Specimen. Trafi tietoturvallisuusliite. Sopimusliite Versio 4.0 TRAFI 79475/ /2018. Copyright Liikenteen turvallisuusvirasto

Transkriptio

1 Trafi tietoturvallisuusliite Sopimusliite Versio 4.0 TRAFI 79475/ /2018 Copyright

2 Trafi tietoturvallisuusliite 2(10) Sisällysluettelo Trafi tietoturvallisuusliite Tietoturvallisuus Vaatimukset kaikille sopimuskumppaneille Tietoturvallisuuden vastuuhenkilön nimeäminen Erityisvaatimukset Trafin lukuun toimiville sopimuskumppaneille Keskeiset käsitteet Tietosuoja Vaatimukset kaikille sopimuskumppaneille Henkilötietojen käsittelyä koskevat periaatteet Henkilötietojen siirrot kolmansiin maihin tai kansainvälisille järjestöille Erityisvaatimukset Trafin lukuun toimiville sopimuskumppaneille Seloste käsittelytoimista Tietoturvavaatimukset kaikille sopimuskumppaneille Trafin tietojen käsittely ja säilytys sekä palveluiden maantieteellinen sijainti Turvallisuusselvitykset Jäljitettävyys Käsittelyn turvallisuusvaatimukset kaikille sopimuskumppaneille Käsittelyn turvallisuus Tietoaineistojen hallinta Ilmoitusvelvollisuus Vaatimukset kaikille sopimuskumppaneille Erityisvaatimukset Trafin lukuun toimiville sopimuskumppaneille Tietoturvallisuuden keskeiset säädökset ja ohjeet... 10

3 1 Tietoturvallisuus Trafi tietoturvallisuusliite 3(10) 1.1 Vaatimukset kaikille sopimuskumppaneille Tämä tietoturvallisuusliite on osa Trafin ja sopimuskumppanin välistä sopimusta. Tietoturvallisuusliitteen tarkoitus on määrittää sopimuskumppanille ja Trafin erikseen hyväksymille sopimuskumppanin alihankkijoille toimintamallit tietoturvan ja tietosuojan toteutumisen turvaamiseksi. Tietoturvallisuudella tarkoitetaan tässä tietoturvallisuusliitteessä määritelmän mukaan tietojen eheyden, luottamuksellisuuden ja käytettävyyden varmistamista. Tietoturvallisuus kattaa näin määriteltynä sekä hallinnollisen että teknisen tietoturvallisuuden. Trafi vastaa rekisterinpitäjänä henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön mukaisista rekisterinpitäjän velvoitteista. Trafi vastaa tietoturvallisuuden toteutumisesta omilla periaatteillaan, toimintakäytännöillään ja teknisillä toimenpiteillään. Kokonaisvastuu sopimuskumppaneilta hankituista tuotteista ja palveluista säilyy Trafilla, mutta kukin sopimuskumppani vastaa Trafille toimittamistaan tuotteista ja palveluista sovitulla tavalla. Sopimuskumppanin vastuuseen sisältyvät tällöin aina sen toimittamiin tuotteisiin ja palveluihin liittyvä tietoturvallisuus, tietosuoja ja jatkuvuuden hallinta. Jos sopimuskumppani laiminlyö tai toimii vastoin tätä sopimusliitettä, muodostaa laiminlyönti tai rikkomus olennaisen sopimusrikkomuksen, jonka seurauksena Trafilla on oikeus turvautua sopimuksen mukaisiin oikeussuojakeinoihin ja toimenpiteisiin sopimuksen päättämiseksi. Trafi voi tarvittaessa muuttaa tämän sopimusliitteen ehtoja, jos liitteen perustana oleva lainsäädäntö tai sen tulkintaa koskevat ohjeistukset tai määräykset muuttuvat. Sopimuskumppanin tulee sitoutua noudattamaan lainsäädäntömuutosten perusteella tehtyjä sopimusliitteen muutoksia. Trafi voi myös muuttaa, täydentää ja päivittää sopimuskumppanille antamiaan henkilötietojen käsittelyä ja tietosuojaa koskevia muita ohjeita. Sopimuskumppanin tulee tehdä tarvittavat muutostyöt Trafin ohjeiden mukaisesti. Mikäli muutoksista aiheutuu sopimuskumppanille olennaisia muutostöitä (yli yksi (1) henkilötyöpäivää, kustannuksiin sovelletaan erikseen sovittavaa hintaa Tietoturvallisuuden vastuuhenkilön nimeäminen Sopimuskumppanin tulee nimetä vastuuhenkilö tai vastuuhenkilöt tietoturvalle ja tietosuojalle. 1.2 Erityisvaatimukset Trafin lukuun toimiville sopimuskumppaneille Sopimuskumppani vastaa omalta osaltaan henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön mukaisista velvoitteista lainsäädännön tarkoittamana henkilötietojen käsittelijänä toimiessaan Trafin puolesta ja lukuun. Sopimuskumppanin tulee saattaa henkilötietojen käsittely sekä tietosuoja EU:n yleisen tietosuojaasetuksen (EU)2016/679 mukaiselle vaatimustasolle mennessä, jolloin tietosuoja-asetuksen soveltaminen alkaa. Trafin hyväksymät sopimuskumppanin alihankkijat, jotka osallistuvat Trafin henkilötietojen käsittelyyn, toimivat henkilötietojen käsittelijöinä Trafin puolesta ja lukuun. Trafilla on oikeus vaatia sopimuskumppania vaihtamaan alihankkija, jos tämä ei täy-

