Siirrettävä data täytyy suojata käyttämällä kryptografisia menetelmiä. Siirrettävän datan luottamuksellisuuden ja eheyden suojaaminen koskee sisäisiä ja ulkoisia verkko sekä kaikkia järjestelmiä, jotka voivat siirtää tietoa. Näitä ovat esimerkiksi:

• Palvelimet
• Tietokoneet
• Mobiililaitteet
• Tulostimet

Siirrettävä data voidaan suojata fyysisin tai loogisin keinoin.

• Fyysinen suojaus saadaan suojatusta jakelujärjestelmästä esimerkiksi valokuitulinjasta, jossa on riittävä suojaus estämään esimerkiksi sähkömagneettista vuotoa ja kontrollit estämään sen luvaton käyttö.
• Looginen suojaus saavutetaan tietoliikenteen vahvalla salaamisella.

Yleisessä tietoverkossa salassa pidettävää tietoa sisältävä tietoliikenne salataan salausratkaisulla, jossa ei ole tunnettuja haavoittuvuuksia ja jotka tukevat valmistajalta saatujen tietojen mukaan moderneja salausvahvuuksia ja -asetuksia tai vaihtoisesti siirto toteutetaan muuten suojattua tiedonsiirtoyhteyttä tai -tapaa käyttämällä.

Hallitun fyysisen turvallisuusalueen ulkopuolelle menevä liikenne salataan riittävän turvallisella salausratkaisulla.

Hallintaliikenne julkisessa verkossa on salattua käyttötilanteeseen soveltuvalla menetelmällä, suosien oikeellisen toiminnan osalta varmistettuja (validoituja) ja standardoituja salausratkaisuja/-protokollia.

Kun käytetään langattomia yhteyksiä fyysisten sijaan (esim. WLAN, Bluetooth) tulkitaan yhteys poistumiseksi suojatulta alueelta.

Tässä tapauksessa langattomassa tiedonsiirrossa tietoliikenne salataan salausratkaisulla, jossa ei ole tunnettuja haavoittuvuuksia ja jotka tukevat valmistajalta saatujen tietojen mukaan moderneja salausvahvuuksia ja -asetuksia. 

Tiedonsiirtoon sisältyy myös oheislaitteiden ja päätelaitteiden välinen liikenne eli esim. langattomat hiiret, näppämistöt ja kuulokkeet. Fyysisesti suojatun sisällä tapahtuvan vaatimuksia heikommin suojattu langaton tiedonsiirto (esim. langattomat oheislaitteet) voidaan hyväksyä, mikäli voidaan varmistua, että tiedon luottamuksellisuus ei vaarannu näiden yhteyksien kautta.

Organisaation henkilöstölle tarjotaan ratkaisu turvallisuusluokittelemattoman salassa pidettävän tiedon suojaamiseksi salaamisella, kun tietoa siirretään fyysisesti suojattujen alueiden ulkopuolelle verkon kautta. Ratkaisussa ei ole tunnettuja haavoittuvuuksia ja se tukee valmistajalta saatujen tietojen mukaan moderneja salausvahvuuksia ja -asetuksia.

Henkilöstön osaamisesta salausratkaisun turvalliseen käyttöön on varmistuttu (esimerkiksi ohjeistus, koulutus ja valvonta).

Hallintaliikenteen sisältäessä turvallisuusluokiteltua tietoa ja kulkiessa matalamman turvallisuusluokan ympäristön kautta, turvallisuusluokitellut tiedot on salattu riittävän turvallisella salaustuotteella.

Hallintaliikenteen kulkiessa ko. turvallisuusluokan sisällä, alemman tason salausta tai salaamatonta siirtoa voidaan käyttää riskinhallintaprosessin tulosten perusteella.

Langattomassa tiedonsiirrossa tietoliikenne salataan kyseiselle turvaluokalle riittävän turvallisella salausratkaisulla.

