Organisaatiomme on määritellyt toimintatavat, joiden avulla koordinoidaan työsuhteen päättymishetkellä mm.:

• Laitteiston palauttaminen
• Pääsyoikeuksien poisto
• Muun tieto-omaisuuden palauttaminen

Henkilön työsuhteen käynnistyessä hänelle huolehditaan kerralla käyttöoikeus kaikkien rooliinsa liittyvien tietojärjestelmien käyttöön.

The organisation should conduct a background check of individuals before employment. General checks should include a risk assessment. A credit check may be required for individuals who will be given access to class 2 or 3 facilities, systems, or assets.

The information collected should determine the basis for assessing the candidate's suitability. A credit check should only be used when the risk assessment concludes other measures are insufficient for assessing a person's suitability.

A process should be in place for handling exemptions for individuals who are already security cleared under the National Security Act. It should also cover interactions with the preparedness authority in cases such as applying for exemptions or tracking specific requirements stipulated by them.

Organisaation tulisi tunnistaa ja dokumentoida ne roolit ja tehtävät, jotka kuuluvat taustatarkastusten piiriin asiaankuuluvien kansallisten ja eurooppalaisten lakien mukaisesti. Näihin kuuluvat tyypillisesti henkilöt, jotka:

• hoitavat organisaatiossa tai sen eduksi herkkiä tehtäviä, erityisesti sen kestävyyden osalta
• joilla on oikeus päästä suoraan tai etäyhteyden kautta organisaation tiloihin, tietoihin tai ohjausjärjestelmiin
• joita harkitaan rekrytoitavaksi tällaisiin tehtäviin

Perusteet, joiden perusteella toimivaltaiselle viranomaiselle esitetään taustatarkastuspyyntö, on dokumentoitava. Perusteiden on otettava huomioon

• tehtävän arkaluonteisuus ja siihen liittyvä pääsyoikeuksien taso
• mahdollinen turvallisuusriski organisaation kestävyydelle
• tarkastuksen käynnistävät tapahtumat, kuten rekrytointi, tehtävän muutos, käyttöoikeuksien muutos ja (soveltuvin osin) jatkuvien arkaluonteisten tehtävien säännölliset uudelleentarkastukset

Jokaisen pyynnön osalta organisaation tulisi:

• Dokumentoitava asianmukaisesti perusteltu selitys, jossa henkilö ja tehtävä liitetään tiettyyn turvallisuusriskiin
• Varmistettava, että pyyntö on oikeasuhteinen ja rajoittuu siihen, mikä on tarpeen kyseisen riskin arvioimiseksi
• toimitettava pyyntö kansallisessa lainsäädännössä nimetylle toimivaltaiselle viranomaiselle

Taustatarkastusten tulosten käsittelyn on oltava sovellettavan tietosuojalainsäädännön mukaista, mukaan lukien laillinen perusta, säilytysajat, käyttörajoitukset ja menettelytavat haitallisten havaintojen käsittelyä varten.

Organisaation olisi otettava käyttöön menettely, jolla varmistetaan, että työntekijöille ja palveluntarjoajille myönnetään pääsy verkkoihin ja tietojärjestelmiin vasta sen jälkeen, kun he ovat vahvistaneet tutustuneensa kyberturvallisuuspolitiikkaa koskeviin asiakirjoihin ja sitoutuvat noudattamaan niitä. Tämä vahvistus olisi dokumentoitava osana palvelukseen ottamista tai sopimuksentekoprosessia.

Organisaation olisi otettava käyttöön virallinen prosessi, jolla varmistetaan, että käyttöoikeudet peruutetaan välittömästi, kun henkilön työ- tai palvelussuhde päättyy, hänet erotetaan tai hän ei enää täytä tehtävänsä vaatimuksia. Prosessissa olisi määriteltävä selkeät vastuualueet ja enimmäisaika kaikkien fyysisten ja loogisten käyttöoikeuksien poistamiselle.

