Toimitilaturvallisuus

Visitors shall have access to secure areas only with permission, after they are appropriately identified and their access rights shall be limited to the necessary facilities. All visits are recorded in the visitor log. In addition, staff have guidelines about safe operating in connection with visits.

Secure areas of the organization cannot be accessed unnoticed. The premises are protected by appropriate access control. Only authorized persons have access to the secure areas.

Irrespective of the form in which the information is presented, personal data or other confidential information shall be processed in such a way that the information isn't disclosed for outsiders.

Suojaustason IV-II tietoja voidaan käsitellä turva-alueella. Suojaustason III-II tason tietoja tulee säilyttää turva-alueella.

Teknisillä turva-alueilla noudatetaan turva-alueiden suojauskäytäntöjä sekä seuraavia lisäkäytäntöjä:

• Alueella on murtohälytysjärjestelmä.
• Alue pidetään lukittuna silloin, kun se ei ole käytössä, ja vartioituna silloin, kun se on käytössä.
• Avaimia valvotaan.
• Alueelle tulevia henkilöitä ja aineistoja valvotaan.
• Alue tarkastetaan säännöllisesti mahdollisten luvattomien tietoliikenneyhteyksien ja viestintävälineiden sekä muiden elektronisten laitteiden löytämiseksi.
• Alueella ei ole luvattomia tietoliikenneyhteyksiä tai laitteita

Kaikki aluelle vietävät laitteet on tarkastettava ennen niiden käyttöä alueella, joilla pidetään EU SECRET/NATO SECRET -turvallisuusluokan tietoihin liittyviä kokouksia.

Suojelupoliisi tai Pääesikunta päättää teknisesti suojattuun turva-alueeseen liittyvästä uhka-arvioinnista, riskien hallintatoimenpiteistä ja mahdollisesti tilapäisen teknisesti suojatun turva-alueen turvallisuusjärjestelyjen hyväksynnästä.

The organisation must define procedures and roles for access rights and key management in the area. Access to the area can be restricted either mechanically, electronically or based on personal identification. A responsible person shall be appointed for the area to manage the access rights and key management procedures. Spare keys for the area shall be stored securely and locked in a sealed storage envelope with a date of closure and receipt or, alternatively, in a key cabinet connected to an access control system. Keys shall be handed over in connection with the job and against receipt. The procedure is described in the security management guidelines. Access to the area is not permitted with a master key suitable for a lower level facility.

A responsible person has been appointed to ensure the following access rights and key management procedures are in place.

• Access rights and key management procedures and roles are established, documented and instructed.
• A list of access rights and key holders is maintained.
• Access rights are regularly audited and kept up to date.
• responsibility for additional orders and changes to keys and access codes is assigned.
• key cards, unallocated keys and access codes are stored appropriately.
• the reason for key issuance is documented.
• keys are issued only to the person with independent access rights to the area.
• changes in personnel are communicated to the key management authority as appropriate.

Tietoaineistoja on käsiteltävä ja säilytettävä toimitiloissa, jotka ovat tietoaineiston luottamuksellisuuteen, eheyteen ja saatavuuteen liittyvien vaatimusten toteuttamiseksi riittävän turvallisia.

Digiturvamallissa tarkempia fyysiseen turvallisuuteen liittyviä toimenpiteitä tarkastellaan työpöydän Fyysinen turvallisuus -moduulin alla.