<akomaNtoso xmlns="http://docs.oasis-open.org/legaldocml/ns/akn/3.0" xmlns:finlex="http://data.finlex.fi/schema/finlex" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    <act contains="originalVersion" name="main">
        <meta>
            <identification source="#organization_fi.finlex">
                <FRBRWork>
                    <FRBRthis value="/akn/fi/act/statute/2010/681/!main"/>
                    <FRBRuri value="/akn/fi/act/statute/2010/681"/>
                    <FRBRalias name="eli" value="http://data.finlex.fi/eli/sd/2010/681/alkup"/>
                    <FRBRdate date="2010-07-01" name="dateIssued"/>
                    <FRBRauthor as="#role_author" href="#organization_fi.parliament"/>
                    <FRBRcountry value="fi"/>
                    <FRBRsubtype value="statute"/>
                    <FRBRnumber value="681"/>
                    <FRBRprescriptive value="true"/>
                    <FRBRauthoritative value="true"/>
                </FRBRWork>
                <FRBRExpression>
                    <FRBRthis value="/akn/fi/act/statute/2010/681/fin@/!main"/>
                    <FRBRuri value="/akn/fi/act/statute/2010/681/fin@"/>
                    <FRBRalias name="eli" value="http://data.finlex.fi/eli/sd/2010/681/alkup/fin"/>
                    <FRBRdate date="2010-07-01" name="dateIssued"/>
                    <FRBRauthor as="#role_author" href="#organization_fi.parliament"/>
                    <FRBRlanguage language="fin"/>
                </FRBRExpression>
                <FRBRManifestation>
                    <FRBRthis value="/akn/fi/act/statute/2010/681/fin@/!main.xml"/>
                    <FRBRuri value="/akn/fi/act/statute/2010/681/fin@.akn"/>
                    <FRBRalias name="eli" value="http://data.finlex.fi/eli/sd/2010/681/alkup/fin/xml"/>
                    <FRBRdate date="2025-02-22" name="dateProduced"/>
                    <FRBRauthor as="#role_editor" href="#organization_fi.finlex"/>
                    <FRBRformat value="xml"/>
                </FRBRManifestation>
            </identification>
            <references source="#organization_fi.finlex">
                <TLCOrganization eId="organization_fi.finlex" href="/akn/ontology/organization/fi.finlex" showAs="Finlex"/>
                <TLCRole eId="role_author" href="/akn/ontology/role/author" showAs="Tekijä"/>
                <TLCRole eId="role_editor" href="/akn/ontology/role/editor" showAs="Toimittaja"/>
                <TLCConcept eId="decree" href="/akn/ontology/concept/statute/type-statute.decree" showAs="Asetus"/>
                <TLCConcept eId="new-statute" href="/akn/ontology/concept/statute/category-statute.new-statute" showAs="Uusi säädös"/>
            </references>
            <proprietary source="#organization_fi.finlex">
                <finlex:typeStatute refersTo="#decree"/>
                <finlex:categoryStatute refersTo="#new-statute"/>
                <finlex:documentYear>2010</finlex:documentYear>
                <finlex:statuteBookOfFinlandReference>
                    <finlex:year value="2010"/>
                    <finlex:number value="93"/>
                    <finlex:date date="2010-07-19"/>
                </finlex:statuteBookOfFinlandReference>
            </proprietary>
        </meta>
        <preface>
            <p>
                <docNumber>681/2010</docNumber>
                <docTitle>Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa</docTitle>
            </p>
        </preface>
        <preamble>
            <formula name="enactingClause">
                <p>Valtioneuvoston päätöksen mukaisesti, joka on tehty oikeusministeriön esittelystä, säädetään viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 36 §:n 1 momentin nojalla, sellaisena kuin se on laissa 495/2005:</p>
            </formula>
        </preamble>
        <body>
            <hcontainer finlex:outline="Säädöksen teksti" name="statuteProvisionsWrapper">
                <chapter eId="chp_1">
                    <num>1 luku</num>
                    <heading>Yleiset säännökset</heading>
                    <section eId="chp_1__sec_1">
                        <num>1 §</num>
                        <heading>Soveltamisala</heading>
                        <subsection eId="chp_1__sec_1__subsec_1">
                            <content>
                                <p>Tässä asetuksessa säädetään valtionhallinnon viranomaisten asiakirjojen käsittelyä koskevista yleisistä tietoturvallisuusvaatimuksista sekä asiakirjojen luokittelun perusteista ja luokittelua vastaavista asiakirjojen käsittelyssä noudatettavista tietoturvallisuusvaatimuksista.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_1__sec_2">
                        <num>2 §</num>
                        <heading>Suhde muuhun lainsäädäntöön</heading>
                        <subsection eId="chp_1__sec_2__subsec_1">
                            <content>
                                <p>Viranomaisen asiakirjan julkisuudesta ja asiakirjan saamista koskevan pyynnön käsittelystä sekä hyvään tiedonhallintatapaan kuuluvista yleisistä velvollisuuksista säädetään viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999). Kansainvälisten tietoturvallisuusvelvoitteiden mukaisesti turvallisuusluokitellun asiakirjan salassapitovelvollisuudesta säädetään kansainvälisistä tietoturvallisuusvelvoitteista annetun lain (588/2004) 6 §:ssä.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_1__sec_2__subsec_2">
                            <content>
                                <p>Tätä asetusta sovelletaan toisen maan viranomaiselta tai kansainväliseltä toimielimeltä saadun asiakirjan käsittelyyn, jollei kansainvälisestä tietoturvallisuusvelvoitteesta muuta johdu.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_1__sec_3">
