Sisältöön

Asiakirjaturvallisuus - SecMeter

Ohita valikko
Ohita valikko

Asiakirjaturvallisuus

Yritysturvallisuus > Tietoturvallisuus
Ohita valikko
Asiakirjaturvallisuus



Yrityksissä asiakirjaturvallisuus on osa vastuullista ja kestävää liiketoimintaa. Yritykset käsittelevät päivittäin suuren määrän asiakirjoja, jotka voivat sisältää liikesalaisuuksia, henkilötietoja, sopimuksia tai strategista tietoa. Näiden asiakirjojen suojaaminen luvattomalta käytöltä, katoamiselta tai tuhoutumiselta on välttämätöntä liiketoiminnan jatkuvuuden, kilpailukyvyn ja maineen turvaamiseksi.

Vaikka digitalisaatio on vähentänyt paperiasiakirjojen määrää, ne eivät ole kadonneet ja niiden turvallinen säilytys on jatkuva ajankohtainen haaste. Fyysisiin asiakirjoihin kuuluvat esimerkiksi allekirjoitetut sopimukset, osakekirjat, patenttihakemukset ja muut oikeudellisesti sitovat dokumentit. Usein näitä säilytetään ajattelemattomasti turvattomissa toimistokalusteissa ja jopa työpöydälle kerätyissä paperipinoissa.

Digitaalisessa muodossa asiakirjojen määrä kasvaa jatkuvasti, ja niihin sisältyy mm. liiketoimintasuunnitelmia, asiakasrekistereitä, talousdataa sekä henkilöstöhallinnon aineistoja. Nämä tiedot ovat usein erittäin arkaluonteisia ja vaativat tiukkaa tietoturvapolitiikkaa.

Yrityksissä asiakirjaturvallisuus rakentuu useista toisiaan tukevista kerroksista:

Fyysinen suojaus
Luottamuksellisia asiakirjoja tulee säilyttää sertifioiduissa asiakirjaturvakaapeissa. Kaikkein tärkeimpiä dokumentteja tulee säilyttää murtosuojatuissa kassakaapeissa, joissa yhdistyy riittävä mekaaninen suoja ja lämpöresistenssi.

Digitaalinen suojaus
Tiedostojen käyttöoikeuksia tulee hallitaan tarkasti, ja arkaluonteinen tieto salataan sekä siirron että säilytyksen aikana. Käyttövaltuuksien hallinta, monivaiheinen tunnistautuminen ja säännöllinen varmuuskopiointi ovat suojausarkkitehtuurin kesleisiä osia.

Hallinnolliset käytännöt
Yrityksellä tulee olla dokumentoitu asiakirjahallinto, jossa määritellään asiakirjojen koko elinkaari: missä niitä säilytetään, kuka saa niitä käsitellä ja milloin ne on hävitettävä. Tällainen ohjeistus varmistaa, että asiakirjoja käsitellään johdonmukaisesti riippumatta siitä, kuka niitä käyttää tai missä ne sijaitsevat. Lisäksi se tukee lainsäädännön, erityisesti tietosuoja-asetusten, noudattamista. Hyvin määritelty asiakirjahallinto ehkäisee tietovuotoja, virheitä ja turhaa päällekkäistä työtä.

Asiakirjaturvallisuuden laiminlyönti voi johtaa mittaviin tappioihin. Esimerkiksi liikesalaisuuden vuotaminen kilpailijalle voi heikentää yrityksen markkina-asemaa tai aiheuttaa suoran tulonmenetyksen. EU:n tietosuoja-asetuksen (GDPR) rikkominen voi puolestaan johtaa merkittäviin sakkoihin, jos henkilötietoja ei ole suojattu asianmukaisesti.

Myös mainehaitta voi olla vakava seuraus tietovuodosta, koska asiakkaiden ja sidosryhmien luottamus voi murentua hetkessä. Siksi yritysten on tarkasteltava asiakirjaturvallisuutta paitsi juridisena ja teknisenä kysymyksenä, myös liiketoimintakriittisenä investointina.
Tehtävälista
Määrittele tavoitteet ja vastuut

  1. Laadi yritykselle selkeä tavoite asiakirjahallinnan kehittämisestä. esimerkiksi tehostaminen, riskienhallinta, digitalisointi.
  2. Nimeä asiakirjahallinnan vastuuhenkilö tai työryhmä, esimerkiksi tietohallinto, lakiasiat, hallinto.
  3. Laadi projektisuunnitelma ja aikataulu.

