Bilgi Güvenliği İlkesi

Giriş

Crowdin Bilgi Güvenliği İlkesi (bundan böyle İlke) bilgi güvenliğinin amaçlarını ve temel ilkelerini tanımlar. Bilgi güvenliği, özelliklerinin uygun düzeyinin uygulanması ve sürdürülmesi anlamına gelir. İlkeler gereksinimleri tüm Crowdin kuruluşu ve bütün iş süreçleri için geçerlidir ve bu iş süreçlerine dahil olanların yanı sıra tüm çalışanlar için zorunludur. İlkenin gerekliliklerine uygunluk Crowdin’in stratejik amaç ve hedeflerine ulaşmak için önemli bir husustur.

Crowdin bilgi güvenliği ilkesi ISO / IEC 27001: 2013 ve DSTU ISO / IEC 27001: 2015 gereksinimlerini karşılar.

Bu ilke şunları ayarlar:

  • Kuruluşun bağlamı
  • Crowdin’in amacı ile ilgili iç ve dış konular
  • Bilgi güvenliği yönetim sistemleriyle ilgili, ilgili taraflar (bundan böyle BGYS)
  • Bu ilgili tarafların BGYS ile ilgili gereksinimleri
  • Bilgi güvenliği hedefleri
  • Bilgi güvenliği ilkesi taahhütleri
  • Bilgi Güvenliği sorumlulukları
  • Ölçüm

Bilgi güvenliği süreçleri, Crowdin’in rehberliğini standartlar, ilkeler, düzenlemeler ve diğer iç düzenleyici belgeler şeklinde açıklar, resmi olarak tanımlar ve onaylar.

Kuruluşun bağlamı

ISO’ya göre, bir Kuruluşun bağlamını tanımlamak bir “iş ortamı”, “kuruluşun yaklaşımının onun ürününü, hizmetini ve yatırımlarını ve ilgili taraflarını etkileyebilecek iç ve dış etkenlerin ve koşulların birleşimidir”.

Crowdin, 1.5 milyondan fazla kullanıcı hesabına sahip bir ürün şirketidir.

Crowdin’in yazılım çözümü, farklı dilleri konuşan insanlara ulaşarak büyümelerini hızlandırmak için herhangi bir şekil ve boyuttaki şirkete güç verir. Crowdin ekibi, paylaşılan bir hedefe doğru tutkuyla çalışır: çevik yerelleştirme potansiyelini genişletmek için. İlk günden bugüne kadar Crowdin’in görevi bunu her zaman basit tutmak ve Crowdin’in müşterilerini olağanüstü bir kullanıcı deneyimi ve en son teknoloji çözümleriyle şaşırtmak olmuştur.

Crowdin’in ana sanayi sektörü hizmet olarak Yazılım’dır.

BGYS’nin amacı, Crowdin’in potansiyel ve gerçek güvenlik olayları karşısında hala tanımlanmış iş hedeflerini yerine getirebilmesini ve ilkelerine uymasını sağlamaktır. İlkeler kuruluş tarafından çeşitli alanlarda belirlenmiştir ve bunların karşılandığından emin olmak için bilgi güvenliği planlama sürecinde bunlar dikkate alınmak zorundadır.

Başlıca ilgili ilkeler şunlardır:

  • İş Sürekliliği Planı
  • Bilgi Güvenliği Yönetimi Ana Yapısı
  • Risk Değerlendirme Metodolojisi
  • Risk Bakım Rehberi
  • Olay Müdahale Planı
  • Kabul Edilebilir Kullanım İlkesi
  • Erişim Denetimi İlkesi
  • Temiz Masa ve Temiz Ekran İlkesi
  • Kötü Amaçlı Yazılımlara Karşı Denetim İlkesi
  • Kriptografi İlkesi
  • İnsan Kaynakları Güvenlik İlkesi
  • Bilgi Yedekleme İlkesi
  • Bilgi Sınıflandırma ve Etiketleme İlkesi
  • BG Risk Yönetimi İlkesi
  • Günlükleme ve İzleme İlkesi
  • BGYS İlkesinin etkinliğinin izlenmesi ve değerlendirilmesi
  • Ağ Güvenliği İlkesi
  • Parola İlkesi
  • Fiziksel Güvenlik İlkesi
  • Geliştirme ve Bakım Süreçlerinde Güvenlik İlkesi
  • Görev Ayrılığı İlkesi
  • Tedarikçi İlişkileri Güvenliği İlkesi
  • İş İstasyonu Güvenliği İlkesi
  • Değişim Yönetimi İlkesi
  • İletişim Prosedürü
  • Düzeltici ve Önleyici Eylemler Prosedürü
  • Disiplin prosedürü
  • Belge denetim prosedürü
  • İç Denetleme Prosedürü
  • Bilgi varlıkları envanteri ve değerlendirmesi prosedürleri
  • Risk Yönetimi Prosedürü
  • Çalışmada gizliliğin korunması
  • Yönetim Gözden Geçirme Prosedürü
  • Kullanıcı Erişim Yönetimi Prosedürü

İç ve dış konular

Crowdin’in amacı ile ilgili ve BGYS’nin amaçlanan sonuçlarını elde etme yeteneğini etkileyen bir dizi iç ve dış konular vardır.

