Organisaation olisi laadittava ja dokumentoitava virallinen prosessi turvallisuusarviointien suorittamiseksi ennen kuin se aloittaa minkä tahansa menettelyn sellaisen ulkoisen toimijan (esim. toimittajan tai kumppanin) kanssa, joka voi päästä käsiksi turvallisuusluokiteltuihin tietoihin tai osallistua turvallisuusluokituksen kannalta arkaluonteisiin toimiin.

Tähän prosessiin on sisällyttävä

• Erityinen turvallisuussuojausarviointi, jossa määritetään tarkasti, mihin turvallisuusluokiteltuihin tietoihin tai arkaluonteisiin toimintoihin ulkoinen toimija joutuisi alttiiksi.
• Ensimmäiseen arviointiin ja muihin asiaankuuluviin olosuhteisiin perustuva soveltuvuusarviointi sen arvioimiseksi, onko suunniteltu menettely turvallisuuden kannalta asianmukainen. Tähän sisältyy riskiperusteinen arviointi.
• Vaatimus, jonka mukaan molemmat arvioinnit on dokumentoitava virallisesti.

Jos soveltuvuusarvioinnissa päädytään siihen, että menettely ei ole turvallisuuden kannalta asianmukainen, menettelyä ei saa aloittaa.

Organisaation olisi varmistettava, että turvallisuusarvioinnit perustuvat kaiken asiaankuuluvan tiedon kattavaan ja järjestelmälliseen arviointiin. Tähän sisältyy:

• Perustutkinnan aikana saadut tiedot.
• Muutoin saatavilla oleva tieto tarkastettavasta henkilöstä.
• Rekisteritarkastuksen ja erityisen henkilötutkinnan jälkeen paljastuneet tiedot.
• sen turvallisuuden kannalta arkaluonteisen toiminnan erityisluonne, jota tarkastus koskee.
• Kaikki muut asiaankuuluvat olosuhteet, jotka voivat vaikuttaa henkilön soveltuvuuteen tai aiheuttaa turvallisuusriskin.

Arviointiprosessissa olisi punnittava kokonaisvaltaisesti kaikkia näitä tekijöitä, jotta voidaan määritellä henkilön soveltuvuus osallistua arkaluonteisiin turvallisuustoimiin, ja varmistettava, että päätös on perusteltu ja että siinä otetaan huomioon kaikki tehtävään liittyvät mahdolliset turvallisuusvaikutukset.

Designate a responsible individual—typically the one making the hiring or participation decision—to carry out the final assessment of the vetted person’s suitability. This person must weigh all collected information to judge whether the individual poses any security risk. If the activity is under the decisive influence of a public authority (e.g. a public authority is overseeing a private operator’s activities), then that authority must make the final decision on the person's suitability.

Provide training or written guidance to the person responsible for making the assessment so they understand the legal and organizational criteria for suitability. This ensures decisions are consistent, fair, and aligned with both legal obligations and organizational values.

Organisaation olisi laadittava ja dokumentoitava virallinen menettely, jonka avulla tehdään turvallisuussuoja- ja soveltuvuusarvioinnit ennen turvallisuuden kannalta arkaluonteisten toimintojen siirtoa. Menettelyllä varmistetaan, että kaikki siirrot arvioidaan turvallisuusnäkökulmasta ennen niiden aloittamista.

Menettelyssä olisi määriteltävä vähintään seuraavat seikat

• erityiset kriteerit sille, mikä muodostaa turvallisuuden kannalta arkaluonteisten toimintojen siirron, joka käynnistää tämän arviointimenettelyn.
• Menetelmä, jolla yksilöidään kaikki turvaluokitellut tiedot ja muut arkaluonteiset toiminnot, joihin mahdollinen ostaja voi päästä käsiksi siirron kautta.
• Prosessi ja kriteerit soveltuvuusarvioinnin suorittamiseksi sen määrittämiseksi, onko siirto tarkoituksenmukainen turvallisuussuojan kannalta.
• Vaatimukset, jotka koskevat turvallisuussuoja-arvioinnin ja lopullisen soveltuvuusarvioinnin dokumentointia, mukaan lukien päätöksen perustelut.
• muodollinen prosessi siirron keskeyttämiseksi, jos soveltuvuusarvioinnin perusteella todetaan, että siirto ei ole asianmukainen.

In addition to identifying the risks through the special security protection assessment, organizations also evaluate whether the planned cooperation is appropriate. Consider both the specific nature of the planned activity and the sensitivity of the information involved. This helps ensure that external parties do not receive access to information or systems beyond what is safe or necessary.

The result of the suitability assessment should also be documented. If the cooperation is found to be unsuitable due to security risks, it should be stopped or restructured to eliminate those risks.