                        <num>3 §</num>
                        <heading>Määritelmät</heading>
                        <subsection eId="chp_1__sec_3__subsec_1">
                            <intro eId="chp_1__sec_3__subsec_1__intro">
                                <p>Tässä asetuksessa tarkoitetaan:</p>
                            </intro>
                            <paragraph eId="chp_1__sec_3__subsec_1__para_1">
                                <num>1)</num>
                                <content>
                                    <p>
                                        <i>valtionhallinnon viranomaisella</i>
                                         valtion hallintoviranomaisia ja muita valtion virastoja ja laitoksia sekä tuomioistuimia ja muita lainkäyttöviranomaisia;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_3__subsec_1__para_2">
                                <num>2)</num>
                                <content>
                                    <p>
                                        <i>tietoturvallisuudella</i>
                                         tietojen salassapitovelvollisuuden ja käyttörajoitusten noudattamiseksi sekä tietojen saatavuuden, eheyden ja käytettävyyden varmistamiseksi toteutettavia hallinnollisia, teknisiä ja muita toimenpiteitä ja järjestelyjä;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_3__subsec_1__para_3">
                                <num>3)</num>
                                <content>
                                    <p>
                                        <i>salassa pidettävällä asiakirjalla</i>
                                         sellaista viranomaisten toiminnan julkisuudesta annetun lain 5 §:n 1 momentissa tarkoitettua asiakirjaa, joka mainitun lain tai muun lain mukaan on pidettävä salassa;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_3__subsec_1__para_4">
                                <num>4)</num>
                                <content>
                                    <p>
                                        <i>asiakirjan käsittelyllä</i>
                                         asiakirjan vastaanottamista, laatimista, tallettamista, katselua, muuttamista, luovuttamista, kopiointia, siirtoa, välittämistä, hävittämistä, säilyttämistä ja arkistointia sekä asiakirjaan automaattisen tietojenkäsittelyn, äänen- ja kuvantoistolaitteiden tai muiden apuvälineiden avulla taikka muutoin kohdistuvia toimenpiteitä;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_3__subsec_1__para_5">
                                <num>5)</num>
                                <content>
                                    <p>
                                        <i>kansainvälisellä tietoturvallisuusvelvoitteella</i>
                                         sellaista salassa pidettävän asiakirjan käsittelyä koskevaa ja kansainväliseen sopimukseen tai säädökseen perustuvaa velvoitetta, jota Suomen on noudatettava;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_3__subsec_1__para_6">
                                <num>6)</num>
                                <content>
                                    <p>
                                        <i>arkaluonteisilla henkilötiedoilla</i>
                                         henkilötietolain (523/1999) 11 §:ssä tarkoitettuja henkilötietoja;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_3__subsec_1__para_7">
                                <num>7)</num>
                                <content>
                                    <p>
                                        <i>biometrisillä tunnistetiedoilla</i>
                                         henkilön tunnistamisessa käytettäviä, henkilön yksilöiviä tietoja, jotka perustuvat luonnollisen henkilön fysiologiseen ominaisuuteen taikka käyttäytymiseen.
                                    </p>
                                </content>
                            </paragraph>
                        </subsection>
                    </section>
                </chapter>
                <chapter eId="chp_2">
                    <num>2 luku</num>
                    <heading>Yleiset tietoturvallisuusvaatimukset</heading>
                    <section eId="chp_2__sec_4">
                        <num>4 §</num>
                        <heading>Tietoturvallisuuden suunnittelun perusteet</heading>
                        <subsection eId="chp_2__sec_4__subsec_1">
                            <content>
                                <p>Valtionhallinnon viranomaisen on pidettävä huolta, että tietoturvallisuuden suunnittelu hyvän tiedonhallintatavan mukaisesti perustuu viranomaisen selvityksiin ja arvioihin sen hallussa olevista asiakirjoista sekä niihin talletettujen tietojen merkityksestä ja että suunnittelussa otetaan huomioon vaatimus hyvän julkisuus- ja salassapitorakenteen toteuttamisesta tietojärjestelmissä ja että tietoturvallisuustoimenpiteet mitoitetaan ottamalla huomioon suojattavien tietojen merkitys ja käyttötarkoitus sekä asiakirjoihin ja tietojärjestelmiin kohdistuvat uhkatekijät ja tietoturvallisuustoimenpiteistä aiheutuvat kustannukset.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_2__sec_5">
                        <num>5 §</num>
                        <heading>Tietoturvallisuuden perustason toteuttaminen</heading>
                        <subsection eId="chp_2__sec_5__subsec_1">
                            <intro eId="chp_2__sec_5__subsec_1__intro">
                                <p>Tietoturvallisuuden toteuttamiseksi valtionhallinnon viranomaisen on huolehdittava siitä, että:</p>
                            </intro>
                            <paragraph eId="chp_2__sec_5__subsec_1__para_1">
