Die Richtlinie zur Informationssicherheit von Crowdin (im Folgenden “Richtlinie”) definiert die Ziele und Grundprinzipien der Informationssicherheit. Informationssicherheit bedeutet die Umsetzung und Aufrechterhaltung eines angemessenen Niveaus ihrer Eigenschaften. Die Anforderungen der Richtlinien gelten für die gesamte Crowdin-Organisation sowie alle Geschäftsprozesse und sind für alle Mitarbeiter wie die an diesen Geschäftsprozessen beteiligten Personen verbindlich. Die Einhaltung der Anforderungen der Richtlinie ist ein wichtiger Aspekt für das Erreichen der strategischen Ziele von Crowdin.
Crowdin information security policy meets the requirements of ISO / IEC 27001: 2013 and DSTU ISO / IEC 27001: 2015.
Diese Richtlinie sieht vor:
Die Prozesse der Informationssicherheit werden in Form von Standards, Richtlinien, Vorschriften und anderen internen Dokumenten beschrieben, formell definiert und von Crowdin genehmigt.
Laut ISO wird der Kontext einer Organisation als “Geschäftsumfeld” definiert, als “eine Kombination interner und externer Faktoren und Bedingungen, die den Ansatz der Organisation in Bezug auf ihre Produkte, Dienstleistungen und Investitionen sowie die interessierten Parteien beeinflussen können”.
Crowdin ist ein Produktunternehmen mit mehr als 1,5 Millionen Benutzerkonten.
Die Softwarelösung von Crowdin ermöglicht es Unternehmen jeder Form und Größe, ihr Wachstum zu beschleunigen, indem sie Menschen erreichen, die verschiedene Sprachen sprechen. Das Crowdin-Team arbeitet leidenschaftlich an einem gemeinsamen Ziel: das Potenzial der agilen Lokalisierung zu erweitern. Vom ersten Tag an war es Crowdins Mission, die Dinge einfach zu halten und Crowdins Kunden mit einer hervorragenden Benutzererfahrung und den neuesten Technologielösungen zu begeistern.
Der wichtigste Wirtschaftszweig von Crowdin ist Software als Dienstleistung.
Mit dem ISMS soll sichergestellt werden, dass Crowdin auch bei potenziellen oder tatsächlichen Sicherheitsvorfällen in der Lage ist, seine festgelegten Geschäftsziele zu erreichen und seine Richtlinien einzuhalten. Die Organisation hat für eine Vielzahl von Bereichen Richtlinien festgelegt, die bei der Planung der Informationssicherheit berücksichtigt werden müssen, um sicherzustellen, dass sie eingehalten werden.
Die wichtigsten einschlägigen Richtlinien sind:
Es gibt eine Reihe von internen und externen Aspekten, die für den Zweck von Crowdin relevant sind und die die Fähigkeit des ISMS beeinflussen, die beabsichtigten Ergebnisse zu erreichen.
Interne Themen:
Externe Themen:
Diese allgemeinen internen und externen Aspekte werden im Rahmen des Risikobewertungsprozesses detaillierter betrachtet und regelmäßig überprüft und überwacht.
