TIETOJEN LUOKITTELU

Organisaation on ylläpidettävä listaa sen hallinnoimiin tietovarantoihin sisältyvistä tietoaineistoista.

Dokumentaation on sisällettävä vähintään seuraavat tiedot:

• Aineiston käsittelyyn käytetyt tietojärjestelmät ja muut keinot
• Keskeiset tietoryhmät aineistossa (ja sisältääkö henkilötietoja)
• Tietojen säilytysaika (käsitellään tarkemmin erillisessä tehtävässä)
• Tarvittaessa tieto aineistojen arkistoinnista / hävittämisestä (käsitellään tarkemmin erillisessä tehtävässä)

Organisaation on ylläpidettävä listaa hallinnoimistaan tietovarannoista sekä nimetyistä omistajista. Omistaja vastaa varannon tietojen täydentämisestä sekä mahdollisista muista digiturvatoimenpiteistä, jotka liittyvät tiiviisti tietovarantoon.

Tietovarantoihin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:

• Tietovarantoon liittyvät vastuut
• Tietojen käyttötarkoitukset (käsitellään tarkemmin erillisessä tehtävässä)
• Tietoaineistot, joista tietovaranto muodostuu (käsitellään tarkemmin erillisessä tehtävässä)
• Tietojen säännönmukaiset luovutukset (käsitellään tarkemmin erillisessä tehtävässä)
• Tarvittaessa tieto tietovarannon sidoksesta toimintaprosesseihin

Tietoluokittelun avulla voidaan antaa tietoja käsitteleville henkilöille nopea näkemys siitä, miten kriittistä tietoa on kyseessä ja kuinka tietoa pitää käsitellä sekä suojata.

Käytetyt tietoluokat ja niitä vastaavat suojaustasot on määritelty. Tietoluokka määritellään analysoimalla kyseessä olevan tiedon luottamuksellisuus, eheys ja saatavuus sekä mahdolliset muut vaatimukset. Kullekin tasolle annetaan selkeä ja kuvaava nimi.

Tietoluokat voivat olla esimerkiksi seuraavia:

• tietojen paljastaminen ei aiheuta harmia (JULKINEN)
• tietojen paljastaminen aiheuttaa lievää kiusaa tai vähäistä toiminnallista harmia (LUOTTAMUKSELLINEN)
• tietojen paljastamisella on huomattavia lyhyen aikavälin vaikutuksia toimintaan tai taktisiin tavoitteisiin (RAJOITETTU)
• tietojen paljastamisella on vakavia vaikutuksia pitkän aikavälin strategisiin tavoitteisiin tai se vaarantaa koko organisaation olemassaolon (KIELLETTY)

RAJOITETULTA paperitiedolta voidaan vaatia mm. seuraavia suojauksia:

• Lukittu kaappi
• Luotettu siirtokumppani
• Sinetöidyt kirjekuoret
• Turvallinen hävittäminen

RAJOITETULTA sähköiseltä tiedolta voidaan vaatia mm. seuraavia suojauksia:

• Valitun salaustason käyttö
• Salasanasuojaus
• Turvallinen hävittäminen
• Tarkemmin rajatut pääsyoikeudet

Tietoaineistojen omistajat (tai liittyvän tieto-omaisuuden, kuten tietovarannon tai tietojärjestelmän) omistajat vastaavat tietoaineistojen luokitteluista ja luokittelun vastaavuudesta tietoluokkien määritelmiin.

Omistaja päivittää tietoluokittelua omaisuuden elinkaaren aikana sen arvon, arkaluonteisuuden ja kriittisyyden vaihtelun mukaisesti.

Jokaiselle tietoaineistolle nimetään omistaja. Omistaja on vastuussa tieto-omaisuuden elinkaaresta ja vastaa kyseiseen omaisuuteen liittyvien hallintatehtävien toteuttamisesta.

Omistajan tehtäviin kuuluu mm.:

• varmistaa omaisuuden dokumentointi
• varmistaa omaisuuden asianmukainen suojaus
• pääsyoikeuksien säännöllinen katselmointi
• varmistaa tietojen asianmukainen käsittely, myös tietoja tuhottaessa

Omistaja voi delegoida osan tehtävistä eteenpäin, mutta vastuu säilyy omistajalla.