Die Richtlinie zur Informationssicherheit von Crowdin (im Folgenden “Richtlinie”) definiert die Ziele und Grundprinzipien der Informationssicherheit. Informationssicherheit bedeutet die Umsetzung und Aufrechterhaltung eines angemessenen Niveaus ihrer Eigenschaften. Die Anforderungen der Richtlinien gelten für die gesamte Crowdin-Organisation sowie alle Geschäftsprozesse und sind für alle Mitarbeiter wie die an diesen Geschäftsprozessen beteiligten Personen verbindlich. Die Einhaltung der Anforderungen der Richtlinie ist ein wichtiger Aspekt für das Erreichen der strategischen Ziele von Crowdin.
Crowdin information security policy meets the requirements of ISO / IEC 27001: 2013 and DSTU ISO / IEC 27001: 2015.
Diese Richtlinie sieht vor:
Die Prozesse der Informationssicherheit werden in Form von Standards, Richtlinien, Vorschriften und anderen internen Dokumenten beschrieben, formell definiert und von Crowdin genehmigt.
Laut ISO wird der Kontext einer Organisation als “Geschäftsumfeld” definiert, als “eine Kombination interner und externer Faktoren und Bedingungen, die den Ansatz der Organisation in Bezug auf ihre Produkte, Dienstleistungen und Investitionen sowie die interessierten Parteien beeinflussen können”.
Crowdin ist ein Produktunternehmen mit mehr als 1,5 Millionen Benutzerkonten.
Die Softwarelösung von Crowdin ermöglicht es Unternehmen jeder Form und Größe, ihr Wachstum zu beschleunigen, indem sie Menschen erreichen, die verschiedene Sprachen sprechen. Das Crowdin-Team arbeitet leidenschaftlich an einem gemeinsamen Ziel: das Potenzial der agilen Lokalisierung zu erweitern. Vom ersten Tag an war es Crowdins Mission, die Dinge einfach zu halten und Crowdins Kunden mit einer hervorragenden Benutzererfahrung und den neuesten Technologielösungen zu begeistern.
Der wichtigste Wirtschaftszweig von Crowdin ist Software als Dienstleistung.
Mit dem ISMS soll sichergestellt werden, dass Crowdin auch bei potenziellen oder tatsächlichen Sicherheitsvorfällen in der Lage ist, seine festgelegten Geschäftsziele zu erreichen und seine Richtlinien einzuhalten. Die Organisation hat für eine Vielzahl von Bereichen Richtlinien festgelegt, die bei der Planung der Informationssicherheit berücksichtigt werden müssen, um sicherzustellen, dass sie eingehalten werden.
Die wichtigsten einschlägigen Richtlinien sind:
Es gibt eine Reihe von internen und externen Aspekten, die für den Zweck von Crowdin relevant sind und die die Fähigkeit des ISMS beeinflussen, die beabsichtigten Ergebnisse zu erreichen.
Interne Themen:
Externe Themen:
Diese allgemeinen internen und externen Aspekte werden im Rahmen des Risikobewertungsprozesses detaillierter betrachtet und regelmäßig überprüft und überwacht.
