Crowdin Informationssikkerhedspolitik (herefter benævnt »politikken«) definerer målene og de grundlæggende principper for informationssikkerhed. Informationssikkerhed betyder gennemførelse og opretholdelse af det passende egenskabsniveau. Politikkravene gælder for hele Crowdin-organisationen og alle forretningsprocesser og er tilgængelige obligatorisk for alle medarbejdere samt dem, som er involveret i disse forretningsprocesser. Overholdelse af politikkravene er et vigtigt aspekt for at nå Crowdins strategiske mål.
Crowdins informationssikkerhedspolitik opfylder kravene i ISO/IEC 27001: 2013 og DSTU ISO/IEC 27001: 2015.
Denne politik opstiller:
Informationssikkerhedsprocesserne er beskrevet, formelt defineret og godkendt Crowdins styring i form af standarder, politikker, regler og andre interne reguleringsdokumenter.
Jf. ISO er definitionen af en organisation et “erhvervsmiljø”, “en kombination af interne og eksterne faktorer og forhold, som kan påvirke organisationens tilgang til sine produkter, tjenesteydelser og investeringer og interesseparter”.
Crowdin er en produktvirksomhed med flere end 1,5 millioner brugerkonti.
Crowdins softwareløsning giver virksomheder af enhver art og størrelse mulighed for at accelerere deres vækst ved at nå brugere med forskellige sprogforudsætninger. Crowdin-holdet arbejder lidenskabeligt mod ét fælles mål: At udvide potentialet for fleksibel lokalisering. Fra dag et indtil nu, har Crowdins mission altid været at holde tingene enkle og imponere Crowdins kunder med en enestående brugeroplevelse og de nyeste teknologiske løsninger.
Crowdins vigtigste industrielle sektor er Software som tjeneste.
Formålet med ISMS er at sikre, at Crowdin stadig er i stand til at opfylde sine definerede forretningsmål og overholde sine politikker i lyset af potentielle og faktiske sikkerhedshændelser. Organisationen har fastlagt politikker på en række områder, og disse skal tages i betragtning under planlægningen af informationssikkerheden for at sikre, at de overholdes.
De vigtigste relevante politikker er:
Der er en række interne og eksterne problematikker, som er relevante for Crowdins formål, og som påvirker ISMS-systemets evne til at opnå de tilsigtede resultater.
Interne problemstillinger:
Eksterne problemstillinger:
Disse generelle interne og eksterne problemstillinger behandles mere detaljeret som led i risikovurderingsprocessen og bliver regelmæssigt revideret og monitoreret.
En interessepart defineres som en person eller organisation, der kan påvirke, påvirkes af eller opfatter sig selv som påvirket af en beslutning eller aktivitet. Flg. defineres som interesseparter med relevans for ISMS:
Interessepart | Forventninger | Krav |
---|---|---|
Virksomhedsejere | Effektiv informationssikkerhed påvirker organisationens økonomiske succes | Kapitalafkast |
Ledelse | Organisatorisk omdømme skal beskyttes | Dokumentarisk og praktisk bekræftelse af gennemførelsen af ISMS |
Kunder, kundegrupper | Dataenes fortrolighed, integritet og tilgængelighed er til enhver tid sikret | ISMS ISO 27001-certifikat |
Leverandører og partnere | Overholdelse af aftaler og betalingsbetingelser | Evidens for overholdelse af aftaler og betalingsbetingelser |
Tilsynsorganer | Organisationsaktiviteterne er i overensstemmelse med gældende lovgivning | Officiel bekræftelse af lovkrav (rapporter, certifikater mv.) |
Organisationsansatte | Persondatasikkerhed, sociale ydelser, passende vederlag, uddannelse og support, sikkert arbejdsmiljø mv. | Lovgivningsmæssige dokumenter og bestemmelser, NDA-vilkår og -betingelser, klare instrukser ift. håndtering af sensitive data mv. |
Kontrahenter, som leverer tjenesteydelser til organisationen | Overholdelse af aftaler og betalingsbetingelser; Persondatasikkerhed, sociale ydelser og passende vederlag | Evidens for overholdelse af aftaler og betalingsbetingelser; Lovgivningsdokumenter og -bestemmelser, NDA, klare instrukser ift. håndtering af sensitive data mv. |
Konkurrenter | Organisationens reageren på konkurrerende markedsføringskampagner med egne initiativer og konkurrencedygtige prisfastsættelse | Resultater af markedsovervågning |
Investorer | Rentabilitet, forventet investeringsafkast | Investeringsafkast, årsregnskaber |
Medierne | Gennemsigtighed ift. sikkerhedshændelser | Dækning af datasikkerhedsbrud og en bredere offentlig interesse i den måde, hvorpå organisationer beskytter personlige oplysninger |
Revisorer | Forvent, at der til enhver tid er en proportional grad af sikkerhedskontroller på plads mhp. beskyttelse af aktiver | Dokumentarisk og praktisk bekræftelse af gennemførelsen af ISMS |
Nødtjenester | Sikkert arbejdsmiljø mv. | Brandsikkerhed, førstehjælpsforanstaltninger mv. |
ISMS Committee, which is a collegial permanent body, CISO, should keep company policies in the actual state, ensure their integration into organizational processes.
For this purpose, ISMS committee members can make suggestions regarding the updating of documents, and approve them at the meetings of the committee. ISMS team considers security incidents, if they have occurred, creates a plan for ISMS improvements and do an analysis of what was done at the previous period.
Annual training is held on the content of information security policies, general principles of information security. In addition to annual training, people who start cooperation undergo training before they receive access to confidential data. Compliance with onboarding training requirements is monitored by the HR manager.
The system administrator provides control over the fulfillment of requirements for the use of information systems and equipment. It is described in more detail in the ISMS-PL Workstation security policy.
The CISO organizes regular activities such as BCP plan testing, backups, and staff training, reassessment of risks, formation of a risk treatment plan, records all information security incidents, and is responsible for investigating suspected incidents.
The results of ISMS work are evaluated annually at the management review meeting, at internal and certification audits.
The company allocates the necessary resources to ensure business continuity in accordance with the BCP plan, the ISMS committee helps in ensuring its operability.
Crowdin governance clearly understands that information security is the foundation life of Crowdin. Crowdin management contributes to the creation, implementation, control and support of the Policy information security.
Information Security Policy documents are developed by the ISMS Committee and other departments according to the relevant areas of activity.
The ISMS Committee is responsible for defining information security requirements and overseeing their implementation in Crowdin.
Crowdin information security measures meet the business needs and the requirements legislation of Estonia, Ukraine, ISO / IEC 27001: 2013, internal regulations Crowdin.
The organization of any process or making changes to existing process is carried out taking into account information security. Evaluation of the effectiveness of the ISMS is carried out on a regular basis.
Crowdin’s internal independent information security audit will be conducted annually during the ISMS functional cycle.