                                <num>1)</num>
                                <content>
                                    <p>viranomaisen toimintaan liittyvät tietoturvallisuusriskit kartoitetaan;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_2__sec_5__subsec_1__para_2">
                                <num>2)</num>
                                <content>
                                    <p>viranomaisen käytössä on riittävä asiantuntemus tietoturvallisuuden varmistamiseksi ja että tietoturvallisuuden hoitamista koskevat tehtävät ja vastuu määritellään;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_2__sec_5__subsec_1__para_3">
                                <num>3)</num>
                                <content>
                                    <p>asiakirjojen käsittelyä koskevat tehtävät ja vastuut määritellään;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_2__sec_5__subsec_1__para_4">
                                <num>4)</num>
                                <content>
                                    <p>tietojen saanti ja käytettävyys eri tilanteissa turvataan ja luodaan menettelytavat poikkeuksellisten tilanteiden selvittämiseksi;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_2__sec_5__subsec_1__para_5">
                                <num>5)</num>
                                <content>
                                    <p>asiakirjojen ja niihin sisältyvien tietojen salassapito ja muu suoja varmistetaan antamalla pääsy asiakirjoihin vain niille, jotka tarvitsevat salassa pidettäviä tietoja tai henkilörekisteriin talletettuja henkilötietoja työtehtäviensä hoitamiseksi;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_2__sec_5__subsec_1__para_6">
                                <num>6)</num>
                                <content>
                                    <p>tietojen luvaton muuttaminen ja muu luvaton tai asiaton käsittely estetään käyttöoikeushallinnan, käytön valvonnan sekä tietoverkkojen, tietojärjestelmien ja tietopalvelujen asianmukaisilla ja riittävillä turvallisuusjärjestelyillä ja muilla toimenpiteillä;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_2__sec_5__subsec_1__para_7">
                                <num>7)</num>
                                <content>
                                    <p>asiakirjojen tietojenkäsittely- ja säilytystilat ovat riittävästi valvottuja ja suojattuja;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_2__sec_5__subsec_1__para_8">
                                <num>8)</num>
                                <content>
                                    <p>henkilöstön ja muiden asiakirjojen käsittelyyn liittyviä tehtäviä hoitavien luotettavuus varmistetaan tarvittaessa turvallisuusselvitysmenettelyn ja muiden lain perusteella käytettävissä olevien keinojen avulla;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_2__sec_5__subsec_1__para_9">
                                <num>9)</num>
                                <content>
                                    <p>henkilöstölle ja muille asiakirjojen käsittelyyn liittyviä tehtäviä hoitaville annetaan ohjeet ja koulutusta asiakirjojen ja niihin sisältyvien tietojen asianmukaisesta käsittelystä;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_2__sec_5__subsec_1__para_10">
                                <num>10)</num>
                                <content>
                                    <p>annettujen ohjeiden noudattamista valvotaan ja niiden muutostarpeita arvioidaan säännöllisesti.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_2__sec_5__subsec_2">
                            <content>
                                <p>Valtionhallinnon viranomaisen velvollisuudesta huolehtia tietojen suojaamisesta annettaessa salassa pidettäviä tietoja toimeksiantotehtävän suorittamista varten säädetään viranomaisten toiminnan julkisuudesta annetun lain 26 §:n 2 momentissa. Henkilörekisteriin talletettujen henkilötietojen antamisesta säädetään lisäksi henkilötietolain 32 §:n 2 momentissa.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_2__sec_6">
                        <num>6 §</num>
                        <heading>Eri käsittelyvaiheiden huomioon ottaminen</heading>
                        <subsection eId="chp_2__sec_6__subsec_1">
                            <content>
                                <p>Tietoturvallisuustoimenpiteet on suunniteltava ja toteutettava siten, että ne kattavat asiakirjan kaikki käsittelyvaiheet niiden laatimisesta tai vastaanottamisesta arkistointiin tai hävittämiseen mukaan lukien asiakirjan luovuttaminen ja siirtäminen sekä käsittelyn valvonta. Suunnittelussa on pidettävä huolta siitä, että tietojenkäsittelyä koskevia velvoitteita noudatetaan myös silloin, kun tietojenkäsittelytehtävää hoidetaan viranomaisen toimeksiannosta.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_2__sec_7">
                        <num>7 §</num>
                        <heading>Luokitteluperusteiden ja niitä vastaavien tietoturvallisuusvaatimusten noudattaminen</heading>
                        <subsection eId="chp_2__sec_7__subsec_1">
                            <content>
                                <p>Jos valtionhallinnon viranomainen on päättänyt luokitella asiakirjansa tietoturvallisuuden toteuttamiseksi, luokittelussa on noudatettava 3 luvussa säädettyjä perusteita.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_2__sec_7__subsec_2">
                            <content>
                                <p>Valtionhallinnon viranomaisen on pidettävä huolta siitä, että sen laatimien tai saamien luokiteltujen asiakirjojen käsittelyssä noudatetaan 4 luvussa säädettyjä vaatimuksia. Mitä edellä säädetään, ei kuitenkaan estä viranomaista soveltamasta omassa toiminnassaan 4 luvussa säädettyä korkeampia tietoturvallisuusvaatimuksia.</p>
