Sensitiivistä tietoa sisältävät paperit olisi tuhottava sovitusti, esimerkiksi käyttäen katkaisusilppuria tai polttamalla.
Kirjaamisella tarkoitetaan aineiston elinkaaren (luonti, käyttö, jakelu, hävittäminen) rekisteröimistä. Usein tietojärjestelmät hoitavat lokikirjaukset sisäisillä prosesseilla, mutta manuaalista tietoa käsiteltäessä voidaan tarvita erillisia kirjauskäytäntöjä ja kirjaamoja.
Turvallisuustarkoituksia varten suojaustasojen III-II tiedoille on määritelty seuraavat menettelyt:
Suojaustasolla IV edellytetään ensimmäisen kohdan toteuttamista silloin, kun käsitellään suojaustasoon IV kuuluvia erityisiä henkilötietoryhmiä (esim. biometriset tiedot).
Tulostimet ja kopiokoneet tulkitaan tietojärjestelmiksi ja niiden tulisi siten täyttää ko. suojaustason vaatimukset sekä teknisen, fyysisen että hallinnollisen tietoturvallisuuden osalta.
Tulosteiden ja kopioiden suojaamiseksi toteutetaan seuraavat toimenpiteet:
Tulostimet ja kopiokoneet tulkitaan tietojärjestelmiksi ja niiden tulisi siten täyttää ko. suojaustason vaatimukset sekä teknisen, fyysisen että hallinnollisen tietoturvallisuuden osalta.
Tulosteiden ja kopioiden suojaamiseksi toteutetaan seuraavat toimenpiteet:
Mikäli arkaluonteista paperitietoa tarvitaan, niiden säilyttämistä varten on olemassa kassakaappeja, muita lukollisia kaappeja tai muita turvallisia huonekaluja.
Arkaluonteiset tiedot eivät saa olla lojumassa kenen tahansa saatavilla ympäri toimistoa.
Kaikkien kopiointilaitteiden (esim. kopiokoneet, skannerit, digitaaliset kamerat) käyttöä varten on olemassa ohjeet ja niiden luvaton käyttö on kiellettyä.
Jos tiedon on laatinut toinen viranomainen, tarpeettomaksi käyneen tiedon tuhoamisesta on ilmoitettava tiedon laatineelle viranomaiselle, jollei sitä palauteta tiedon laatineelle viranomaiselle.
Tiedon tuhoamisen saa suorittaa vain henkilö, jonka viranomainen on tähän tehtävään määrännyt. Valmisteluvaiheen versiot voi tuhota ne laatinut henkilö.
Tietojen kopiot ja niiden käsittelijät on luetteloitava. Tietojen kopiointia varten on hankittava tiedon laatineen viranomaisen lupa.
Turvallisuusluokan II tietoja kopioitaessa tarvittava tietoturvataso voidaan saavuttaa toteuttamalla aiempien turvallisuusluokkien toimien lisäksi seuraavat toimenpiteet:
Kansainvälisiä turvallisuusluokiteltuja tietoja saa kääntää ja kopioida ellei tiedon luovuttaja ole sitä kieltänyt.
Tiedon suojaamisesta tulee huolehtia tiedon elinkaaren päättymiseen asti.
Ei-sähköisten tietojen tuhoaminen on järjestetty luotettavasti. Tuhoamisessa käytetään menetelmiä (esim. polttaminen, silppuaminen), joilla estetään tietojen kokoaminen uudelleen kokonaan tai osittain. Tämä tulee huomioida myös tilanteissa, joissa käytetään kolmannen osapuolen palvelua tiedon tuhoamiseen.
Tulostimet ja kopiokoneet tulkitaan tietojärjestelmiksi ja niiden tulee siten täyttää vaatimukset sekä teknisen, fyysisen että hallinnollisen tietoturvallisuuden osalta. Tekniset vaatimukset voi täyttää muun muassa erillislaiteratkaisulla.
Vaatimus voidaan täyttää siten, että toteutetaan alla mainitut toimenpiteet:
Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.