Liikenne voidaan esimerkiksi tunneloida liittävän turvallisella VPN-ratkaisulla tai voidaan käyttää sovellustason salausratkaisua.

• Fyysisesti suojatun alueen ulkopuolelle kantautuva langaton tiedonsiirto salataan vaatimuksen mukaisesti.
• Fyysisesti suojatun sisällä tapahtuvan vaatimuksia heikommin suojattu langaton tiedonsiirto (esim. langattomat oheislaitteet) voidaan hyväksyä, mikäli voidaan varmistua, että tiedon luottamuksellisuus ei vaarannu näiden yhteyksien kautta.
• Langattomia yhteyksiä sisältäviä matalamman turvallisuustason laitteita ei liitetä ympäristöön.

Kunkin turvallisuusluokan tiedot pidetään erillään julkisista ja muiden turvallisuusluokkien tiedoista, tai eri tason tietoja käsitellään korkeimman turvallisuusluokan mukaisesti.

Palvelimissa, työasemissa ja muissa tallennusvälineissä turvallisuusluokitellut tiedot säilytetään riittävän turvallisella menetelmällä salattuna, mikäli salausta käytetään tarkastusoikeuden varaavien eri tiedon omistajien tietojen erotteluun, tai/ja mikäli tallennusvälineitä viedään niiden elinkaaren aikana kyseisen turvallisuusluokan säilyttämiseen hyväksytyn turvallisuusalueen ulkopuolelle.

Erityisesti turvallisuusluokitellun tiedon suojaamisessa korostuu tarve käyttää salausratkaisuja, joiden riittävästä turvallisuudesta on luotettavaa näyttöä. Puhtaasti ohjelmistopohjaiset salausratkaisut ovat tyypillisesti hyväksyttävissä IV- ja joissain tilanteissa erityisehdoilla myös III-luokille. II-luokalle ja useimmin myös III-luokalle edellytetään tyypillisesti enemmän alustan luotettavuudelta. 

Kun turvallisuusluokiteltua tietoa siirretään hyväksyttyjen fyysisesti suojattujen turvallisuusalueiden ulkopuolelle, tieto/tietoliikenne salataan riittävän turvallisella menetelmällä. Lisäksi tietojensiirto on järjestettävä siten, että vastaanottaja varmistetaan tai tunnistetaan riittävän tietoturvallisella tavalla ennen kuin vastaanottaja pääsee käsittelemään siirrettyjä turvallisuusluokiteltuja tietoja.

Salausratkaisujen hyväksyntäprosessia on kuvattu yksityiskohtaisemmin Kyberturvallisuuskeskuksen ohjeessa salaustuotearvioinneista ja -hyväksynnistä.

Turvallisuusluokan III sähköisten tietojen säilytys on mahdollista kyseisen turvallisuusluokan mukaisessa päätelaitteessa turva-alueen ulkopuolella seuraavien ehtojen täyttyessä:

• tiedot on suojattu ko. turvallisuusluokalle riittävän turvallisella salausratkaisulla
• päätelaitteen tietoturvallisuudesta on huolehdittu riittävin menettelyin

Kun TL I -tietojen suojaamiseen käytetään salausratkaisuja (esim. kiintolevyjen salaukseen, eri omistajien tietojen erottelu) huomioidaa, että TL I -tietojen suojaamiseen riittävän luotettavia, hyväksyttyjä salausratkaisuja on saatavilla äärimmäisen rajoitetusti. 

Näissä tilanteissa salausratkaisut ovat lähtökohtaisesti vain tukevassa roolissa muille suojauksille, erityisesti fyysiselle pääsynhallinnalle. Tietojen siirtämisessä turva-alueiden välillä voidaan turvautua esimerkiksi kuriirimenettelyihin.

Organisaation tulee varmistaa, että tietojärjestelmien käyttöön sovellettavat kryptografiset säännöt ja toimintatavat ovat asiaankuuluvien sopimusten, lakien ja määräysten mukaisia.

