Fyysisten turvatoimien riskien arviointi
1. Tietojenkäsittelyyn kohdistuvat olennaiset riskit on selvitettävä ja fyysiset turvatoimet (F-03) on mitoitettava riskien arvioinnin mukaisesti
2. Riskien arvioinnissa on otettava huomioon kaikki asiaan kuuluvat tekijät, erityisesti seuraavat:
a) Turvallisuusluokiteltujen tietojen turvallisuusluokka ja salassapitoperuste;
b) Turvallisuusluokiteltujen tietojen käsittely- ja säilytystapa sekä määrä ottaen huomioon, että tietojen suuri määrä tai kokoaminen yhteen voi edellyttää tiukempien riskienhallintatoimenpiteiden soveltamista;
c) Turvallisuusluokiteltujen tietojen käsittely- ja säilytysaika
d) Turvallisuusluokiteltujen tietojen käsittely- ja säilytyspaikan (turvallisuusalue) ympäristö: rakennuksen ympäristö, sijoittuminen rakennuksessa, tilassa tai sen osassa;
e) Hälytystilanteisiin liittyvä vasteaika
f) Ulkoistetut toiminnot, kuten huolto-, siivous-, kiinteistö- ja turvallisuuspalvelut
g) Tiedustelupalvelujen, rikollisen toiminnan ja oman henkilöstön muodostama arvioitu uhka tiedoille
3. Mikäli kyseessä on kansainvälinen turvallisuusluokiteltu tieto, fyysisten turvatoimien valinnan ja riskien arvioinnin on perustuttava Suojelupoliisin tai Pääesikunnan tekemään uhka-arvioon.