İç konular:

  • Benimsenen standartlar, yönergeler ve modeller
  • Önemli kurumsal değişiklikler
  • Yönetim ve kurumsal yapısı
  • Sözleşme ilişkileri
  • Kaynaklar ve bilgi (örn., sermaye, insanlar, süreçler ve teknolojiler)
  • Ortaklarınız ve tedarikçileriniz de dahil olmak üzere personeliniz ve paydaşlarınızla ilişki
  • vb.

Dış konular:

  • Teknolojideki değişiklikler
  • Hükümet düzenlemeleri ve yasadaki değişiklikler
  • Rekabet
  • Piyasadaki ekonomik değişimler
  • Tedarik zinciri
  • Toplum ve kültür
  • Faiz ve enflasyon oranı
  • Veri koruma
  • Desteklenen teknolojiler ve altyapı
  • Otomasyon ve yapay zeka
  • Askeri ve siyasi değişimler
  • vb.

Bu genel iç ve dış konular, risk değerlendirme sürecinin bir parçası olarak daha ayrıntılı olarak değerlendirilecek ve düzenli olarak gözden geçirilecek ve izlenecektir.

Crowdin BGYS ile ilgili olan ilgili taraflar, bireysel beklentileri ile aşağıda belirlenmiştir.

İlgili bir taraf, bir karar veya faaliyetten etkileneceklerini algılayabilecek ya da etkileyebilecek, etkilenebilecek bir kişi veya kuruluş olarak tanımlanmaktadır. Aşağıdakiler, BGYS ile ilgili olan ilgili taraflar olarak tanımlanır:

  • İşletme Sahipleri
  • Yönetim
  • Müşteriler
  • Tedarikçiler ve ortaklar
  • Düzenleyici kuruluşlar
  • Müşteri kullanıcı grupları
  • Acil Hizmetleri
  • Kuruluşun çalışanları
  • Kuruluşa hizmet veren yükleniciler
  • Rakipler
  • Yatırımcılar
  • Medya
  • Denetçi
İlgilenen taraf    Beklentiler Gereksinim
İşletme sahipleri Etkili bilgi güvenliği, kuruluşun finansal başarısını etkiler Sermaye getirisi
Yönetim Kurumsal itibar korunmak zorundadır BGYS’nin uygulanmasının belgesel ve pratik onayı
Müşteriler, Müşteri kullanıcı grupları Gizlilik, bütünlük ve verilerin kullanılabilirliği her zaman güvence altına alınmıştır BGYS ISO 27001 Sertifikası
Tedarikçiler ve ortaklar Sözleşmelere ve ödeme koşullarına bağlı kalmak Sözleşmelere ve ödeme koşullarına bağlı kalma kanıtı
Düzenleyici kuruluşlar Kuruluşun faaliyetlerinin şu anki mevzuata uyması Yasal gerekliliklerin resmi olarak onaylanması (raporlar, sertifikalar, vb.)
Kuruluşun çalışanları Kişisel veri güvenliği, sosyal yardımlar, uygun ücretlendirme, eğitim ve destek, güvenli çalışma ortamı vb. Yasal belgeler ve düzenlemeler, NDA şartları ve koşulları, hassas verilerin nasıl ele alınacağına dair net talimatlar vb.
Kuruluşa hizmet veren yükleniciler Sözleşmelere ve ödeme koşullarına bağlı kalmak; Kişisel veri güvenliği, sosyal yardımlar, uygun ücretlendirme Sözleşmelere ve ödeme koşullarına bağlı kalmanın kanıtı; Yasal belgeler ve düzenlemeler, NDA, hassas verilerin nasıl ele alınacağına dair net talimatlar vb.
Rakipler Rakip pazarlama kampanyalarına kendi girişimleriyle yanıt veren ve fiyatları rekabetçi bir şekilde belirleyen Kuruluş Piyasa izleme sonuçları
Yatırımcılar Karlılık, beklenen yatırım getirisi Yatırım getirisi, Finansal Tablolar
Medya Güvenlik olayları ile ilgili şeffaflık Veri ihlallerinin kapsamı ve kuruluşların kişisel bilgileri koruma yolunda daha geniş bir kamu yararı
Denetçiler Varlıkları korumak için her zaman orantılı düzeyde güvenlik denetimlerinin yerinde olmasını bekleyin BGYS’nin uygulanmasının belgesel ve pratik onayı
Acil Hizmetleri Güvenli çalışma ortamı vb. Yangın Güvenliği, İlk yardım sağlama vb.