                            </content>
                        </subsection>
                    </section>
                </chapter>
                <chapter eId="chp_3">
                    <num>3 luku</num>
                    <heading>Asiakirjojen luokittelu</heading>
                    <section eId="chp_3__sec_8">
                        <num>8 §</num>
                        <heading>Luokituksen perusteet</heading>
                        <subsection eId="chp_3__sec_8__subsec_1">
                            <content>
                                <p>Salassa pidettävät asiakirjat tai niihin sisältyvät tiedot voidaan luokitella sen mukaan, minkälaisia tietoturvallisuutta koskevia vaatimuksia niiden käsittelyssä on tarpeen noudattaa. Luokittelu voidaan suorittaa myös siten, että tietoturvallisuutta koskevat vaatimukset kohdistetaan vain sellaisiin asiakirjoihin tai sellaisiin asiakirjan käsittelyvaiheisiin, joissa erityistoimenpiteet ovat suojattavan edun vuoksi tarpeen. Luokitusta ei saa ulottaa sellaiseen asiakirjaan tai asiakirjan osiin, joissa käsittelyvaatimusten noudattaminen ei suojattavan edun vuoksi ole tarpeen.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_8__subsec_2">
                            <content>
                                <p>Muu kuin salassa pidettävä asiakirja voidaan luokitella vain 9 §:n 2 momentissa tarkoitetuissa tapauksissa.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_3__sec_9">
                        <num>9 §</num>
                        <heading>Käsittelyvaatimuksia osoittavat suojaustasot</heading>
                        <subsection eId="chp_3__sec_9__subsec_1">
                            <intro eId="chp_3__sec_9__subsec_1__intro">
                                <p>Salassa pidettävien asiakirjojen luokittelussa käytetään seuraavia luokkia:</p>
                            </intro>
                            <paragraph eId="chp_3__sec_9__subsec_1__para_1">
                                <num>1)</num>
                                <content>
                                    <p>suojaustaso I, jos asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa erityisen suurta vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle edulle;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_9__subsec_1__para_2">
                                <num>2)</num>
                                <content>
                                    <p>suojaustaso II, jos asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa merkittävää vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle edulle;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_9__subsec_1__para_3">
                                <num>3)</num>
                                <content>
                                    <p>suojaustaso III, jos asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle tai yksityiselle edulle;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_9__subsec_1__para_4">
                                <num>4)</num>
                                <content>
                                    <p>suojaustaso IV, jos asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa haittaa salassapitosäännöksessä tarkoitetulle yleiselle tai yksityiselle edulle.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_3__sec_9__subsec_2">
                            <content>
                                <p>Edellä 1 momentin 4 kohdassa tarkoitettuun suojaustasoon kuuluvaksi voidaan luokitella muukin kuin salassa pidettäväksi säädetty asiakirja, jos asiakirjan luovuttaminen on lain mukaan viranomaisen harkinnassa tai asiakirjaan sisältyviä tietoja saa lain mukaan käyttää tai luovuttaa vain määrättyyn tarkoitukseen ja jos tiedon oikeudeton paljastuminen voi aiheuttaa haittaa yleiselle tai yksityiselle edulle tai heikentää viranomaisen toimintaedellytyksiä.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_3__sec_10">
                        <num>10 §</num>
                        <heading>Luokitusmerkintöjä koskevat yleiset säännökset</heading>
                        <subsection eId="chp_3__sec_10__subsec_1">
                            <content>
                                <p>Suojaustasoa osoittavan merkinnän yhteyteen voidaan merkitä tieto asiakirjan salassapidosta ottaen kuitenkin huomioon, mitä viranomaisten toiminnan julkisuudesta annetun lain 25 §:ssä säädetään. Velvollisuudesta tehdä asiakirjaan salassapitomerkintä säädetään mainitussa lainkohdassa.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_10__subsec_2">
                            <content>
                                <p>Tässä asetuksessa tarkoitetut merkinnät voidaan tehdä asiakirjaan liitettävään erilliseen asiakirjaan, jos merkintöjen tekeminen asiakirjaan tai merkinnän muuttaminen ei ole teknisesti mahdollista tai jos luokkaa vastaavat käsittelyvaatimukset ovat tarpeen vain tietyn lyhyehkön ajan.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_10__subsec_3">
                            <content>
                                <p>Suojaustasoa osoittava merkintä on tehtävä selvästi ja oikein asiakirjaan, ja luokitus on säilytettävä vain niin kauan, kuin se suojattavan edun vuoksi on tarpeen. Kun asiakirjan luokitukselle ei enää ole perusteita lain tai tämän asetuksen mukaan tai luokitusta on tarpeen muuttaa, luokituksen poistamisesta tai muuttamisesta on tehtävä asianmukainen merkintä asiakirjaan, johon alkuperäinen luokitusta koskeva merkintä on tehty. Merkinnän tarpeellisuus ja sen osoittama suojaustasovaatimus on tarkistettava viimeistään silloin, kun viranomainen on antamassa asiakirjan ulkopuoliselle.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_10__subsec_4">
