Organisaation on ylläpidettävä listaa hallinnoimistaan tietovarannoista sekä nimetyistä omistajista. Omistaja vastaa varannon tietojen täydentämisestä sekä mahdollisista muista digiturvatoimenpiteistä, jotka liittyvät tiiviisti tietovarantoon.

Tietovarantoihin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:

• Tietovarantoon liittyvät vastuut
• Tietojen käyttötarkoitukset (käsitellään tarkemmin erillisessä tehtävässä)
• Tietoaineistot, joista tietovaranto muodostuu (käsitellään tarkemmin erillisessä tehtävässä)
• Tietojen säännönmukaiset luovutukset (käsitellään tarkemmin erillisessä tehtävässä)
• Tarvittaessa tieto tietovarannon sidoksesta toimintaprosesseihin

Organisaation on ylläpidettävä listaa sen hallinnoimiin tietovarantoihin sisältyvistä tietoaineistoista.

Dokumentaation on sisällettävä vähintään seuraavat tiedot:

• Aineiston käsittelyyn käytetyt tietojärjestelmät ja muut keinot
• Keskeiset tietoryhmät aineistossa (ja sisältääkö henkilötietoja)
• Tietojen säilytysaika (käsitellään tarkemmin erillisessä tehtävässä)
• Tarvittaessa tieto aineistojen arkistoinnista / hävittämisestä (käsitellään tarkemmin erillisessä tehtävässä)

Assign a security classification to sensitive information based on the level of potential damage if it were disclosed. Review any information related to national or organizational security and assess how harmful it would be if that information were made public or accessed by unauthorized parties.

Use the official categories:

• Top Secret – if disclosure would cause exceptionally grave damage
• Secret – for grave damage
• Confidential – for significant damage
• Restricted – if only minor damage would occur

Apply the same classification principles to information received under international security agreements. Assess how disclosure would affect relations with a third-party state, international organization or organization if security-sensitive material is received that has not already been classified.

Use the same categories (Top Secret, Secret, Confidential, Restricted) to ensure alignment with national and international expectations.

1. Document and regularly review classification decisions.
2. Keep records of who made the classification, why, and when it was last reviewed.
3. If the sensitivity of the information changes, update its classification level accordingly.

This helps ensure continuous protection and accountability.