Tietoturva

CSC on luotettava kumppani, jonka datakeskuksille on myönnetty tietoturvallisuuden hallintajärjestelmien ISO/IEC 27001 -sertifikaatti. Turvallisuuskulttuuri ja sertifiointi liittyy kiinteästi CSC:n liiketoimintaan.

Kansainvälisen ISO/IEC 27001 -standardin pohjalta sertifioitu tietoturvallisuuden hallintajärjestelmä varmistaa, että organisaatiolla on kyky hallita, johtaa ja jatkuvasti parantaa palveluidensa ja toimintansa tietoturvallisuutta. Sertifiointiin sisältyvä toiminta kattaa CSC:n datakeskustoiminnot, ICT-alustat, IaaS cPouta ja ePouta, pitkäaikaissäilytyksen, PAS pitkäaikaissäilytyspalvelun, sekä Eduuni ja Tiimeri -yhteistyöalustat Espoossa ja Kajaanissa. Sertifikaattimme on myöntänyt Inspecta Sertifionti Oy.

Tietoturvapolitiikka ja parhaat käytännöt

CSC:llä on johdon hyväksymä tietoturvapolitiikka, joka perustuu parhaisiin turvallisuuskäytäntöihin. Tämä kuvaus on sen julkinen tiivistelmä. Asiakkaitaan, toimittajiaan ja kumppaneitaan varten CSC voi myös laatia yksityiskohtaisempia tietoturvaohjeita. CSC:n tietoturvapolitiikka ja -ohjeet perustuvat ulkoisiin vaatimuksiin, kuten valtionhallinnon korotetun tietoturvatason vaatimuksiin. CSC:llä on myös menettelyt riskien ja turvallisuustoimintojen hallinnalle.

CSC:n turvallisuustoimintojen tavoite on taata CSC:n palveluiden, järjestelmien ja tiedon luottamuksellisuus, eheys ja saatavuus. Näin voimme suojella asiakkaitamme varten tuotettuja palveluitamme ja ansaita asiakkaidemme ja kumppaniemme luottamus.

CSC:n johto on hyväksynyt tietoturvapolitiikkamme, joka kattaa koko henkilöstön, kaikki toiminnot sekä suhteemme asiakkaiden ja kumppaniemme kanssa.

Tietoturvallisuuden hallintamme perustuu suojattavien kohteiden tunnistamiseen ja luokitteluun, toipumis- ja jatkuvuussuunnitteluun, turvallisuussopimuksiin, turvallisuuden koulutusohjelmaan, turvallisuusohjeisiin sekä poikkeamien hallintaan.  Turvallisuustoimintaa johtaa tietoturvapäällikkö.

Henkilöstöturvallisuutemme perusteita  ovat työsopimuksen ehdot, säännöllinen turvallisuuskoulutus, vaarallisten työyhdistelmien välttäminen, sekä valvonta, kaikki tämä tietosuojavaatimukset huomioiden.

Tilaturvallisuutemme perusteita ovat tilojen luokittelu, pääsynhallinta sekä valvonta.

Verkkoturvallisuutemme perusteita ovat verkkojen luokittelu, kerrospuolustus,  sopimukset, haavoittuvuusskannaukset, pääsynhallinta, salaus ja valvonta.

Laitteistoturvallisuutemme perusteita ovat  tietoturvavaatimukset, pääsynhallinta, valvonta, jatkuvuussuunnittelu,  hyvät ylläpitokäytännöt  sekä turvallisuusohjeet.

Ohjelmisto-  ja järjestelmäkehityksen turvallisuuden perusteita on kokoelma sisäisiä ohjeita kehitystyön turvaamiseksi.

Tietoaineisto-turvallisuuden perusteita ovat luokittelu, tallennus ja käsittely julkishallinnon vaatimusten ja sisäisten ohjeittemme mukaisesti.

Käyttöturvallisuutemme perusteita ovat laaja joukko päivittäisiä toimintoja  kuten pääsynhallinta, tunnusten ja ylläpitotunnusten hallinta, luokittelu, valvonta, muutoshallinta, kapasiteetin hallinta, poikkeamien ja ongelmien hallinta sekä johdon katselmukset.

Pääsynhallintamme perustuu sisäiseen ohjeeseen siitä, miten parhaita turvallisuuskäytäntöjä sovelletaan CSC:n ympäristössä.

Vaatimuksenmukaisuuden hallintamme perustuu niihin lakeihin, sopimuksiin ja viranomaismääräyksiin, jotka vaikuttavat CSC:hen sekä niihin standardeihin ja hyviin käytäntöihin, joita CSC noudattaa. CSC:lle tärkeimmät  tietoturvavaatimukset ovat ISO/IEC 27001:2013 sekä valtionhallinnon tietoturvasot. 

Kapasitettipalveluiden  (ICT-alustat) sekä tiettyjen palveluiden osalta CSC noudattaa korotetun tietoturvatason vaatimuksia.

Tiettyjen toimintojen osalta CSC noudattaa myös Viestintäviraston määräyksiä sekä OAIS (Open Archival Information System) viitemallia.

Turvallisuustoimintomme tarkastetaan säännöllisesti sisäisissä ja ulkoisissa auditoinneissa sekä johdon katselmuksissa.

Henkilötietojen tietoturvaloukkausten ilmoittaminen CSC:lle

Ilmoita CSC:n toimintaan liittyvästä henkilötietojen tietoturvaloukkauksesta
lähettämällä sähköpostia osoitteeseen security@csc.fi otsikolla Henkilötietojen tietoturvaloukkaus. Mikäli viestisi sisältää luottamuksellista tietoa tai henkilötietoja, voit käyttää CSC:n turvapostia, https://securemail.csc.fi, viestin lähettämiseen.

Ilmoita viestissäsi aina myös yhteystietosi.

Lisätietoja

security@csc.fi
Turvaposti: https://securemail.csc.fi
GnuPG key: 0x5FBEB090
Urpo Kaila, tietoturvapäällikkö, (09) 457 2253