Laadi asiakirjahallintapolitiikka

  1. Määritä asiakirjojen luokittelu, esimerkiksi julkinen, sisäinen, luottamuksellinen.
  2. Laadi selkeät ohjeet, kuka saa käsitellä mitäkin asiakirjaa ja missä järjestelmissä.
  3. Määritä asiakirjojen elinkaari:

  • Luonti
  • Käsittely ja säilytys
  • Arkistointi tai hävitys

Kartoita nykytila

  1. Selvitä, missä muodossa asiakirjoja tällä hetkellä säilytetään (paperi, sähköinen, verkkoasemat, pilvipalvelut).
  2. Arvioi käytössä olevat järjestelmät, esimerkiksi dokumentinhallinta, sähköposti, arkistot.
  3. Tunnista tietoturvariskit ja epäyhtenäiset käytännöt.

Valitse tai kehitä asiakirjahallintajärjestelmä

  1. Selvitä yrityksen tarpeisiin sopiva ratkaisu, esimerkiksi Microsoft SharePoint, M-Files, Alfresco, ArcGIS, kotimaiset DMS-ratkaisut.
  2. Huolehdi tietoturvasta (salaus, varmuuskopiot, lokitus).
  3. Varmista, että järjestelmä tukee:

  • Tiedostojen versiohallintaa
  • Käyttöoikeuksien hallintaa
  • Luokittelua ja hakutoimintoja
  • Automaattista säilytysajan hallintaa
  • GDPR-vaatimuksia

Digitalisoi asiakirjat

  1. Suunnittele digitalisointiprosessi vanhoille paperiasiakirjoille.
  2. Valitse skannauspalvelu tai sisäinen ratkaisu.
  3. Tuo sähköiset asiakirjat uuteen järjestelmään luokiteltuna.

Kouluta henkilöstö

  1. Laadi käyttöohjeet ja ohjevideoita järjestelmän käyttöön.
  2. Kouluta henkilöstö asiakirjahallinnan periaatteisiin, esimerkiksi luokittelu, tallennuspaikat, hävittäminen.
  3. Korosta henkilöstön roolia tietoturvassa.

Ota käyttöön ja seuraa toimintaa

  1. Siirrä asiakirjojen käsittely järjestelmällisesti uuteen ympäristöön.
  2. Seuraa käyttöä ja korjaa havaittuja puutteita.
  3. Määritä vastuut säännöllisestä seurannasta ja päivityksistä.

Laadi hävitysohjeet ja aikataulut

  1. Määritä asiakirjoille säilytysajat, esimerkiksi verotus, kirjanpito, henkilötieto.
  2. Dokumentoi tuhoamismenettely, esimerkiksi tietoturvatuhoaminen.
  3. Toteuta tuhoaminen aikataulun mukaan.

Ylläpidä ja kehitä

  1. Arvioi järjestelmän ja käytäntöjen toimivuutta säännöllisesti.
  2. Pidä politiikka ja ohjeet ajan tasalla, esimerkiksi lainsäädäntömuutokset.
  3. Osallista henkilöstö palautteen ja kehitysehdotusten antamiseen.
Asia Tapauksia
Asiakirjahallinto
Asiakirjaturvallisuuden käytännön toteuttaminen on suuri haaste yrityksen tietohallinnolle sekä liike- tai palvelutoiminnoille. Asiakirjahallinnon haasteena ovat moninaiset asiakirjat, niiden versiot ja kopiot käyttäjien työasemien levytallenteilla, irrallisilla tallennusmedioilla, työpöydillä ja sähköpostiarkistoissa.

Asiakirjojen käsittelyprosesseja ei ole mahdollista valvoa näissä toimintaympäristöissä. Sen sijaan sähköinen asiakirjahallinto tarjoaa hyvät puitteet asiakirjaturvallisuuden toteutumiselle.

Hyvän asiakirjahallinnon rakenneosia ovat arkistonmuodostussuunnitelma, sähköinen asiakirjahallinto ja asianhallintajärjestelmä. Sähköinen asiakirjahallinto ja asianhallintajärjestelmä yhdessä kattavat kaikki yrityksen asiakirjoihin liittyvät käsittely- ja valvontaprosessit.

Sähköisessä asiakirjahallintajärjestelmässä asiakirjat luokitellaan ja niille määritellään käyttö- ja käsittelyvaltuudet. Sähköiset asiakirjahallintajärjestelmät pitävät tapahtumakirjanpitoa kaikista asiakirjoihin kohdistuneista toimenpiteistä, joten ongelmien ilmaantuessa asiakirjan käsittelijä on mahdollista jäljittää.

Yksittäisestä asiakirjasta voidaan jäljittää mm. syntyhetki, vireille tulon ajankohta, kaikki käsittelytilanteet kommentteineen, muutoksineen ja kopioineen tuhoamishetkeen saakka. Asiakirjahallintajärjestelmät tarjoavat myös henkilöstön tekemisiin kohdistuvia teknisiä valvontamahdollisuuksia, joiden käytöstä on sovittava YT-prosessien mukaisesti.

