Henkilöstöllä on oltava tietoturvaohjeet, joissa on käsiteltävä mm. seuraavia aiheita:

• mobiilaitteiden käyttö ja päivitykset
• tiedon tallentaminen ja varmuuskopiointi
• tietosuoja
• sähköpostin käyttö
• tulosteiden, papereiden ja tiedostojen käsittely
• häiriöistä ilmoittaminen
• huijausten estäminen

Organisaation on suoritettava taustaselvitykset työntekijöille ja ehdokkaille, joilla on tai tulee olemaan suora tai etäkäyttöoikeus kriittisiin tietojärjestelmiin, sekä vastaavissa tehtävissä toimiville alihankkijoiden työntekijöille.

Tarkastusten olisi perustuttava riskinarviointiin ja katettava viimeiset viisi vuotta. Henkilöltä on saatava ennakkosuostumus, ja suostumuksen puuttuminen estää häntä työskentelemästä tehtävissä, joissa on pääsy kriittisiin järjestelmiin.

Taustatarkastuksen on sisällettävä seuraavat seikat

• Henkilön henkilöllisyyden vahvistaminen.
• Rikosrekisteritietojen tarkistaminen Sloveniassa, EU:ssa ja kolmansissa maissa sellaisten erityisten rikosten osalta, jotka voivat vaarantaa kriittisten järjestelmien turvallisuuden.

Organisaatio voi kerätä näitä tarkastuksia varten tarvittavia henkilötietoja, kuten etu- ja sukunimen, yksilöllisen tunnistenumeron (esim. EMŠO) tai syntymäajan, virallisen henkilöllisyystodistuksen numeron ja tietoja rikostuomioista. Näitä tietoja on säilytettävä viisi vuotta sen kalenterivuoden päättymisestä, jona ne kerättiin, ja sen jälkeen ne on poistettava tai tuhottava peruuttamattomasti.

Organisaation olisi laadittava ja ylläpidettävä sisäisen ääni-, video- ja tekstiviestinnän hyväksyttyjä välineitä koskevat käytännöt. Näitä välineitä olisi käytettävä eri tilanteissa, kuten tiedonsiirrossa, etäkäytössä ja etätyössä. Työkalujen valinnan olisi perustuttava määriteltyihin turvallisuuskriteereihin, kuten päästä päähän -salaus, vahvat pääsynvalvontakeinot ja MFA-tuki. Käytännössä olisi ilmoitettava selkeästi, mitkä työkalut hyväksytään erityyppiseen sisäiseen viestintään, erityisesti silloin, kun kyse on arkaluonteisista tiedoista. Hyväksymättömien viestintäsovellusten käyttö työtehtävissä olisi kiellettävä.

Työntekijät olisi koulutettava vastaavasti ja heille olisi tiedotettava riskeistä, jotka liittyvät hyväksymättömien viestintätyökalujen käyttämiseen työhön liittyvässä toiminnassa (esim. mahdolliset tietomurrot tai arkaluonteisten tietojen luvaton käyttö). Hyväksyttyjen välineiden luetteloa olisi tarkistettava säännöllisesti, jotta varmistetaan niiden jatkuva turvallisuus ja soveltuvuus.

Työntekijöitä kannustetaan tekemään turvallisuusehdotuksia, ja organisaatio kerää ja arvioi niitä säännöllisesti. Työntekijöille annetaan palautetta ehdotuksista, ja ehdotuksia voidaan käyttää jatkokehittämiseen tai parantamiseen.

Organisaation olisi varmistettava, että turvallisuusarvioinnit perustuvat kaiken asiaankuuluvan tiedon kattavaan ja järjestelmälliseen arviointiin. Tähän sisältyy:

• Perustutkinnan aikana saadut tiedot.
• Muutoin saatavilla oleva tieto tarkastettavasta henkilöstä.
• Rekisteritarkastuksen ja erityisen henkilötutkinnan jälkeen paljastuneet tiedot.
• sen turvallisuuden kannalta arkaluonteisen toiminnan erityisluonne, jota tarkastus koskee.
• Kaikki muut asiaankuuluvat olosuhteet, jotka voivat vaikuttaa henkilön soveltuvuuteen tai aiheuttaa turvallisuusriskin.