4 Trafi tietoturvallisuusliite 4(10) tä tietosuojavelvoitteitaan. Sopimuskumppanilla on velvollisuus sopimuksilla sitouttaa käyttämänsä alihankkijat noudattamaan tämän tietoturvallisuusliitteen ehtoja. 1.3 Keskeiset käsitteet Anonymisoinnilla tarkoitetaan henkilötiedon tunnistettavuuden poistamista niin, että yhdistäminen rekisteröityyn ei enää ole mahdollista. Henkilötiedolla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella. Henkilötietojen käsittelijä on luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Henkilötietojen tietoturvaloukkauksella tarkoitetaan tapahtumaa, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen rekisteritietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin. Pseudonymisoinnilla tarkoitetaan henkilötietojen käsittelemistä siten, ettei henkilötietoja voida enää yhdistää tiettyyn henkilöön käyttämättä lisätietoja. Pseudonymisoinnilla voidaan vähentää tietyn tiedon tunnistavuutta, mutta useinkaan se ei yksistään riitä muuttamaan tietoa anonyymiin muotoon. Rekisterinpitäjä on luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Rekisteröidyllä tarkoitetaan luonnollista henkilöä, jota koskevien henkilötietojen käsittelystä on sovittu sopimuksella. Sopimuskumppanilla tarkoitetaan sopimusosapuolta, joka tuottaa tai toimittaa sopimuksen mukaista palvelua tai tuotetta Trafille. Sopimuskumppani toimii henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittamana henkilötietojen käsittelijänä käsitellessään Trafin tietoja Trafin puolesta ja lukuun. Myös sopimuskumppanin käyttämät alihankkijat toimivat henkilötietojen käsittelijöinä, kun ne osallistuvat Trafin tietojen käsittelyyn Trafin puolesta ja lukuun. Tietosuoja on osana yksityiselämän suojaa ihmisen perusoikeus. Tietosuoja turvaa henkilöiden oikeutta yksityisyyteen ja omiin henkilötietoihin sekä tietojen asianmukaista käsittelyä. Tietojen suojaustasoilla tarkoitetaan salassapidettävien tietojen luokittelua tietoturvallisuutta koskevien vaatimusten mukaan. Tietoturvalla tarkoitetaan tietojen eheyden, luottamuksellisuuden ja käytettävyyden varmistamista. Tietoturvapoikkeamalla tarkoitetaan tahallista tai tahatonta tapahtumaa tai olotilaa, jonka seurauksena organisaation vastuulla olevien tietojen ja palvelujen eheys, luottamuksellisuus tai tarkoituksenmukainen käytettävyystaso on tai saattaa olla vaarantunut. Turvallisuusselvitys on rekisteritarkistus, jolla pyritään varmistamaan henkilön luotettavuus tehtävissä, joilla on merkitystä valtion tai yrityksen turvallisuudelle. Turvallisuusselvityksen tekemiseen vaaditaan henkilön suostumus.