Sähköisen asiakirjahallinnon keskeinen toiminnallisuus on asiakirjojen ja asioiden haku metatietojen (asiakirjan kuvailutiedot ts. tunniste- ja viitetiedot) perusteella. Metatietojen käytettävyyden varmistaminen on eräs keskeisimpiä tietoturvatehtäviä.

Tiedon omistajuus
Tiedon omistaja on se toiminto, jonka toiminnan tuloksena asiakirja syntyy. Yksittäinen henkilö ei voi koskaan omistaa yritykselle kuuluvaa tietoa. Tiedon omistajuuteen liittyvä hallinnollinen rooli (vastuu tietojen käytöstä) on yrityksen toiminnosta vastaavalla johtajalla.

Toiminnon johtaja voi delegoida edelleen tiedon omistajan hallinnollisen roolin tehtävät tai tehtäviä nimeämilleen alaisille. Vastuuta ei voi kuitenkaan delegoida. Tiedon omistajan hallinnolliseen roolin liittyviä tehtäviä ovat mm.

  • tiedon merkityksen arviointi
  • salassapitointressin arviointi
  • tiedon turvaluokitus
  • tietoon oikeuttavista käyttövaltuuksista päättäminen.

Asiakirjaturvallisuutta tukevia hallinnollisia periaatteita

  • Tietoaineistojen tietojenkäsittely- ja säilytystilat ovat valvottuja ja suojattuja.
  • Tietoaineistoja saavat käsitellä vain ne, joiden tehtäviin asian käsittely kuuluu.
  • Vierailijoita ei vastaanoteta työtiloissa.
  • Kokouksia, joihin osallistuu yrityksen ulkopuolisia henkilöitä, ei järjestetä työtiloissa olevissa kokoushuoneissa.
  • Luottamuksellisia asiakirjoja tai tietosuoja-aineistoa ei säilytetä työpöydillä.
  • Salassapidosta on varmistuttu sopimussanktioin.
  • Etätyössä ei sallita luottamuksellisen tai tietosuoja-aineiston käsittelyä.

Asiakirjaturvallisuuteen liittyviä teknisiä periaatteita

  • Tietojärjestelmiin tunkeutuminen on estetty asianmukaisin menettelyin.
  • Tietojärjestelmien käyttövaltuudet on rajattu työtehtävien mukaisesti ja niiden käyttöä valvotaan.
  • Asiakirjan tietoturvamekanismit on sisällytetty liiketoiminta- tai palveluprosessin vaatimuksiin.
  • Kannettavien mikrojen levyalueet on salattu kokonaisuudessaan.
  • Matkapuhelimet ja muut taskupäätelaitteet on suojattu luvattomalta käytöltä.
  • Luottamukselliset yksittäiset asiakirjat silputaan henkilökohtaisesti silppurilla.
  • Luottamuksellisia asiakirjoja ja tietosuoja-aineistoa lähetetään sähköpostissa julkisen verkon yli vain päästä päähän suojatun tietoliikenneyhteyden kautta.

Viranomaisen asiakirjat
Asiakirjasalaisuudesta säädetään laissa viranomaisten toiminnan julkisuudesta (21.5.1999/621). Lain 6:n luvun 22 §:n mukaan viranomaisen asiakirja on pidettävä salassa, jos se tässä tai muussa laissa on säädetty salassa pidettäväksi tai jos viranomainen lain nojalla on määrännyt sen salassa pidettäväksi taikka jos se sisältää tietoja, joista on lailla säädetty vaitiolovelvollisuus. Julkisuuslain mukaan salassa pidettävistä asiakirjoista on annettava tieto siten, että salassa pidettävät osat peitetään.

Suomessa on omaksuttu ns. julkisuusperiaate viranomaisten tuottaman tai heidän hallussaan olevan tiedon suhteen. Poikkeuksen muodostavat tiedot, jotka katsotaan lainsäädännön perusteella salaisiksi tai luottamuksellisiksi.
Viranomaisella ei ole salassapidon osalta määräysvaltaa. Salassapidon perusteena on aina lakiin perustuva salassapitovelvollisuus.

Jokaisella on oikeus saada tieto viranomaisen julkisesta asiakirjasta. Muiden ei-julkisten asiakirjojen osalta viranomainen ei saa evätä tiedon antamista, ilman asiallista tai laissa säädettyä perustetta eikä enempää kuin on suojattavan edun vuoksi tarpeellista.

Turvallisuussalaisuus
Rikoslain (21.4.1995/578) 12 luvun 7 §:n mukaan turvallisuussalaisuus on tieto, joka on Suomen ulkoisen turvallisuuden vuoksi säädetty tai määrätty salassa pidettäväksi tai joka tekijän tieten on sen laatuinen, että sen paljastuminen on omiaan aiheuttamaan vakavaa vahinkoa Suomen maanpuolustukselle, turvallisuudelle, ulkomaansuhteille tai kansantaloudelle.


