Skip to content

Tiedon luokittelu Oulun yliopistossa ja Oamkissa

Kirjoittaja: Anna-Liisa | Julkaistu: 14.4.2026
Avainsanat: , , , , ,

Tiedon luokittelu ohjaa tiedon käsittelyssä käytettäviä suojaustoimia, joilla varmistetaan turvallinen käyttö. Tekninen toteutus tukee ohjeita, mutta ratkaisevaa on käyttäjän vastuullinen toiminta. Tämä kokonaisuus luo perustan turvalliselle, lainmukaiselle ja hallitulle tiedonkäsittelylle Oulun korkeakouluissa.

Tiedon luokittelu ja luokkiin liittyvät rajoitukset

Tässä ohjeessa kerromme, miten luokittelemme tietoa Oulun korkeakouluissa ja miten varmistamme luokitellun tiedon turvallisen, lainmukaisen ja hallitun käsittelyn.

Sisällysluettelo:

Tausta ja tarkoitus

Otamme vuoden 2026 aikana Oulun korkeakoulujen henkilöstön käyttöön kansallisen tiedonluokittelumallin Arene– ja Unifi-rehtorineuvostojen toimeksiannon mukaisesti (10/2024). Työtä koordinoi korkeakoulujen yhteinen kansallinen koordinaatioryhmä, jossa on edustettuna yliopistojen ja ammattikorkeakoulujen IT-johtajien verkostot (AAPA ja FUCIO) sekä tietoturva-asiantuntijoiden luottamusverkostot (AMK-Sec ja YO-ISAC). Se huolehtii mallin kehittämisestä, tukimateriaalien tuottamisesta ja viestinnästä eri sidosryhmille.

Asiasta viestitään korkeakoulujen välillä pääasiassa Eduunin Teamsissa KOKKO‑tiimin tiedonluokitusmallin-kanavalla (kanavalle liittyminen edellyttää kuulumista suomalaisen korkeakoulun henkilökuntaan, ks. KOKKO‑tiimiin liittyminen). Julkiset materiaalit ovat kaikkien saatavilla Eduuni‑palvelussa.

Luokittelujen ja niihin liittyvien käsittelysääntöjen (ns. kontrollien) tarkoituksena on varmistaa organisaation tiedonhallinnan turvallisuus, tehokkuus ja lainmukaisuus. Jokaisella luokittelulla on oma roolinsa ja käsittelysäännöt tukevat niiden tarkoituksenmukaista käyttöä. Oulun korkeakoulujen henkilöstön on ymmärrettävä, miksi luokituksia käytetään, miten ne vaikuttavat arjen työskentelyyn ja millaisia käytännön toimia niiden noudattaminen vaatii.

Tavoitteena tiedon luokittelu, jonka perusteella M365-ympäristössä tietoa suojataan tarvittaessa automaattisesti

Ensimmäinen askel on tunnistaa, mihin luokkaan kulloinkin käsiteltävä tieto kuuluu. Tämä voi tarkoittaa esimerkiksi

  • julkista,
  • sisäistä,
  • luottamuksellista tai
  • salassa pidettävää tietoa.

Luokituksen määrittely perustuu

  • tiedon sisällön,
  • käyttötarkoituksen ja
  • siihen liittyvien riskien arviointiin.

On tärkeää, että jokainen työntekijä pysähtyy hetkeksi miettimään, voiko käsiteltävä tieto joutua vääriin käsiin, ja mitä seurauksia sillä olisi.

Kun käyttäjä on luokitellut tiedon, sen käsittelyyn liittyvät säännöt astuvat voimaan. Säännöt voivat olla esimerkiksi toimintaohjeita.

Organisatoriset toimintaohjeet koskevat

  • tiedon jakamista,
  • arkistointia ja
  • hävittämistä.

Lisäksi sähköpostit, M365-toimistosovellusten tiedostot ja PDF:t ovat luokiteltavissa M365:n luokittelutyökalulla, jolloin niihin kohdistuu tarvittaessa teknisiä rajoituksia (eli ns. kontrolleja), jotka järjestelmä tekee automaattisesti luokittelun perusteella, kuten

  • käyttöoikeuksien rajaaminen,
  • dokumenttien salaus tai
  • automaattiset varmuuskopiot.