5 2 Tietosuoja Trafi tietoturvallisuusliite 5(10) 2.1 Vaatimukset kaikille sopimuskumppaneille Sopimuskumppanin tulee toteuttaa riittävät tekniset ja organisatoriset suojatoimet, jotta henkilötietojen käsittely ja tietosuoja täyttää tietosuoja-asetuksen vaatimukset ja rekisteröidyn oikeuksien suojelu varmistetaan. Sopimuskumppani ei saa käyttää tai hyödyntää sopimuksen perusteella käsittelemiään henkilötietoja muuhun kuin sopimuksen täyttämisen mukaiseen tarkoitukseen ja silloinkin ainoastaan tarkoituksen edellyttämässä laajuudessa. Sopimuskumppanin tulee varmistua riittävin toimenpitein siitä, että sen alaisuudessa toimivat henkilöt käsittelevät henkilötietoja ainoastaan Trafin ja sopimuskumppanin välisen sopimuksen tai Trafin erikseen antaman ohjeistuksen mukaisesti. Sopimuskumppanin tulee huomioida kaikessa henkilötietojen käsittelyssä Trafin rekisteriin tallennetut tietojenluovutusrajoitukset sekä väestötietojärjestelmään tallennettu rekisteröidyn turvakielto. Tietojenluovutusrajoitusten alaisten tietojen käsittelyssä on noudatettava Trafin erikseen antamia ohjeita Henkilötietojen käsittelyä koskevat periaatteet Kaikessa henkilötietojen käsittelyssä tulee huomioida yleiset henkilötietojen käsittelyä koskevat periaatteet. Henkilötietojen käsittelyä koskevista yleisistä periaatteista säädetään tietosuoja-asetuksen 5 artiklassa. Henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi. Henkilötietoja saa kerätä vain tiettyä, nimenomaista ja laillista tarkoitusta varten eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Henkilötietojen tulee olla asianmukaisia, olennaisia ja tarpeellisia niihin tarkoituksiin, joita varten niitä käsitellään. Henkilötietojen on oltava täsmällisiä ja päivitettyjä. Epätarkat ja virheelliset tiedot tulee korjata viipymättä. Henkilötietoja saa säilyttää ainoastaan niin kauan kuin on tarpeen käsittelyn tarkoitusten toteuttamista varten. Henkilötiedot tulee suojata asianmukaisesti luvattomalta ja lainvastaiselta käsittelyltä Henkilötietojen siirrot kolmansiin maihin tai kansainvälisille järjestöille Tietojen luovuttaminen eli siirto EU/ETA-alueen ulkopuolelle edellyttää erityistä harkintaa ja luovutusperusteen selvittämistä. Sopimuskumppanin tulee sopia aina erikseen Trafin kanssa tietojen siirrosta EU/ETA-alueen ulkopuolelle. Lähtökohtaisesti henkilötietojen siirto EU/ETA-alueen ulkopuolelle on kielletty, tietoja voidaan kuitenkin siirtää tietosuoja-asetuksen asettamien edellytysten täyttyessä. Euroopan komissio voi päättää, että EU/ETA-alueen ulkopuolinen maa, tai kansainvälinen järjestö täyttää riittävän tietosuojan tason, jolloin tietoja voidaan luovuttaa. Euroopan komissio pitää yllä verkkosivustollaan luetteloa maista, joissa on riittävä tietosuojan taso.

6 Trafi tietoturvallisuusliite 6(10) Henkilötietoja voidaan siirtää, jos siirrossa noudatetaan tietosuoja-asetuksen 46 ja 47 artiklassa säädettyjä asianmukaisia suojatoimia. Asianmukaisia suojatoimia ovat esimerkiksi tietosuojaviranomaisen vahvistamat tietosuojaa koskevat vakiolausekkeet. Henkilötietojen siirto EU/ETA-alueen ulkopuolelle voi olla mahdollista myös tietosuoja-asetuksen 49 artiklan mukaisissa erityistilanteissa. 2.2 Erityisvaatimukset Trafin lukuun toimiville sopimuskumppaneille Trafin lukuun toimivan sopimuskumppanin tulee ilmoittaa Trafille kaikista rekisteröityjen pyynnöistä, jotka koskevat voimassaolevan lainsäädännön tai EU:n yleisen tietosuoja-asetuksen 3 luvun mukaisten rekisteröidyn oikeuksien käyttämistä. Sopimuskumppanin tulee avustaa Trafia asianmukaisin toimenpitein, jotta Trafi pystyy vastaamaan rekisteröidyn oikeuksien käyttämistä koskeviin pyyntöihin Seloste käsittelytoimista Henkilötietojen käsittelyn läpinäkyvyyden turvaamiseksi sopimuskumppanin tulee ylläpitää kirjallista selostetta Trafin lukuun suoritettavista käsittelytoimista EU:n yleisen tietosuoja-asetuksen 30 artiklan mukaisesti. Selosteen tulee sisältää seuraavat tiedot; henkilötietojen käsittelijän, rekisterinpitäjän sekä näiden mahdollisen edustajan ja tietosuojavastaavan nimi ja yhteystiedot; rekisterinpitäjän lukuun suoritettujen käsittelyiden ryhmät; onko henkilötietoja siirretty kolmansiin maihin tai kansainväliselle järjestölle, mihin kolmanteen maahan tai kansainväliselle järjestölle tietoja on siirretty, siirtoon liittyvät asianmukaisia suojatoimia koskevat asiakirjat, jos kyseessä on 49 artiklan 1 kohdan toisessa alakohdassa tarkoitettu siirto; kuvaus niistä teknisistä ja organisatorisista turvatoimista, jotka henkilötietojen käsittelijä on toteuttanut tietojen käsittelyn turvaamiseksi yleisen tietosuoja-asetuksen 32 artiklan mukaisesti. Turvatoimet on kuvattu kappaleessa 4.

