Informationssikkerhedspolitik

Introduktion

Crowdin Informationssikkerhedspolitik (herefter benævnt »politikken«) definerer målene og de grundlæggende principper for informationssikkerhed. Informationssikkerhed betyder gennemførelse og opretholdelse af det passende egenskabsniveau. Politikkravene gælder for hele Crowdin-organisationen og alle forretningsprocesser og er tilgængelige obligatorisk for alle medarbejdere samt dem, som er involveret i disse forretningsprocesser. Overholdelse af politikkravene er et vigtigt aspekt for at nå Crowdins strategiske mål.

Crowdins informationssikkerhedspolitik opfylder kravene i ISO/IEC 27001: 2013 og DSTU ISO/IEC 27001: 2015.

Denne politik opstiller:

  • Organisationens kontekst
  • Interne og eksterne spørgsmål ned relevans for Crowdins formål
  • Interesserede parter, som er relevante for informationssikkerhedsstyringssystemerne (herefter benævnt »ISMS«)
  • Kravene fra disse interesseparter, som er relevante for ISMS
  • Informationssikkerhedsmål
  • Informationssikkerhedspolitikforpligtelser
  • Informationssikkerhedsansvar
  • Målinger

Informationssikkerhedsprocesserne er beskrevet, formelt defineret og godkendt Crowdins styring i form af standarder, politikker, regler og andre interne reguleringsdokumenter.

Organisationens kontekst

Jf. ISO er definitionen af en organisation et “erhvervsmiljø”, “en kombination af interne og eksterne faktorer og forhold, som kan påvirke organisationens tilgang til sine produkter, tjenesteydelser og investeringer og interesseparter”.

Crowdin er en produktvirksomhed med flere end 1,5 millioner brugerkonti.

Crowdins softwareløsning giver virksomheder af enhver art og størrelse mulighed for at accelerere deres vækst ved at nå brugere med forskellige sprogforudsætninger. Crowdin-holdet arbejder lidenskabeligt mod ét fælles mål: At udvide potentialet for fleksibel lokalisering. Fra dag et indtil nu, har Crowdins mission altid været at holde tingene enkle og imponere Crowdins kunder med en enestående brugeroplevelse og de nyeste teknologiske løsninger.

Crowdins vigtigste industrielle sektor er Software som tjeneste.

Formålet med ISMS er at sikre, at Crowdin stadig er i stand til at opfylde sine definerede forretningsmål og overholde sine politikker i lyset af potentielle og faktiske sikkerhedshændelser. Organisationen har fastlagt politikker på en række områder, og disse skal tages i betragtning under planlægningen af informationssikkerheden for at sikre, at de overholdes.

De vigtigste relevante politikker er:

  • Metode til risikovurdering og risikobehandling
  • Risikobehandlingsplan
  • Oversigt over aktiver og informationsklassifikationspolitik
  • Acceptabel anvendelse af aktiver
  • Adgangskontrolpolitik
  • Strategi og procedurer for forretningskontinuitet
  • Håndteringspolitik for Informationssikkerhed
  • Databeskyttelsespolitik
  • Dokumentkontrolprocedure
  • Fysisk og miljømæssig politik og standardprocedurer for drift
  • Cybersikkerhedspolitik
  • Sikkerhedskopieringspolitik
  • HR-sikkerhedspolitik
  • Driftsprocedurer for IT-styring
  • Leverandørsikkerhedspolitik
  • Ændringskontrolpolitik
  • Rolledefinitioner og ansvarspolitik
  • Procedure for intern revision
  • mv.

Interne og eksterne problematikker

Der er en række interne og eksterne problematikker, som er relevante for Crowdins formål, og som påvirker ISMS-systemets evne til at opnå de tilsigtede resultater.

Interne problemstillinger:

  • Vedtagne standarder, retningslinjer og modeller
  • Væsentlige organisatoriske ændringer
  • Styring og organisationsstruktur
  • Kontraktlige forhold
  • Ressourcer og viden (f.eks. kapital, personer, processer og teknologier)
  • Forhold til medarbejdere og interessenter, herunder partnere og leverandører
  • mv.

Eksterne problemstillinger:

  • Ændringer i teknologi
  • Regeringsbestemmelser og lovændringer
  • Konkurrenter
  • Økonomiske markedsændringer
  • Forsyningskæde
  • Samfund og kultur
  • Renter og inflation
  • Databeskyttelse
  • Understøttende teknologier og infrastruktur
  • Automatisering og kunstig intelligens
  • mv.

Disse generelle interne og eksterne problemstillinger behandles mere detaljeret som led i risikovurderingsprocessen og bliver regelmæssigt revideret og monitoreret.

Interesseparter med relevans for Crowdins ISMS er blevet fastlagt nedenfor med deres individuelle forventninger.