Tietosuoja-aineistot
Tietosuoja-aineisto muodostaa poikkeuksen yrityksen tavanomaisiin tietoaineistoihin. Asiakirjaturvallisuutta henkilötietojen käsittelyn osalta ohjaa tietosuojalaki (5.12.2018/1050). Tietosuojalaki asettaa rekisterinpitäjälle erityisen huolellisuusvelvoitteen. Tietosuojalain yleisvelvoitteita ovat tarpeellisuus- ja virheettömyysvaatimukset sekä huolellisuus- ja suojaamisvelvoitteet, jotka on otettava huomioon kaikessa henkilötietojen käsittelyssä.

Julkis- ja yksityisoikeudellisissa organisaatioissa tietosuoja-aineisto on lain perusteella salassa pidettävää aineistoa. Tietosuoja-aineiston salassapitovelvollisuus jatkuu myös työsuhteen päätyttyä.

Alla on kuvattu yleisimmin yksityisoikeudellisissa organisaatioissa käytetty asiakirjojen turvaluokitus. Epäselvyyksien välttämiseksi myös julkinen asiakirja-aineisto on luokiteltava sillä perusteella, että asiakirjan haltija voi merkinnän perusteella varmistua kyseisen asiakirjan julkisuudesta.

  • Julkinen (yrityksen julkisuuteen tarkoittamat asiakirjat)
  • Sisäinen (yrityksen sisäisessä toiminnassa käyttämät asiakirjat)
  • Luottamuksellinen (valmisteilla olevat julkistamattomat asiakirjat)
  • Salainen (yritys-, liike- ja ammattisalaisuudet sekä tietosuoja-aineisto)

Asiakirjan salassapitoaika saattaa olla rajoitettu tiettyyn päivään, jonka jälkeen salassa pidettävän asian status muuttuu esimerkiksi julkiseksi. Näissä tapauksissa asiakirjaan voidaan tehdä merkintä esimerkiksi "Julkinen 12.4.2008".

Jakelulista
Jakelulistassa on kysymys asiakirjaan liitetystä käsittelyohjeesta. Luottamuksellisiin ja salaisiin asiakirjoihin on merkittävä jakelulista, eli luettelo henkilöistä, joiden hallussa on asiakirjakopio, jotka ovat tietoon oikeutettuja ja joiden kanssa asiasta voidaan luottamuksellisesti keskustella. Asiaa ei saa paljastaa jakelulistan ulkopuolisille henkilöille.

Tietopalvelut ja asiakirjojen lainaus
Asiakirjoja joudutaan lainaamaan tai niistä joudutaan antamaan tietoja yrityksen ulkopuolelle. Tietojen luovuttajan on aina varmistuttava tiedon saajan oikeudesta pyydettyyn tietoon.

Asiakaspalvelussa joudutaan huomioimaan arkistolain, viranomaistoiminnan julkisuus-, henkilötieto- sekä muun erityislainsäädännön määräykset. Asiointi ja tietojenluovutukset tulee aina kirjata asianhallintajärjestelmään, jotta voidaan jälkeenpäin tarkistaa tietojenluovutuksen asianmukaisuus.

Yksityisille henkilöille ei lainata koskaan alkuperäisiä asiakirjoja. Viranomaisilla on tietyin edellytyksin oikeus saada käyttöönsä alkuperäiskappale. Tällöin asiakirjasta tulee jäädä organisaatioon kopiokappale ja luovutuksesta kuitti.

Asiakirja-arkistot
Asiakirjojen hävittämisprosessi perustuu lainsäädännössä asiakirjoille määriteltyihin säilytysaikoihin. Pysyvästi säilytettävä asiakirja-aineisto tulee erottaa määräajan säilytettävästä asiakirja-aineistosta, joille määritellään säilytysajat asiakirjatyypeittäin.

Arkistolain 6 §:n mukaan arkistoon kuuluvat asiakirjat, jotka ovat saapuneet arkistonmuodostajalle sen tehtävien johdosta tai syntyneet arkistonmuodostajan toiminnan yhteydessä. Arkistoaineiston kohdalla noudatetaan arkistolain 13 §:n mukaisia säilytysaikoja.

Asiakirjojen hävittämisestä ei tarvitse tehdä merkintää hävittämisluetteloon, jos asiakirjojen säilytysajat on merkitty arkistonmuodostussuunnitelmaan. Poikkeuksen muodostaa kirjanpitoaineisto, jonka hävittämisestä on aina tehtävä merkintä hävittämisluetteloon.

Hävittäminen tapahtuu yleensä polttamalla tai silppuamalla materiaali paperiteollisuuden raaka-aineeksi. Arkistoaineiston hävittämistä on aina valvottava, myös ulkopuolisen sertifioidun palveluntarjoajan palveluita käytettäessä.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön