ISO 27001 varmistaa toiminnan luotettavuutta ja jatkuvuutta – CSC:n seitsemäs sertifioidun tietoturvan vuosi käynnistyi

CSC aloittaa uuden kauden varmistetun tietoturvan hallinnassa. Toiminnan turvallisuutta on kehitetty talossa ISO 27001 standardin vaatimusten mukaisesti jo vuodesta 2013.  Nyt kesäkuussa myönnetty uusi sertifikaatti aloittaa uuden kolmen vuoden sertifiointikauden.

- Varmistetun tietoturvan hallinta kattaa meillä tänä päivänä datakeskuksemme, ICT-alustat, PAS-pitkäaikaissäilytyksen sekä Pouta-pilvipalvelut. Olemme kokeneet ISO 27001 –standardin parhaaksi ja kypsyystasoltaan korkeimmaksi kansainväliseksi vaatimusmäärittelyksi varmistaa toimintamme turvallisuus, kertoo CSC:n tietoturvapäällikkö Urpo Kaila.

Auditoinnin aikana haasteltiin yhteensä 36 csc:läistä johdosta asiantuntijoihin.

- Standardi auttaa meitä sopimaan koko organisaation tasolla tiedon luottamuksellisuuteen, eheyteen ja saatavuuteen liittyvät tehtävät, toteaa hallintojohtaja Tero Tuononen.

- Tietoturvasertifiointi osoittaa kykymme sitoutua, ylläpitää ja kehittää palveluidemme turvallisuutta.  Sertifiointi edellyttää, että turvallisuuteen vaikuttavat prosessit ovat kunnossa.  Koko yritys on sitoutunut turvallisiin toimintatapoihin tuottaaksemme asiakkaillemme turvallisia palveluita, jatkaa Kaila.

Tavoitteena luottamuksen arvoinen asiakaskokemus

CSC:n tärkeä motivaatio sertifioida tietoturvan hallinta on hyvä asiakaskokemus. Varmennettu toiminta luo pohjan luotettaville palveluille sekä palveluiden saatavuuden turvaamiselle.  Sertifioinnin avulla osoitetaan myös, miten suojataan luottamuksellinen tieto ja henkilötiedot.

- Sertifioinnin tavoite on osaltaan kehittää asiakkaillemme laadukkaita ja turvallisia palveluita, kiteyttää Kaila lisäarvoa tuottavan kumppanin roolin asiakkaan omalle prosessille.

Varmistetun toiminnan suunnannäyttäjänä EU:ssa

CSC on yhtenä ensimmäisenä eurooppalaisten laskentakeskusten joukossa lähtenyt kehittämään kansainväliseen standardiin perustuvaa tietoturvan hallintajärjestelmää. Nyt useat muut tahot ovat myös kiinnostuneita tietoturvasertifioinnista.  CSC onkin jakanut sertifiointiin liittyviä kokemuksiaan ja toteutustapojaan vertaiskeskustensa kanssa.

CSC on pystynyt myös hyödyntämään sertifikaattia yhtenä vahvuutena hakiessaan voitokkaasti EuroHPC supertietokoneen sijoituspaikkaa ja hallintaa LUMI-kokonaisuudessa. Lisäksi turvallisuusstandardi on huomioitu kotimaan palveluita tarjoavien tulevien supertietokoneiden toteutuksessa.

- Haluan kiittää lämpimästi kaikkia CSC:läisiä - johtoa, päälliköitä ja asiantuntijoita – joiden ansiosta meille on myönnetty ISO 27001 -sertifikaatti.  Tälle tielle lähteminen on minusta ollut viisas ja vastuullinen päätös, toteaa Kaila.

Auditointi jatkuvan kehittämisen tukena

Vaikka kevään auditoinnista vastanneen Kiwa Inspectan raportissa ei poikkeamia kirjattu, on tyypillistä antaa organisaatiolle toimintaan paitsi positiivisia huomioita, myös kehitysehdotuksia.

- Ja tämähän on loistava asia. Saamme vuosittain auditoijalta laajaan kokemukseen perustuvia tärkeitä havaintoja, jonka avulla voimme kehittää toimintaamme eteenpäin, toteaa Kaila.

CSC sai raportissa kiitosta kattavasta palvelukohtaisesta jatkuvuussuunnittelusta ja siihen liittyvästä riskienhallinnasta.  CSC:n tietoturvan soveltamislausunto auttaa johtoa keskittymään oleellisiin seikkoihin. Lisäksi raportissa todettiin positiivisina huomioina tietoturvahaavoittuvuuksien paikkoprosessit sekä säännölliset haavoittuvuusskannaukset.

ISO/IEC 27001

Yleisesti arvostettuna tietoturvastandardina tunnettu ISO 27001 –sertifikaatti huomioi tietoturvallisuuden hallintaan liittyvät prosessit sekä teknisiin ja hallinnollisiin ratkaisuihin liittyvät vaatimukset. Standardi tarjoaa kattavat vaatimukset ja suositukset tietoturvan riskien arviointiin ja hallintaan. Tietoturvallisuuden hallintajärjestelmällä voidaan suojata muun muassa taloudellista informaatiota, aineetonta omaisuutta, työntekijöiden henkilötietoja tai asiakkaiden tai muiden osapuolten organisaatiolle antamia tietoja.