Pilvipalveluita tarjoaessaan organisaation tulee toimittaa pilvipalvelun asiakkaalle kuvaukset toteutetuista salausohjauksista soveltuvien sopimusten, lakien ja määräysten noudattamisen tarkistamiseksi.

Organisaation riskienhallintamenettelyssä on huomioitava riittävällä prioriteetilla salausavainten hallintaan liittyvien riskien tunnistaminen, arvionti, käsittely ja seuraaminen.

Organisaatiolla on oltava keinot, joiden mukaisesti vaarantuneita salausavaimia käsitellään. Vaarantuneet salausavaimet voivat olla tilassa, jossa ne odottavat tarkempaa tutkintaa asiallisten toimenpiteiden selvittämiseksi.

Vaarantuneiden salausavainten käsittelyssä on huomioitava vähintään seuraavat seikat:

• vaarantuneita salausavaimia on käytettävä tiedon salaamiseen ainoastaan hallituissa erityisolosuhteissa
• vaarantuneita salausavaimia on käytettävä yleisesti ainoastaan salauksen purkamiseen eikä salaukseen
• vaarantuneet avaimet on sisällytettävät organisaation CKL-listoille (compromised key lists)
• tarvittaessa liittyviä sidosryhmiä on tiedotettava avainten vaarantumisesta

Vaarantuneiden salausavainten pikaiseen kumoamiseen tulisi soveltaa organisaation hätäkumoamisprosesseja.

Palveluntarjoajan täytyy kyetä tarjoamaan asiakkaalle mahdollisuus hallinnoida itsenäisesti sen hallinoimien tietojen salaukseen käytettävien salausavainten säilytys ja hallinta.

Tähän työnjakoon kuuluvat yksityiskohdat tulisi mainita palvelutasosopimuksissa, käyttöehdoissa tai muissa vastaavissa dokumenteissa.

Organisaation täytyy auditoida salauksen ja salausavainten hallintajärjestelmät ja käytännöt säännöllisesti. Auditointi tulee toteuttaa vähintään vuosittain sekä aina näihin osa-alueisiin liittyvien tietoturvatapahtumien jälkeen.

Auditoinnissa on tärkeää huomioida mahdolliset toimialakohtaiset salausvaatimukset (esim. HIPAA - terveystiedot, tai PCI DSS - maksukorttitiedot).

Organisaatio käyttää salausavainten luomiseen ainoastaan toimialalla yleisesti hyväksyttyjä salauskirjastoja. Kirjastot määrittävät käytetyn salausalgoritmin vahvuuden sekä mm. käytetyn satunnaisnumerogeneraattorin.

Organisaation hallinnoimien salausavainten on oltava dedikoituja yhteen, ainutlaatuiseen käyttötarkoitukseen.

Salausavainten jakeluun liittyen on huomioitava vähintäänkin seuraavat asiat:

• symmetriset, epäsymmetriset ja muut salausavainmateriaalit tarvitsevat omat suojausmenetelmansa niiden jakeluun
• jaellut avaimet tulee suojata levossa, varastoinnissa ja siirron aikana
• kaikista salausavainten jakeluun liittyvistä toimista tulisi kerätä lokia
• avainten jakelu tulisi mielellään toteuttaa automaattisesti

Organisaation on huolehdittava salausavainten kierrättämisestä määriteltyjen salausjaksojen mukaisesti. Salausjakson määrittämisessä on huomioitava tiedon paljastumisen riskit sekä lakisääteiset vaatimukset.

Salausavainten kierrätyksen yhteydessä vanhaa avainta on ensin käytettävä salauksen purkamiseen ja tämän jälkeen uutta avainta tiedon uudelleensalaamiseen.