Als Interessent gilt eine Person oder Organisation, die von einer Entscheidung oder Aktivität betroffen sein kann oder sich selbst davon betroffen fühlt. Die Folgenden sind als Interessenten definiert, die für die ISMS relevant sind:
| Interessent | Erwartungen | Anforderung |
|---|---|---|
| Eigentümer des Unternehmens | Wirksame Informationssicherheit beeinflusst den finanziellen Erfolg des Unternehmens | Kapitalrendite |
| Leitung | Der Ruf des Unternehmens muss geschützt werden | Dokumentarische und praktische Bestätigung der Umsetzung des ISMS |
| Kunden, Kunden-Nutzergruppen | Die Vertraulichkeit, Integrität und Verfügbarkeit von Daten ist jederzeit gewährleistet | ISMS Zertifizierung nach ISO 27001 |
| Lieferanten und Partner | Einhaltung von Vereinbarungen und Zahlungsfristen | Nachweis der Einhaltung von Vereinbarungen und Zahlungsbedingungen |
| Regulierungsbehörden | Die Aktivitäten der Organisation entsprechen der geltenden Gesetzgebung | Offizielle Bestätigung der gesetzlichen Anforderungen (Berichte, Bescheinigungen usw.) |
| Mitarbeiter der Organisation | Sicherheit personenbezogener Daten, Sozialleistungen, angemessene Entlohnung, Ausbildung und Unterstützung, sichere Arbeitsumgebung usw. | Gesetzliche Dokumente und Vorschriften, Bedingungen für einen Geheimhaltungsvertrag, klare Anweisungen für den Umgang mit sensiblen Daten usw. |
| Auftragnehmer, die Dienstleistungen für die Organisation erbringen | Einhaltung von Vereinbarungen und Zahlungsbedingungen; Sicherheit personenbezogener Daten, Sozialleistungen, angemessene Vergütung | Nachweise für die Einhaltung von Vereinbarungen und Zahlungsbedingungen; gesetzliche Dokumente und Vorschriften, Geheimhaltungsvertrag, klare Anweisungen für den Umgang mit sensiblen Daten usw. |
| Wettbewerber | Die Organisation reagiert auf die Marketingkampagnen der Konkurrenz mit eigenen Initiativen und setzt die Preise wettbewerbsfähig fest | Ergebnisse der Marktbeobachtung |
| Investoren | Rentabilität, erwartete Investitionsrendite | Kapitalrendite, Finanzberichte |
| Medien | Transparenz bei Sicherheitsvorfällen | Berichterstattung über Datenschutzverletzungen und ein breiteres öffentliches Interesse an der Art und Weise, wie Unternehmen persönliche Daten schützen |
| Prüfer | Es ist jederzeit ein angemessenes Maß an Sicherheitskontrollen zum Schutz der Vermögenswerte vorhanden | Dokumentarische und praktische Bestätigung der Umsetzung des ISMS |
| Notfalldienste | Sichere Arbeitsumgebung usw. | Brandschutz, Erste-Hilfe-Maßnahmen usw. |
ISMS Committee, which is a collegial permanent body, CISO, should keep company policies in the actual state, ensure their integration into organizational processes.
For this purpose, ISMS committee members can make suggestions regarding the updating of documents, and approve them at the meetings of the committee. ISMS team considers security incidents, if they have occurred, creates a plan for ISMS improvements and do an analysis of what was done at the previous period.
Annual training is held on the content of information security policies, general principles of information security. In addition to annual training, people who start cooperation undergo training before they receive access to confidential data. Compliance with onboarding training requirements is monitored by the HR manager.
The system administrator provides control over the fulfillment of requirements for the use of information systems and equipment. It is described in more detail in the ISMS-PL Workstation security policy.
The CISO organizes regular activities such as BCP plan testing, backups, and staff training, reassessment of risks, formation of a risk treatment plan, records all information security incidents, and is responsible for investigating suspected incidents.
The results of ISMS work are evaluated annually at the management review meeting, at internal and certification audits.
The company allocates the necessary resources to ensure business continuity in accordance with the BCP plan, the ISMS committee helps in ensuring its operability.
Crowdin governance clearly understands that information security is the foundation life of Crowdin. Crowdin management contributes to the creation, implementation, control and support of the Policy information security.
Information Security Policy documents are developed by the ISMS Committee and other departments according to the relevant areas of activity.
The ISMS Committee is responsible for defining information security requirements and overseeing their implementation in Crowdin.
Crowdin information security measures meet the business needs and the requirements legislation of Estonia, Ukraine, ISO / IEC 27001: 2013, internal regulations Crowdin.
The organization of any process or making changes to existing process is carried out taking into account information security. Evaluation of the effectiveness of the ISMS is carried out on a regular basis.
Crowdin’s internal independent information security audit will be conducted annually during the ISMS functional cycle.