Bilgi Güvenliği İlkesi

Giriş

Crowdin Bilgi Güvenliği İlkesi (bundan böyle İlke) bilgi güvenliğinin amaçlarını ve temel ilkelerini tanımlar. Bilgi güvenliği, özelliklerinin uygun düzeyinin uygulanması ve sürdürülmesi anlamına gelir. İlkeler gereksinimleri tüm Crowdin kuruluşu ve bütün iş süreçleri için geçerlidir ve bu iş süreçlerine dahil olanların yanı sıra tüm çalışanlar için zorunludur. İlkenin gerekliliklerine uygunluk Crowdin’in stratejik amaç ve hedeflerine ulaşmak için önemli bir husustur.

Crowdin bilgi güvenliği ilkesi ISO / IEC 27001: 2013 ve DSTU ISO / IEC 27001: 2015 gereksinimlerini karşılar.

Bu ilke şunları ayarlar:

  • Kuruluşun bağlamı
  • Crowdin’in amacı ile ilgili iç ve dış konular
  • Bilgi güvenliği yönetim sistemleriyle ilgili, ilgili taraflar (bundan böyle ISMS)
  • Bu ilgili tarafların ISMS ile ilgili gereksinimleri
  • Bilgi güvenliği hedefleri
  • Bilgi güvenliği ilkesi taahhütleri
  • Bilgi Güvenliği sorumlulukları
  • Ölçüm

Bilgi güvenliği süreçleri, Crowdin’in rehberliğini standartlar, ilkeler, düzenlemeler ve diğer iç düzenleyici belgeler şeklinde açıklar, resmi olarak tanımlar ve onaylar.

Kuruluşun bağlamı

ISO’ya göre, bir Kuruluşun bağlamını tanımlamak bir “iş ortamı”, “kuruluşun yaklaşımının onun ürününü, hizmetini ve yatırımlarını ve ilgili taraflarını etkileyebilecek iç ve dış etkenlerin ve koşulların birleşimidir”.

Crowdin, 1.5 milyondan fazla kullanıcı hesabına sahip bir ürün şirketidir.

Crowdin’in yazılım çözümü, farklı dilleri konuşan insanlara ulaşarak büyümelerini hızlandırmak için herhangi bir şekil ve boyuttaki şirkete güç verir. Crowdin ekibi, paylaşılan bir hedefe doğru tutkuyla çalışır: çevik yerelleştirme potansiyelini genişletmek için. İlk günden bugüne kadar Crowdin’in görevi bunu her zaman basit tutmak ve Crowdin’in müşterilerini olağanüstü bir kullanıcı deneyimi ve en son teknoloji çözümleriyle şaşırtmak olmuştur.

Crowdin’in ana sanayi sektörü hizmet olarak Yazılım’dır.

ISMS’nin amacı, Crowdin’in potansiyel ve gerçek güvenlik olayları karşısında hala tanımlanmış iş hedeflerini yerine getirebilmesini ve ilkelerine uymasını sağlamaktır. İlkeler kuruluş tarafından çeşitli alanlarda belirlenmiştir ve bunların karşılandığından emin olmak için bilgi güvenliği planlama sürecinde bunlar dikkate alınmak zorundadır.

Başlıca ilgili ilkeler şunlardır:

  • Risk değerlendirmesi ve risk tedavi yöntembilimi
  • Risk tedavi planı
  • Varlıkların envanteri ve bilgi sınıflandırma İlkesi
  • Varlıkların kabul edilebilir kullanımı
  • Erişim Denetimi İlkesi
  • İş sürekliliği stratejisi ve yordamları
  • Bilgi Güvenliği Olay Yönetimi İlkesi
  • Veri Koruma İlkesi
  • Belge denetimi yordamı
  • Fiziksel ve Çevre İlkesi ve Standart Çalışma Yordamları
  • Siber Güvenlik İlkesi
  • Yedekleme ilkesi
  • İnsan kaynakları güvenliği ilkesi
  • BT yönetimi için işletim yordamları
  • Tedarikçi Güvenliği İlkesi
  • Değiştirme Denetimi İlkesi
  • Rol ve sorumlulukların tanımı İlkesi
  • İç denetim yordamı
  • vb.