Organisaation olisi laadittava prosessi, jonka avulla käsitellään turvaluokiteltuja työtehtäviä. Prosessin avulla on varmistettava, että vaadittu turvallisuusselvitys, mukaan lukien rekisteritarkastus ja erityinen henkilöturvallisuustutkimus turvallisuussuojelulain mukaisesti, suoritetaan ennen kuin henkilö osallistuu turvallisuusalttiisiin toimintoihin.

Organisaation olisi otettava käyttöön prosessi, jolla ilmoitetaan viipymättä Ruotsin turvallisuusviranomaiselle, kun henkilön rekisteritarkastus on lopetettava. Tämä pätee, kun työsuhde päättyy tai kun henkilö siirretään tehtävään, joka ei edellytä samaa turvallisuusluokkaa. Näin varmistetaan, että rekisteritarkastuksia ei pidetä yllä pidempään kuin on tarpeen.

Organisaation olisi dokumentoitava turvallisuusselvitysprosessin tulokset. Niiden henkilöiden osalta, jotka on hyväksytty työhön tai osallistumiseen, olisi kirjattava, että heidät on arvioitu luotettaviksi turvallisuuden kannalta.

Organisaation on laadittava ja ylläpidettävä henkilöstöpolitiikka. Sen tulisi sisältää:

• Määritellyt tietoturvavastuut
• Henkilöstöä koskevat vaatimukset
• Vaatimukset kolmansien osapuolten palveluille, jotka käyttävät varoja

Näihin vaatimuksiin kuuluvat:

• Tiedottaminen organisaation tietoturvapolitiikoista, -menettelyistä ja -valvonnasta
• Tietoisuus poikkeavaa toimintaa ja ilmiantoja koskevista ilmoituskanavista (Euroopan parlamentin ja neuvoston direktiivi (EU) 2019/1937)
• Varojen palauttaminen työsuhteen päättyessä

Organisaatiolla on oltava menettely, jolla henkilöstö voi työsuhteen päättyessä palauttaa kaiken hallussaan olevan, rahoitusyksikölle kuuluvan tieto- ja viestintäteknisen omaisuuden ja aineellisen tietovarallisuuden.

Organisaation tulisi määritellä ja dokumentoida menettely, jossa kuvataan taustatarkastusten laajuus ja edellytykset.

Menettelytavan tulisi sisältää:

1. Tarkastuksen perustelut
2. Dokumentoitu riskinarviointi henkilön roolista, vastuista ja valtuuksista
3. Järjestelmät ja tiedot, joihin kyseisellä henkilöllä on pääsy
4. Selkeä määritelmä tarkastuksen piiriin kuuluvasta henkilöstöstä, mukaan lukien:
   • Henkilöt, joilla on operatiivisesti herkkiä tehtäviä
   • Henkilöt, joilla on lupa päästä suoraan tai etäyhteydellä rajoitetuille alueille, tietoihin tai järjestelmiin
5. Vahvistus siitä, että menettely koskee myös ehdokkaita, joita harkitaan edellä mainittuihin tehtäviin

Taustatarkastukset on suoritettava kaikille näiden kriteerien täyttäville henkilöille ennen kuin heille annetaan arkaluonteisia tehtäviä tai vastuita. Kaikki sovellettavat lait, asetukset ja eettiset säännöt on otettava huomioon.

Viranomaisen on tunnistettava ne tehtävät, joiden suorittaminen edellyttää sen palveluksessa olevilta tai sen lukuun toimivilta henkilöiltä erityistä luotettavuutta. Henkilöturvallisuusselvitystä hakee turvallisuusluokitellun tiedon omistava viranomainen.

Selvitystä haetaan Suojelupoliisilta, joka päättää sen tekemisestä. Selvitystä haetaan Pääesikunnalta, joka päättää sen tekemisestä, jos selvityksen kohteen (henkilö) on tarkoitus hoitaa puolustusvoimien antamaa tehtävää taikka jos selvitys liittyy puolustusvoimien toimintaan tai hankintoihin. Selvitys laaditaan suppeana, perusmuotoisena tai laajana riippuen käsiteltävästä turvallisuusluokitellusta tiedosta.

Kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi tarpeellista henkilöturvallisuusselvitystodistusta (PSC, Personnel Security Clearance) haetaan Ulkoministeriössä toimivalta Kansalliselta turvallisuusviranomaiselta (NSA, National Security Authority). Esimerkiksi EU:n ja Naton turvallisuusluokiteltujen tietojen käsittely edellyttää turvallisuusluokasta III (CONFIDENTIAL) lähtien PSC:tä.

Organisaatio arvioi turvallisuusselvityksen tarpeen ja mikäli sellaista edellytetään, toteuttaa turvallisuusselvityksen myöntää henkilöille pääsyn suojattaviin kohteisiin vasta turvallisuusselvityksen jälkeen.

Turvallisuusselvityksen laajuus riippuu ihmisen työtehtävästä ja tarvittavista oikeuksista esimerkiksi salassa pidettävän tiedon käsittelyyn. Selvityksen laajuus ratkaisee, mitä tietolähteitä selvityksen tekemisessä käytetään. Henkilöä itseään voidaan tarvittaessa haastatella.

Työsopimuksessa olisi eroteltava tietoturvavastuut ja -velvollisuudet, jotka jäävät voimaan työsuhteen päättymisen. Työntekijää muistutetaan vielä näistä työsuhteen päättyessä, jotta noudattamista voidaan varmistaa.

Kaikissa työsuhteen muutostilanteissa pääsyoikeudet olisi katselmoitava yhteistyössä suojattavan omaisuuden omistajien kanssa, ja myönnettävä henkilölle kokonaan uudelleen, kun henkilön työsuhteessa tapahtuu merkittävä muutos. Muutos voi olla ylennys tai roolin vaihtaminen (esim. yksiköstä toiseen siirtyminen).

Vähintään digiturvan kannalta tärkeisiin rooleihin hakeutuvien työnhakijoiden tausta olisi tarkastettava, huomioiden asianmukaiset lait ja määräykset.

Tarkastus voi sisältää mm.:

• suositusten tarkistuksen
• CV:n oikeellisuuden tarkistuksen
• koulutuksellisen pätevyyden varmistamisen
• henkilöllisyyden tarkistamisen riippumattomasta lähteestä
• muut yksityiskohtaisemmat tarkistukset (esim. luottotietojen, aiempien korvausvaatimusten tai rikosrekisterin tarkistus)

Taustatarkistus voi olla syytä ulottaa myös esimerkiksi täysin etänä työskenteleviin, urakoitsijoihin tai muihin kolmansiin osapuoliin. Taustatarkistuksen syvyyttä voidaan suhteuttaa tehtävän oikeuttavaan tietoluokkaan.

Organisaatio on muodostanut ohjeistukset, joilla varmistetaan turvallisuutta eri työsuhteen elinkaaren vaiheissa. Ohjeistuksia koulutetaan ja valvotaan tarvittavien henkilöstöryhmien parissa (esim. esihenkilöt).

Menettelyohjeet voidaan kohdistaa työsuhteen eri elinkaaren vaiheisiin. Eri ohjeistuksia voivat olla esimerkiksi:

• rekrytointiohjeet
• perehdyttämisohjeet
• työsuhteen aikaisten muutosten ohjeet
• työsuhteen päättymisen ohjeet
• ja ohjeet yksityiskohtaisempiin toimiin kuten esimerkiksi ohjeet käyttö- ja pääsyoikeuksien muutoksiin

Työsuhteen irtisanomisaikana organisaation olisi valvottava, ettei irtisanottu työntekijä esimerkiksi kopioi tärkeää tietoa (esim. aineetonta omaisuutta) luvattomasti.

Mikäli henkilön työsuhde on päättymässä tai merkittävästi muuttumassa, käyttöoikeuksien vähentämistä suojattavaan omaisuuteen on harkittava riippuen seuraavista asioista:

• henkilön haluttomuus tulevaan muutokseen
• henkilön tämänhetkisten käyttöoikeuksien ja vastuiden laajuus
• suojattavan omaisuuden arvo, johon työntekijällä on pääsy