Henkilöstöllä on oltava tietoturvaohjeet, joissa on käsiteltävä mm. seuraavia aiheita:

• mobiilaitteiden käyttö ja päivitykset
• tiedon tallentaminen ja varmuuskopiointi
• tietosuoja
• sähköpostin käyttö
• tulosteiden, papereiden ja tiedostojen käsittely
• häiriöistä ilmoittaminen
• huijausten estäminen

Työntekijöitä kannustetaan tekemään turvallisuusehdotuksia, ja organisaatio kerää ja arvioi niitä säännöllisesti. Työntekijöille annetaan palautetta ehdotuksista, ja ehdotuksia voidaan käyttää jatkokehittämiseen tai parantamiseen.

Organisaation olisi varmistettava, että turvallisuusarvioinnit perustuvat kaiken asiaankuuluvan tiedon kattavaan ja järjestelmälliseen arviointiin. Tähän sisältyy:

• Perustutkinnan aikana saadut tiedot.
• Muutoin saatavilla oleva tieto tarkastettavasta henkilöstä.
• Rekisteritarkastuksen ja erityisen henkilötutkinnan jälkeen paljastuneet tiedot.
• sen turvallisuuden kannalta arkaluonteisen toiminnan erityisluonne, jota tarkastus koskee.
• Kaikki muut asiaankuuluvat olosuhteet, jotka voivat vaikuttaa henkilön soveltuvuuteen tai aiheuttaa turvallisuusriskin.

Arviointiprosessissa olisi punnittava kokonaisvaltaisesti kaikkia näitä tekijöitä, jotta voidaan määritellä henkilön soveltuvuus osallistua arkaluonteisiin turvallisuustoimiin, ja varmistettava, että päätös on perusteltu ja että siinä otetaan huomioon kaikki tehtävään liittyvät mahdolliset turvallisuusvaikutukset.

The organisation should establish a process to manage the full lifecycle of security clearances for all relevant employees and representatives. This includes individuals who need access to classified information, perform functions requiring clearance, or handle preparedness related contact with the Agency for Societal Security.

The process should also outline the steps for obtaining the initial clearance from the agency, as well as procedures for the ongoing management of that clearance, such as performing periodic reviews of continued need, reassessing requirements during role changes, handling the formal off-boarding of cleared individuals, and maintaining an accurate record of all personnel and their current clearance status.

Ohjeista on ilmoitettava henkilöstölle, kun uusi ohje otetaan käyttöön tai nykyisiä ohjeita muutetaan.

Henkilöstöllä on oltava ohjeet, joissa käsitellään seuraavia aiheita:

• Hyväksytyt laitteet ja ohjelmistot, joita työntekijät tarvitsevat työssään.
• Laitteet ja ohjelmistot, joita ei tarvita työssä, mutta jotka ovat silti sallittuja.
• Laitteet ja ohjelmistot, jotka eivät ole toivottuja

Organisaation olisi muistutettava työntekijöitä siitä, että heidän vastuullaan on pitää salasanat ja salaisuudet turvassa. Heidän ei pitäisi koskaan jakaa niitä kenenkään kanssa, mukaan lukien kollegat ja esimiehet.

Heidän tulisi myös aina lukita laitteensa, kun he poistuvat niiden ääreltä.

Organisaation johdon on huolehdittava siitä, että organisaatiossa on ajantasaiset ohjeet tietojen käsittelystä, tietojärjestelmien käytöstä, tietojenkäsittelyoikeuksista, tiedonhallinnan vastuiden toteuttamisesta, tiedonsaantioikeuksien toteuttamisesta sekä tietoturvallisuustoimenpiteistä.

Käytännössä johto määrittelee, miten ohjeiden ajantasaisuus varmistetaan ja mille toimijoille ohjeiden ajantasaisuudesta huolehtiminen kuuluu.

Ohjeiden ajan tasalla pitäminen on suositeltavaa vastuuttaa niille toimijoille, jotka ovat kokonaisvastuussa tietoturvallisuudesta, tietojärjestelmistä, tietovarannoista, rekisterinpidosta, asiakirjapyyntöihin liittyvästä päätöksenteosta, asianhallinnasta ja arkistotoimesta.

Tietoa käsitteleville henkilöille selvitetään tietojen suojaamista ja asiakirjojen käsittelyä koskevat tietoturvaohjeet ja -periaatteet ennen pääsyä tietoihin tai organisaation tarkasti määrittelemien aikamääreiden sisällä.

Tietoturvaohjeistusta tarkennetaan työntekijän työtehtävään liittyen. Organisaatio on määritellyt yksiköt ja roolit, jotka vaativat erillistä ohjeistusta, ja muodostaa näille omia tarkennettuja tietoturvaohjeitaan.

Esimerkkejä omaa ohjeistusta vaativista yksiköistä ovat mm. asiakaspalvelu, IT ja HR. Esimerkkejä omaa ohjeistusta vaativista työrooleista puolestaan järjestelmän pääkäyttäjä sekä etätyön tekijä.

Ohjeiden noudattamista voidaan valvoa joko teknisesti tai suoraan kysymällä / testaamalla työntekijöiltä.

Mikäli henkilöstöllä on ristiriitaisia tavoitteita tietoturvaohjeiden kanssa, he eivät todennäköisesti noudata ohjeita.

Organisaatio pyrkii aktiivisesti löytämään huonosti toimivat ohjeet ja muokkaamaan joko ohjetta, työkaluja tai henkilöstön prioriteetteja, jotta ohjeita noudatetaan.