7 3 Tietoturvavaatimukset kaikille sopimuskumppaneille Trafi tietoturvallisuusliite 7(10) 3.1 Trafin tietojen käsittely ja säilytys sekä palveluiden maantieteellinen sijainti Trafin omistamia tietoja voidaan lähtökohtaisesti käsitellä ja säilyttää vain EU-/ETAalueella. Trafilla tulee aina olla ajanmukainen tieto siitä, mistä maasta sille toimitettavat tuotteet ja palvelut toimitetaan. Mikäli mainituista periaatteista halutaan poiketa edes osaksi, on poikkeuksesta ilmoitettava Trafille hyväksyntää varten. 3.2 Turvallisuusselvitykset 3.3 Jäljitettävyys Trafilla on mahdollisuus tehdä tai teettää kulloinkin tarpeellisiksi arvioimansa turvallisuusselvitykset. Sopimuskumppani on velvollinen tuottamaan lokia Trafin erikseen antaman ohjeistuksen mukaisesti. Sopimuskumppani on velvollinen teettämään lokitarkastuksia Trafin vaatimusten mukaan. Havaitut poikkeamat raportoidaan viivytyksettä Trafin sopimusvastuuhenkilölle. Sopimuskumppanin tulee toimittaa lokit Trafille tarkastusten yhteydessä tai muulloin pyydettäessä tai säännöllisesti niin nimenomaisesti sovittaessa.

8 Trafi tietoturvallisuusliite 8(10) 4 Käsittelyn turvallisuusvaatimukset kaikille sopimuskumppaneille 4.1 Käsittelyn turvallisuus EU:n yleisen tietosuoja-asetuksen 32 artiklan mukaan sopimuskumppanin sekä rekisterinpitäjänä että henkilötietojen käsittelijänä on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet kuten; Henkilötietojen anonymisointi, pseudonymisointi ja salaus o Sopimuskumppanin on mahdollisuuksien mukaan vähennettävä tai poistettava henkilötietojen tunnistettavuus henkilötietojen pseudonymisoinnilla tai anonymisoinnilla. o Salausvaatimukset koskevat viestintäratkaisuja, etäyhteyksiä ja tietojärjestelmärajapintojen välistä liikennettä, kun niissä siirretään muun muassa salassapidettävää tietoa, arkaluonteista tietoa tai henkilötunnuksia. Viestintäratkaisujen ja etäyhteyksien salaus tulee toteuttaa Viestintäviraston hyväksymällä salausratkaisulla tiedon suojaustason mukaisesti Tietojärjestelmien välinen tietoliikenne suojaamattoman avoimen tietoverkon yli tulee toteuttaa Viestintäviraston ohjeistamalla salausvahvuudella tiedon suojaustason mukaisesti. Trafin rajapintoihin liitytään Trafin ohjeistuksen mukaisesti. Kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus. o Salassapidettäviä tietoja (mm. henkilörekisteriin talletettuja henkilötietoja) saavat käsitellä vain ne henkilöt, joilla on oikeus kyseisten tietojen käyttöön. Käsittelyoikeuden saaminen edellyttää, että henkilöllä on esimiehen määrittämä, työtehtäviin liittyvä tarve käsitellä salassapidettävää tietoa tietoja käsitellään vain työtehtävien edellyttämässä laajuudessa henkilö tuntee ja hallitsee salassapidettävien tietojen käsittelysäännöt henkilön luotettavuus on tarvittaessa selvitetty asiaan kuuluvalla tavalla. o Sopimuskumppanin tulee varmistua tiedon oikeellisuudesta, joka tarkoittaa viestityn tai tallennetun tiedon säilymistä muuttumattomana sen jälkeen, kun tiedon todennettu luoja on sitä viimeksi käsitellyt. o Tietojärjestelmien ja palveluiden saatavuus määritellään Trafin ja sopimuskumppanin välisessä sopimuksessa. o Sopimuskumppanilla tulee olla tekninen ratkaisu, jolla rajataan käsittelyoikeus koskemaan vain työtehtävässä vaadittavia tietoja. Kyky palauttaa tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa Trafin asettamien vasteaikavaatimusten mukaisesti. Nämä määritellään Trafin ja sopimuskumppanin välisessä sopimuksessa.

