Henkilöstöturvallisuus

Yritysturvallisuus > Henkilöstöturvallisuus

Henkilöstöturvallisuudella tarkoitetaan yritysturvallisuuden osa-aluetta, joka keskittyy henkilöstön luotettavuuteen, toimintakykyyn ja turvallisuuskäyttäytymiseen. Henkilöstöturvallisuus käsittää ne riskienhallintatoimenpiteet, joilla pyritään ehkäisemään henkilöstöstä ja sen toiminnasta aiheutuvia uhkia yritykselle.

Henkilöstöturvallisuuden tavoitteena on varmistaa, että yritykseen rekrytoidaan työtehtäviin soveltuvia, työkykyisiä, lojaaleja ja rehellisiä henkilöitä.

Riskienhallintatoimenpiteet keskittyvät erityisesti rekrytointiin, siihen liittyviin taustaselvityksiin ja testeihin, työsuhteen aikaisiin arviointeihin, sisäiseen valvontaan sekä ohjeistuksiin ja koulutukseen.

Rekrytoivan esimiehen käytettävissä voivat olla esimerkiksi hakijan CV, haastattelutiedot, soveltuvuustestien tulokset sekä oma intuitiivinen arvio hakijasta.

Tehtävälista

Rekrytointivaiheessa

Määrittele tehtävän luottamuksellisuusvaatimukset. Tavanomainen vs. luottamuksellinen työtehtävä
Määritä rekrytointikohtaiset turvallisuustarpeet.
Arvioi tarvitaanko taustaselvityksiä, soveltuvuustestejä tms.?
Laadi ja arkistoi selkeät rekrytointidokumentit. CV, haastattelumuistiinpanot, testitulokset.
Varmista, että tietojen käsittelyssä noudatetaan tietosuojalakia.
Käy läpi työnhakijan kanssa salassapitosopimus tarvittaessa.
Harkitse henkilöturvallisuusselvityksen tarve (PSC), jos tehtävällä on vaikutuksia kansalliseen turvallisuuteen.
Dokumentoi esimiehen oma arvio hakijasta ja perustelut valinnalle.

Työsuhteen aikana

Sovi ja allekirjoita salassapitosopimus/vaitiolositoumus.
Perehdytä henkilöstö turvallisuuskäytäntöihin.
Luovuta ohjeistus tietoturvasta, tilaturvallisuudesta ja muista keskeisistä sisäisistä ohjeista.
Seuraa mahdollisia riskikäyttäytymisen indikaattoreita, Huomioi kuitenkin yksilöllisyys ja kysy tarvittaessa suoraan henkilöltä itseltää.
Pidä yllä selkeää ja ajantasaista ohjeistusta henkilöstöturvallisuudesta.
Kouluta henkilöstöä säännöllisesti turvallisuusasioissa.

Poikkeamat ja väärinkäytösriskien hallinta

Toteuta sisäisiä tarkastuksia ja ristiintarkastuksia.
Toteuta ilmoituskanava väärinkäytösepäilyille (whistleblowing).
Dokumentoi ja käsittele poikkeamat systemaattisesti
Tee riskinarvio kriittisistä toiminnoista ja henkilörooleista.
Harkitse rikosvastuuvakuutuksen ottamista.
Päivitä riskienhallintasuunnitelma havaintojen pohjalta.

Työsuhteen päättyessä

Käy läpi poistumisprosessin tarkistuslista.
Varmistu käyttöoikeuksien ja kulkulupien poistamisesta.
Muistuta salassapitovelvollisuudesta työsuhteen päättyessä.
Varmistu, että luovutettu omaisuus on palautettu (tunnisteet, avaimet, laitteet).
Tee tarvittaessa loppuarvio henkilön toiminnasta (sisäisesti).

Asia Tapauksia

Yrityksen on rekrytointiprosessissaan erotettava tavanomaiset tehtävät selkeästi luottamuksellisuutta edellyttävistä tehtävistä. Poikkeukselliset selvittelytoimenpiteet eivät ole osa normaalia rekrytointiprosessia.

Rikostausta- tai henkilöturvallisuusselvityksiin suostumista ei voida edellyttää tavanomaisiin työtehtäviin hakeutuvilta henkilöiltä. Peruslähtökohta työnantaja/työntekijä suhteessa on molemminpuolinen luottamus.

Luottamuksen ja avoimuuden ilmapiiri on rakentamisen ja säilyttämisen arvoista. Rekrytoinnin onnistuessa esimiehen ja alaisen välisestä luottamus- ja yhteistyösuhteesta kasvaa yrityksen menestystekijä.

