Asiakirjojen turvaluokittelu - SecMeter

Go to content

Asiakirjojen turvaluokittelu

Yritysturvallisuus > Tietoturvallisuus
Asiakirjojen turvaluokituksella tarkoitetaan asiakirjan salassapitotarpeen arviointia ja sen perusteella tehtävää turvaluokitusmerkintää. Asiakirjan turvaluokitusmerkintä osoittaa ne käsittelysäännöt (tietoturvallisuusvaatimukset), joita asiakirjan käsittelyssä on noudatettava.

Turvaluokitusmerkintää ei ole laissa nimenomaisesti säädetty pakolliseksi. Tämän ohjeen tarkoitus on olla tukena harkittaessa miltä osin turvaluokitusmerkinnät ovat julkisuuslain ja muiden lakien toimeenpanon kannalta välttämättömiä tai suositeltavia.

Julkisuusperiaate
Suomen oikeusjärjestyksessä toteutuu hallinnon julkisuusperiaate asianosais-, käsittely- ja asiakirjajulkisuutena. Julkisista asiakirjoista on jokaisella henkilöllä oikeus saada tietoja.

Yksityisoikeudelliset yhteisöt kuuluvat julkisuuslain soveltamispiiriin siltä osin kuin ne hoitaessaan julkista tehtävää käyttävät julkista valtaa. Muutoin yksityisoikeudellisilla yhteisöillä ei ole lakiin perustuvaa julkisuusperiaatetta.

Arkistolaki
Arkistolaki ei velvoita luokittelemaan asiakirjoja. Laki määrittää asiakirjan ja asettaa vaatimukset asiakirjojen säilytykselle.

Arkistolaki määrittää arkistotoimen tehtäviksi huolehtia asiakirjojen käytettävyydestä ja säilyttämisestä sekä niihin liittyvistä tietopalveluista ja tietosuojasta. Arkistotoimelle kuuluu myös asiakirjojen säilytysarvon määrittely ja tarpeettoman aineiston hävitys.

Hyvä tiedonhallintatapa
Asetus julkisuudesta ja hyvästä tiedonhallintatavasta (1030/1999) luo perusteen asiakirjaturvallisuudelle.
Asiakirjaturvallisuus tarkoittaa hyvän tiedonhallintatavan toteutumista asiakirjojen käsittelyssä (asiakirjoja luotaessa, muutettaessa, siirrettäessä, arkistoitaessa, hävitettäessä tai muutoin käsiteltäessä).

Yrityksen tietoturvapolitiikka
Mikäli yritys päättää luokitella asiakirjansa, on asiakirjojen turvaluokitusvaatimus kirjattava myös yrityksen hallituksen hyväksymään tietoturvapolitiikkaan.

Turvaluokitukset ja merkinnät
Tietojen turvaluokitus koskee yksinomaan tallennettua tietoa. Tallentamaton (hiljainen) tieto esimerkiksi asiakaspalvelutilanteissa tietoon tulleita seikkoja ei turvaluokitella, ne kuuluvat salassapitomenettelyn piiriin.

Viranomaisen asiakirjojen turvaluokitus
Viranomaisen toiminnan julkisuudesta lain (621/1999) perusteella 1.7.2010 annetussa tietoturvallisuusasetuksessa (681/2010) säädettiin viranomaisia koskevista asiakirjojen luokittelu- ja käsittelyvaatimuksista. Asiakirjojen luokittelu ei ollut viranomaisille pakollista. Viranomainen sai itse päättää, ottaako se luokittelun käyttöön ja milloin.

Valtionhallinnon 1.10.2010 voimaan tulleen asetuksen korvasi vuonna 2018 voimaan tullut tiedonhallintalaki, joka ohjaa hyvää tiedonhallintatapaa ja tietojen käsittelyä julkisessa hallinnossa. Turvallisuusluokiteltava aineisto merkitään neljään luokkaan.

  • ERITTÄIN SALAINEN, YTTERST HEMLIG
  • SALAINEN, HEMLIG
  • LUOTTAMUKSELLINEN, KONFIDENTIELL
  • KÄYTTÖ RAJOITETTU, BEGRÄNSAD TILLGÅNG

Tietoaineistojen osia voidaan käsitellä matalamman tietoteknisen tietoturvallisuuden toimintaympäristössä kuin missä tietoja tai tietovarantoja säilytetään/ylläpidetään.

Lähteet: (Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa 1.7.2010/681, Annettu Helsingissä 1 päivänä heinäkuuta 2010, vm.fi luonnos 8.12.2016, valtioneuvosto.fi)

EU:n turvaluokitus
EU:n tasolla yleisiä säännöksiä arkaluonteisten asiakirjojen käsittelystä sisältyy Euroopan parlamentin ja neuvoston avoimuusasetuksen (1049/2001) 9 artiklaan. Neuvoston turvallisuussäännöt on vahvistettu neuvoston päätöksellä (264/2001).

EU:n tietoturvasopimusten käsittelystä kansallisesti vastaa Suomessa ulkoasiainministeriö. EU on allekirjoittanut myös sopimuksen turvaluokiteltujen tietojen suojaamisesta Euroopan unionin ja USA:n välillä.

EU:n neuvoston pääsihteeristön turvallisuusyksikkö vastaa EU:lle toimitettujen tai sen kanssa vaihdettujen turvaluokiteltujen tietojen tai aineiston turvaamisesta.

Euroopan komission turvallisuusyksikkö vastaa turvaluokiteltujen tietojen turvaamisesta komissiossa. EU:n asiakirjojen turvaluokitus on seuraava:

  • TRÈS SECRET UE / EU TOP SECRET (Erittäin salainen) Tietoaineiston ilmitulo voi vahingoittaa poikkeuksellisen vakavasti Euroopan unionin, sen yhden tai useamman jäsenvaltion olennaisia etuja.
  • SECRET UE (Salainen) Tietoaineiston ilmitulo voi vahingoittaa vakavasti Euroopan unionin, sen yhden tai useamman jäsenvaltion olennaisia etuja.
  • CONFIDENTIEL UE (Luottamuksellinen) Tietoaineiston ilmitulo voi haitata Euroopan unionin, sen yhden tai useamman jäsenvaltion etuja.
  • RESTREINT UE (Käyttö rajoitettu) Tietoaineiston ilmitulo voi olla epäedullista Euroopan unionin, sen yhden tai useamman jäsenvaltion etujen kannalta.

Naton turvaluokitus
Naton turvallisuusyksikkö (NOS) vastaa turvallisuusjärjestelyjen kehittämisestä Natolle toimitettujen tai sen kanssa vaihdettujen turvaluokiteltujen tietojen tai aineiston suojelemiseksi ja turvaamiseksi. Naton asiakirjojen turvaluokitus on seuraava:

  • COSMIC TOP SECRET (CTS) (Erittäin salainen)
  • NATO SECRET (NS) (Salainen)
  • NATO CONFIDENTIAL (NC) (Luottamuksellinen)
  • NATO RESTRICTED (NR) (Käyttö rajoitettu)

Saksalainen DIN-turvaluokitus

  • DIN 1 julkiset asiakirjat
  • DIN 2 sisäiset asiakirjat
  • DIN 3 luottamukselliset asiakirjat
  • DIN 4 salaiset asiakirjat
  • DIN 5 erittäin salaiset asiakirjat

Yksityisoikeudellisen yhteisön turvaluokitus
Yritykset kuuluvat julkisuuslain soveltamispiiriin siltä osin kuin ne hoitaessaan julkista tehtävää käyttävät julkista valtaa. Muutoin yrityksillä ei ole lakiin perustuvaa julkisuusperiaatetta.

Yrityksiin ei kohdistu lakiin perustuvaa asiakirjojen turvaluokitteluvelvollisuutta. Yritys voi tarvittaessa itse määritellä operatiiviseen palvelu- ja liiketoimintaansa soveltuvan asiakirjojen turvaluokituksen.

Yrityksissä asiakirjojen käsittelysääntöjä ei ole käytännön syistä yleensä laadittu. Niissä harvoissa tapauksissa, joissa käsittelysäännöt ovat olemassa, ne ovat yrityksen omia sisäisiä ohjeita. Käytännössä on erittäin ongelmallista, ellei mahdotonta edellyttää vastaavia käsittelysääntöjä yhteistyökumppaneilta.

Turvaluokituksesta huolimatta yrityksen asiakirjat eivät nauti rikosoikeudellista salassapitorikoksen suojaa, koska yrityksen omien asiakirjojen kohdalla ei pääsääntöisesti ole kyse laissa tai asetuksessa säädetty taikka viranomaisen lain nojalla erikseen määräämä salassapitovelvollisuus. Yrityksen asiakirja voi saada rikoslain suojaa yrityssalaisuuden perusteella. Tämä edellyttää kuitenkin lainsäädännössä mainittujen kriteerien samanaikaista täyttymistä.

