Bilgi Güvenliği İlkesi

Giriş

Crowdin Bilgi Güvenliği İlkesi (bundan böyle İlke) bilgi güvenliğinin amaçlarını ve temel ilkelerini tanımlar. Bilgi güvenliği, özelliklerinin uygun düzeyinin uygulanması ve sürdürülmesi anlamına gelir. İlkeler gereksinimleri tüm Crowdin kuruluşu ve bütün iş süreçleri için geçerlidir ve bu iş süreçlerine dahil olanların yanı sıra tüm çalışanlar için zorunludur. İlkenin gerekliliklerine uygunluk Crowdin’in stratejik amaç ve hedeflerine ulaşmak için önemli bir husustur.

Crowdin bilgi güvenliği ilkesi ISO / IEC 27001: 2013 ve DSTU ISO / IEC 27001: 2015 gereksinimlerini karşılar.

Bu ilke şunları ayarlar:

  • Kuruluşun bağlamı
  • Crowdin’in amacı ile ilgili iç ve dış konular
  • Bilgi güvenliği yönetim sistemleriyle ilgili, ilgili taraflar (bundan böyle ISMS)
  • Bu ilgili tarafların ISMS ile ilgili gereksinimleri
  • Bilgi güvenliği hedefleri
  • Bilgi güvenliği ilkesi taahhütleri
  • Bilgi Güvenliği sorumlulukları
  • Ölçüm

Bilgi güvenliği süreçleri, Crowdin’in rehberliğini standartlar, ilkeler, düzenlemeler ve diğer iç düzenleyici belgeler şeklinde açıklar, resmi olarak tanımlar ve onaylar.

Kuruluşun bağlamı

ISO’ya göre, bir Kuruluşun bağlamını tanımlamak bir “iş ortamı”, “kuruluşun yaklaşımının onun ürününü, hizmetini ve yatırımlarını ve ilgili taraflarını etkileyebilecek iç ve dış etkenlerin ve koşulların birleşimidir”.

Crowdin, 1.5 milyondan fazla kullanıcı hesabına sahip bir ürün şirketidir.

Crowdin’in yazılım çözümü, farklı dilleri konuşan insanlara ulaşarak büyümelerini hızlandırmak için herhangi bir şekil ve boyuttaki şirkete güç verir. Crowdin ekibi, paylaşılan bir hedefe doğru tutkuyla çalışır: çevik yerelleştirme potansiyelini genişletmek için. İlk günden bugüne kadar Crowdin’in görevi bunu her zaman basit tutmak ve Crowdin’in müşterilerini olağanüstü bir kullanıcı deneyimi ve en son teknoloji çözümleriyle şaşırtmak olmuştur.

Crowdin’in ana sanayi sektörü hizmet olarak Yazılım’dır.

ISMS’nin amacı, Crowdin’in potansiyel ve gerçek güvenlik olayları karşısında hala tanımlanmış iş hedeflerini yerine getirebilmesini ve ilkelerine uymasını sağlamaktır. İlkeler kuruluş tarafından çeşitli alanlarda belirlenmiştir ve bunların karşılandığından emin olmak için bilgi güvenliği planlama sürecinde bunlar dikkate alınmak zorundadır.

Başlıca ilgili ilkeler şunlardır:

  • Risk değerlendirmesi ve risk tedavi yöntembilimi
  • Risk tedavi planı
  • Varlıkların envanteri ve bilgi sınıflandırma İlkesi
  • Varlıkların kabul edilebilir kullanımı
  • Erişim Denetimi İlkesi
  • İş sürekliliği stratejisi ve yordamları
  • Bilgi Güvenliği Olay Yönetimi İlkesi
  • Veri Koruma İlkesi
  • Belge denetimi yordamı
  • Fiziksel ve Çevre İlkesi ve Standart Çalışma Yordamları
  • Siber Güvenlik İlkesi
  • Yedekleme ilkesi
  • İnsan kaynakları güvenliği ilkesi
  • BT yönetimi için işletim yordamları
  • Tedarikçi Güvenliği İlkesi
  • Değiştirme Denetimi İlkesi
  • Rol ve sorumlulukların tanımı İlkesi
  • İç denetim yordamı
  • vb.

İç ve dış konular

Crowdin’in amacı ile ilgili ve ISMS’nin amaçlanan sonuçlarını elde etme yeteneğini etkileyen bir dizi iç ve dış konular vardır.

İç konular:

  • Benimsenen standartlar, yönergeler ve modeller
  • Önemli kurumsal değişiklikler
  • Yönetim ve kurumsal yapısı
  • Sözleşme ilişkileri
  • Kaynaklar ve bilgi (örn. sermaye, insanlar, süreçler ve teknolojiler)
  • Ortaklarınız ve tedarikçileriniz de dahil olmak üzere personeliniz ve paydaşlarınızla ilişki
  • vb.

Dış konular:

  • Teknolojideki değişiklikler
  • Hükümet düzenlemeleri ve yasadaki değişiklikler
  • Rekabet
  • Piyasadaki ekonomik değişimler
  • Tedarik zinciri
  • Toplum ve kültür
  • Faiz ve enflasyon oranı
  • Veri koruma
  • Desteklenen teknolojiler ve altyapı
  • Otomasyon ve yapay zeka
  • vb.