Salassapitosopimus
Salassapitosopimus ja vaitiolositoumus ovat juridisesti samanarvoisia. Sopimalla voidaan jatkaa henkilön vaitiolovelvollisuutta (yrityksen liike- ja ammattisalaisuudet) työsuhteen jälkeiseen aikaan.

Sopimuksilla ei voida kuitenkaan rajoittaa yleisesti tunnetun tai julkaistun tiedon salassapitoa. Salassapitosopimus ei saa olla kilpailukielto, estää henkilön oikeutta harjoittaa elinkeinoa tai uuden työsopimuksen tekemistä.

Väärinkäytösriskien hallinta
Yksittäinen työvaihe tai toimenpide esimerkiksi laskun maksu, arvokuljetus tai pääsy suojattuun tilaan voi edellyttää erityisehkäisevien kontrollien toteuttamista. Näistä keskeisimpiä ovat mm. ristiin tarkastukset, hyväksynnät, vahvistukset ja muut konkreettiset henkilöön kohdistuvat valvontatoimenpiteet. Järjestelyjä kutsutaan suomalaisittain neljän silmän periaatteeksi (dual control).

Dual Control
Neljän silmän periaatteen käytön tulee pohjautua perusteelliseen harkintaan. Perusteena on yleensä konkreettisen väärinkäytösmahdollisuuden (esim. merkittävän rahasumman siirto) ehkäisy. Ratkaisussa joudutaan huomioimaan myös useamman henkilön vilpillisen yhteistoiminnan (kolluusion) mahdollisuus.

Neljän silmän kontrolleja toteutetaan nykyisin mm. pankkien rahansiirtoihin liittyvissä transaktioissa ja lentokoneiden huoltoihin liittyvien työsuoritusten valvonnassa.

Tehtävien pilkkominen
Henkilöstön väärinkäytösmahdollisuuksia voidaan ehkäistä myös jakamalla yksittäinen työprosessi tai tietokokonaisuus osiin useammalle eri henkilölle.

Tässäkin tulee hyvin nopeasti järkevyyden ja mahdollisuuksien rajat vastaan. Yksittäinen työvaihe tai toimenpide, jonka suorittaminen edellyttää kahden tai useamman henkilön läsnäoloa on prosessitaloudellisesti melko tehoton ja kallis ratkaisu.

Hyväksymisketjut
Taloushallinnon järjestelmissä esimerkiksi laskun hyväksymisketju varahenkilöineen (workfolw) on mahdollista sähköistää, joten näissä prosesseissa ei tarvita erityisiä lisätoimenpiteitä.

Vakuutukset
Väärinkäytösriski on vakuutuskelpoinen riski. Yrityksen on mahdollista vakuuttaa väärinkäytösriskinsä hankkimalla rikosvastuuvakuutus, joka korvaa vakuutussopimuksen puitteissa rikoslain mukaisista teoista aiheutuneita taloudellisia vahinkoja.

Vastuuvakuutusten ongelmana ovat kuitenkin vuotuisten vakuutusmenojen korkeat kustannukset. Näin ollen ne soveltuvat lähinnä huomattavien taloudellisten väärinkätösten aiheuttamien menetysten lieventämiseen. Tällöin myös väärinkäytösriskin on oltava konkreettinen.

Henkilön käyttäytymiseen liittyviä hälyttäviä indikaattoreita
Alla on kuvattu indikaattoreita, joita pidetään mm. USA:ssa tiedustelupalvelun seurannan laukaisevina piirteinä. Työyhteisöissä on kuitenkin sallittava sopivuuden rajoihin mahtuvat persoonallisuudet ja käyttäytymispiirteet.

Henkilöllä on tuhlaileva elämäntapa.
Henkilö matkustaa yllättävän paljon.
Henkilö osoittaa työpaikalla epätavallisen aktiivista kiinnostusta myös työtehtäviin liittymättömiin asioihin.
Henkilö noudattaa epätavallisia työaikoja.
Henkilö kuljettaa usein asiakirja-aineistoa kotiin.
Henkilöllä on yllättäviä yhteyksiä ulkomaisiin henkilöihin.
Henkilöllä on yllättäviä yhteyksiä vieraan valtion diplomaatteihin, virkamiehiin tai sotilashenkilöihin.
Henkilö pyrkii hankkimaan työtehtäviin liittymättömiä käyttövaltuuksia.
Henkilöllä on selittämättömiä poissaoloja.