En interessepart defineres som en person eller organisation, der kan påvirke, påvirkes af eller opfatter sig selv som påvirket af en beslutning eller aktivitet. Flg. defineres som interesseparter med relevans for ISMS:

  • Virksomhedsejer
  • Ledelse
  • Kunder
  • Leverandører og partnere
  • Tilsynsorganer
  • Kundebrugergrupper
  • Nødtjenester
  • Organisationsansatte
  • Kontrahenter, som leverer tjenesteydelser til organisationen
  • Konkurrenter
  • Investorer
  • Medierne
  • Revisor
Interessepart    Forventninger Krav
Virksomhedsejere Effektiv informationssikkerhed påvirker organisationens økonomiske succes Kapitalafkast
Ledelse Organisatorisk omdømme skal beskyttes Dokumentarisk og praktisk bekræftelse af gennemførelsen af ISMS
Kunder, kundegrupper Dataenes fortrolighed, integritet og tilgængelighed er til enhver tid sikret ISMS ISO 27001-certifikat
Leverandører og partnere Overholdelse af aftaler og betalingsbetingelser Evidens for overholdelse af aftaler og betalingsbetingelser
Tilsynsorganer Organisationsaktiviteterne er i overensstemmelse med gældende lovgivning Officiel bekræftelse af lovkrav (rapporter, certifikater mv.)
Organisationsansatte Persondatasikkerhed, sociale ydelser, passende vederlag, uddannelse og support, sikkert arbejdsmiljø mv. Lovgivningsmæssige dokumenter og bestemmelser, NDA-vilkår og -betingelser, klare instrukser ift. håndtering af sensitive data mv.
Kontrahenter, som leverer tjenesteydelser til organisationen Overholdelse af aftaler og betalingsbetingelser; Persondatasikkerhed, sociale ydelser og passende vederlag Evidens for overholdelse af aftaler og betalingsbetingelser; Lovgivningsdokumenter og -bestemmelser, NDA, klare instrukser ift. håndtering af sensitive data mv.
Konkurrenter Organisationens reageren på konkurrerende markedsføringskampagner med egne initiativer og konkurrencedygtige prisfastsættelse Resultater af markedsovervågning
Investorer Rentabilitet, forventet investeringsafkast Investeringsafkast, årsregnskaber
Medierne Gennemsigtighed ift. sikkerhedshændelser Dækning af datasikkerhedsbrud og en bredere offentlig interesse i den måde, hvorpå organisationer beskytter personlige oplysninger
Revisorer Forvent, at der til enhver tid er en proportional grad af sikkerhedskontroller på plads mhp. beskyttelse af aktiver Dokumentarisk og praktisk bekræftelse af gennemførelsen af ISMS
Nødtjenester Sikkert arbejdsmiljø mv. Brandsikkerhed, førstehjælpsforanstaltninger mv.

Informationssikkerhedsmål:

  • Etablering og sikring af effektiv funktion af ISMS i overensstemmelse med kravene i ISO/IEC 27001: 2013, som er den grundlæggende forbindelse, der formidler informationssikkerhed
  • Opnå certifikatet ISO/IEC 27001: 2013 i overensstemmelse med projektplanen for udvikling og implementering af ISMS i CROWDIN (Vis certifikat)
  • Tilsikre Crowdins forretningskontinuitet, supplementerende eksisterende politikker
  • Minimere antallet og konsekvenserne af informationssikkerhedshændelser

Planlægning af målopnåelse for informationssikkerhed

Opnåelsen informationssikkerhedmålene vil ske i overensstemmelse med projektplanen for udvikling og gennemførelse af ISMS i CROWDIN, godkendt af ISMS-udvalget, hvilket er et fast kollegialt organ oprettet i overensstemmelse med afgørelsen truffet af direktøren for OÜ CROWDIN

De vigtigste faser i organiseringen af ISMS er:

  • Implementeringsforberedelse
  • Beskrivelse af eksisterende infrastruktur- og sikkerhedsforanstaltninger
  • Informationssikkerhedsrisikovurdering
  • Planlægning af en række foranstaltninger til minimering af risici
  • Godkendelse og implementering af en række foranstaltninger
  • Personaleuddannelse
  • Rapportkompilering om informationssikkerhedstilstanden

Ift. ISMS-etablering er Crowdin forpligtet til:

  • Overholdelse af både loven samt ISO/IEC 27001: 2013-kravene
  • Udvikle og overholde alle ISMS-politikker og -procedurer samt sikre deres integration i organisatoriske processer
  • Opfylde gældende krav vedr. informationssikkerhed
  • Revision og løbende forbedring af informationssikkerhedshåndteringssystemet
  • Vær åbne og ærlige over for enkeltpersoner, hvis data opbevares
  • Sørge for uddannelse og støtte til personale, der håndterer ISMS, så det kan handle trygt og konsekvent
  • Tilsikre kompatibiliteten af informationssikkerhedspolitikker og -mål med Crowdins strategiske mål

Informationssikkerhedsansvar

Crowdins ledelse forstår klart, at informationssikkerhed er Crowdins livsfundament. Crowdins ledelse bidrager til oprettelse, implementering, kontrol og understøttelse af informationssikkerhedspolitikken.

Informationssikkerhedspolitikdokumenter udarbejdes af ISMS-udvalget og andre afdelinger iht. relevante aktivitetsområder.

ISMS-komitéen er ansvarlig for at definere informationssikkerhedskrav samt tilsynsførsel med disses implementering i Crowdin.

Lovpligtige og kontraktlige krav

Crowdins informationssikkerhedsforanstaltninger opfylder virksomhedens behov og kravene i lovgivningen i Estland, Ukraine, ISO/IEC 27001: 2013, interne Crowdin-regler.

Organiseringen af enhver proces, eller foretagelse af ændringer i den eksisterende proces udføres under hensyntagen til informationssikkerhed. Evaluering af effektiviteten af ISMS foretages regelmæssigt.

Crowdins interne uafhængige informationssikkerhedsrevision udføres årligt under ISMS-funktionscyklussen.