Organisaation olisi laadittava ja dokumentoitava virallinen prosessi turvallisuusarviointien suorittamiseksi ennen kuin se aloittaa minkä tahansa menettelyn sellaisen ulkoisen toimijan (esim. toimittajan tai kumppanin) kanssa, joka voi päästä käsiksi turvallisuusluokiteltuihin tietoihin tai osallistua turvallisuusluokituksen kannalta arkaluonteisiin toimiin.

Tähän prosessiin on sisällyttävä

• Erityinen turvallisuussuojausarviointi, jossa määritetään tarkasti, mihin turvallisuusluokiteltuihin tietoihin tai arkaluonteisiin toimintoihin ulkoinen toimija joutuisi alttiiksi.
• Ensimmäiseen arviointiin ja muihin asiaankuuluviin olosuhteisiin perustuva soveltuvuusarviointi sen arvioimiseksi, onko suunniteltu menettely turvallisuuden kannalta asianmukainen. Tähän sisältyy riskiperusteinen arviointi.
• Vaatimus, jonka mukaan molemmat arvioinnit on dokumentoitava virallisesti.

Jos soveltuvuusarvioinnissa päädytään siihen, että menettely ei ole turvallisuuden kannalta asianmukainen, menettelyä ei saa aloittaa.

Organisaation olisi varmistettava, että turvallisuusarvioinnit perustuvat kaiken asiaankuuluvan tiedon kattavaan ja järjestelmälliseen arviointiin. Tähän sisältyy:

• Perustutkinnan aikana saadut tiedot.
• Muutoin saatavilla oleva tieto tarkastettavasta henkilöstä.
• Rekisteritarkastuksen ja erityisen henkilötutkinnan jälkeen paljastuneet tiedot.
• sen turvallisuuden kannalta arkaluonteisen toiminnan erityisluonne, jota tarkastus koskee.
• Kaikki muut asiaankuuluvat olosuhteet, jotka voivat vaikuttaa henkilön soveltuvuuteen tai aiheuttaa turvallisuusriskin.

Arviointiprosessissa olisi punnittava kokonaisvaltaisesti kaikkia näitä tekijöitä, jotta voidaan määritellä henkilön soveltuvuus osallistua arkaluonteisiin turvallisuustoimiin, ja varmistettava, että päätös on perusteltu ja että siinä otetaan huomioon kaikki tehtävään liittyvät mahdolliset turvallisuusvaikutukset.

Nimeä vastuullinen henkilö - tyypillisesti se, joka tekee palkkaus- tai osallistumispäätöksen - suorittamaan lopullinen arviointi tarkastetun henkilön soveltuvuudesta. Tämän henkilön on punnittava kaikkia kerättyjä tietoja arvioidakseen, aiheuttaako henkilö turvallisuusriskin. Jos toiminta on julkisen viranomaisen ratkaisevan vaikutusvallan alainen (esim. viranomainen valvoo yksityisen toimijan toimintaa), kyseisen viranomaisen on tehtävä lopullinen päätös henkilön soveltuvuudesta.

Tarjoa arvioinnista vastaavalle henkilölle koulutusta tai kirjallisia ohjeita, jotta hän ymmärtää soveltuvuuden oikeudelliset ja organisatoriset kriteerit. Näin varmistetaan, että päätökset ovat johdonmukaisia ja oikeudenmukaisia ja että ne ovat sekä oikeudellisten velvoitteiden että organisaation arvojen mukaisia.

Organisaation olisi laadittava ja dokumentoitava virallinen menettely, jonka avulla tehdään turvallisuussuoja- ja soveltuvuusarvioinnit ennen turvallisuuden kannalta arkaluonteisten toimintojen siirtoa. Menettelyllä varmistetaan, että kaikki siirrot arvioidaan turvallisuusnäkökulmasta ennen niiden aloittamista.

Menettelyssä olisi määriteltävä vähintään seuraavat seikat

• erityiset kriteerit sille, mikä muodostaa turvallisuuden kannalta arkaluonteisten toimintojen siirron, joka käynnistää tämän arviointimenettelyn.
• Menetelmä, jolla yksilöidään kaikki turvaluokitellut tiedot ja muut arkaluonteiset toiminnot, joihin mahdollinen ostaja voi päästä käsiksi siirron kautta.
• Prosessi ja kriteerit soveltuvuusarvioinnin suorittamiseksi sen määrittämiseksi, onko siirto tarkoituksenmukainen turvallisuussuojan kannalta.
• Vaatimukset, jotka koskevat turvallisuussuoja-arvioinnin ja lopullisen soveltuvuusarvioinnin dokumentointia, mukaan lukien päätöksen perustelut.
• muodollinen prosessi siirron keskeyttämiseksi, jos soveltuvuusarvioinnin perusteella todetaan, että siirto ei ole asianmukainen.

Sen lisäksi, että organisaatiot tunnistavat riskit erityisessä turvallisuussuoja-arvioinnissa, ne myös arvioivat, onko suunniteltu yhteistyö tarkoituksenmukaista. Otetaan huomioon sekä suunnitellun toiminnan erityisluonne että siihen liittyvien tietojen arkaluonteisuus. Näin voidaan varmistaa, että ulkopuoliset osapuolet eivät saa pääsyä tietoihin tai järjestelmiin yli sen, mikä on turvallista tai tarpeellista.

Soveltuvuusarvioinnin tulos olisi myös dokumentoitava. Jos yhteistyö todetaan turvallisuusriskien vuoksi sopimattomaksi, se olisi lopetettava tai järjestettävä uudelleen näiden riskien poistamiseksi.