Tietoturva varmistettu – CSC:lle myönnettiin useita tietoturvasertifiointeja

CSC:n ydintoimintojen luotettavuutta ja turvallisuutta arvioitiin kevään 2025 aikana kolmen merkittävän ulkoisen auditoinnin avulla. Auditointien tuloksena CSC päivitti ja laajensi useita sertifiointeja, joista merkittävin on ISO/IEC 27001:2022 -standardin uusimman version mukainen tietoturvallisuussertifikaatti.

Kyseessä on kansainvälisestikin tunnustettu standardi, joka asettaa tiukat vaatimukset tietoturvallisuuden hallintajärjestelmille. Uusin versio sertifioinnista korostaa riskienhallinnan systemaattisuutta, jatkuvuussuunnittelua ja turvallisuusvalmiuksia koko organisaatiossa. Sertifikaatti on harvinainen kansainvälisessäkin mittakaavassa laskentakeskusten parissa. Sertifiointi vahvistaa CSC:n vaikuttavuutta luotettavana palveluntarjoajana ja kumppanina.

”Saatu tunnustus osoittaa, että CSC:llä on valmiudet suojata asiakkaidensa tiedot ja omat palvelunsa tehokkaasti nopeasti muuttuvassa digitaalisessa toimintaympäristössä. Se on myös vahva viesti yhteistyökumppaneillemme ja asiakkaillemme siitä, että tietoturvallisuus on meille strateginen prioriteetti,” sanoo CSC:n ICT-ratkaisuista vastaava johtaja Teemu Kiviniemi.

Auditoinnit osana jatkuvaa toimintaa

CSC:n ISO 27001 -sertifiointi koskee CSC:n tietoturvallisuuden hallintajärjestelmää, ja se sisältää seuraavat toiminnat:

• Datakeskustoiminnot,
• ICT- ja laskenta-alustat,
• IaaS cPouta ja ePouta,
• Pitkäaikaissäilytys PAS, ja SAPA-alusta,
• Eduuni ja Tiimeri -yhteistyöalustat,
• LUMI hosting,
• Funet-verkko ja Funet Miitti -palvelu sekä
• Turvallinen etäkäyttöympäristö (SPE4E).

CSC on sitoutunut jatkuvaan parantamiseen ja avoimeen, läpinäkyvään turvallisuuskulttuuriin. CSC:n tietoturvapolitiikka perustuu ennakointiin, jatkuvuuden varmistamiseen ja henkilöstön osaamisen kehittämiseen. Tietoturvallisuusjärjestelmää arvioidaan jatkuvasti sisäisin ja ulkoisin auditoinnein, ja kehitystyötä tehdään yhteistyössä asiakkaiden, viranomaisten ja tutkimusyhteisön kanssa.

”Turvallisuusjohtamisella ja noudattamalla parhaita kansainvälisiä käytäntöjä osoitamme olevamme luotettava ja turvallinen toimija. Auditointien kautta todistamme tämän paitsi itsellemme myös asiakkaillemme ja kumppaneillemme, ja näistä tuloksista on syytä olla ylpeä”, kertoo CSC:n auditoinneista ja vaatimuksenmukaisuudesta vastaava kybervarautumispäällikkö Urpo Kaila.

Toiminta täyttää tiukat viranomaisvaatimukset

CSC on alkuvuodesta uusinut myös Katakri-hyväksyntänsä kattamaan turvallisuusjohtamisen sekä fyysisen turvallisuuden ylläpitotiloissa sekä tietyissä datakeskuksissa Espoossa ja Kajaanissa. Katakri on tietoturvallisuuden auditointityökalu viranomaisille, jota käytetään arvioidessa kohdeorganisaation kykyä suojata salassa pidettävää tietoa. Katakri-auditoinneissa varmennetaan myös turvallisuuden tekniset toteutukset.

Kansainväliseen turvallisuustilanteen kyberriskien kasvun myötä myös EU on kiinnittänyt huomiota palveluntoimittajien turvallisuuteen ja lisännyt tähän liittyvää velvoittavaa sääntelyä. Keväällä voimaan astunut EU:n kyberturvallisuusdirektiivi (NIS 2 -direktiivi) ja siihen liittyvä kyberturvallisuuslaki asettaa merkittäviä velvoitteita kattavuuteen kuuluville toimijoille uhkasakkojen kera. Iso osa velvoitteiden toteuttamisen osoittamisesta voidaan kattaa ISO 27001 -sertifioinnin avulla.

”Olemme NIS2-direktiivin mukaan merkittävä toimija, ja siten direktiivin velvoitteet koskevat laajaa joukkoa palveluitamme. Uuden ISO-sertifioinnin myötä toimimme jo nyt vastuullisesti ja viranomaisvaatimusten mukaisesti, joten meidän on helppo lisätä tulevaisuudessa myös muita palveluitamme ISO 27001 -sertifikaatin piiriin”, toteaa CSC:n uusi turvallisuuspäällikkö Antti Savolainen.

CSC:n Katakri-auditoinnin suoritti Nixu Certification Oy, joka on viranomaishyväksytty arviointilaitos. CSC:n ISO 27001-auditoinnin toteutti Kiwa sertifionti Oy.

Lisätietoja: Urpo Kaila, urpo.kaila(at)csc.fi