Information Security Policy

Einführung

Die Richtlinie zur Informationssicherheit von Crowdin (im Folgenden “Richtlinie”) definiert die Ziele und Grundprinzipien der Informationssicherheit. Informationssicherheit bedeutet die Umsetzung und Aufrechterhaltung eines angemessenen Niveaus ihrer Eigenschaften. Die Anforderungen der Richtlinien gelten für die gesamte Crowdin-Organisation sowie alle Geschäftsprozesse und sind für alle Mitarbeiter wie die an diesen Geschäftsprozessen beteiligten Personen verbindlich. Die Einhaltung der Anforderungen der Richtlinie ist ein wichtiger Aspekt für das Erreichen der strategischen Ziele von Crowdin.

Crowdin information security policy meets the requirements of ISO / IEC 27001: 2013 and DSTU ISO / IEC 27001: 2015.

Diese Richtlinie sieht vor:

  • Der Kontext der Organisation
  • Interne und externe Themen, die für den Zweck von Crowdin relevant sind
  • Interessenten, die für das Informationssicherheitsmanagementsystem (im Folgenden “ISMS”) relevant sind
  • Die Anforderungen dieser Interessenten, die für das ISMS relevant sind
  • Ziele der Informationssicherheit
  • Verpflichtungen zur Informationssicherheitspolitik
  • Verantwortlichkeiten für die Informationssicherheit
  • Messung

Die Prozesse der Informationssicherheit werden in Form von Standards, Richtlinien, Vorschriften und anderen internen Dokumenten beschrieben, formell definiert und von Crowdin genehmigt.

Der Kontext der Organisation

Laut ISO wird der Kontext einer Organisation als “Geschäftsumfeld” definiert, als “eine Kombination interner und externer Faktoren und Bedingungen, die den Ansatz der Organisation in Bezug auf ihre Produkte, Dienstleistungen und Investitionen sowie die interessierten Parteien beeinflussen können”.

Crowdin ist ein Produktunternehmen mit mehr als 1,5 Millionen Benutzerkonten.

Die Softwarelösung von Crowdin ermöglicht es Unternehmen jeder Form und Größe, ihr Wachstum zu beschleunigen, indem sie Menschen erreichen, die verschiedene Sprachen sprechen. Das Crowdin-Team arbeitet leidenschaftlich an einem gemeinsamen Ziel: das Potenzial der agilen Lokalisierung zu erweitern. Vom ersten Tag an war es Crowdins Mission, die Dinge einfach zu halten und Crowdins Kunden mit einer hervorragenden Benutzererfahrung und den neuesten Technologielösungen zu begeistern.

Der wichtigste Wirtschaftszweig von Crowdin ist Software als Dienstleistung.

Mit dem ISMS soll sichergestellt werden, dass Crowdin auch bei potenziellen oder tatsächlichen Sicherheitsvorfällen in der Lage ist, seine festgelegten Geschäftsziele zu erreichen und seine Richtlinien einzuhalten. Die Organisation hat für eine Vielzahl von Bereichen Richtlinien festgelegt, die bei der Planung der Informationssicherheit berücksichtigt werden müssen, um sicherzustellen, dass sie eingehalten werden.

Die wichtigsten einschlägigen Richtlinien sind:

  • Methodik der Risikobewertung und Risikobehandlung
  • Plan zur Risikobehandlung
  • Richtlinie zur Inventarisierung von Vermögenswerten und Informationsklassifizierung
  • Akzeptable Nutzung von Vermögenswerten
  • Richtlinie zur Zugangskontrolle
  • Geschäftskontinuitätsstrategie und -verfahren
  • Richtlinie für das Management von Informationssicherheitsvorfällen
  • Datenschutzrichtlinie
  • Verfahren zur Dokumentenkontrolle
  • Physikalische und umweltbezogene Richtlinien und Standardarbeitsanweisungen
  • Richtlinie zur Cybersicherheit
  • Richtlinie zur Datensicherung
  • Richtlinie zur Personalsicherheit
  • Betriebsverfahren für das IT-Management
  • Richtlinie zur Sicherheit von Anbietern
  • Richtlinie zur Änderungskontrolle
  • Richtlinie zur Definition von Rollen und Verantwortlichkeiten
  • Verfahren für die interne Revision
  • usw.

