Politica sulla Sicurezza dell'Informazione

Introduzione

La Politica sulla Sicurezza delle Informazioni di Crowdin (di seguito la Politica) definisce gli obiettivi e principi fondamentali della sicurezza delle informazioni. Sicurezza delle informazioni significa l’implementazione e manutenzione del livello appropriato delle sue proprietà. I requisiti delle Politiche si applicano all’intera organizzazione di Crowdin e a tutti i processi aziendali e sono disponibili, obbligatoriamente, per tutti i dipendenti, nonché per tutti coloro che siano coinvolti in tali processi aziendali. La conformità coi requisiti della Politica è un aspetto importante per ottenere i fini e obiettivi strategici di Crowdin.

La politica sulla sicurezza delle informazioni di Crowdin soddisfa i requisiti ISO / IEC 27001: 2013 e DSTU ISO / IEC 27001: 2015.

Questa politica prevede:

  • Il contesto dell’Organizzazione
  • Problemi interni ed esterni rilevanti allo scopo di Crowdin
  • Parti interessate rilevanti ai sistemi di gestione della sicurezza delle Informazioni (in seguito ISMS)
  • I requisiti di queste parti interessate, rilevanti all’ISMS
  • Obiettivi sulla sicurezza delle informazioni
  • Impegni della politica sulla sicurezza delle informazioni
  • Responsabilità per la Sicurezza delle Informazioni
  • Misurazione

I processi di sicurezza delle informazioni sono la guida descritta, formalmente definita e approvata di Crowdin nella forma di standard, politiche, regolamenti e altri documenti regolatori interni.

Contesto dell’organizzazione

Secondo l’ISO, definire il contesto di un’Organizzazione è un “ambiente aziendale”, “una combinazione di fattori e condizioni interni ed esterni che potrebbero influenzare l’approccio aziendale ai suoi prodotti, servizi e investimenti e le parti interessate”.

Crowdin è un’azienda di prodotto con oltre 1,5 milioni di profili utente.

La soluzione software di Crowdin consente alle aziende di ogni forma e dimensioni di accelerare la propria crescita, raggiungendo persone che parlano lingue differenti. Il team di Crowdin lavora appassionatamente verso un fine condiviso: espandere il potenziale della localizzazione agile. Dal primo giorno fino a ora, la missione di Crowdin è sempre stata mantenerlo semplice e sorprendere i clienti di Crowdin con un’esperienza utente eccezionale e le più recenti soluzioni tecnologiche.

Il settore industriale principale di Crowdin è Software come servizio.

Lo scopo dell’ISMS è assicurarsi che Crowdin possa ancora soddisfare i suoi obiettivi aziendali definiti e sia conforme alle sue politiche in previsione di incidenti di sicurezza potenziali e reali. Le politiche sono state imposte dall’organizzazione in diverse aree e devono esser prese in considerazione durante il processo di pianificazione della sicurezza delle informazioni, per assicurarsi che siano soddisfatte.

Le principali politiche rilevanti sono:

  • Business Continuity Plan
  • Information Security Management Framework
  • Risk Assessment Methodology
  • Risk Treatment Guideline
  • Incident Response Plan
  • Acceptable Use Policy
  • Access Control Policy
  • Clear Desk and Clear Screen Policy
  • Control Against Malware Policy
  • Cryptography Policy
  • Human Resources Security Policy
  • Information Backup Policy
  • Information Classification and Labeling Policy
  • IS Risk Management Policy
  • Logging and Monitoring Policy
  • Monitoring and evaluating the effectiveness of ISMS Policy
  • Network Security Policy
  • Password Policy
  • Physical Security Policy
  • Security in Development and Maintenance Processes Policy
  • Segregation of Duties Policy
  • Supplier Relationship Security Policy
  • Workstation Security Policy
  • Сhange Management Policy
  • Communication Procedure
  • Corrective and Preventive Actions Procedure
  • Disciplinary procedure
  • Document control procedure
  • Internal Audit Procedure
  • Inventory and assessment of information assets procedures
  • Risk Management Procedure
  • Maintaining confidentiality in the work
  • Management Review Procedure
  • User Access Management Procedure

Problemi interni ed esterni

Esistono numerosi problemi interni ed esterni, rilevanti allo scopo di Crowdin e che influenzano l’abilità dell’ISMS di ottenere i suoi risultati previsti.

Problemi interni:

  • Standard adottati, linee guida e modelli
  • Modifiche organizzative significative
  • Gestione e struttura organizzativa
  • Relazioni contrattuali
  • Risorse e conoscenza (es., capitale, persone, processi e tecnologie)
  • Relazione con il tuo personale e parti interessate, partner e fornitori inclusi
  • etc.

Problemi esterni:

  • Cambiamenti tecnologici
  • Regolamenti governativi e modifiche della legge
  • Competizione
  • Trasformazioni economiche nel mercato
  • Filiera
  • Società e cultura
  • Tasso d’interesse e d’inflazione
  • Protezione dei dati
  • Supporto alle tecnologie e infrastrutture
  • Automazione e intelligenza artificiale
  • Military and political shifts
  • etc.

Questi problemi interni ed esterni generali saranno considerati in maggiore dettaglio come parte del processo di valutazione del rischio e saranno revisionati e monitorati regolarmente.

Le parti interessate rilevanti all’ISMS di Crowdin sono state determinate di seguito con le loro aspettative individuali.