                            <content>
                                <p>Jos suojaustasoon I―III kuuluva asiakirja on saatu toiselta valtionhallinnon viranomaiselta, luokitusmerkintää ei saa muuttaa ilmoittamatta asiasta asiakirjan antaneelle viranomaiselle.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_3__sec_11">
                        <num>11 §</num>
                        <heading>Turvallisuusluokitusmerkintää koskevat erityissäännökset</heading>
                        <subsection eId="chp_3__sec_11__subsec_1">
                            <content>
                                <p>Jos asiakirjan tai siihen sisältyvän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa vahinkoa kansainvälisille suhteille, valtion turvallisuudelle, maanpuolustukselle tai muulle yleiselle edulle viranomaisten toiminnan julkisuudesta annetun lain 24 §:n 1 momentin 2 ja 7―10 kohdassa tarkoitetulla tavalla, salassa pidettävän asiakirjan suojaustasoa koskevan merkinnän yhteyteen tai sen sijasta voidaan tehdä erityinen turvallisuusluokitusmerkintä.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_11__subsec_2">
                            <intro eId="chp_3__sec_11__subsec_2__intro">
                                <p>Turvallisuusluokitusmerkintä tehdään:</p>
                            </intro>
                            <paragraph eId="chp_3__sec_11__subsec_2__para_1">
                                <num>1)</num>
                                <content>
                                    <p>suojaustasoon I kuuluvaan asiakirjaan merkinnällä "ERITTÄIN SALAINEN";</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_11__subsec_2__para_2">
                                <num>2)</num>
                                <content>
                                    <p>suojaustasoon II kuuluvaan asiakirjaan merkinnällä "SALAINEN";</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_11__subsec_2__para_3">
                                <num>3)</num>
                                <content>
                                    <p>suojaustasoon III kuuluvaan asiakirjaan merkinnällä "LUOTTAMUKSELLINEN";</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_11__subsec_2__para_4">
                                <num>4)</num>
                                <content>
                                    <p>suojaustasoon IV kuuluvaan asiakirjaan merkinnällä "KÄYTTÖ RAJOITETTU".</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_3__sec_11__subsec_3">
                            <content>
                                <p>Turvallisuusluokitusmerkintää ei saa käyttää muissa kuin 1 momentissa tarkoitetuissa tapauksissa, ellei merkinnän tekeminen ole tarpeen kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi tai asiakirja muutoin liity kansainväliseen yhteistyöhön.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_11__subsec_4">
                            <content>
                                <p>Turvallisuusluokitusmerkintä merkitään ruotsiksi asiakirjoihin, jotka on laadittu ruotsinkielisinä tai käännetty ruotsiksi. Merkintä voidaan tehdä muulloinkin, jos viranomainen pitää sitä tarpeellisena. Merkintää "ERITTÄIN SALAINEN" vastaa merkintä "YTTERST HEMLIG", merkintää "SALAINEN" merkintä "HEMLIG", merkintää "LUOTTAMUKSELLINEN" merkintä "KONFIDENTIELL" ja merkintää "KÄYTTÖ RAJOITETTU" merkintä "BEGRÄNSAD TILLGÅNG".</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_3__sec_12">
                        <num>12 §</num>
                        <heading>Turvallisuusluokituksen vastaavuus kansainvälisiä tietoturvallisuusvelvoitteita toteutettaessa</heading>
                        <subsection eId="chp_3__sec_12__subsec_1">
                            <content>
                                <p>Jollei kansainvälisestä tietoturvallisuusvelvoitteesta muuta johdu, turvallisuusluokitusmerkintää "ERITTÄIN SALAINEN" vastaa kansainvälisen tietoturvallisuusvelvoitteen mukainen luokka "TOP SECRET" tai sitä vastaava muun kielinen ilmaisu; merkintää "SALAINEN" vastaa "SECRET" tai sitä vastaava muun kielinen ilmaisu; merkintää "LUOTTAMUKSELLINEN" vastaa "CONFIDENTIAL" tai sitä vastaava muun kielinen ilmaisu; merkintää "KÄYTTÖ RAJOITETTU" vastaa "RESTRICTED" tai sitä vastaava muun kielinen ilmaisu.</p>
                            </content>
                        </subsection>
                    </section>
                </chapter>
                <chapter eId="chp_4">
                    <num>4 luku</num>
                    <heading>Luokitellun asiakirjan käsittelyä koskevat vaatimukset</heading>
                    <section eId="chp_4__sec_13">
                        <num>13 §</num>
                        <heading>Käsittelyoikeudet ja niiden luettelointi</heading>
                        <subsection eId="chp_4__sec_13__subsec_1">
                            <content>
                                <p>Suojaustasoon I―III kuuluvan asiakirjan käyttöoikeus voidaan antaa vain sille, jolla työtehtäviensä vuoksi on tarve saada tietoja asiakirjasta tai muutoin käsitellä sitä ja joka tuntee asiakirjojen käsittelyä koskevat velvoitteet. Sama koskee suojaustasoon IV kuuluvaa arkaluonteisia henkilötietoja tai biometrisiä tunnistetietoja sisältävää henkilörekisteriin talletettua asiakirjaa.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_13__subsec_2">
                            <content>
                                <p>Jollei kansainvälisestä tietoturvallisuusvelvoitteesta muuta johdu, valtionhallinnon viranomaisen on pidettävä luetteloa niistä työtehtävistä, joissa on oikeus käsitellä suojaustasoon I tai II kuuluvia asiakirjoja tai sellaisia suojaustasoon III tai IV kuuluvia asiakirjoja, jotka on talletettu henkilörekisteriin. Valtionhallinnon viranomainen voi pitää luetteloa myös niistä, joilla on oikeus käsitellä edellä tarkoitettuja asiakirjoja.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_13__subsec_3">