Käsittelysääntöjen (toimintaohjeet sekä tekniset rajoitukset) tavoitteena on varmistaa, että tieto liikkuu vain niiden henkilöiden välillä, joille se on tarkoitettu, ja että sitä käsitellään vastuullisesti koko elinkaaren ajan.

Oulun korkeakoulujen henkilöstön jäsenenä sinulla on velvollisuus noudattaa yhteisiä pelisääntöjä tiedon käsittelyssä. Tämä tarkoittaa mm. sitä, että huolehdit osaltasi siitä, että vain avoimeksi luokiteltua tietoa saa jakaa julkisissa kanavissa, ja sisäinen tieto pysyy sisäisissä palveluissa. Tavoitteenamme on avoin keskusteluilmapiiri tiedon luokittelusta työyhteisössä. Epäselvissä tilanteissa kannustamme kysymään neuvoa esihenkilöiltä tai kollegoilta matalalla kynnyksellä. Saat apua myös ICT-palveluiden tiedonluokittelu@oulu.fi -osoitteesta. Henkilötietojen käsittelyyn liittyvissä epäselvissä tilanteissa Oulun yliopistossa voit kysyä neuvoa yksikkösi tai tiedekuntasi tietosuojatukihenkilöiltä sekä tietosuojavastaavalta ja Oamkissa tietosuojavastaavalta. Näin ehkäisemme inhimillisiä virheitä ja vahvistamme luottamusta Oulun korkeakouluissa.

Luokittelujen ja käsittelysääntöjen ja niistä johtuvien automaattisten teknisten rajoituksien käytön tavoitteena ei ole rajoittaa tiedonkulkua tarpeettomasti, vaan mahdollistaa turvallinen ja sujuva työskentely. Kun käytännöt ovat selkeät ja toimit niiden mukaan, voit keskittyä omaan työhösi luottavaisin mielin. Ohjeiden ja säännöllisen koulutuksen avulla ylläpidät osaamistasi ja varmistat osaltasi, että luokittelut ja käsittelysäännöt palvelevat koko korkeakoulukonsernia parhaalla mahdollisella tavalla.

Käyttäjän vastuut

Jokaisella käyttäjällä on vastuu:

  • tunnistaa käsittelemänsä tiedon luonne
  • valita oikea luokitus
  • toimia luokituksen edellyttämällä tavalla

Käytä luokittelussa tukena seuraavia ohjeita:

Katso myös

Tarvittaessa saat asiantuntijatukea tiedonluokittelu@oulu.fi -osoitteesta

Tiedonluokittelumalli

Oulun korkeakouluissa käytössä oleva tiedonluokittelumalli on riskeihin perustuva, yleiskäyttöinen malli, joka soveltuu kaikelle tiedolle riippumatta muodosta tai järjestelmästä. Riski tarkoittaa sitä mahdollisuutta, että jokin uhka toteutuu ja aiheuttaa haittaa.

💡 Huomaa kuitenkin, että tiedonluokittelumalli ei ole asianhallintaa, eikä se ole arkistointiratkaisu: Kirjaamon käytössä olevassa asianhallintajärjestelmässä tieto luokitellaan kuten tähänkin asti julkisuuslain mukaisesti. Julkisuuslailla ei ole tekemistä riskiperustaisen tiedonluokittelumallin kanssa. Silloin kun dokumentti on julkisuuslain piirissä, siihen voi erikseen lisätä lainkohtaviittaukseen julkisuuslain mukaisesta luokittelusta.

Luokittelu käytännössä

Yleisenä periaatteena on, että luokittelu tehdään aina sisällön perusteella, ei tallennuspaikan tai työkalun. Luokittelutarve koskee tiedostoja, sähköposteja ja tietoaineistoja. Myös paperille tulostetut aineistot ovat luokiteltavia tietoaineistoja.

Luokittelutieto on:

  • Microsoftin M365:n eri tuotteissa tiedostolle annettava ominaisuus, joka näkyy tiedoston metatiedoissa. Saavutettavuuden parantamiseksi olisi hyvä, jos luokittelu lisättäisiin myös esim. kansilehdelle.
  • Myös järjestelmissäjoissa luokittelu ei ole metatiedoissa, luokittelutiedon voi lisätä dokumentin kansilehdelle. 

