Informationssikkerhedspolitik

Introduktion

Crowdin Informationssikkerhedspolitik (herefter benævnt »politikken«) definerer målene og de grundlæggende principper for informationssikkerhed. Informationssikkerhed betyder gennemførelse og opretholdelse af det passende egenskabsniveau. Politikkravene gælder for hele Crowdin-organisationen og alle forretningsprocesser og er tilgængelige obligatorisk for alle medarbejdere samt dem, som er involveret i disse forretningsprocesser. Overholdelse af politikkravene er et vigtigt aspekt for at nå Crowdins strategiske mål.

Crowdins informationssikkerhedspolitik opfylder kravene i ISO/IEC 27001: 2013 og DSTU ISO/IEC 27001: 2015.

Denne politik opstiller:

  • Organisationens kontekst
  • Interne og eksterne spørgsmål ned relevans for Crowdins formål
  • Interesserede parter, som er relevante for informationssikkerhedsstyringssystemerne (herefter benævnt »ISMS«)
  • Kravene fra disse interesseparter, som er relevante for ISMS
  • Informationssikkerhedsmål
  • Informationssikkerhedspolitikforpligtelser
  • Informationssikkerhedsansvar
  • Målinger

Informationssikkerhedsprocesserne er beskrevet, formelt defineret og godkendt Crowdins styring i form af standarder, politikker, regler og andre interne reguleringsdokumenter.

Organisationens kontekst

Jf. ISO er definitionen af en organisation et “erhvervsmiljø”, “en kombination af interne og eksterne faktorer og forhold, som kan påvirke organisationens tilgang til sine produkter, tjenesteydelser og investeringer og interesseparter”.

Crowdin er en produktvirksomhed med flere end 1,5 millioner brugerkonti.

Crowdins softwareløsning giver virksomheder af enhver art og størrelse mulighed for at accelerere deres vækst ved at nå brugere med forskellige sprogforudsætninger. Crowdin-holdet arbejder lidenskabeligt mod ét fælles mål: At udvide potentialet for fleksibel lokalisering. Fra dag et indtil nu, har Crowdins mission altid været at holde tingene enkle og imponere Crowdins kunder med en enestående brugeroplevelse og de nyeste teknologiske løsninger.

Crowdins vigtigste industrielle sektor er Software som tjeneste.

Formålet med ISMS er at sikre, at Crowdin stadig er i stand til at opfylde sine definerede forretningsmål og overholde sine politikker i lyset af potentielle og faktiske sikkerhedshændelser. Organisationen har fastlagt politikker på en række områder, og disse skal tages i betragtning under planlægningen af informationssikkerheden for at sikre, at de overholdes.

De vigtigste relevante politikker er:

  • Business Continuity Plan
  • Information Security Management Framework
  • Risk Assessment Methodology
  • Risk Treatment Guideline
  • Incident Response Plan
  • Acceptable Use Policy
  • Access Control Policy
  • Clear Desk and Clear Screen Policy
  • Control Against Malware Policy
  • Cryptography Policy
  • Human Resources Security Policy
  • Information Backup Policy
  • Information Classification and Labeling Policy
  • IS Risk Management Policy
  • Logging and Monitoring Policy
  • Monitoring and evaluating the effectiveness of ISMS Policy
  • Network Security Policy
  • Password Policy
  • Physical Security Policy
  • Security in Development and Maintenance Processes Policy
  • Segregation of Duties Policy
  • Supplier Relationship Security Policy
  • Workstation Security Policy
  • Сhange Management Policy
  • Communication Procedure
  • Corrective and Preventive Actions Procedure
  • Disciplinary procedure
  • Document control procedure
  • Internal Audit Procedure
  • Inventory and assessment of information assets procedures
  • Risk Management Procedure
  • Maintaining confidentiality in the work
  • Management Review Procedure
  • User Access Management Procedure

Interne og eksterne problematikker

Der er en række interne og eksterne problematikker, som er relevante for Crowdins formål, og som påvirker ISMS-systemets evne til at opnå de tilsigtede resultater.

Interne problemstillinger:

  • Vedtagne standarder, retningslinjer og modeller
  • Væsentlige organisatoriske ændringer
  • Styring og organisationsstruktur
  • Kontraktlige forhold
  • Ressourcer og viden (f.eks. kapital, personer, processer og teknologier)
  • Forhold til medarbejdere og interessenter, herunder partnere og leverandører
  • mv.

Eksterne problemstillinger:

  • Ændringer i teknologi
  • Regeringsbestemmelser og lovændringer
  • Konkurrenter
  • Økonomiske markedsændringer
  • Forsyningskæde
  • Samfund og kultur
  • Renter og inflation
  • Databeskyttelse
  • Understøttende teknologier og infrastruktur
  • Automatisering og kunstig intelligens
  • Military and political shifts
  • mv.

Disse generelle interne og eksterne problemstillinger behandles mere detaljeret som led i risikovurderingsprocessen og bliver regelmæssigt revideret og monitoreret.

Interesseparter med relevans for Crowdins ISMS er blevet fastlagt nedenfor med deres individuelle forventninger.