9 Trafi tietoturvallisuusliite 9(10) Menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi. Yllä mainitut toimenpiteet tulee toteuttaa riskien mukaiselle turvallisuustasolle. Toimenpiteiden määrityksessä otetaan huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit. Asianmukaisen turvallisuustason arvioimisessa kiinnitetään huomiota erityisesti käsittelyn sisältämiin riskeihin, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi. Trafin hyväksymien käytännesääntöjen tai sertifiointimekanismin noudattamista voidaan käyttää osoittamaan asetettujen vaatimuksien noudattamista. Henkilötietojen käsittelijän on Trafin ohjeistuksen mukaisesti toteutettava toimenpiteet sen varmistamiseksi, että jokainen rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoihin, käsittelee niitä ainoastaan rekisterinpitäjän ohjeiden mukaisesti, ellei unionin oikeudessa tai jäsenvaltion lainsäädännössä toisin vaadita. 4.2 Tietoaineistojen hallinta Sopimuskumppanilla tulee olla tietoaineistojen hallinnasta oman organisaationsa kirjalliset ohjeet, jotka mahdollistavat valtionhallinnon tietoaineistojen hallinnalle asetettujen määräysten mukaisen toiminnan. Sopimuskumppanin ohjeiston tulee sisältää ainakin: o o o Tietoaineistojen hallinnasta vastaava henkilö. Tietoaineistojen käsittelyohjeet tietoaineiston elinkaaren aikana. Trafin tietoaineistoa saa käyttää yksinomaan kussakin sopimuksessa nimenomaisesti määriteltyyn ja sovittuun käyttötarkoitukseen. o Tietoaineiston luvattoman käytön estämiseksi annetut ohjeet. Tietoaineistoturvallisuutta tukevan toiminnan, kuten henkilöturvallisuuden sekä käyttöympäristön ja fyysisen ympäristön turvallisuuden määrittelyn.

10 5 Ilmoitusvelvollisuus Trafi tietoturvallisuusliite 10(10) 5.1 Vaatimukset kaikille sopimuskumppaneille Mikäli sopimuskumppani saa tietoonsa sen tuotteeseen tai palveluun mahdollisesti liittyvän riskin, uhan, vahinkotapahtuman, tietoturvapoikkeaman tai vastaavan muun asian on sen ilmoitettava siitä Trafin sopimusvastuuhenkilölle viipymättä. 5.2 Erityisvaatimukset Trafin lukuun toimiville sopimuskumppaneille Trafin lukuun toimivan sopimuskumppanin tulee kirjallisesti ilmoittaa Trafille havaitsemistaan henkilötietojen tietoturvaloukkauksista. Ilmoitus on tehtävä ilman aiheetonta viivytystä. Tarvittaessa ilmoituksen voi tehdä vaiheittain sopimuskumppanin saadessa lisätietoja tietoturvaloukkaukseen liittyen. 6 Tietoturvallisuuden keskeiset säädökset ja ohjeet Trafin toimintaan kohdistuu ulkoisia tietoturvallisuusvaatimuksia lainsäädännön, valtionhallinnon tietoturvatasojen ja hyvän tietoturvallisuustavan kautta. Keskeisiä säädöksiä ja ohjeita ovat: 1. EU:n yleinen tietosuoja-asetus (2016/679, myöhemmin tietosuoja-asetus), sovelletaan alkaen 2. Laki viranomaisten toiminnan julkisuudesta (621/1999) ja siihen liittyvä asetus (1030/1999) 3. Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa ( /681) 4. Valtioneuvoston periaatepäätös valtionhallinnon tietoturvallisuuden kehittämisestä (VAHTI 7/2009) 6. Henkilötietolaki (523/1999) 7. Laki kansainvälisistä tietoturvallisuusvelvoitteista (588/2004) 8. Laki sähköisestä asioinnista viranomaistoiminnassa (13/2003) 9. Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista (617/2009) 10. Tietoyhteiskuntakaari (917/2014) 11. Arkistolaki (831/1994) 12. Laki yksityisyyden suojasta työelämässä (759/2004) 13. Valtioneuvoston päätös huoltovarmuuden tavoitteista ( /539) Tietoturvallisuutta säätelee myös VAHTI-ohjeistus ja KATAKRI 2015 Tietoturvallisuuden auditointityökalu viranomaisille.