Yritysturvallisuusselvityksessä perehdytään turvallisuusjärjestelyihin
Yritysturvallisuusselvityksessä selvitetään yrityksen vastuuhenkilöiden luotettavuus, sen kyky hoitaa sitoumuksia ja turvallisuusjärjestelyt.
Yritysturvallisuusselvityksessä on kolme osa-aluetta. Ensimmäinen vaihe on yrityksen ja sen vastuuhenkilöiden taustojen tarkistus. Toinen vaihe on yrityksen turvallisuusjärjestelyjen auditointi. Kolmannessa vaiheessa seurataan ensimmäisessä ja toisessa vaiheessa selvitettyjä asioita koko yritysturvallisuusselvitystodistuksen voimassaoloajan.
Suojelupoliisi arvioi yrityksen ja vastuuhenkilöiden luotettavuutta ja kykyä hoitaa sitoumuksensa. Arviointia varten tarkistetaan
- yleiset tiedot yrityksen toiminnasta
- tiedot yrityksen omistajista
- tietoja yrityksen varallisuudesta
- luotto- ja ulosottotiedot
- tiedot verosaatavista
- yritykselle tuomitut rangaistukset ja siihen kohdistuneet rikokset
- vastuuhenkilöiden henkilöturvallisuusselvitykset
Suojelupoliisi arvioi, täyttävätkö yrityksen turvallisuusjärjestelyt niille asetetut vaatimukset. Tähän kuuluu
- yrityksen hallinnollisen turvallisuuden tarkastus
- yrityksen toimitilojen tarkastus
- tarvittaessa tietojärjestelmä- ja tietoliikennejärjestelyjen tarkastus (Traficom)
Turvallisuusjärjestelyjen arviointiperusteena käytetään yleensä tietoturvallisuuden auditointityökalu Katakria.
Yritysturvallisuusselvitys voidaan tehdä myös osittaisena, esimerkiksi tarkastamalla pelkästään yrityksen toimitilat ja yrityksen taustatiedot, jos yritys ei käsittele tietojärjestelmissään turvallisuusluokiteltua tietoa.
Selvityksen päätteeksi voidaan tehdä turvallisuussitoumus
Selvityksen päätteeksi Suojelupoliisi voi edellyttää yritykseltä sitoumusta, jossa se sitoutuu hyväksytyn tietoturvallisuustason säilyttämiseen. Lisäksi yritys sitoutuu ilmoittamaan viranomaisille mahdollisista muutoksista turvallisuustasossaan.
Yritysturvallisuusselvitystodistus myönnetään, kun selvitys on päättynyt ja yritys on allekirjoittanut sitoumuksen. Todistus voidaan peruuttaa, jos yritys ei enää täytä vaatimuksia tai yrityksen vastuuhenkilö laiminlyö velvollisuuksiaan eikä yritys ole määräajassa korjannut puutteita.