Turvallisuusselvitysten hallinnointi kompleksisessa ympäristössä
Karvonen, Sini (2022)
2022
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2022052010877
https://urn.fi/URN:NBN:fi:amk-2022052010877
Tiivistelmä
Turvallisuusselvityksillä on keskeinen rooli henkilön luotettavuuden varmistamisessa. Toimeen palkattavan henkilön nuhteettomuudesta halutaan saada varmuus, kun toimitaan kriittisen infrastruktuurin, arvokuljetusten tai maanpuolustuksen saralla. Turvallisuusselvitysten hallinnointi onkin arkipäivää monessa suomalaisessa yrityksessä.
Opinnäytetyön toimeksiantajana toimi Combitech Oy, joka toimii puolustusalalla. Opinnäytetyön toimeksiantona oli kehittää organisaation turvallisuusselvitysten hallintaa. Työn tavoitteena oli saada kehitettyä toimeksiantaja yritykselle toimivammat ja paremmin sen tarpeita vastaavat prosessit turvallisuusselvitysten hallintaan. Toisena tavoitteena oli arvioida mahdollisia työkaluja helpottamaan selvitysten hallintaa.
Opinnäytetyö toteutettiin yhdistämällä soveltavaa tukimusta ja päiväkirjamallista opinnäytetyötä. Tietoperustassa tutustuttiin turvallisuusselvityksiin liittyvään lainsäädäntöön ja tietosuoja-asioihin GDPR:än ja kotimaisen lainsäädännön kautta. Prosessien kehittämistä varten organisaation toiveet ja tarpeet selvitettiin haastattelemalla yrityksen työntekijöitä, jotka ovat tekemisissä turvallisuusselvitysten kanssa. Kun tavoiteprosessit oli saatu kehitettyä ja vaatimukset hallinta työkalulle kerättyä, arvioitiin erilaisten työkaluvaihtoehtojen sopivuutta tehtävään. Prosessin etenemistä ja ajatustyötä kuvataan päiväkirjaosuudessa.
Opinnäytetyön lopputuloksena organisaatiolle saatiin hahmoteltua tavoiteprosessit, joita kohti turvallisuusselvitysten hallintaa tulisi viedä tulevaisuudessa. Tavoiteprosesseja tukemaan luotiin kirjalliset ohjeet ja vastuumatriisi. Lopullista valintaa hallintatyökalusta ei opinnäytetyössä tehty, vaan se jää Combitech Oy:n päätettäväksi ja prosesseja tullaan päivittämään myöhemmin palvelemaan valittua työkalua.
Turvallisuusselvitystiedot ovat kriittistä tietoa toimeksiantaja yrityksen toimialalla, ja niiden paikkansapitävyyteen organisaation täytyy voida luottaa. Oman haasteensa asettaa nykyaikainen tietosuoja vaatimuksineen. Tästä syystä selvitysten hallinnointia olisi mahdollisuuksien mukaan keskitettävä mahdollisimman pienelle joukolle ja hallinnointi tarvitsisi tuekseen älykkään hallintatyökalun, jossa olisi mukana riittävästi automaatiota helpottamaan muun muassa selvitysten voimassaolon valvontaa. Security clearances have a key role in ensuring a person’s reliability. There is a need to verify the integrity of the person to be employed when working in the field of critical infrastructure, value transport or national defence. Management of security clearances is regular task to do in many Finnish companies.
The thesis was commissioned by Combitech Oy, which operates in the defence industry. The assignment of the thesis was to develop the management of the organization’s security clearances. The aim of the work was to develop more functional security clearance management processes that could better meet the needs of the company. The second aim was to evaluate possible tools to support the management of the security clearances.
The thesis was carried out by combining applied research and diary-formed thesis. The information base supplied access to legislation related to the security clearances and data protection issues through the GDPR and domestic legislation. To develop processes, wishes, and needs of the organization were gathered by interviewing the company’s employees who were handling security clearances. Once target processes had been developed and requirements for management tool had been collected, suitability of the tool options for the task were evaluated. Progress of the process and thoughts during the work are described in diary section.
As result of the thesis, target processes were outlined, to which the management of the security clearances should be directed in the future. Written instructions and a responsibility matrix were created to support the target processes. Final selection of the management tool was not made in the thesis but will be decided by Combitech Oy and the processes will be updated to match selected tool.
