PÄÄSYOIKEUKSIEN MYÖNTÄMINEN

Itsenäinen pääsyoikeus alueelle voidaan myöntää vain organisaation asianmukaisesti valtuuttamalle henkilölle, jonka luotettavuus on varmistettu ja jolla on erityinen lupa tulla alueelle.

Luotettavuus tulisi ensisijaisesti varmistaa henkilöturvallisuusselvitysmenettelyn avulla.

Alueelle pääsemisen perusteena tulisi olla tiedonsaantitarve. Tapauskohtaisesti erityinen lupa voi tarkoittaa myös työskentelytarvetta alueella. Alueelle tulee nimetä vastuuhenkilö, joka huolehtii pääsyoikeuksien, kulkutunnisteiden ja avainten hallinnasta.

Ainoastaan asianmukaisesti valtuutetuilla henkilöillä on itsenäinen pääsy alueelle. Itsenäisen pääsyn alueelle voi myöntää tiedoista vastaava organisaatio tai sovituilla menettelyillä fyysisen tilan hallinnasta vastaava palvelun tuottaja, kuten esimerkiksi pilvipalvelun toimittaja.

Organisaation on määriteltävä alueen pääsyoikeuksien ja avainhallinnan menettelyt ja roolit. Pääsyn rajaaminen alueelle voidaan toteuttaa joko mekaanisesti, elektronisesti tai henkilökohtaiseen tunnistamiseen perustuen. Alueelle tulee nimetä vastuuhenkilö, joka huolehtii pääsyoikeuksien ja avainhallinnan menettelyistä. Alueen vara-avaimia säilytetään turvallisesti ja suljettuna sinetöityyn, sulkemispäiväyksellä ja kuittauksella varustettuun säilytyskuoreen tai vaihtoehtoisesti kulunvalvontaan liitetyssä avainkaapissa. Avaimet luovutetaan työtehtävään liittyen ja kuittausta vastaan. Menettely on kuvattu turvallisuuden hallintaohjeissa. Alueelle ei saa päästä alemman luokan tilaan sopivalla yleisavaimella.

Alueelle on nimetty vastuuhenkilö, joka huolehtii seuraavista pääsyoikeuksien ja avainhallinnan menettelyistä.

• pääsyoikeuksien ja avainten hallinnan menettelytavat ja roolit on luotu, dokumentoitu ja ohjeistettu.
• pääsyoikeuksien ja avainten haltijoista on lista.
• pääsyoikeudet tarkastetaan säännöllisesti ja ne pidetään ajan tasalla.
• avainten ja kulkutunnisteiden lisätilauksia ja muutoksia koskevat toimet on vastuutettu.
• avainkortteja, jakamattomia avaimia ja kulkutunnisteita säilytetään asianmukaisesti.
• avaimen luovutusperuste kirjataan dokumenttiin.
• avaimet luovutetaan vain itsenäisen pääsyoikeuden alueelle saaneelle henkilölle.
• henkilöstössä tapahtuvat muutokset välittyvät tarvittaessa avainten hallintaoikeuteen.

Kainsainvälistä turvallisuusluokiteltua tietoa säilyttäessä ja käsiteltäessä alueella itsenäinen pääsyoikeus voidaan myöntää vain organisaation asianmukaisesti valtuuttamalle henkilölle. Valtuutetulla henkilöllä tulee olla voimassaoleva kansainvälinen henkilöturvallisuusselvitys (PSC) ja erityinen lupa aluellle tiedonsaantitarpeiden perusteella (need-to-know).