Organisaatiolla on oltava keinot salausavainten käytöstä poistamiseksi ennen asetetun salausjakson päättymistä. Näitä toimenpiteitä käytetään esimerkiksi avaimen eheyden vaarantuessa tai salauksen kohteen poistuessa organisaation hallusta.

Tieto salausavaimen kumoamisesta tulisi olla saatavilla kaikille salausavaimeen nojautuneille tahoille. Relevanttien sidosryhmien tiedottamisessa voi olla syytä käyttää mm. certificate revocation -listoja (CRL).

Organisaatiolla täytyy olla keinot turvallisen ympäristön ulkopuolelle varastoitujen salausavainten tuhomaiseksi sekä HSM:iin (Hardware Security Modules) varastoitujen avainten kumoamiseksi, kun niitä ei enää tarvita.

Salausavainten tuhoamisessa on huomioitava seuraavat seikat, jotka varmistavat tietojen palauttamattomuuden:

• Kaikki kopiot salausavaimesta tuhotaan
• Tietojen paljastumiseen liittyvien riskien näkökulmasta turhat salausavaimet on tuhottava
• Mahdolliset lainsäädännön vaatimukset tietojen säilyttämiselle on huomioitava

Organisaatiolla on oltava keinot luoda salausavaimia esiaktivoituun tilaan, kun avain on generoitu muttei vielä hyväksytty käyttöön.

Salausavainten aktivoinnissa on huomioitava seuraavat asiat:

• Salausavain voidaan siirtää esiaktivoidusta tilasta aktivoiduksi lisäämällä salausjakson alkupäivä
• Aktivoimattomia salausavaimia ei voida käyttää salaukseen
• Aktivoimattomia salausavaimia voi hyödyntää ainoastaan avaimen hallinnan todistamiseen tai avainvahvistukseen
• Esiaktivoidussa tilassa oleva salausavain tulisi tuhota, mikäli sitä ei enää tarvita

Organisaatiolla täytyy olla keinot salausavainten deaktivointiin niiden käyttöajan umpeutuessa.

Salausavainten deaktivoinnissa on huomioitava vähintään:

• Deaktivoituja salausavaimia ei käytetä salaukseen käyttöajan umpeuduttua, mutta voidaan käyttää salauksen purkamiseen
• Deaktivoitujen salausavaimien on jatkettava tuhottaviksi, kun niitä ei enää tarvita
• Metatietoja voi olla tarpeen säilyttää auditointitarkoituksiin
• Toimenpiteistä on jäätävä loki salausavainten hallintajärjestelmään

Organisaatiolla täytyy olla keinot valvoa, tarkistaa ja hyväksyä avainten siirtäminen mistä tahansa tilasta väliaikaisesti kumotuksi ja toisinpäin.

Salausavainten väliaikaisessa kumoamisessa on huomioitava seuraavat seikat:

• Väliaikaisesti kumottuja salausavaimia ei pidä käyttää tiedon salaamiseen, mutta niitä voidaan käyttää salauksen purkamiseen
• Salausavain voi olla tarpeen kumota väliaikaisesti, mikäli sen vaarantumista epäillään
• Ennen siirtämistä takaisin aktivointiin, kumoamiseen tai korvaamiseen, väliaikainen kumoaminen ja sen syyt pitäisi tutkia tarkemmin

Salausavainten arkistoinnilla tarkoitetaan salausavainten turvallisesti järjestettyä pidemmän aikavälin säilyttämistä. Arkistoiduista avaimista voi olla hyötyä myöhempään tietojen palauttamiseen.

Organisaatiolla on oltava keinot hallita salausavaimia turvallisessa arkistossa, joka toimii pienimmän käyttöoikeuden periaatteen mukaan.

