Tämä tietojen luokittelu -kokonaisuus on koottu YAMK-opinnäytetyöni ”Kohti tietoaineistojen luokittelua ammattikorkeakoulussa” pohjalta. Tässä luettava versio muodostuu tietojen luokittelun teoriasta, luokittelumallista sekä tietojen luokittelun aloittamisesta. Voit myös ladata PDF-version, jossa asioita käsitellään laajemmin, monipuolisemmin ja käytännönläheisemmin.
Tietojen luokittelu käsitteenä
Valtionhallinnon tietoturvallisuuden johtoryhmä, VAHTI (2008, 101) määrittelee tietojen luokittelun toiminnaksi, jossa suoritetaan ”tietojen jakaminen luokkiin tietojen omistajan asettamien perusteiden mukaisesti”. Peltier ja Tompkins (2014, 300) laajentavat näkemystä ja kiteyttävät koko toiminnan seuraavasti: kyseessä on riskilähtöinen liiketoimintaprosessi, jossa otetaan huomioon lainsäädännön ja kolmansien osapuolien vaatimukset. Tietojen luokittelu on siis osa tiedon elinkaaren kokonaisvaltaista hallintaa (Raman ym. 2014, 67.2).
Luokittelulla on suuri merkitys tiedon elinkaaren turvallisuudelle (Reed 2007, 178). Tietoja voidaan luokitella eri kategorioihin arvioimalla mahdollisia haittavaikutuksia tiedon eheyden, saatavuuden ja luottamuksellisuuden näkökulmasta. Kategorioista muodostettavat turvallisuusluokat ovat ensiaskel tehokkaalle riskienhallinnalle (NIST 2004; NIST 2008, 6).
Turvaluokitus ja turvallisuusluokittelu
Ulkomaisissa lähteissä (esim. NIST 2008) tiedon eheyden, saatavuuden ja luottamuksellisuuden perusteella tehtävää luokittelua kutsutaan esimerkiksi termillä ”security categorization”. Vapaasti suomennettuna se tarkoittaa turvaluokitusta tai turvallisuusluokittelua. VAHTI (2008, 119) on määritellyt käsitteen ”turvaluokitus” seuraavasti: ”luottamuksellisten asiakirjain ja tietojen jakaminen luokkiin salassapidettävyyden perusteella”. Turvallisuusluokittelu on puolestaan paljon käytetty termi suomalaisten ja kansainvälisten viranomaisten asiakirjojen käsittelyssä (VAHTI 2010, 57). Turvallisuusluokat perustuvat niin sanottuihin suojaustasoihin, joilla määritellään vaatimukset tietojenkäsittely-ympäristölle sekä tietojen käsittelylle (VAHTI 2010, 20–21).
Julkisuusluokittelu
Otan tässä asiayhteydessä käyttöön erillisen käsitteen, julkisuusluokittelu. Käyttämällä julkisuus-etuliitettä halutaan ilmaista, että termi käsittelee tietoa vain sen luottamuksellisuuden näkökulmasta. Toisin sanoen arvioidaan, kuinka julkista tieto on. Lisäksi pyritään siihen, että ei käytettäisi turva- tai turvallisuusluokittelu -termejä mahdollisesti ristiriitaisessa merkityksessä muiden tahojen määritysten kanssa. ”Tietojen luokittelu” on puolestaan tässä asiayhteydessä liian yleinen käsite, koska termin voidaan ymmärtää sisältävän myös tiedon eheyden ja saatavuuden perusteella tehtävän luokittelun (VAHTI 2010, 61).
Lue seuraavaksi tietojen luokittelumallista.