En interessepart defineres som en person eller organisation, der kan påvirke, påvirkes af eller opfatter sig selv som påvirket af en beslutning eller aktivitet. Flg. defineres som interesseparter med relevans for ISMS:

  • Virksomhedsejer
  • Ledelse
  • Kunder
  • Leverandører og partnere
  • Tilsynsorganer
  • Kundebrugergrupper
  • Nødtjenester
  • Organisationsansatte
  • Kontrahenter, som leverer tjenesteydelser til organisationen
  • Konkurrenter
  • Investorer
  • Medierne
  • Revisor
Interessepart    Forventninger Krav
Virksomhedsejere Effektiv informationssikkerhed påvirker organisationens økonomiske succes Kapitalafkast
Ledelse Organisatorisk omdømme skal beskyttes Dokumentarisk og praktisk bekræftelse af gennemførelsen af ISMS
Kunder, kundegrupper Dataenes fortrolighed, integritet og tilgængelighed er til enhver tid sikret ISMS ISO 27001-certifikat
Leverandører og partnere Overholdelse af aftaler og betalingsbetingelser Evidens for overholdelse af aftaler og betalingsbetingelser
Tilsynsorganer Organisationsaktiviteterne er i overensstemmelse med gældende lovgivning Officiel bekræftelse af lovkrav (rapporter, certifikater mv.)
Organisationsansatte Persondatasikkerhed, sociale ydelser, passende vederlag, uddannelse og support, sikkert arbejdsmiljø mv. Lovgivningsmæssige dokumenter og bestemmelser, NDA-vilkår og -betingelser, klare instrukser ift. håndtering af sensitive data mv.
Kontrahenter, som leverer tjenesteydelser til organisationen Overholdelse af aftaler og betalingsbetingelser; Persondatasikkerhed, sociale ydelser og passende vederlag Evidens for overholdelse af aftaler og betalingsbetingelser; Lovgivningsdokumenter og -bestemmelser, NDA, klare instrukser ift. håndtering af sensitive data mv.
Konkurrenter Organisationens reageren på konkurrerende markedsføringskampagner med egne initiativer og konkurrencedygtige prisfastsættelse Resultater af markedsovervågning
Investorer Rentabilitet, forventet investeringsafkast Investeringsafkast, årsregnskaber
Medierne Gennemsigtighed ift. sikkerhedshændelser Dækning af datasikkerhedsbrud og en bredere offentlig interesse i den måde, hvorpå organisationer beskytter personlige oplysninger
Revisorer Forvent, at der til enhver tid er en proportional grad af sikkerhedskontroller på plads mhp. beskyttelse af aktiver Dokumentarisk og praktisk bekræftelse af gennemførelsen af ISMS
Nødtjenester Sikkert arbejdsmiljø mv. Brandsikkerhed, førstehjælpsforanstaltninger mv.

Informationssikkerhedsmål:

  • Ensure the effective functioning of the ISMS in accordance with the requirements of ISO / IEC 27001: 2013, which will allow Crowdin to be a certified company and trusted supplier for its customers (View Certificate).
  • Ensure uninterrupted operation of the company and provision of services, regardless of external and internal issues.
  • Ensure the availability, integrity and confidentiality of both customer and employee data, confidentiality of internal business processes. Minimize the number and consequences of information security incidents and their impact.
  • The goals of information security correspond to the interests of the company.

Planlægning af målopnåelse for informationssikkerhed

ISMS Committee, which is a collegial permanent body, CISO, should keep company policies in the actual state, ensure their integration into organizational processes.

For this purpose, ISMS committee members can make suggestions regarding the updating of documents, and approve them at the meetings of the committee. ISMS team considers security incidents, if they have occurred, creates a plan for ISMS improvements and do an analysis of what was done at the previous period.

Annual training is held on the content of information security policies, general principles of information security. In addition to annual training, people who start cooperation undergo training before they receive access to confidential data. Compliance with onboarding training requirements is monitored by the HR manager.

The system administrator provides control over the fulfillment of requirements for the use of information systems and equipment. It is described in more detail in the ISMS-PL Workstation security policy.

The CISO organizes regular activities such as BCP plan testing, backups, and staff training, reassessment of risks, formation of a risk treatment plan, records all information security incidents, and is responsible for investigating suspected incidents.

The results of ISMS work are evaluated annually at the management review meeting, at internal and certification audits.

The company allocates the necessary resources to ensure business continuity in accordance with the BCP plan, the ISMS committee helps in ensuring its operability.

Ift. ISMS-etablering er Crowdin forpligtet til:

  • Comply with both the law and ISO / IEC 27001: 2013 requirements
  • Develop and adhere to all ISMS policies and procedures and ensure their integration into organizational processes
  • Satisfy applicable requirements related to information security
  • Review and continual improvement of the information security management system
  • Be open and honest with individuals whose data is held
  • Provide training and support for staff who handle ISMS, so that they can act confidently and consistently
  • Ensure the compatibility of information security policies and objectives with Crowdin’s strategic objectives

Informationssikkerhedsansvar

Crowdin governance clearly understands that information security is the foundation life of Crowdin. Crowdin management contributes to the creation, implementation, control and support of the Policy information security.

Information Security Policy documents are developed by the ISMS Committee and other departments according to the relevant areas of activity.

The ISMS Committee is responsible for defining information security requirements and overseeing their implementation in Crowdin.

Lovpligtige og kontraktlige krav

Crowdin information security measures meet the business needs and the requirements legislation of Estonia, Ukraine, ISO / IEC 27001: 2013, internal regulations Crowdin.

The organization of any process or making changes to existing process is carried out taking into account information security. Evaluation of the effectiveness of the ISMS is carried out on a regular basis.

Crowdin’s internal independent information security audit will be conducted annually during the ISMS functional cycle.