Bu genel iç ve dış konular, risk değerlendirme sürecinin bir parçası olarak daha ayrıntılı olarak değerlendirilecek ve düzenli olarak gözden geçirilecek ve izlenecektir.

Crowdin ISMS ile ilgili olan ilgili taraflar, bireysel beklentileri ile aşağıda belirlenmiştir.

İlgili bir taraf, bir karar veya faaliyetten etkileneceklerini algılayabilecek ya da etkileyebilecek, etkilenebilecek bir kişi veya kuruluş olarak tanımlanmaktadır. Aşağıdakiler, ISMS ile ilgili olan ilgili taraflar olarak tanımlanır:

  • İşletme Sahipleri
  • Yönetim
  • Müşteriler
  • Tedarikçiler ve ortaklar
  • Düzenleyici kuruluşlar
  • Müşteri kullanıcı grupları
  • Acil Hizmetleri
  • Kuruluşun çalışanları
  • Kuruluşa hizmet veren yükleniciler
  • Rakipler
  • Yatırımcılar
  • Medya
  • Denetçi
İlgilenen taraf    Beklentiler Gereksinim
İşletme sahipleri Etkili bilgi güvenliği, kuruluşun finansal başarısını etkiler Sermaye getirisi
Yönetim Kurumsal itibar korunmak zorundadır ISMS’in uygulanmasının belgesel ve pratik onayı
Müşteriler, Müşteri kullanıcı grupları Gizlilik, bütünlük ve verilerin kullanılabilirliği her zaman güvence altına alınmıştır ISMS ISO 27001 Sertifikası
Tedarikçiler ve ortaklar Adhering to agreements and payment terms Evidence of adhering to agreements and payment terms
Düzenleyici kuruluşlar The activities of the Organization comply with current legislation Official confirmation of legal requirements (reports, certificates, etc.)
Kuruluşun çalışanları Personal data security, social welfare benefits, appropriate remuneration, training & support, safe working environment etc. Legislative documents and regulations, NDA terms & conditions, clear instructions on how to handle sensitive data etc.
Kuruluşa hizmet veren yükleniciler Adhering to agreements and payment terms; Personal data security, social welfare benefits, appropriate remuneration Evidence of adhering to agreements and payment terms; Legislative documents and regulations, NDA, clear instructions on how to handle sensitive data etc.
Rakipler The Organization responding to rival marketing campaigns with its own initiatives and set prices competitively Results of market monitoring
Yatırımcılar Profitability, expected return on investment Return on investment, Financial Statements
Medya Transparency regarding security incidents Coverage of data breaches and a wider public interest in the way organisations protect personal information
Auditors Expect that a proportionate level of security controls are in place at all times to protect assets ISMS’in uygulanmasının belgesel ve pratik onayı
Acil Hizmetleri Safe working environment etc. Fire Safety, First aid provision etc.

Bilgi güvenliği hedefleri:

  • Establish and ensure the effective functioning of the ISMS in accordance with the requirements of ISO / IEC 27001: 2013, which is the fundamental link that provides information security
  • Obtain the Certificate ISO / IEC 27001: 2013 in accordance with the Project Plan for the development and implementation of ISMS in CROWDIN
  • Ensure Crowdin business continuity supplementing existing policies
  • Minimize the number and consequences of information security incidents

Planning to achieve information security objectives

The achievement of information security goals will be carried out according to the Project Plan for the development and implementation of ISMS in CROWDIN, approved by the ISMS Committee, which is a collegial permanent body established in accordance with the decision of the Director of OÜ CROWDIN

The main stages of the organization of ISMS are:

  • Preparation for implementation
  • Description of existing infrastructure and security measures
  • Information security risk assessment
  • Planning a set of measures to minimize risks
  • Approval and implementation of a set of measures
  • Staff training
  • Compiling reports on the state of information security

For ISMS establishment Crowdin is obliged to:

  • Comply with both the law and ISO / IEC 27001: 2013 requirements
  • Develop and adhere to all ISMS policies and procedures and ensure their integration into organizational processes
  • Satisfy applicable requirements related to information security
  • Review and continual improvement of the information security management system
  • Be open and honest with individuals whose data is held
  • Provide training and support for staff who handle ISMS, so that they can act confidently and consistently
  • Ensure the compatibility of information security policies and objectives with Crowdin’s strategic objectives

Bilgi Güvenliği sorumlulukları

Crowdin governance clearly understands that information security is the foundation life of Crowdin. Crowdin management contributes to the creation, implementation, control and support of the Policy information security.

Information Security Policy documents are developed by the ISMS Committee and other departments according to the relevant areas of activity.

The ISMS Committee is responsible for defining information security requirements and overseeing their implementation in Crowdin.

Statutory, regulatory, and contractual requirements

Crowdin information security measures meet the business needs and the requirements legislation of Estonia, Ukraine, ISO / IEC 27001: 2013, internal regulations Crowdin.

The organization of any process or making changes to existing process is carried out taking into account information security. Evaluation of the effectiveness of the ISMS is carried out on a regular basis.

Crowdin’s internal independent information security audit will be conducted annually during the ISMS functional cycle.