Yritys voi ilmaista salassapitointressinsä yhteistyökumppanille salassapitosopimuksessa, jossa on kuvattu salassapidon kohteena olevat asiakirjat ja ne asiakohdat, jotka ovat salassapidon kohteena. Epäselvien sopimustulkintojen välttämiseksi tulisi myös salassapitoaika määritellä.

Käytännössä salaisuuden paljastamisesta aiheutunutta vahinkoa on vaikea todistella ja näyttää toteen. Tämän johdosta salassapitosopimuksesta tulisi ilmetä sanktio, eli yksiselitteinen rahallinen korvaus, jonka toinen (saava) osapuoli sitoutuu korvaamaan, jos salaisuus osapuolen toimesta paljastuu.

Yrityksen allekirjoituksen lisäksi myös kaikkien tietoon oikeutettujen henkilöiden tulisi allekirjoittaa salassapitosopimus. Toimenpide selkiyttää salassapitovelvollisuuden todistelua tietyn henkilön osalta.

Toimintojen rooli
Toiminnoilla on tiedon omistajuuteen liittyvä hallinnollinen rooli (vastuu tietojen käytöstä). Asianomainen toiminto päättää omien asiakirjojen yksityiskohtaisista luokituskäytännöistä, jotka tulee huomioida myös sähköisessä asiakirjahallintajärjestelmässä. Tiedon omistajan hallinnolliseen roolin liittyviä tehtäviä ovat mm.

  • tiedon merkityksen arviointi
  • salassapitointressin arviointi
  • tiedon turvaluokitus
  • turvaluokitellun tiedon käsittelysäännöistä päättäminen.

Turvaluokituksen päivittäminen
Asiakirjan luottamuksellisuusastetta ei voida jälkikäteen nostaa, mutta sitä voidaan laskea.

Milloin turvaluokitusta ei merkitä
Asiakkaille ja viranomaisille lähetettäviin asiakirjoihin ei merkitä turvaluokitusta, koska asianosaisella henkilöllä on oikeus käsitellä itseään koskevia tietoja haluamallaan tavalla. Viranomaisia koskee lakiin perustuva salassapitovelvollisuus.

Turvaluokitusmerkintään liittyvät käsittelysäännöt
Yritys voi soveltaa viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta annetussa asetuksessa mainittuja hyvän asiakirjaturvallisuuden periaatteita. Näiden periaatteiden pohjalta prosessin omistaja, tiedon tuottaja tai viime kädessä tiedon käsittelijä päättää yksityiskohtaisista asiakirjaa koskevista käsittelytavoista.

Hankinta-asiakirjat
Laki julkisista hankinnoista velvoittaa hankintayksiköitä soveltamaan hankinta-asiakirjojen julkisuuteen lakia viranomaisten toiminnan julkisuudesta (621/1999).

Hankinta-asiakirjojen osalta tarjouksia koskevat asiakirjat ovat sopimuksen teon jälkeen julkisia. Viranomaisen velvollisuutena on suojata tarjouskilpailuun osallistuneiden liike- ja ammattisalaisuudet hintatietoja lukuun ottamatta. Tältä osin asiakirjojen turvaluokituksen käyttö on perusteltua.

Henkilötiedot
Asiakirjaturvallisuutta henkilötietojen käsittelyssä ohjaa henkilötietolaki (523/1999). Henkilötietolaki asettaa rekisterinpitäjälle erityisen huolellisuusvelvoitteen. Asiakirjojen turvaluokitus on osa tätä huolellisuusvelvoitetta ja myös tämän vuoksi perusteltua.

Henkilötietolain yleisvelvoitteita ovat tarpeellisuus- ja virheettömyysvaatimukset sekä huolellisuus- ja suojaamisvelvoitteet, jotka on otettava huomioon kaikessa henkilötietojen käsittelyssä.

Sääntö nro 3
Siltä, jolla on vastuu, puuttuu oikeus jälkiviisauteen.
Sääntö nro 2
Riittävän isolla vasaralla voi rikkoa mitä tahansa.
Sääntö nro 1
Valvontaa ei voi korvata luottamuksella.
Sääntö nro 3
Asiakkaiden luottamus on voitettava joka päivä uudelleen.
Sääntö nro 2
Riittävän isolla vasaralla voi rikkoa mitä tahansa.
Back to content