Crowdin Bilgi Güvenliği İlkesi (bundan böyle İlke) bilgi güvenliğinin amaçlarını ve temel ilkelerini tanımlar. Bilgi güvenliği, özelliklerinin uygun düzeyinin uygulanması ve sürdürülmesi anlamına gelir.
İlkeler gereksinimleri tüm Crowdin kuruluşu ve bütün iş süreçleri için geçerlidir ve bu iş süreçlerine dahil olanların yanı sıra tüm çalışanlar için zorunludur. İlkenin gerekliliklerine uygunluk Crowdin’in stratejik amaç ve hedeflerine ulaşmak için önemli bir husustur.
Crowdin bilgi güvenliği ilkesi ISO / IEC 27001: 2022 ve DSTU ISO / IEC 27001: 2015 gereksinimlerini karşılar.
Bu ilke şunları ayarlar:
Bilgi güvenliği süreçleri, Crowdin’in rehberliğini standartlar, ilkeler, düzenlemeler ve diğer iç düzenleyici belgeler şeklinde açıklar, resmi olarak tanımlar ve onaylar.
ISO’ya göre, bir Kuruluşun bağlamını tanımlamak bir “iş ortamı”, “kuruluşun yaklaşımının onun ürününü, hizmetini ve yatırımlarını ve ilgili taraflarını etkileyebilecek iç ve dış etkenlerin ve koşulların birleşimidir”.
Crowdin, 2 milyondan fazla kullanıcı hesabına sahip bir ürün şirketidir.
Crowdin’in yazılım çözümü, farklı dilleri konuşan insanlara ulaşarak büyümelerini hızlandırmak için herhangi bir şekil ve boyuttaki şirkete güç verir.
Crowdin ekibi, paylaşılan bir hedefe doğru tutkuyla çalışır: çevik yerelleştirme potansiyelini genişletmek için. İlk günden bugüne kadar Crowdin’in görevi bunu her zaman basit tutmak ve Crowdin’in müşterilerini olağanüstü bir kullanıcı deneyimi ve en son teknoloji çözümleriyle şaşırtmak olmuştur.
Crowdin’in ana sanayi sektörü hizmet olarak Yazılım’dır.
BGYS’nin amacı, Crowdin’in potansiyel ve gerçek güvenlik olayları karşısında hala tanımlanmış iş hedeflerini yerine getirebilmesini ve ilkelerine uymasını sağlamaktır.
İlkeler kuruluş tarafından çeşitli alanlarda belirlenmiştir ve bunların karşılandığından emin olmak için bilgi güvenliği planlama sürecinde bunlar dikkate alınmak zorundadır.
Başlıca ilgili ilkeler şunlardır:
Crowdin’in amacı ile ilgili ve BGYS’nin amaçlanan sonuçlarını elde etme yeteneğini etkileyen bir dizi iç ve dış konular vardır.
İç konular:
Dış konular:
Bu genel iç ve dış konular, risk değerlendirme sürecinin bir parçası olarak daha ayrıntılı olarak değerlendirilecek ve düzenli olarak gözden geçirilecek ve izlenecektir.
İlgili bir taraf, bir karar veya faaliyetten etkileneceklerini algılayabilecek ya da etkileyebilecek, etkilenebilecek bir kişi veya kuruluş olarak tanımlanmaktadır.
Aşağıdakiler, BGYS ile ilgili olan ilgili taraflar olarak tanımlanır:
İlgilenen taraf | Beklentiler | Gereksinim |
---|---|---|
İşletme sahipleri | Etkili bilgi güvenliği, kuruluşun finansal başarısını etkiler | Sermaye getirisi |
Yönetim | Kurumsal itibar korunmak zorundadır | BGYS’nin uygulanmasının belgesel ve pratik onayı |
Müşteriler, Müşteri kullanıcı grupları | Gizlilik, bütünlük ve verilerin kullanılabilirliği her zaman güvence altına alınmıştır | BGYS ISO 27001 Sertifikası |
Tedarikçiler ve ortaklar | Sözleşmelere ve ödeme koşullarına bağlı kalmak | Sözleşmelere ve ödeme koşullarına bağlı kalma kanıtı |
Düzenleyici kuruluşlar | Kuruluşun faaliyetlerinin şu anki mevzuata uyması | Yasal gerekliliklerin resmi olarak onaylanması (raporlar, sertifikalar, vb.) |
Kuruluşun çalışanları | Kişisel veri güvenliği, sosyal yardımlar, uygun ücretlendirme, eğitim ve destek, güvenli çalışma ortamı vb. | Yasal belgeler ve düzenlemeler, NDA şartları ve koşulları, hassas verilerin nasıl ele alınacağına dair net talimatlar vb. |
Kuruluşa hizmet veren yükleniciler | Sözleşmelere ve ödeme koşullarına bağlı kalmak; Kişisel veri güvenliği, sosyal yardımlar, uygun ücretlendirme | Sözleşmelere ve ödeme koşullarına bağlı kalmanın kanıtı; Yasal belgeler ve düzenlemeler, NDA, hassas verilerin nasıl ele alınacağına dair net talimatlar vb. |