Interne und externe Themen

Es gibt eine Reihe von internen und externen Aspekten, die für den Zweck von Crowdin relevant sind und die die Fähigkeit des ISMS beeinflussen, die beabsichtigten Ergebnisse zu erreichen.

Interne Themen:

  • Angenommene Normen, Richtlinien und Modelle
  • Wesentliche organisatorische Änderungen
  • Steuerung und Organisationsstruktur
  • Vertragliche Beziehungen
  • Ressourcen und Wissen (z. B. Kapital, Menschen, Prozesse und Technologien)
  • Beziehungen zu Ihren Mitarbeitern und Interessengruppen, einschließlich Partnern und Lieferanten
  • usw.

Externe Themen:

  • Technologischer Wandel
  • Staatliche Vorschriften und Gesetzesänderungen
  • Wettbewerb
  • Wirtschaftliche Verschiebungen auf dem Markt
  • Lieferkette
  • Gesellschaft und Kultur
  • Zins- und Inflationsrate
  • Datenschutz
  • Unterstützung von Technologien und Infrastruktur
  • Automatisierung und künstliche Intelligenz
  • usw.

Diese allgemeinen internen und externen Aspekte werden im Rahmen des Risikobewertungsprozesses detaillierter betrachtet und regelmäßig überprüft und überwacht.

Die Interessenten, die für das ISMS von Crowdin relevant sind, wurden unten mit ihren individuellen Erwartungen bestimmt.

Als Interessent gilt eine Person oder Organisation, die von einer Entscheidung oder Aktivität betroffen sein kann oder sich selbst davon betroffen fühlt. Die Folgenden sind als Interessenten definiert, die für die ISMS relevant sind:

  • Geschäftsinhaber
  • Leitung
  • Kunden
  • Lieferanten und Partner
  • Regulierungsbehörden
  • Kunden-Benutzergruppen
  • Notfalldienste
  • Mitarbeiter der Organisation
  • Auftragnehmer, die Dienstleistungen für die Organisation erbringen
  • Wettbewerber
  • Investoren
  • Medien
  • Prüfer
Interessent    Erwartungen Anforderung
Eigentümer des Unternehmens Wirksame Informationssicherheit beeinflusst den finanziellen Erfolg des Unternehmens Kapitalrendite
Leitung Der Ruf des Unternehmens muss geschützt werden Dokumentarische und praktische Bestätigung der Umsetzung des ISMS
Kunden, Kunden-Nutzergruppen Die Vertraulichkeit, Integrität und Verfügbarkeit von Daten ist jederzeit gewährleistet ISMS Zertifizierung nach ISO 27001
Lieferanten und Partner Einhaltung von Vereinbarungen und Zahlungsfristen Nachweis der Einhaltung von Vereinbarungen und Zahlungsbedingungen
Regulierungsbehörden Die Aktivitäten der Organisation entsprechen der geltenden Gesetzgebung Offizielle Bestätigung der gesetzlichen Anforderungen (Berichte, Bescheinigungen usw.)
Mitarbeiter der Organisation Sicherheit personenbezogener Daten, Sozialleistungen, angemessene Entlohnung, Ausbildung und Unterstützung, sichere Arbeitsumgebung usw. Gesetzliche Dokumente und Vorschriften, Bedingungen für einen Geheimhaltungsvertrag, klare Anweisungen für den Umgang mit sensiblen Daten usw.
Auftragnehmer, die Dienstleistungen für die Organisation erbringen Einhaltung von Vereinbarungen und Zahlungsbedingungen; Sicherheit personenbezogener Daten, Sozialleistungen, angemessene Vergütung Nachweise für die Einhaltung von Vereinbarungen und Zahlungsbedingungen; gesetzliche Dokumente und Vorschriften, Geheimhaltungsvertrag, klare Anweisungen für den Umgang mit sensiblen Daten usw.
Wettbewerber Die Organisation reagiert auf die Marketingkampagnen der Konkurrenz mit eigenen Initiativen und setzt die Preise wettbewerbsfähig fest Ergebnisse der Marktbeobachtung
Investoren Rentabilität, erwartete Investitionsrendite Kapitalrendite, Finanzberichte
Medien Transparenz bei Sicherheitsvorfällen Berichterstattung über Datenschutzverletzungen und ein breiteres öffentliches Interesse an der Art und Weise, wie Unternehmen persönliche Daten schützen
Prüfer Es ist jederzeit ein angemessenes Maß an Sicherheitskontrollen zum Schutz der Vermögenswerte vorhanden Dokumentarische und praktische Bestätigung der Umsetzung des ISMS
Notfalldienste Sichere Arbeitsumgebung usw. Brandschutz, Erste-Hilfe-Maßnahmen usw.