                            <content>
                                <p>Valtionhallinnon viranomaisen on pidettävä huolta, että se, joka ei enää toimi työtehtävissä, joihin oikeus luokiteltujen asiakirjojen käsittelyyn perustuu, palauttaa asiakirjat tai hävittää ne asianmukaisella tavalla.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_13__subsec_4">
                            <content>
                                <p>Henkilöturvallisuusselvitysten laadinnasta ja henkilöstön luotettavuuden varmistamiseksi käytettävistä muista toimenpiteistä säädetään erikseen.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_14">
                        <num>14 §</num>
                        <heading>Asiakirjojen säilyttämiseen ja käsittelyyn käytettäviä tiloja koskevat turvallisuusvaatimukset</heading>
                        <subsection eId="chp_4__sec_14__subsec_1">
                            <intro eId="chp_4__sec_14__subsec_1__intro">
                                <p>Valtionhallinnon viranomaisen on pidettävä huolta, että:</p>
                            </intro>
                            <paragraph eId="chp_4__sec_14__subsec_1__para_1">
                                <num>1)</num>
                                <content>
                                    <p>tilat, joissa säilytetään tai muutoin käsitellään luokiteltuja asiakirjoja, suojataan asianmukaisesti lukituksella, kulunvalvonnalla ja muilla toimenpiteillä luvattoman pääsyn estämiseksi tiloihin ja siellä oleviin asiakirjoihin;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4__sec_14__subsec_1__para_2">
                                <num>2)</num>
                                <content>
                                    <p>henkilöt, joille annetaan pääsy tiloihin, joissa säilytetään tai muutoin käsitellään suojaustasoon I tai II kuuluvia asiakirjoja, ovat tunnistettavissa;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4__sec_14__subsec_1__para_3">
                                <num>3)</num>
                                <content>
                                    <p>suojaustasoon I ja II kuuluvat asiakirjat säilytetään sellaisessa kassakaapissa tai muussa lukittavassa kaapissa, holvissa tai tilassa, joka estää luvattoman pääsyn asiakirjaan sisältyviin tietoihin;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4__sec_14__subsec_1__para_4">
                                <num>4)</num>
                                <content>
                                    <p>henkilöt, joille annetaan pääsy arkistoon taikka tietokonekeskukseen tai muihin tietojärjestelmien ylläpidon tai tietoliikenteen toimivuuden kannalta merkityksellisiin tiloihin, joissa säilytetään tai käsitellään suojaustasoon III kuuluvia asiakirjoja taikka suojaustasoon IV kuuluvia valtakunnalliseen henkilörekisteriin talletettuja asiakirjoja, ovat tunnistettavissa.</p>
                                </content>
                            </paragraph>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_15">
                        <num>15 §</num>
                        <heading>Asiakirjan käsittely viranomaisen toimitilojen ulkopuolella</heading>
                        <subsection eId="chp_4__sec_15__subsec_1">
                            <content>
                                <p>Luokiteltuja asiakirjoja ei saa säilyttää tai muutoin käsitellä valtionhallinnon viranomaisen toimitilojen ulkopuolella, ellei viranomaisen luvasta, toimeksiannosta tai antamista ohjeista muuta johdu.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_16">
                        <num>16 §</num>
                        <heading>Sähköisen asiakirjan laatiminen, tallettaminen ja muokkaaminen</heading>
                        <subsection eId="chp_4__sec_16__subsec_1">
                            <intro eId="chp_4__sec_16__subsec_1__intro">
                                <p>Valtionhallinnon viranomainen voi sallia, että suojaustasoon I tai II kuuluva asiakirja talletetaan sähköisesti tietovälineelle tai muulle laitteelle, joka:</p>
                            </intro>
                            <paragraph eId="chp_4__sec_16__subsec_1__para_1">
                                <num>1)</num>
                                <content>
                                    <p>ei ole liitetty tietoverkkoon, jos asiakirja talletetaan vahvasti salattuna tai jos se on muutoin vahvasti suojattu; tai</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4__sec_16__subsec_1__para_2">
                                <num>2)</num>
                                <content>
                                    <p>on liitetty vain sellaiseen viranomaisen tietoverkkoon, joka yhdistää asiakirjan tallettamiseen ja säilyttämiseen käytetyn laitteen samassa viranomaisen hallinnassa olevassa erityisvalvotussa tilassa oleviin muihin laitteisiin, jos laitteet yhdistävään tietoverkkoon ei ole luotu yhteyttä muista tietoverkoista ja asiakirjan käsittely on muutoin vahvasti suojattua.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_4__sec_16__subsec_2">
                            <content>
                                <p>Valtionhallinnon viranomainen voi sallia, että suojaustasoon II kuuluva asiakirja talletetaan sähköisesti viranomaisen sellaiseen tietoverkkoon liitetylle tietovälineelle tai muulle laitteelle, jonka käyttö on rajoitettu, jos asiakirja talletetaan vahvasti salattuna tai se on muutoin vahvasti suojattu ja viranomainen on muutoinkin varmistanut, että tietoverkko ja tietojenkäsittely kokonaisuudessaan täyttävät tavanomaisesti sovellettavan korkean tietoturvallisuustason vaatimukset.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_16__subsec_3">