Arviointiprosessissa olisi punnittava kokonaisvaltaisesti kaikkia näitä tekijöitä, jotta voidaan määritellä henkilön soveltuvuus osallistua arkaluonteisiin turvallisuustoimiin, ja varmistettava, että päätös on perusteltu ja että siinä otetaan huomioon kaikki tehtävään liittyvät mahdolliset turvallisuusvaikutukset.

The organisation should establish a process to manage the full lifecycle of security clearances for all relevant employees and representatives. This includes individuals who need access to classified information, perform functions requiring clearance, or handle preparedness related contact with the Agency for Societal Security.

The process should also outline the steps for obtaining the initial clearance from the agency, as well as procedures for the ongoing management of that clearance, such as performing periodic reviews of continued need, reassessing requirements during role changes, handling the formal off-boarding of cleared individuals, and maintaining an accurate record of all personnel and their current clearance status.

Ohjeista on ilmoitettava henkilöstölle, kun uusi ohje otetaan käyttöön tai nykyisiä ohjeita muutetaan.

Henkilöstöllä on oltava ohjeet, joissa käsitellään seuraavia aiheita:

• Hyväksytyt laitteet ja ohjelmistot, joita työntekijät tarvitsevat työssään.
• Laitteet ja ohjelmistot, joita ei tarvita työssä, mutta jotka ovat silti sallittuja.
• Laitteet ja ohjelmistot, jotka eivät ole toivottuja

Organisaation olisi muistutettava työntekijöitä siitä, että heidän vastuullaan on pitää salasanat ja salaisuudet turvassa. Heidän ei pitäisi koskaan jakaa niitä kenenkään kanssa, mukaan lukien kollegat ja esimiehet.

Heidän tulisi myös aina lukita laitteensa, kun he poistuvat niiden ääreltä.

Organisaation johdon on huolehdittava siitä, että organisaatiossa on ajantasaiset ohjeet tietojen käsittelystä, tietojärjestelmien käytöstä, tietojenkäsittelyoikeuksista, tiedonhallinnan vastuiden toteuttamisesta, tiedonsaantioikeuksien toteuttamisesta sekä tietoturvallisuustoimenpiteistä.

Käytännössä johto määrittelee, miten ohjeiden ajantasaisuus varmistetaan ja mille toimijoille ohjeiden ajantasaisuudesta huolehtiminen kuuluu.

Ohjeiden ajan tasalla pitäminen on suositeltavaa vastuuttaa niille toimijoille, jotka ovat kokonaisvastuussa tietoturvallisuudesta, tietojärjestelmistä, tietovarannoista, rekisterinpidosta, asiakirjapyyntöihin liittyvästä päätöksenteosta, asianhallinnasta ja arkistotoimesta.

Tietoa käsitteleville henkilöille selvitetään tietojen suojaamista ja asiakirjojen käsittelyä koskevat tietoturvaohjeet ja -periaatteet ennen pääsyä tietoihin tai organisaation tarkasti määrittelemien aikamääreiden sisällä.

Tietoturvaohjeistusta tarkennetaan työntekijän työtehtävään liittyen. Organisaatio on määritellyt yksiköt ja roolit, jotka vaativat erillistä ohjeistusta, ja muodostaa näille omia tarkennettuja tietoturvaohjeitaan.

Esimerkkejä omaa ohjeistusta vaativista yksiköistä ovat mm. asiakaspalvelu, IT ja HR. Esimerkkejä omaa ohjeistusta vaativista työrooleista puolestaan järjestelmän pääkäyttäjä sekä etätyön tekijä.

Ohjeiden noudattamista voidaan valvoa joko teknisesti tai suoraan kysymällä / testaamalla työntekijöiltä.

Mikäli henkilöstöllä on ristiriitaisia tavoitteita tietoturvaohjeiden kanssa, he eivät todennäköisesti noudata ohjeita.

Organisaatio pyrkii aktiivisesti löytämään huonosti toimivat ohjeet ja muokkaamaan joko ohjetta, työkaluja tai henkilöstön prioriteetteja, jotta ohjeita noudatetaan.