Una parte interessata è definita come una persona od organizzazione che possa influenzare, esser influenzata da o percepirsi come influenzata da una decisione o attività. Le seguenti sono definite come parti interessate, rilevanti all’ISMS:

  • Imprenditori
  • Governance
  • Clienti
  • Fornitori e partner
  • Corpi regolatori
  • Gruppi di clienti
  • Servizi d’Emergenza
  • Dipendenti dell’Organizzazione
  • Contraenti che forniscono servizi all’Organizzazione
  • Concorrenza
  • Investitori
  • I media
  • Controllore Legale
Parte interessata    Aspettative Requisiti
Proprietari dell’attività La sicurezza efficace delle informazioni influenza il successo finanziario dell’organizzazione Rendimento sul capitale
Governance La reputazione organizzativa dev’esser tutelata Conferma documentale e pratica dell’implementazione dell’ISMS
Clienti, Gruppo di utenti La confidenzialità, integrità e disponibilità dei dati è sempre protetta Certificato ISO 27001 dell’ISMS
Fornitori e partner Aderire ad accordi e termini di pagamento Prova d’adesione agli accordi e termini di pagamento
Corpi regolatori Le attività dell’Organizzazione sono conformi alla legislazione corrente Conferma ufficiale dei requisiti legali (rapporti, certificati, etc.)
Dipendenti dell’Organizzazione Sicurezza dei dati personali, prestazioni sociali, remunerazione appropriata, formazione e supporto, ambiente di lavoro sicuro, etc. Documenti e regolamenti legislativi, termini NDA e condizioni, istruzioni chiare su come gestire i dati sensibili, etc.
Contraenti che forniscono servizi all’Organizzazione Aderire ad accordi e termini di pagamento; Sicurezza dei dati personali, prestazioni sociali, remunerazione appropriata Evidenza di prova d’accordi e termini di pagamento; Documenti e regolamenti legislativi, NDA, istruzioni chiare su come gestire i dati sensibili, etc.
Concorrenza Risposta dell’Organizzazione alle campagne di marketing rivali con le proprie iniziative e competitività dei prezzi Risultati del monitoraggio del mercato
Investitori Redditività, utile previsto sul capitale investito Utile sul capitale investito, Bilanci
I media Trasparenza relativa agli incidenti di sicurezza Copertura delle fughe di dati e un interesse pubblico più ampio nel metodo di protezione delle informazioni personali usato dalle organizzazioni
Revisori legali Prevedere che un livello proporzionale di controlli di sicurezza siano sempre in effetto per proteggere le risorse Conferma documentale e pratica dell’implementazione dell’ISMS
Servizi d’Emergenza Ambiente di lavoro sicuro, etc. Sicurezza Antincendio, Pronto Soccorso, etc.

Obiettivi della sicurezza delle informazioni:

  • Ensure the effective functioning of the ISMS in accordance with the requirements of ISO / IEC 27001: 2013, which will allow Crowdin to be a certified company and trusted supplier for its customers (View Certificate).
  • Ensure uninterrupted operation of the company and provision of services, regardless of external and internal issues.
  • Ensure the availability, integrity and confidentiality of both customer and employee data, confidentiality of internal business processes. Minimize the number and consequences of information security incidents and their impact.
  • The goals of information security correspond to the interests of the company.

Pianificare l’ottenimento degli obiettivi di sicurezza delle informazioni

ISMS Committee, which is a collegial permanent body, CISO, should keep company policies in the actual state, ensure their integration into organizational processes.

For this purpose, ISMS committee members can make suggestions regarding the updating of documents, and approve them at the meetings of the committee. ISMS team considers security incidents, if they have occurred, creates a plan for ISMS improvements and do an analysis of what was done at the previous period.

Annual training is held on the content of information security policies, general principles of information security. In addition to annual training, people who start cooperation undergo training before they receive access to confidential data. Compliance with onboarding training requirements is monitored by the HR manager.

The system administrator provides control over the fulfillment of requirements for the use of information systems and equipment. It is described in more detail in the ISMS-PL Workstation security policy.

The CISO organizes regular activities such as BCP plan testing, backups, and staff training, reassessment of risks, formation of a risk treatment plan, records all information security incidents, and is responsible for investigating suspected incidents.

The results of ISMS work are evaluated annually at the management review meeting, at internal and certification audits.

The company allocates the necessary resources to ensure business continuity in accordance with the BCP plan, the ISMS committee helps in ensuring its operability.

Per stabilire l’ISMS, Crowdin è tenuto a:

  • Comply with both the law and ISO / IEC 27001: 2013 requirements
  • Develop and adhere to all ISMS policies and procedures and ensure their integration into organizational processes
  • Satisfy applicable requirements related to information security
  • Review and continual improvement of the information security management system
  • Be open and honest with individuals whose data is held
  • Provide training and support for staff who handle ISMS, so that they can act confidently and consistently
  • Ensure the compatibility of information security policies and objectives with Crowdin’s strategic objectives

Responsabilità per la Sicurezza delle Informazioni

Crowdin governance clearly understands that information security is the foundation life of Crowdin. Crowdin management contributes to the creation, implementation, control and support of the Policy information security.

Information Security Policy documents are developed by the ISMS Committee and other departments according to the relevant areas of activity.

The ISMS Committee is responsible for defining information security requirements and overseeing their implementation in Crowdin.

Requisiti statutari, regolamentari e contrattuali

Crowdin information security measures meet the business needs and the requirements legislation of Estonia, Ukraine, ISO / IEC 27001: 2013, internal regulations Crowdin.

The organization of any process or making changes to existing process is carried out taking into account information security. Evaluation of the effectiveness of the ISMS is carried out on a regular basis.

Crowdin’s internal independent information security audit will be conducted annually during the ISMS functional cycle.