Salausavainten arkistoinnissa on huomioita vähintään:

• Avaimet, joita ei enää tarvita tietojen palauttamiseen, ei arkistoida vaan tuhotaan välittömästi
• Salausavainten arkistoja tulee käyttää ainoastaan salausavainten pidemmän aikavälin säilyttämiseen
• Tieto salausavainten arkistoinnista sekä palauttamisesta tallentuu
• Kaikki liittyvät tapahtumat tallennetaan salausavainten hallintajärjestelmään

Organisaation täytyy toteuttaa tekniset toimenpiteet vaarantuneiden avaimien käyttöön salauksessa vain kontrolloidussa ympäristössä. Sen jälkeen vain salauksen purkamiseen ja ei enään ollenkaan salaamiseen.

Toteutuksessa tulee ottaa huomioon lakisääteiset vaatimukset ja säännökset.

Salausavainten palauttamisella tarkoitetaan salausavaimen uudelleenrakentamista varmuuskopioiden tai arkistojen avulla.

Organisaatiolla on oltava keinot arvioda salausavaimen tai salattujen tietojen paljastumisen riskiä verrattuna toiminnan jatkuvuuden vaarantumiseen siinä tapauksessa, että salausavain katoaa.

Salausavainten hallintajärjestelmällä (CKMS) käsitellään, hallitaan ja varastoidaan salausavamia sekä valvotaan niihin liittyiviä toimenpiteitä. Hallintajärjestelmä voi olla toteutettu automatisoituna työkaluna tai manuaalisempana toteutuksena.

Organisaatiolla on oltava keinot, joilla salausavainten hallintajärjestelmän avulla seurataan ja raportoidaan kaikista salauksen materiaaleista ja niiden statuksista. Salausavainten hallintajärjestelmää tulisi käyttää ainakin:

• Salaustilojen muutosten seurantaan
• Salausavainten luomiseen ja jakeluun
• Public-key -sertifikaattien luomisee
• Tunnistamattoman salatun omaisuuden valvontaan
• Salausavainten luettelointiin, arkistointiin ja varmuuskopiointiin
• Ylläpitää tietokantaa liitoksista organisaation sertifikaatti- ja salausavainrakenteisiin

Jotta sopimattoman käytön todennäköisyyttä saataisiin pienennettyä, salausavaimille määritellään aktivoitumis- ja vanhentumispäivämäärät, jotta avaimia voidaan käyttää ainoastaan niin kauan kuin on määritelty.

Organisaatiomme on määritellyt toimintatavat salausavainten luomiseen, säilyttämiseen, jakamiseen ja poistamiseen.

Salausavainten pituudet ja käyttökäytännöt pyritään valitsemaan parhaiden yleisten käytäntöjen mukaisesti seuraamalla alan kehitystä.

Käytettäviä salaustapoja valittaessa olisi otettava huomioon mm. seuraavat seikat:

• salauksen käyttökustannukset
• salauksen taso (esim. salausalgoritmin tyyppi, voimakkuus ja laatu)
• suojattavan omaisuuden arvo

Salaushallintakeinojen valinnassa harkitaan aina ulkoisten asiantuntijoiden neuvojen tarpeellisuutta.

Kun varmuuskopioiden luottamuksellisuus on tärkeää, varmuuskopiot suojataan salauksella. Varmuuskopioiden salaamisen tarve voi korostua, kun varmuuskopioita säilytetään fyysisessä sijainnissa, jonka turvallisuuskäytännöistä ei ole varmuutta.

Palvelinten levy- ja tiedostojärjestelmä on suojattu salauksella, jotta palvelinten fyysisen varkauden aiheuttamia vaikutuksia voidaan hallita.

Luottamuksellisen tiedon varastoimista siirrettävissä tietovälineissä pyritään välttämään. Kun siirrettäviä tietovälineitä käytetään luottamuksellisen tiedon siirtämiseen, käytetään asiallista suojausta (esim. koko levyn salausta pre-boot autentikoinnilla).

Työkäyttöön tarkoitetuiksi älypuhelimiksi ja tableteiksi valitaan laitteita, jotka tukevat full-device -salausta ja salaukset asetetaan päälle.