Als Interessent gilt eine Person oder Organisation, die von einer Entscheidung oder Aktivität betroffen sein kann oder sich selbst davon betroffen fühlt. Die Folgenden sind als Interessenten definiert, die für die ISMS relevant sind:
| Interessent | Erwartungen | Anforderung |
|---|---|---|
| Eigentümer des Unternehmens | Wirksame Informationssicherheit beeinflusst den finanziellen Erfolg des Unternehmens | Kapitalrendite |
| Leitung | Der Ruf des Unternehmens muss geschützt werden | Dokumentarische und praktische Bestätigung der Umsetzung des ISMS |
| Kunden, Kunden-Nutzergruppen | Die Vertraulichkeit, Integrität und Verfügbarkeit von Daten ist jederzeit gewährleistet | ISMS Zertifizierung nach ISO 27001 |
| Lieferanten und Partner | Einhaltung von Vereinbarungen und Zahlungsfristen | Nachweis der Einhaltung von Vereinbarungen und Zahlungsbedingungen |
| Regulierungsbehörden | Die Aktivitäten der Organisation entsprechen der geltenden Gesetzgebung | Offizielle Bestätigung der gesetzlichen Anforderungen (Berichte, Bescheinigungen usw.) |
| Mitarbeiter der Organisation | Sicherheit personenbezogener Daten, Sozialleistungen, angemessene Entlohnung, Ausbildung und Unterstützung, sichere Arbeitsumgebung usw. | Gesetzliche Dokumente und Vorschriften, Bedingungen für einen Geheimhaltungsvertrag, klare Anweisungen für den Umgang mit sensiblen Daten usw. |
| Auftragnehmer, die Dienstleistungen für die Organisation erbringen | Einhaltung von Vereinbarungen und Zahlungsbedingungen; Sicherheit personenbezogener Daten, Sozialleistungen, angemessene Vergütung | Nachweise für die Einhaltung von Vereinbarungen und Zahlungsbedingungen; gesetzliche Dokumente und Vorschriften, Geheimhaltungsvertrag, klare Anweisungen für den Umgang mit sensiblen Daten usw. |
| Wettbewerber | Die Organisation reagiert auf die Marketingkampagnen der Konkurrenz mit eigenen Initiativen und setzt die Preise wettbewerbsfähig fest | Ergebnisse der Marktbeobachtung |
| Investoren | Rentabilität, erwartete Investitionsrendite | Kapitalrendite, Finanzberichte |
| Medien | Transparenz bei Sicherheitsvorfällen | Berichterstattung über Datenschutzverletzungen und ein breiteres öffentliches Interesse an der Art und Weise, wie Unternehmen persönliche Daten schützen |
| Prüfer | Es ist jederzeit ein angemessenes Maß an Sicherheitskontrollen zum Schutz der Vermögenswerte vorhanden | Dokumentarische und praktische Bestätigung der Umsetzung des ISMS |
| Notfalldienste | Sichere Arbeitsumgebung usw. | Brandschutz, Erste-Hilfe-Maßnahmen usw. |
Die Erreichung der Informationssicherheitsziele erfolgt gemäß dem Projektplan für die Entwicklung und Umsetzung des ISMS in CROWDIN, das vom ISMS-Ausschuss, einem kollegialen ständigen Gremium genehmigt wurde, welches gemäß dem Beschluss des Direktors von OÜ CROWDIN eingerichtet wurde
Die wichtigsten Phasen der Organisation des ISMS sind:
Die Crowdin-Governance ist sich darüber im Klaren, dass die Informationssicherheit die Lebensgrundlage von Crowdin ist. Das Crowdin-Management trägt zur Schaffung, Umsetzung, Kontrolle und Unterstützung der Richtlinien für die Informationssicherheit bei.
Die Dokumente zur Informationssicherheitspolitik werden vom ISMS-Ausschuss und anderen Abteilungen nach den jeweiligen Tätigkeitsbereichen erarbeitet.
Der ISMS-Ausschuss ist für die Festlegung der Anforderungen an die Informationssicherheit und die Überwachung ihrer Umsetzung in Crowdin zuständig.
Die Maßnahmen zur Informationssicherheit von Crowdin entsprechen den geschäftlichen Anforderungen und den Anforderungen der Gesetzgebung von Estland, der Ukraine, ISO/IEC 27001:2013 und den internen Vorschriften von Crowdin.
Die Organisation eines Prozesses oder die Änderung eines bestehenden Prozesses erfolgt unter Berücksichtigung der Informationssicherheit. Die Wirksamkeit des ISMS wird regelmäßig bewertet.
Crowdins interne unabhängige Prüfung der Informationssicherheit wird jährlich im Rahmen des ISMS-Funktionszyklus durchgeführt.