Ziele der Informationssicherheit:

  • Einrichtung und Sicherstellung des wirksamen Funktionierens des ISMS gemäß den Anforderungen von ISO/IEC 27001:2013, das die grundlegende Verbindung für die Informationssicherheit darstellt
  • Erlangung des Zertifikats ISO/IEC 27001:2013 gemäß dem Projektplan für die Entwicklung und Implementierung des ISMS in Crowdin
  • Sicherstellung der Geschäftskontinuität von Crowdin in Ergänzung zu bestehenden Richtlinien
  • Minimierung der Anzahl und der Folgen von Informationssicherheitsvorfällen

Planung zur Erreichung der Ziele der Informationssicherheit

Die Erreichung der Informationssicherheitsziele erfolgt gemäß dem Projektplan für die Entwicklung und Umsetzung des ISMS in CROWDIN, das vom ISMS-Ausschuss, einem kollegialen ständigen Gremium genehmigt wurde, welches gemäß dem Beschluss des Direktors von OÜ CROWDIN eingerichtet wurde

Die wichtigsten Phasen der Organisation des ISMS sind:

  • Vorbereitung für die Umsetzung
  • Beschreibung der bestehenden Infrastruktur und Sicherheitsmaßnahmen
  • Risikobewertung der Informationssicherheit
  • Planung einer Reihe von Maßnahmen zur Risikominimierung
  • Genehmigung und Umsetzung eines Maßnahmenpakets
  • Mitarbeiterschulung
  • Erstellung von Berichten über den Stand der Informationssicherheit

Für die Einrichtung eines ISMS ist Crowdin verpflichtet:

  • Einhaltung der gesetzlichen Bestimmungen und der Anforderungen der ISO/IEC 27001:2013
  • Entwicklung und Einhaltung aller ISMS-Richtlinien und -Verfahren sowie Gewährleistung ihrer Integration in die organisatorischen Abläufe
  • Erfüllung der geltenden Anforderungen in Bezug auf die Informationssicherheit
  • Überprüfung und kontinuierliche Verbesserung des Informationssicherheitsmanagementsystems
  • Offener und ehrlicher Umgang mit den Personen, deren Daten gespeichert sind
  • Schulung und Unterstützung für Mitarbeiter, die mit ISMS zu tun haben, damit sie sicher und konsequent handeln können
  • Sicherstellung der Vereinbarkeit von Informationssicherheitsstrategien und -zielen mit den strategischen Zielen von Crowdin

Verantwortlichkeiten für die Informationssicherheit

Die Crowdin-Governance ist sich darüber im Klaren, dass die Informationssicherheit die Lebensgrundlage von Crowdin ist. Das Crowdin-Management trägt zur Schaffung, Umsetzung, Kontrolle und Unterstützung der Richtlinien für die Informationssicherheit bei.

Die Dokumente zur Informationssicherheitspolitik werden vom ISMS-Ausschuss und anderen Abteilungen nach den jeweiligen Tätigkeitsbereichen erarbeitet.

Der ISMS-Ausschuss ist für die Festlegung der Anforderungen an die Informationssicherheit und die Überwachung ihrer Umsetzung in Crowdin zuständig.

Gesetzliche, regulatorische und vertragliche Anforderungen

Die Maßnahmen zur Informationssicherheit von Crowdin entsprechen den geschäftlichen Anforderungen und den Anforderungen der Gesetzgebung von Estland, der Ukraine, ISO/IEC 27001:2013 und den internen Vorschriften von Crowdin.

Die Organisation eines Prozesses oder die Änderung eines bestehenden Prozesses erfolgt unter Berücksichtigung der Informationssicherheit. Die Wirksamkeit des ISMS wird regelmäßig bewertet.

Crowdins interne unabhängige Prüfung der Informationssicherheit wird jährlich im Rahmen des ISMS-Funktionszyklus durchgeführt.