                            <content>
                                <p>Valtionhallinnon viranomainen voi sallia, että suojaustasoon III kuuluva asiakirja talletetaan viranomaisen tietoverkkoon liitetylle laitteelle, jos verkon käyttö on rajoitettu ja asiakirja talletetaan salattuna tai muutoin suojattuna siten, että tietoverkko ja tietojenkäsittely kokonaisuudessaan täyttävät tavanomaisesti sovellettavan korotetun tietoturvallisuustason vaatimukset. Sama koskee suojaustasoon IV kuuluvaa arkaluonteisia henkilötietoja tai biometrisiä tunnistetietoja sisältävää henkilörekisteriin talletettua asiakirjaa.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_16__subsec_4">
                            <content>
                                <p>Laadittaessa suojaustasoon I―III kuuluvaa asiakirjaa sähköisessä muodossa ja sitä muokattaessa on pidettävä huolta, että hajasäteilystä aiheutuvia haittoja voidaan riittävästi vähentää. Jos laite on liitetty tietoverkkoon, tietoverkon on lisäksi täytettävä 1 momentin 2 kohdassa taikka 2 tai 3 momentissa säädetyt edellytykset.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_17">
                        <num>17 §</num>
                        <heading>Asiakirjan kopiointi</heading>
                        <subsection eId="chp_4__sec_17__subsec_1">
                            <content>
                                <p>Suojaustasoon I kuuluvaa asiakirjaa ei saa kopioida ilman sen laatineen viranomaisen antamaa lupaa. Suojaustasoon I tai II kuuluvan asiakirjan kopiot on luetteloitava. Asiakirjan sähköisessä kopioinnissa tietovälineelle on lisäksi otettava huomioon, mitä 16 §:ssä säädetään asiakirjan sähköisen tallettamisen edellytyksistä.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_17__subsec_2">
                            <content>
                                <p>Luokitellun asiakirjan kopioon on tehtävä sama merkintä kuin mikä on tehty alkuperäiseen asiakirjaan, jollei luokitus muutoin jo ilmene asiakirjan kopiosta. Valtionhallinnon viranomainen voi päättää, että suojaustasoon III tai IV kuuluvaan asiakirjaan ei ole tarpeen tehdä merkintää, jos asiakirjaa ei luovuteta ulkopuolisille ja asiakirjaa viranomaisessa käsittelevillä on tieto asiakirjan käsittelyssä noudatettavista vaatimuksista.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_18">
                        <num>18 §</num>
                        <heading>Asiakirjan välittäminen</heading>
                        <subsection eId="chp_4__sec_18__subsec_1">
                            <content>
                                <p>Suojaustasoon I tai II kuuluva asiakirja on välittämistä varten pakattava asianmukaisesti sekä toimitettava henkilökohtaisesti taikka muulla viranomaisen hyväksymällä turvallisella tavalla vastaanottajalle.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_18__subsec_2">
                            <content>
                                <p>Suojaustasoon I tai II kuuluvan asiakirjan lähettäminen ja vastaanottaminen on kirjattava.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_19">
                        <num>19 §</num>
                        <heading>Asiakirjan siirtäminen tietoverkossa</heading>
                        <subsection eId="chp_4__sec_19__subsec_1">
                            <content>
                                <p>Suojaustasoon I tai II kuuluvaa asiakirjaa ei saa siirtää tietoverkossa. Tällaisen asiakirjan saa kuitenkin siirtää sellaisessa viranomaisen tietoverkossa, joka yhdistää asiakirjan tallettamiseen ja säilyttämiseen käytetyn laitteen samassa viranomaisen hallinnassa olevassa erityisvalvotussa tilassa oleviin muihin laitteisiin, jos laitteet yhdistävään tietoverkkoon ei ole luotu yhteyttä muista tietoverkoista ja käsittely on muutoinkin vahvasti suojattua.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_19__subsec_2">
                            <content>
                                <p>Suojaustasoon II kuuluvan asiakirjan saa lisäksi siirtää sellaisessa viranomaisen tietoverkossa, jonka käyttö on rajoitettu, jos asiakirja on vahvasti salattu tai se on muutoin vahvasti suojattu ja valtionhallinnon viranomainen on muutoinkin varmistanut, että tietoverkko ja tietojenkäsittely kokonaisuudessaan täyttävät tavanomaisesti sovellettavan korkean tietoturvallisuustason vaatimukset.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_19__subsec_3">
                            <content>
                                <p>Valtionhallinnon viranomainen voi sallia, että suojaustasoon III kuuluva asiakirja siirretään viranomaisen tietoverkossa, jonka käyttö on rajoitettu, jos viranomainen on varmistanut, että tietoverkko ja tietojenkäsittely kokonaisuudessaan täyttävät tavanomaisesti sovellettavan korotetun tietoturvallisuuden tason vaatimukset. Sama koskee suojaustasoon IV kuuluvien valtakunnalliseen henkilörekisteriin talletettujen arkaluonteisten henkilötietojen tai biometristen tunnistetietojen siirtämistä tietoverkossa. Suojaustasoon IV kuuluvan muun asiakirjan saa siirtää valtionhallinnon viranomaisen päättämällä tavalla.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_20">
                        <num>20 §</num>
                        <heading>Käsittelyn kirjaaminen</heading>
                        <subsection eId="chp_4__sec_20__subsec_1">
                            <content>
                                <p>Suojaustasoon I―III kuuluvien asiakirjojen sekä suojaustasoon IV kuuluvien arkaluonteisia henkilötietoja tai biometrisiä tietoja sisältävien henkilörekisteriin talletettujen asiakirjojen käsittely tulee kirjata sähköiseen lokiin, tietojärjestelmään, asianhallintajärjestelmään, manuaaliseen diaariin tai asiakirjaan.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_20__subsec_2">