Bilgi güvenliği hedefleri:

  • Crowdin’in müşterileri için sertifikalı bir şirket ve güvenilir bir tedarikçi olmasını sağlayacak ISO / IEC 27001: 2013 gerekliliklerine uygun olarak BGYS’nin etkin çalışmasını sağlamak (Sertifikayı Görüntüle).
  • Dış ve iç sorunlar ne olursa olsun şirketin kesintisiz işleyişini ve hizmet sunumunu sağlamak.
  • Hem müşteri hem de çalışan verilerinin kullanılabilirliğini, bütünlüğünü ve gizliliğini, dahili iş süreçlerinin gizliliğini sağlamak. Bilgi güvenliği olaylarının sayısını ve sonuçlarını ve etkilerini en aza indirmek.
  • Bilgi güvenliğinin hedefleri, şirketin çıkarlarına karşılık gelir.

Bilgi güvenliği hedeflerine ulaşmayı planlama

Mesleki daimi bir organ olan BGYS Komitesi, CISO, şirket ilkelerini güncel durumda tutmalı, bunların örgütsel süreçlere bütünleşmesini sağlamalıdır.

Bu amaçla BGYS komite üyeleri belgelerin güncellenmesi ile ilgili önerilerde bulunabilir ve komite toplantılarında onaylayabilir. BGYS ekibi, güvenlik olaylarını meydana geldiyse dikkate alır, BGYS iyileştirmeleri için bir plan oluşturur ve önceki dönemde yapılanların çözümlemesini yapar.

Bilgi güvenliği ilkelerinin içeriği, bilgi güvenliğinin genel prensipleri konusunda yıllık eğitimler düzenlenmektedir. İşbirliğine başlayan kişiler, yıllık eğitime ek olarak, gizli verilere erişmeden önce bir eğitime tabi tutulurlar. İşe alım eğitimi gereksinimlerine uygunluk, İK yöneticisi tarafından izlenir.

Sistem yöneticisi, bilgi sistemleri ve ekipmanlarının kullanımı için gerekliliklerin yerine getirilmesi üzerinde denetim sağlar. BGYS-PL İş İstasyonu güvenlik ilkesinde daha ayrıntılı olarak açıklanmaktadır.

CISO, BCP planı testi, yedeklemeler ve personel eğitimi, risklerin yeniden değerlendirilmesi, bir risk bakım planının oluşturulması gibi düzenli faaliyetler düzenler, tüm bilgi güvenliği olaylarını kaydeder ve şüpheli olayları araştırmaktan sorumludur.

BGYS çalışmalarının sonuçları yıllık olarak yönetimin gözden geçirme toplantısında, iç ve belgelendirme denetimlerinde değerlendirilir.

Şirket, BCP planına uygun olarak iş sürekliliğini sağlamak için gerekli kaynakları tahsis eder, BGYS komitesi işlerliğini sağlamaya yardımcı olur.

BGYS’nin kuruluşu için Crowdin şunları yapmakla yükümlüdür:

  • Hem yasalara hem de ISO / IEC 27001: 2013 gereksinimlerine uymak
  • Tüm BGYS ilkelerini ve prosedürlerini geliştirmek ve bunlara uymak ve bunların kuruluş süreçlerine bütünleştirmeyi sağlamak
  • Bilgi güvenliği ile ilgili geçerli gereksinimleri karşılamak
  • Bilgi güvenliği yönetim sisteminin gözden geçirilmesi ve sürekli iyileştirilmesi
  • Verileri tutulan bireylere karşı açık ve dürüst olmak
  • BGYS’yi idare eden personel için eğitim ve destek sağlamak, böylece kendinden emin ve tutarlı bir şekilde davranabilirler
  • Crowdin’in stratejik hedefleriyle bilgi güvenliği ilkelerinin ve hedeflerinin uyumluluğunu sağlamak

Bilgi Güvenliği sorumlulukları

Crowdin yönetimi, bilgi güvenliğinin Crowdin’in temel yaşamı olduğunu açıkça anlar. Crowdin yönetimi, İlke bilgi güvenliğinin oluşturulmasına, uygulanmasına, denetimine ve desteklenmesine katkıda bulunur.

Bilgi Güvenliği ilkesi belgeleri BGYS Komitesi ve diğer birimler tarafından ilgili faaliyet alanlarına göre geliştirilmektedir.

BGYS Komitesi, bilgi güvenliği gereksinimlerini tanımlamaktan ve Crowdin’deki uygulamalarını denetlemekten sorumludur.

Yasal, düzenleyici ve sözleşme gereksinimleri

Crowdin bilgi güvenliği önlemleri Estonya, Ukrayna, ISO / IEC 27001: 2013, iç düzenlemeler Crowdin’in iş ihtiyaçlarını ve gereklilik mevzuatını karşılar.

Herhangi bir sürecin kuruluşunda veya mevcut süreçte değişiklik yapılması bilgi güvenliği dikkate alınarak gerçekleştirilir. BGYS’nin etkinliğinin değerlendirilmesi düzenli olarak gerçekleştirilir.

Crowdin’in iç bağımsız bilgi güvenliği denetimi her yıl BGYS işlevsel döngüsü sırasında yapılacaktır.