Security clearance information is critical information in the principal company’s field of industry, whose accuracy the organization must be able to rely on. Modern data protection and its requirements place its own challenge. For this reason, the management of the security clearances should be centralised to only a few employees and the management should be supported by an intelligent management tool with automation to ease, among other things, monitoring the validity of the security clearances.
Opinnäytetyön toimeksiantajana toimi Combitech Oy, joka toimii puolustusalalla. Opinnäytetyön toimeksiantona oli kehittää organisaation turvallisuusselvitysten hallintaa. Työn tavoitteena oli saada kehitettyä toimeksiantaja yritykselle toimivammat ja paremmin sen tarpeita vastaavat prosessit turvallisuusselvitysten hallintaan. Toisena tavoitteena oli arvioida mahdollisia työkaluja helpottamaan selvitysten hallintaa.
Opinnäytetyö toteutettiin yhdistämällä soveltavaa tukimusta ja päiväkirjamallista opinnäytetyötä. Tietoperustassa tutustuttiin turvallisuusselvityksiin liittyvään lainsäädäntöön ja tietosuoja-asioihin GDPR:än ja kotimaisen lainsäädännön kautta. Prosessien kehittämistä varten organisaation toiveet ja tarpeet selvitettiin haastattelemalla yrityksen työntekijöitä, jotka ovat tekemisissä turvallisuusselvitysten kanssa. Kun tavoiteprosessit oli saatu kehitettyä ja vaatimukset hallinta työkalulle kerättyä, arvioitiin erilaisten työkaluvaihtoehtojen sopivuutta tehtävään. Prosessin etenemistä ja ajatustyötä kuvataan päiväkirjaosuudessa.
Opinnäytetyön lopputuloksena organisaatiolle saatiin hahmoteltua tavoiteprosessit, joita kohti turvallisuusselvitysten hallintaa tulisi viedä tulevaisuudessa. Tavoiteprosesseja tukemaan luotiin kirjalliset ohjeet ja vastuumatriisi. Lopullista valintaa hallintatyökalusta ei opinnäytetyössä tehty, vaan se jää Combitech Oy:n päätettäväksi ja prosesseja tullaan päivittämään myöhemmin palvelemaan valittua työkalua.
Turvallisuusselvitystiedot ovat kriittistä tietoa toimeksiantaja yrityksen toimialalla, ja niiden paikkansapitävyyteen organisaation täytyy voida luottaa. Oman haasteensa asettaa nykyaikainen tietosuoja vaatimuksineen. Tästä syystä selvitysten hallinnointia olisi mahdollisuuksien mukaan keskitettävä mahdollisimman pienelle joukolle ja hallinnointi tarvitsisi tuekseen älykkään hallintatyökalun, jossa olisi mukana riittävästi automaatiota helpottamaan muun muassa selvitysten voimassaolon valvontaa.
The thesis was commissioned by Combitech Oy, which operates in the defence industry. The assignment of the thesis was to develop the management of the organization’s security clearances. The aim of the work was to develop more functional security clearance management processes that could better meet the needs of the company. The second aim was to evaluate possible tools to support the management of the security clearances.
The thesis was carried out by combining applied research and diary-formed thesis. The information base supplied access to legislation related to the security clearances and data protection issues through the GDPR and domestic legislation. To develop processes, wishes, and needs of the organization were gathered by interviewing the company’s employees who were handling security clearances. Once target processes had been developed and requirements for management tool had been collected, suitability of the tool options for the task were evaluated. Progress of the process and thoughts during the work are described in diary section.
As result of the thesis, target processes were outlined, to which the management of the security clearances should be directed in the future. Written instructions and a responsibility matrix were created to support the target processes. Final selection of the management tool was not made in the thesis but will be decided by Combitech Oy and the processes will be updated to match selected tool.
Security clearance information is critical information in the principal company’s field of industry, whose accuracy the organization must be able to rely on. Modern data protection and its requirements place its own challenge. For this reason, the management of the security clearances should be centralised to only a few employees and the management should be supported by an intelligent management tool with automation to ease, among other things, monitoring the validity of the security clearances.