                            <content>
                                <p>Mitä 1 momentissa säädetään, ei koske sellaisia valmisteluvaiheen versioita, jotka ovat vain niiden laatijan käytettävissä.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_21">
                        <num>21 §</num>
                        <heading>Arkistointi ja hävittäminen</heading>
                        <subsection eId="chp_4__sec_21__subsec_1">
                            <content>
                                <p>Luokiteltujen asiakirjojen arkistoinnista säädetään arkistolaissa (831/1994).</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_21__subsec_2">
                            <content>
                                <p>Tarpeettomaksi käyneen suojaustasoon I tai II kuuluvan asiakirjan kopio tulee hävittää, jollei sitä palauteta asiakirjan laatineelle viranomaiselle. Hävittämisen saa suorittaa vain henkilö, jonka viranomainen on tähän tehtävään määrännyt. Asiakirjan valmisteluvaiheen versiot voi kuitenkin hävittää ne laatinut henkilö.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_21__subsec_3">
                            <content>
                                <p>Paperimuotoinen asiakirja on tuhottava suojaustasoa vastaavalla tavalla. Sähköisesti talletettu asiakirja on vastaavasti tuhottava laitteesta, tietovälineeltä tai tietojärjestelmästä sekä pidettävä huolta, että tietojärjestelmien käytön yhteydessä syntyneet väliaikaistiedostot poistetaan riittävän usein, jolleivät ne poistu tietojärjestelmästä automaattisesti.</p>
                            </content>
                        </subsection>
                    </section>
                </chapter>
                <chapter eId="chp_5">
                    <num>5 luku</num>
                    <heading>Voimaantulo</heading>
                    <section eId="chp_5__sec_22">
                        <num>22 §</num>
                        <heading>Voimaantulo</heading>
                        <subsection eId="chp_5__sec_22__subsec_1">
                            <content>
                                <p>Tämä asetus tulee voimaan 1 päivänä lokakuuta 2010.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_5__sec_22__subsec_2">
                            <content>
                                <p>Tällä asetuksella kumotaan viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta 12 päivänä marraskuuta 1999 annetun asetuksen (1030/1999) 2 ja 3 §.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_5__sec_23">
                        <num>23 §</num>
                        <heading>Siirtymäsäännökset</heading>
                        <subsection eId="chp_5__sec_23__subsec_1">
                            <content>
                                <p>Asiakirjoja, jotka on luokiteltu ennen asetuksen voimaantuloa, käsitellään asetuksessa säädettyjen vastaavaa suojaustasoa koskevien vaatimusten mukaisesti, jollei ole ilmeistä, että luokitukselle ei asetuksen mukaan enää ole perusteita.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_5__sec_23__subsec_2">
                            <content>
                                <p>Mitä 10 §:n 3 momentissa säädetään luokituksen muuttamisesta tai poistamisesta tehtävästä merkinnästä, sovelletaan ennen asetuksen voimaantuloa tehtyyn luokitukseen vain, jos luokiteltu asiakirja luovutetaan ulkopuoliselle.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_5__sec_23__subsec_3">
                            <content>
                                <p>Viranomaisen tietojenkäsittely on saatettava vastaamaan asetuksen 5 §:ssä säädettyjä perustason tietoturvallisuusvaatimuksia kolmen vuoden kuluessa asetuksen voimaantulosta.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_5__sec_23__subsec_4">
                            <content>
                                <p>Viranomaisen on saatettava luokiteltujen asiakirjojen käsittely vastaamaan 4 luvussa säädettyjä vaatimuksia viiden vuoden kuluessa siitä, kun viranomainen on päättänyt luokitella asiakirjansa.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_5__sec_23__subsec_5">
                            <content>
                                <p>Valtionhallinnon viranomaisen asetuksen voimaan tullessa käytössä olevien toimitilojen on täytettävä asetuksessa säädetyt vaatimukset tilojen turvallisuudelle viiden vuoden kuluessa asetuksen voimaantulosta. Sama koskee toimitiloja, jotka on otettu käyttöön ennen kuin on kulunut kaksi vuotta asetuksen voimaantulosta.</p>
                            </content>
                        </subsection>
                    </section>
                </chapter>
            </hcontainer>
            <hcontainer finlex:outline="Esityöt ja allekirjoitukset" name="conclusions">
                <hcontainer finlex:outline="Allekirjoitukset" name="signatures">
                    <content>
                        <p>Helsingissä 1 päivänä heinäkuuta 2010</p>
                        <p>
                            <signature>
                                <role refersTo="">Oikeusministeri</role>
                                <person refersTo="">Tuija Brax</person>
                            </signature>
                            <signature>
                                <role refersTo="">Lainsäädäntöneuvos</role>
                                <person refersTo="">Anna-Riitta Wallin</person>
                            </signature>
                        </p>
                    </content>
                </hcontainer>
            </hcontainer>
        </body>
    </act>
</akomaNtoso>