Asioilla on usein luonnollisia selityksiä ja väärinkäsitysten mahdollisuus on suuri, jos ilman parempaa tietoa ryhdytään epäilemään henkilöitä. Ongelmattomin tapa on yleensä kysyä suoraan henkilöltä itseltään mistä asiassa mahtaa olla kysymys.

Laki kansainvälisistä tietoturvavelvoitteista
Suomen kansainväliseen poliittiseen, sotilaalliseen, kauppapoliittiseen tai kehitysyhteistyöhön liittyvät henkilöturvallisuusselvitykset ovat National Security Authority (NSA) sopimusjärjestelmän piirissä.

NATO- ja EU varmistavat tarkastuksin, että Suomessa on noudatettu sopimusjärjestelmän mukaista henkilöturvallisuustodistusmenettelyä ja menettely täyttää sille asetetut kansainväliset vaatimukset. Laiminlyönnit vaarantavat ulkomaisen salassapitoluokitellun tiedon saannin.

Laki kansainvälisistä tietoturvavelvoitteista 24.6.2004/588 tuli voimaan heinäkuussa 2004. Lain perusteella kaikki yhteisöt ja yritykset voivat hankkia yhteisöturvallisuusvakuuden (yritysturvallisuusvakuuden).

Muutos aiempaan toimintamalliin on se, että nyt myös muut organisaatiot kuin ne, jotka ovat toimineet puolustusvoimien kanssa voivat hankkia itselleen yhteisöturvallisuusvakuuden.

Yrityksen tulee täyttää tietyt kriteerit saadakseen yhteisöturvallisuusvakuuden (Facility Security Clearance). Vakuuden avulla organisaatio voi osoittaa toimivansa kansainvälisessä liiketoiminnassaan turvallisesti ja se kykenee kontrolloimaan tietovuotoriskejä luokiteltujen arkaluonteisten ja huippusalaisten tietojen osalta.

Henkilöturvallisuustodistuksen tarkoituksena on osoittaa seuraavat asiat:

Henkilö on ehdottoman luotettava.
Henkilö on luonteeltaan ja harkintakyvyltään niin luja, että hänen käsiteltäväkseen voidaan epäilyksettä uskoa turvaluokiteltuja tietoja.
Henkilö ei ole altis ulkoiselle tai muista lähteistä peräisin olevalle painostukselle esimerkiksi sen vuoksi, että hän on asunut sellaisessa paikassa tai omannut sellaisia yhteyksiä, jotka saattavat muodostaa tietoturvariskin.

Suomessa ulkoasiainministeriön turvallisuusyksikkö vastaa kansallisen turvallisuusviranomaisen (National Security Authority; NSA) tehtävistä mm. kansainvälisestä edustamisesta, tietojen vaihdosta ja säilytyksestä.

Puolustusministeriö, pääesikunta ja suojelupoliisi toimivat kansallisina turvallisuusviranomaisina, vastaten (DSA, Designated Security Authority) toiminnasta siltä osin, kuin laki kansainvälisistä tietoturvallisuusvelvoitteista (588/2004) edellyttää.

Puolustusministeriö vastaa myös yhteisö- ja henkilöturvallisuustodistuksien antamisesta (FSC = Facility Security Clearance, PSC = Personal Security Clearance).

Viestintävirasto toimii kansallisena tietoturvallisuusviranomaisena (National Communications Security Authority, NCSA), joka vastaa mm. tietojärjestelmien akreditoinneista ja kansallisesta avaimistohallinnasta.

Käsitteitä

FAS (Facility Security Clearance) Yhteisöturvallisuusvakuus (yritysturvallisuusvakuus).
PSC (Personnel Security Clearance) Henkilöstön turvallisuusvakuus.
Perusmuotoisen turvaselvityksen tekee Suojelupoliisi, jonka DSA vahvistaa.
CSC (Certificate of Security Clearance) Henkilöturvallisuusvakuus, joka myönnetään puolustushallinnon toimesta ja ulkomaisen viranomaisen pyynnöstä nuhteettomalle Suomen kansalaiselle, jonka työtehtävät edellyttävät vakuuden olemassaoloa.
DSA (Designated Security Authority) Kansallinen tai nimetty viranomainen, joka antaa turvaluokittelua koskevat todistukset.
NSA (National Security Authority) Kansallinen tai nimetty viranomainen, joka auditoi ja myöntää turvaluokittelua koskevat todistukset.