Kannettavat tietokoneet on suojattu full-disk -salauksella.

Salausratkaisujen tarpeellisuudesta päättäminen nähdään osana kokonaisprosessia, johon sisältyvät riskien arviointi ja muiden hallintatehtävien määrittely.

Organisaatio on laatinut yleisen salauspolitiikan, jota noudatetaan aina tietoa suojattaessa salauksen avulla.

Salauspolitiikka määrittelee:

• yleiset periaatteet salauksen hallintakeinojen käytölle koko organisaatiossa
• tarvittavan salaustason määrittelytavat omaisuuden riskien arvioinnin perusteella
• salauksen käytön mobiililaitteissa
• tavat salausavainten suojaukseen ja salatun tiedon palauttamiseen avainten kadotessa
• roolit ja velvollisuudet salaukseen liittyen
• salauksen vaikutukset muihin tietoturvan hallintajärjestelmän tehtäviin

Viranomaisen on toteutettava tietojensiirto yleisessä tietoverkossa salattua tai muuten suojattua tiedonsiirtoyhteyttä tai -tapaa käyttämällä, jos siirrettävät tiedot ovat salassa pidettäviä. Lisäksi tietojensiirto on järjestettävä siten, että vastaanottaja varmistetaan tai tunnistetaan riittävän tietoturvallisella tavalla ennen kuin vastaanottaja pääsee käsittelemään siirrettyjä salassa pidettäviä tietoja.

Aineiston sähköinen välitys kattaa esimerkiksi puhelimen, faksin, sähköpostin, pikaviestimet ja muut vastaavat tietoverkon kautta toimivat tiedonsiirtomenetelmät.

Sähköisen tietojen välittämisen turvaamiseksi organisaatio toteuttaa seuraavat toimenpiteet:

• Kun salassa pidettävää aineistoa siirretään hyväksyttyjen fyysisesti suojattujen alueiden ulkopuolella, aineisto / liikenne salataan viranomaisen ko. suojaustasolle hyväksymällä menetelmällä
• Tilanteissa, joissa salassa pidettävää aineistoa siirretään fyysisesti suojattujen alueiden sisäpuolella
• a) ko. suojaustason liikennekanava on fyysisesti suojattu (esimerkiksi kaapelointi, joka kulkee kokonaisuudessaan suppean, esimerkiksi vain yhden huoneen kattavan ko. suojaustason fyysisesti suojatun alueen sisällä), tai
• b) aineisto suojataan viranomaisen erillishyväksyntään perustuen matalamman tason salauksella (esim. HTTPS)

Kun salassa pidettäviä tietoja siirretään fyysisesti suojattujen alueiden ulkopuolella, pyritään tiedot ensisijaisesti siirtämään tietoverkon yli sähköisesti viranomaisen hyväksymillä salaustuotteilla suojattuina.

Jos edellä mainittua menettelyä ei käytetä:

• salassa pidettävät tiedot kuljetetaan joko viranomaisen hyväksymillä salaustuotteilla suojatuilla sähköisillä välineillä (kuten USB-muistitikut, CD-levyt, kiintolevyt) tai
• muissa tapauksissa viranomaisen ohjeita noudattaen

Lisäksi suojaustasolle IV toteutetaan alla mainitut toimenpiteet:

• Aineisto pakataan suljettavaan kirjekuoreen tai vastaavaan. Pakkauksen ulkokuoressa ei saa olla merkintää suojaustasosta eikä pakkaus saa ulkoisesti muuten paljastaa sen sisältävän salassa pidettävää aineistoa (kirjekuoren tai vastaavan on oltava läpinäkymätön).
• Aineisto toimitetaan kotimaassa tavallisena postina, kirjattuna kirjeenä tai viranomaisen ko. suojaustasolle hyväksymän kuriirimenettelyn mukaisesti. Ulkomaille toimitus postin välityksellä vain viranomaisen erillishyväksyntään pohjautuen.
• Organisaation sisäiseen postin käsittelyketjuun kuuluu vain hyväksyttyä henkilöstöä.
• Organisaatiossa on tunnistettu vaatimukset ja toteutettu menettelyt erityissuojattavien tietoaineistojen (esimerkiksi salausavaimet) välittämiseksi

Kun salassa pidettäviä tietoja siirretään fyysisesti suojattujen alueiden ulkopuolella, pyritään tiedot ensisijaisesti siirtämään tietoverkon yli sähköisesti viranomaisen hyväksymillä salaustuotteilla suojattuina.

Jos edellä mainittua menettelyä ei käytetä:

• salassa pidettävät tiedot kuljetetaan joko viranomaisen hyväksymillä salaustuotteilla suojatuilla sähköisillä välineillä (kuten USB-muistitikut, CD-levyt, kiintolevyt) tai
• muissa tapauksissa viranomaisen ohjeita noudattaen

Lisäksi suojaustasolla III toteutetaan alla mainitut toimenpiteet:

• Organisaatiossa on tunnistettu vaatimukset ja toteutettu menettelyt erityissuojattavien tietoaineistojen (esimerkiksi salausavaimet) välittämiseksi.
• Aineisto pakataan suljettavaan kaksinkertaiseen kirjekuoreen tai vastaavaan. Pakkauksen ulkokuoressa ei saa olla merkintää suojaustasosta eikä pakkaus saa ulkoisesti muuten paljastaa sen sisältävän salassa pidettävää aineistoa (kirjekuorien tai vastaavien on oltava läpinäkymättömiä).
• Aineisto toimitetaan kotimaassa viranomaisen erillishyväksyntään pohjautuen kirjattuna kirjeenä tai viranomaisen ko. suojaustasolle hyväksymän kuriirimenettelyn mukaisesti. Ulkomaille toimitus postin välityksellä voi tapahtua vain viranomaisen erillishyväksyntään pohjautuen.
• Organisaation sisäiseen postin käsittelyketjuun kuuluu vain hyväksyttyä turvallisuusselvitettyä henkilöstöä.

Kun salassa pidettäviä tietoja siirretään fyysisesti suojattujen alueiden ulkopuolella, pyritään tiedot ensisijaisesti siirtämään tietoverkon yli sähköisesti viranomaisen hyväksymillä salaustuotteilla suojattuina.

Jos edellä mainittua menettelyä ei käytetä:

• salassa pidettävät tiedot kuljetetaan joko viranomaisen hyväksymillä salaustuotteilla suojatuilla sähköisillä välineillä (kuten USB-muistitikut, CD-levyt, kiintolevyt) tai
• muissa tapauksissa viranomaisen ohjeita noudattaen

Lisäksi suojaustasolla II toteutetaan alla mainitut toimenpiteet:

• Organisaatiossa on tunnistettu vaatimukset ja toteutettu menettelyt erityissuojattavien tietoaineistojen (esimerkiksi salausavaimet) välittämiseksi.
• Organisaation sisäiseen postin käsittelyketjuun kuuluu vain hyväksyttyä turvallisuusselvitettyä henkilöstöä.
• Aineisto pakataan suljettavaan kaksinkertaiseen kirjekuoreen tai vastaavaan. Pakkauksen ulkokuoressa ei saa olla merkintää suojaustasosta eikä pakkaus saa ulkoisesti muuten paljastaa sen sisältävän salassa pidettävää aineistoa (kirjekuorien tai vastaavien on oltava läpinäkymättömiä). Sisäkuoren on oltava sinetöity. Vastaanottaja on ohjeistettava tarkistamaan sinetöinnin eheys ja ilmoitettava välittömästi, mikäli eheyden vaarantumista epäillään.
• Aineisto toimitetaan kotimaassa ja ulkomaille viranomaisen ko. suojaustasolle hyväksymän kuriirimenettelyn mukaisesti.