Kaikkien luottamuksellisia tietoja käsittelevien työntekijöiden olisi allekirjoitettava salassapito- tai vaitiolositoumus ennen luottamuksellisen tiedon käsittelyä.

Salassapitositoumuksen tulisi sisältää mm.:

• luottamuksellisen tiedon selkeä määrittely
• sitoumuksen oletettu kesto
• edellytetyt toimenpiteet, kun sitoumus puhdistetaan.
• allekirjoittaneiden vastuut ja toimenpiteet, jotta vältetään luvaton tiedon paljastaminen.
• tiedon, liikesalaisuuksien ja aineettoman omaisuuden omistajuus ja miten tämä liittyy luottamuksellisen tiedon suojaamiseen.
• luottamuksellisen tiedon sallittu käyttö ja allekirjoittaneen oikeudet käyttää tietoa
• oikeus tarkastaa ja valvoa toimintoja, joihin liittyy luottamuksellista tietoa.

Salassapitosopimuksien edellytyksiä ja tarpeita tarkistellaan ja päivitetään säännöllisin väliajoin.

Tietoluokittelun avulla voidaan antaa tietoja käsitteleville henkilöille nopea näkemys siitä, miten kriittistä tietoa on kyseessä ja kuinka tietoa pitää käsitellä sekä suojata.

Käytetyt tietoluokat ja niitä vastaavat suojaustasot on määritelty. Tietoluokka määritellään analysoimalla kyseessä olevan tiedon luottamuksellisuus, eheys ja saatavuus sekä mahdolliset muut vaatimukset. Kullekin tasolle annetaan selkeä ja kuvaava nimi.

Tietoluokat voivat olla esimerkiksi seuraavia:

• tietojen paljastaminen ei aiheuta harmia (JULKINEN)
• tietojen paljastaminen aiheuttaa lievää kiusaa tai vähäistä toiminnallista harmia (LUOTTAMUKSELLINEN)
• tietojen paljastamisella on huomattavia lyhyen aikavälin vaikutuksia toimintaan tai taktisiin tavoitteisiin (RAJOITETTU)
• tietojen paljastamisella on vakavia vaikutuksia pitkän aikavälin strategisiin tavoitteisiin tai se vaarantaa koko organisaation olemassaolon (KIELLETTY)

RAJOITETULTA paperitiedolta voidaan vaatia mm. seuraavia suojauksia:

• Lukittu kaappi
• Luotettu siirtokumppani
• Sinetöidyt kirjekuoret
• Turvallinen hävittäminen

RAJOITETULTA sähköiseltä tiedolta voidaan vaatia mm. seuraavia suojauksia:

• Valitun salaustason käyttö
• Salasanasuojaus
• Turvallinen hävittäminen
• Tarkemmin rajatut pääsyoikeudet

Kaikkien tietojen käsittelyyn suorasti tai välillisesti osallistuvien kumppanien kanssa laaditaan toimittajasopimus. Tavoitteena on varmistaa, että organisaation ja toimittajan välillä ei ole väärinymmärryksiä osapuolten velvoitteista tietoturvavaatimusten täyttämisessä.

Organisaatio sisällyttää toimittajasopimukseen tarvittaessa seuraavat asiat:

• toimittajan käyttämät tiedot (ja tiedon mahdollinen luokitus) sekä tietoihin pääsyn saava henkilöstö
• tiedon hyväksyttävän käytön säännöt
• tietoja käsittelevän henkilöstön salassapitovelvollisuus
• työnjako viranomaisvaatimusten täyttämisessä
• sopimusosapuolten hallintatehtävät tietoturvaan liittyen (esim. pääsynhallinta, valvonta)
• häiriöiden ilmoittaminen ja korjaaminen
• vaatimukset toimittajan alihankkijoiden käytölle
• lupa auditoida sopimukseen liittyvät toimittajan prosessit ja hallintakeinot (ja puutteiden korjaaminen)
• sitoutuminen tietojen palauttamiseen tai tuhoamiseen sopimuksen päättyessä
• toimittajan vastuu noudattaa organisaation tietoturvakäytäntöjä

Organisaatio varmistaa, että kaikkien levossa olevien tietojen luottamuksellisuus ja eheys on suojattu kaikissa tallennusjärjestelmissä:

• Pilvitallennukset
• Tiedostojen hosting-palvelut
• Tietokannat
• Tietovarastot

Tiedot voidaan suojata fyysisin ja loogisin keinoin.

Tallennettujen tietojen fyysinen suojaus varmistetaan käyttämällä turvallisia tiloja, kuten lukittuja huoneita tai datakeskuksia, jotka estävät luvattoman fyysisen pääsyn.

Looginen suojaus toteutetaan salaamalla tallennetut tiedot vahvoilla salausalgoritmeilla ja tiukalla pääsynvalvonnalla, jolla varmistetaan, että vain valtuutetut käyttäjät ja järjestelmät voivat käyttää tietoja.

Organisaation luottamuksellisuus- tai salassapitosopimukset jatkuvat työsopimuksen tai toimeksiannon jälkeenkin.

Organisaatio on myös määritellyt menettelyn, jolla käsitellään henkilöstön velvollisuusrikkomuksia.

Tietoluokittelun toimivuutta ja johdonmukaisuutta organisaatiossa kokonaisuutena tarkastalleen säännöllisesti.

Tietoluokittelun periaatteiden tulisi olla yhdenmukaisia koko organisaatiossa, jotta kaikilla on yhtenäinen ymmärrys suojausvaatimuksista ja yhtä kriittiselle tiedolle toteutetaan yhtä kattava suojaus.