Yritysturvallisuusselvityksessä perehdytään turvallisuusjärjestelyihin

Yritysturvallisuusselvityksessä selvitetään yrityksen vastuuhenkilöiden luotettavuus, sen kyky hoitaa sitoumuksia ja turvallisuusjärjestelyt.

Yritysturvallisuusselvityksessä on kolme osa-aluetta. Ensimmäinen vaihe on yrityksen ja sen vastuuhenkilöiden taustojen tarkistus. Toinen vaihe on yrityksen turvallisuusjärjestelyjen auditointi. Kolmannessa vaiheessa seurataan ensimmäisessä ja toisessa vaiheessa selvitettyjä asioita koko yritysturvallisuusselvitystodistuksen voimassaoloajan.

Kaavio: yritysturvallisuusselvityksen osa-alueet.

Suojelupoliisi arvioi yrityksen ja vastuuhenkilöiden luotettavuutta ja kykyä hoitaa sitoumuksensa. Arviointia varten tarkistetaan 

  • yleiset tiedot yrityksen toiminnasta 
  • tiedot yrityksen omistajista 
  • tietoja yrityksen varallisuudesta 
  • luotto- ja ulosottotiedot 
  • tiedot verosaatavista 
  • yritykselle tuomitut rangaistukset ja siihen kohdistuneet rikokset 
  • vastuuhenkilöiden henkilöturvallisuusselvitykset

Suojelupoliisi arvioi, täyttävätkö yrityksen turvallisuusjärjestelyt niille asetetut vaatimukset. Tähän kuuluu

  • yrityksen hallinnollisen turvallisuuden tarkastus
  • yrityksen toimitilojen tarkastus
  • tarvittaessa tietojärjestelmä- ja tietoliikennejärjestelyjen tarkastus (Traficom) 

Turvallisuusjärjestelyjen arviointiperusteena käytetään yleensä tietoturvallisuuden auditointityökalu Katakria. 

Yritysturvallisuusselvitys voidaan tehdä myös osittaisena, esimerkiksi tarkastamalla pelkästään yrityksen toimitilat ja yrityksen taustatiedot, jos yritys ei käsittele tietojärjestelmissään turvallisuusluokiteltua tietoa. 

Aikarajat ohjaavat yritysturvallisuusselvitysmenettelyä

Yritysturvallisuusselvitysprosessi etenee vaiheittain. Välivaiheille on asetettu aikarajat, joiden noudattamiseen selvityksen kohdeyrityksen tulee suostua ennen selvityksen aloittamista. Kohdeyritys antaa suostumuksensa kirjallisesti yritysturvallisuusselvityshakemuksen liitteessä 1.

Aloitettu yritysturvallisuusselvitysmenettely voidaan päättää, mikäli selvityksen kohdeyritys ei suoriudu selvityksen vaiheista esitettyihin määräaikoihin mennessä. Suojelupoliisi kuulee selvityksen kohdetta ennen yritysturvallisuusselvitysmenettelyn päättämistä.

Kun hakemus saapuu Supoon

01 kuukautta: Aloituskokous, jonka jälkeen Supo tekee päätöksen selvityksen aloittamisesta. Vasta aloituspäätöksen valmistuttua Supo laskuttaa asiakasta.

24 kuukautta: Asiakas toimittaa Supoon kolmen kuukauden sisällä aloituskokouksesta taustatarkistusaineiston ja itsearviointiaineiston ensimmäisen version. Supo tarkistaa, että lasku on maksettu kolmen kuukauden sisällä aloituskokouksesta.

57 kuukautta: Taustatarkastus valmistuu ja itsearviointia tarkastellaan ja tarvittaessa korjataan. Itsearvioinnin tulee olla hyväksyttävällä tasolla kuuden (6) kuukauden sisällä aloituskokouksesta.

78 kuukautta: Asiakkaalle tehdään toimitila-auditointi.

910 kuukautta: Toimitila-auditoinnissa havaittujen poikkeamien korjaaminen. Auditoinnin tulee olla hyväksyttävällä tasolla yhdeksän (9) kuukauden sisällä aloituskokouksesta.

1112 kuukautta: Asiakas toimittaa sitoumuksen Supoon ja saa vastavuoroisesti todistuksen yritysturvallisuusselvityksestä.

Selvityksen päätteeksi voidaan tehdä turvallisuussitoumus 

Selvityksen päätteeksi Suojelupoliisi voi edellyttää yritykseltä sitoumusta, jossa se sitoutuu hyväksytyn tietoturvallisuustason säilyttämiseen. Lisäksi yritys sitoutuu ilmoittamaan viranomaisille mahdollisista muutoksista turvallisuustasossaan. 

Yritysturvallisuusselvitystodistus myönnetään, kun selvitys on päättynyt ja yritys on allekirjoittanut sitoumuksen. Todistus voidaan peruuttaa, jos yritys ei enää täytä vaatimuksia tai yrityksen vastuuhenkilö laiminlyö velvollisuuksiaan eikä yritys ole määräajassa korjannut puutteita.