Rakipler | Rakip pazarlama kampanyalarına kendi girişimleriyle yanıt veren ve fiyatları rekabetçi bir şekilde belirleyen Kuruluş | Piyasa izleme sonuçları |
Yatırımcılar | Karlılık, beklenen yatırım getirisi | Yatırım getirisi, Finansal Tablolar |
Medya | Güvenlik olayları ile ilgili şeffaflık | Veri ihlallerinin kapsamı ve kuruluşların kişisel bilgileri koruma yolunda daha geniş bir kamu yararı |
Denetçiler | Varlıkları korumak için her zaman orantılı düzeyde güvenlik denetimlerinin yerinde olmasını bekleyin | BGYS’nin uygulanmasının belgesel ve pratik onayı |
Acil Hizmetleri | Güvenli çalışma ortamı vb. | Yangın Güvenliği, İlk yardım sağlama vb. |
Bu stratejik hedefler, ISMS-PL-BGYS İlkesinin etkinliğinin izlenmesi ve değerlendirilmesi ilkesinde daha ayrıntılı olarak açıklanan yıllık KPI’lar tarafından desteklenmektedir:
Şu anki ilkeler, süreçler ve güvenlik önlemleri sürekli olarak gözden geçirilecektir. ISO/IEC 27001:2022 standartlarına uyumdaki tüm boşluklar belirlenecek ve giderilecektir.
Proaktif bir risk yönetimi stratejisi sürdürülecektir. Bu strateji, düzenli risk değerlendirmeleri, güvenlik açığı taramaları ve güvenlik denetimlerinin yapılmasını içerir. Tespit edilen riskler analiz edilecek ve sürekli azaltıcı önlemler uygulanacaktır.
BGYS Komitesi, Crowdin genelinde Bilgi Güvenliği Risklerine ilişkin nihai sorumluluğa sahiptir.
BGYS Komitesinin işlevlerine, yönetmeliğine, görev ve sorumluluklarına ilişkin detaylı bilgi BGYS Komitesi Yönetmeliğinde yer almaktadır.
Yöneticiler/Bölüm Başkanları kendi bölümlerinde/ekiplerinde bilgi güvenliğinden sorumludur. Bölümün/ekibin kendi bilgi güvenliği ihtiyaçlarını CISO’ya ilettiğinden emin olmak zorundadırlar.
CISO, etkili bir bilgi risk yönetimi çerçevesinin iş stratejisi, iş ve yasal gerekliliklerle uyumlu olarak uygulanmasını, işletilmesini ve sürdürülmesini sağlamak için yönetime uygun ve zamanında tavsiyelerin sağlanmasından açıkça sorumludur.
Görevi, seviyesi ve rolü ne olursa olsun tüm personelin Bilgi Güvenliği Yönetimi konusunda açık kişisel sorumlulukları olacaktır.
Sorumluluklar, ISMS-FR-Bilgi Güvenliği Yönetim Çerçevesi’nde ve ilgili diğer ilkelerde ayrıntılı olarak açıklanmaktadır.
BGYS’nin sürekli izlenmesi ve iyileştirilmesi, uyumluluğu sürdürmek için devam eden bir görev olacaktır.
Düzenli risk değerlendirmeleri ve azaltma etkinlikleri periyodik olarak planlanacaktır. Güvenlik açığı değerlendirmeleri, kuruluşun devam eden güvenlik uygulamalarının bir parçası olarak düzenli olarak gerçekleştirilecektir. Sürekli korumayı sağlamak için güvenlik açıkları tespit edildikten hemen sonra proaktif önlemler uygulanacaktır.
Olay Müdahale Planı, bir güvenlik olayı durumunda potansiyel hasarın en aza indirilmesinde etkinliğini sağlamak amacıyla yıllık olarak gözden geçirilir, güncellenir ve denenir.
BGYS’de izlenebilecek sistem, süreç ve etkinlikler aşağıdakileri içerir ancak bunlarla sınırlı değildir:
Kuruluşun ISO/IEC 27001:2022 ile uyumluluğu iç denetim, yönetimin gözden geçirilmesi, BGYS komite toplantıları yoluyla değerlendirilir. Sertifikasyon kuruluşları tarafından gerçekleştirilen yıllık dış denetimler uyumluluk durumumuzun daha da doğrulanmasını sağlayacaktır.
Tanımlanan temel performans göstergeleri yakından takip edilecektir. Herhangi bir güvenlik ihlali veya olayı, dahili iş süreçlerimizin yanı sıra müşteri ve çalışan verilerinin güvenliğini sağlamak için derhal soruşturmayı ve düzeltici eylemi tetikleyecektir.
BGYS süreçlerinin verimliliğinin izlenmesi ve değerlendirilmesi, ISMS-PL-BGYS İlkesinin etkinliğinin izlenmesi ve değerlendirilmesi’nde açıklanmaktadır