La Politica sulla Sicurezza delle Informazioni di Crowdin (di seguito la Politica) definisce gli obiettivi e principi fondamentali della sicurezza delle informazioni. Sicurezza delle informazioni significa l’implementazione e manutenzione del livello appropriato delle sue proprietà. I requisiti delle Politiche si applicano all’intera organizzazione di Crowdin e a tutti i processi aziendali e sono disponibili, obbligatoriamente, per tutti i dipendenti, nonché per tutti coloro che siano coinvolti in tali processi aziendali. La conformità coi requisiti della Politica è un aspetto importante per ottenere i fini e obiettivi strategici di Crowdin.
La politica sulla sicurezza delle informazioni di Crowdin soddisfa i requisiti ISO / IEC 27001: 2013 e DSTU ISO / IEC 27001: 2015.
Questa politica prevede:
I processi di sicurezza delle informazioni sono la guida descritta, formalmente definita e approvata di Crowdin nella forma di standard, politiche, regolamenti e altri documenti regolatori interni.
Secondo l’ISO, definire il contesto di un’Organizzazione è un “ambiente aziendale”, “una combinazione di fattori e condizioni interni ed esterni che potrebbero influenzare l’approccio aziendale ai suoi prodotti, servizi e investimenti e le parti interessate”.
Crowdin è un’azienda di prodotto con oltre 1,5 milioni di profili utente.
La soluzione software di Crowdin consente alle aziende di ogni forma e dimensioni di accelerare la propria crescita, raggiungendo persone che parlano lingue differenti. Il team di Crowdin lavora appassionatamente verso un fine condiviso: espandere il potenziale della localizzazione agile. Dal primo giorno fino a ora, la missione di Crowdin è sempre stata mantenerlo semplice e sorprendere i clienti di Crowdin con un’esperienza utente eccezionale e le più recenti soluzioni tecnologiche.
Il settore industriale principale di Crowdin è Software come servizio.
Lo scopo dell’ISMS è assicurarsi che Crowdin possa ancora soddisfare i suoi obiettivi aziendali definiti e sia conforme alle sue politiche in previsione di incidenti di sicurezza potenziali e reali. Le politiche sono state imposte dall’organizzazione in diverse aree e devono esser prese in considerazione durante il processo di pianificazione della sicurezza delle informazioni, per assicurarsi che siano soddisfatte.
Le principali politiche rilevanti sono:
Esistono numerosi problemi interni ed esterni, rilevanti allo scopo di Crowdin e che influenzano l’abilità dell’ISMS di ottenere i suoi risultati previsti.
Problemi interni:
Problemi esterni:
Questi problemi interni ed esterni generali saranno considerati in maggiore dettaglio come parte del processo di valutazione del rischio e saranno revisionati e monitorati regolarmente.
Una parte interessata è definita come una persona od organizzazione che possa influenzare, esser influenzata da o percepirsi come influenzata da una decisione o attività. Le seguenti sono definite come parti interessate, rilevanti all’ISMS:
Parte interessata | Aspettative | Requisiti |
---|---|---|
Proprietari dell’attività | La sicurezza efficace delle informazioni influenza il successo finanziario dell’organizzazione | Rendimento sul capitale |
Governance | La reputazione organizzativa dev’esser tutelata | Conferma documentale e pratica dell’implementazione dell’ISMS |
Clienti, Gruppo di utenti | La confidenzialità, integrità e disponibilità dei dati è sempre protetta | Certificato ISO 27001 dell’ISMS |
Fornitori e partner | Aderire ad accordi e termini di pagamento | Prova d’adesione agli accordi e termini di pagamento |
Corpi regolatori | Le attività dell’Organizzazione sono conformi alla legislazione corrente | Conferma ufficiale dei requisiti legali (rapporti, certificati, etc.) |
Dipendenti dell’Organizzazione | Sicurezza dei dati personali, prestazioni sociali, remunerazione appropriata, formazione e supporto, ambiente di lavoro sicuro, etc. | Documenti e regolamenti legislativi, termini NDA e condizioni, istruzioni chiare su come gestire i dati sensibili, etc. |
Contraenti che forniscono servizi all’Organizzazione | Aderire ad accordi e termini di pagamento; Sicurezza dei dati personali, prestazioni sociali, remunerazione appropriata | Evidenza di prova d’accordi e termini di pagamento; Documenti e regolamenti legislativi, NDA, istruzioni chiare su come gestire i dati sensibili, etc. |
Concorrenza | Risposta dell’Organizzazione alle campagne di marketing rivali con le proprie iniziative e competitività dei prezzi | Risultati del monitoraggio del mercato |
Investitori | Redditività, utile previsto sul capitale investito | Utile sul capitale investito, Bilanci |
I media | Trasparenza relativa agli incidenti di sicurezza | Copertura delle fughe di dati e un interesse pubblico più ampio nel metodo di protezione delle informazioni personali usato dalle organizzazioni |
Revisori legali | Prevedere che un livello proporzionale di controlli di sicurezza siano sempre in effetto per proteggere le risorse | Conferma documentale e pratica dell’implementazione dell’ISMS |
Servizi d’Emergenza | Ambiente di lavoro sicuro, etc. | Sicurezza Antincendio, Pronto Soccorso, etc. |
ISMS Committee, which is a collegial permanent body, CISO, should keep company policies in the actual state, ensure their integration into organizational processes.
For this purpose, ISMS committee members can make suggestions regarding the updating of documents, and approve them at the meetings of the committee. ISMS team considers security incidents, if they have occurred, creates a plan for ISMS improvements and do an analysis of what was done at the previous period.
Annual training is held on the content of information security policies, general principles of information security. In addition to annual training, people who start cooperation undergo training before they receive access to confidential data. Compliance with onboarding training requirements is monitored by the HR manager.
The system administrator provides control over the fulfillment of requirements for the use of information systems and equipment. It is described in more detail in the ISMS-PL Workstation security policy.
The CISO organizes regular activities such as BCP plan testing, backups, and staff training, reassessment of risks, formation of a risk treatment plan, records all information security incidents, and is responsible for investigating suspected incidents.
The results of ISMS work are evaluated annually at the management review meeting, at internal and certification audits.
The company allocates the necessary resources to ensure business continuity in accordance with the BCP plan, the ISMS committee helps in ensuring its operability.
Crowdin governance clearly understands that information security is the foundation life of Crowdin. Crowdin management contributes to the creation, implementation, control and support of the Policy information security.
Information Security Policy documents are developed by the ISMS Committee and other departments according to the relevant areas of activity.
The ISMS Committee is responsible for defining information security requirements and overseeing their implementation in Crowdin.
Crowdin information security measures meet the business needs and the requirements legislation of Estonia, Ukraine, ISO / IEC 27001: 2013, internal regulations Crowdin.
The organization of any process or making changes to existing process is carried out taking into account information security. Evaluation of the effectiveness of the ISMS is carried out on a regular basis.
Crowdin’s internal independent information security audit will be conducted annually during the ISMS functional cycle.