Turvallisuus

CSC:n toiminnan lähtökohtana on hyvä ja läpinäkyvä hallinto, tietosuojamääräysten noudattaminen sekä parhaiden turvallisuuskäytäntöjen noudattaminen palvelutuotannossa ja sisäisissä toiminnoissa. CSC:n tietoturvallisuuden hallintajärjestelmälle on myönnetty vuodesta 2013 lähtien arvostettu kansainvälinen ISO/IEC 27001 –sertifikaatti.

CSC:n tietoturvallisuuden hallintajärjestelmälle on myönnetty vuodesta 2013 lähtien arvostettu kansainvälinen ISO/IEC 27001 –sertifikaatti.

Luotettava, ulkopuolisiin arviointeihin perustuva sertifikaatti osoittaa, että CSC:llä on kyky hallita, johtaa ja jatkuvasti parantaa palvelujensa ja toimintansa tietoturvallisuutta. Sertifikaatti kattaa CSC:n datakeskukset, ICT-alustat, digitaalisen pitkäaikaissäilytyksen sekä IaaS-pilvipalvelut. Lisäksi tietyt CSC:n asiakkaat ovat turvallisuussopimusten ehtojen mukaisesti teettäneet ulkopuolisen arvioijan toimesta turvallisuusarviointeja CSC:n heille tuottamista palveluista.

CSC:n hallintajärjestelmä kattaa muun muassa johtamisen, henkilöstöhallinnon, viestinnän, sidosryhmäsuhteiden, sopimusasioiden, toimitilojen, riskien ja poikkeamien sekä resurssien ja pääsyoikeuksien hallinnan. Erityisiä tietosuojaan ja läpinäkyvyyteen liittyviä CSC:n sisäisiä ohjeita ovat ylläpitäjän ohjeet, tietosuojaohje ja sähköpostipolitiikka. 

CSC:n palveluihin liittyviä ohjeita, vastuita, luokittelua ja palvelujen saatavuuden toteutumista seurataan CSC:n sisäisen tuotantokatalogin perusteella. Merkittävät tietoturvaan liittyvät poikkeamat käsitellään CSC:n johtoryhmässä.

CSC:n tietosuojatoimet on integroitu osaksi CSC:n jokapäiväistä toimintaa pyrkien näin varmentamaan osoitusvelvollisuuden toteutuminen läpi organisaation myös käytännössä.

Palveluihin liittyvät vastuut sovitaan asiakkaan tai toimittajan kanssa palvelusopimuksissa sekä niihin liittyvissä turvallisuus- ja tietosuojasopimuksissa. Asiakkaan kanssa seurataan säännöllisesti palvelun laadun, kehitystarpeiden ja asiakaskokemuksen lisäksi myös palautetta palvelujen turvallisuudesta.

CSC:n tietosuojatoimet on integroitu osaksi CSC:n jokapäiväistä toimintaa

CSC:n tietosuojatoimet on integroitu osaksi CSC:n jokapäiväistä toimintaa pyrkien näin varmentamaan osoitusvelvollisuuden toteutuminen läpi organisaation myös käytännössä. Organisaation sopimuskanta on käyty läpi ja sopimusten tietosuojaehdot päivitetty. Osoitusvelvollisuuden todentamiseksi on sopimusrekisteriin toteutettu henkilötietojen käsittelyä kuvaavat metatiedot. Myös seloste käsittelytoimista on saatettu ajan tasalle ja luotu prosessi selosteen jatkuvan ylläpidon varmistamiseksi.

Tietoturva- ja tietosuojaorganisaation keskinäistä yhteistyötä on tiivistetty luomalla käytännöt tietosuojatapahtumien käsittelemiseksi. CSC on toteuttanut kriisiharjoituksia, joiden tavoitteena on harjoitella organisaation keskinäistä yhteistyötä ja toimintakykyä tilanteissa, joissa palveluiden tietoturva tai tietosuoja vaarantuu.  CSC on määritellyt kriisiviestinnän roolit ja vastuut sekä julkaisi uudet kriisiviestintäohjeet, mikä parantaa kykyämme toimia poikkeuksellisissa olosuhteissa.

CSC:n tietosuojaorganisaatio neuvoo ja ohjeistaa henkilöstöä aktiivisesti, käsittelee ajankohtaisia tietosuojakysymyksiä CSC:n johtoryhmissä ja järjestää sisäistä koulutusta eri kohderyhmille. Hankintatoimen tietosuojakoulutus on toteutettu ulkopuolisen kouluttajan voimin.

CSC:n turvallisuuden ja tietosuojan ohjeiden sekä toimintapolitiikan toteutustapaa on kuvattu tarkemmin tietoturvantietosuojan sekä esimerkiksi datapolitiikan sivuilla.

Takaisin ylös Siirry yhteiskuntavastuun sivulle