Jos luokkaa ei itse valita, niin oletusluokaksi tulee automaattisesti Luottamuksellinen. Jos muokkausoikeuksin jaetulla tiedostolla ei ennestään ole luokkaa, oletusluokka tulee käyttöön silloinkin, kun kyseessä on jonkin muun omistama tiedosto, ja muokkausoikeudet omaava henkilö avaa tiedoston, jota ei ole aiemmin luokiteltu.

Millaista tietoa luokitellaan mihinkin luokkaan?

Tietoaineistojen käsittelyohjeen tarkoitus on helpottaa arjen tilanteissa tehtävää luokittelua, jotta tietoa käsitellään oikein sen koko elinkaaren ajan. Katso myös tietoaineistojen käsittelyohje eri käyttöympäristöissä, sillä luokittelu rajaa myös sitä, missä tietoa voi säilyttää/käsitellä.

Luokittelu M365:n eri tuotteissa

Voit luokitella tiedoston Office-toimistosovelluksissa joko tiedoston tallennusvaiheessa, otsikkopalkin valikosta, tai työkaluvalikon Sensitivity/Luottamuksellisuus-painikkeesta.

Katso tarkempi ohje tiedostojen luokittelusta M365:ssa.

Teknisten käsittelysääntöjen rooli ja tarkoitus

Tekniset käsittelysäännöt (kontrollit) ovat luokitteluun perustuvia teknisiä ja toiminnallisia rajoitteita, joilla varmistetaan, että tietoa käsitellään oikein.

Oulun korkeakouluissa automaattisia teknisiä käsittelysääntöjä on toistaiseksi ainoastaan M365-ympäristössä käsiteltäviin tietoihin ja tiedostoihin, joille käyttäjä tekee luokittelun.

Kontrollien perusperiaate on, että mitä korkeampi luokitus, sitä tiukemmat kontrollit. Ympäristöissä esim. Linux, joissa automaattisia kontrolleja ei vielä ole, käyttäjän on itse käsiteltävä tietoa ja tiedostoja sääntöjen mukaisesti, jotka ovat kuvattuna Oulun yliopiston ja Oulun ammattikorkeakoulun tietoaineistojen käsittelyohjeessa. Katso myös ohje tietoaineiston luokitteluun sisällön perusteella ja huomioita henkilötietojen käsittelyyn.

Mitä kontrolloidaan tehdyn luokittelun perusteella automaattisesti ja miten?

Tehdyn luokittelun perusteella automaattisesti kontrolloidaan tiedon jakamista organisaation sisällä ja ulkopuolelle, käyttöoikeuksia ja roolipohjaista pääsyä tietoon, tiedon käsittelyä Microsoft 365 -ympäristössä, sekä henkilöstöllä käytössä olevat Copilot-tekoälyn pääsyä tietoon.

Kontrollit toteutetaan M365:ssa Microsoftin Purview -ohjelmiston avulla, joka tuo kontrollit kuhunkin ohjelmistoon, kuten Office-tuotteisiin, Sharepointiin, OneDriveen, Teamsiin ja PDF-tiedostojen käsittelyyn niin Adoben tuotteissa kuin PDF-Xchangessakin.

Näiden kontrollien avulla luokittelu ohjaa tiedon käyttöä teknisesti, yhdenmukaisesti ja ennakoivasti. Alla olevassa taulukossa on esitetty luokkien ja niiden selitteiden kanssa käytössä olevat kontrollit eli rajoitukset.

Luokittelun ja kontrollien jatkuva kehittäminen

Luokittelu ja kontrollit:

  • tulevat käyttöön koko henkilökunnalle ja ns. ufo-käyttäjille
  • kehittyvät kansallisten työryhmien yhteistyön ja käyttäjien esiin nostamien parannusehdotusten pohjalta.
  • edellyttävät:
    • koulutusta
    • ohjeistusten päivitystä
    • käyttäjäpalautteen huomiointia

Tavoitteena on, että luokittelu on luonteva osa arkea, ei erillinen hallinnollinen taakka.

 

« Takaisin

Tämä artikkeli julkaistiin kategorioissa Kaikki ohjeet, Saavutettava artikkeli ja tageilla , , , , , . Lisää permalink suosikkeihisi.