisaikana organisaation olisi valvottava, ettei irtisanottu työntekijä esimerkiksi kopioi tärkeää tietoa (esim. aineetonta omaisuutta) luvattomasti.

Mikäli henkilön työsuhde on päättymässä tai merkittävästi muuttumassa, käyttöoikeuksien vähentämistä suojattavaan omaisuuteen on harkittava riippuen seuraavista asioista:

• henkilön haluttomuus tulevaan muutokseen
• henkilön tämänhetkisten käyttöoikeuksien ja vastuiden laajuus
• suojattavan omaisuuden arvo, johon työntekijällä on pääsy