İç ve dış konular

Crowdin’in amacı ile ilgili ve ISMS’nin amaçlanan sonuçlarını elde etme yeteneğini etkileyen bir dizi iç ve dış konular vardır.

İç konular:

  • Benimsenen standartlar, yönergeler ve modeller
  • Önemli kurumsal değişiklikler
  • Yönetim ve kurumsal yapısı
  • Sözleşme ilişkileri
  • Kaynaklar ve bilgi (örn. sermaye, insanlar, süreçler ve teknolojiler)
  • Ortaklarınız ve tedarikçileriniz de dahil olmak üzere personeliniz ve paydaşlarınızla ilişki
  • vb.

Dış konular:

  • Teknolojideki değişiklikler
  • Hükümet düzenlemeleri ve yasadaki değişiklikler
  • Rekabet
  • Piyasadaki ekonomik değişimler
  • Tedarik zinciri
  • Toplum ve kültür
  • Faiz ve enflasyon oranı
  • Veri koruma
  • Desteklenen teknolojiler ve altyapı
  • Otomasyon ve yapay zeka
  • vb.

Bu genel iç ve dış konular, risk değerlendirme sürecinin bir parçası olarak daha ayrıntılı olarak değerlendirilecek ve düzenli olarak gözden geçirilecek ve izlenecektir.

Crowdin ISMS ile ilgili olan ilgili taraflar, bireysel beklentileri ile aşağıda belirlenmiştir.

İlgili bir taraf, bir karar veya faaliyetten etkileneceklerini algılayabilecek ya da etkileyebilecek, etkilenebilecek bir kişi veya kuruluş olarak tanımlanmaktadır. Aşağıdakiler, ISMS ile ilgili olan ilgili taraflar olarak tanımlanır:

  • İşletme Sahipleri
  • Yönetim
  • Müşteriler
  • Tedarikçiler ve ortaklar
  • Düzenleyici kuruluşlar
  • Müşteri kullanıcı grupları
  • Acil Hizmetleri
  • Kuruluşun çalışanları
  • Kuruluşa hizmet veren yükleniciler
  • Rakipler
  • Yatırımcılar
  • Medya
  • Denetçi
İlgilenen taraf    Beklentiler Gereksinim
İşletme sahipleri Etkili bilgi güvenliği, kuruluşun finansal başarısını etkiler Sermaye getirisi
Yönetim Kurumsal itibar korunmak zorundadır ISMS’in uygulanmasının belgesel ve pratik onayı
Müşteriler, Müşteri kullanıcı grupları Gizlilik, bütünlük ve verilerin kullanılabilirliği her zaman güvence altına alınmıştır ISMS ISO 27001 Sertifikası
Tedarikçiler ve ortaklar Sözleşmelere ve ödeme koşullarına bağlı kalmak Sözleşmelere ve ödeme koşullarına bağlı kalma kanıtı
Düzenleyici kuruluşlar Kuruluşun faaliyetlerinin şu anki mevzuata uyması Yasal gerekliliklerin resmi olarak onaylanması (raporlar, sertifikalar, vb.)
Kuruluşun çalışanları Kişisel veri güvenliği, sosyal yardımlar, uygun ücretlendirme, eğitim ve destek, güvenli çalışma ortamı vb. Yasal belgeler ve düzenlemeler, NDA şartları ve koşulları, hassas verilerin nasıl ele alınacağına dair net talimatlar vb.
Kuruluşa hizmet veren yükleniciler Sözleşmelere ve ödeme koşullarına bağlı kalmak; Kişisel veri güvenliği, sosyal yardımlar, uygun ücretlendirme Sözleşmelere ve ödeme koşullarına bağlı kalmanın kanıtı; Yasal belgeler ve düzenlemeler, NDA, hassas verilerin nasıl ele alınacağına dair net talimatlar vb.
Rakipler Rakip pazarlama kampanyalarına kendi girişimleriyle yanıt veren ve fiyatları rekabetçi bir şekilde belirleyen Kuruluş Piyasa izleme sonuçları
Yatırımcılar Karlılık, beklenen yatırım getirisi Yatırım getirisi, Finansal Tablolar
Medya Güvenlik olayları ile ilgili şeffaflık Veri ihlallerinin kapsamı ve kuruluşların kişisel bilgileri koruma yolunda daha geniş bir kamu yararı
Denetçiler Varlıkları korumak için her zaman orantılı düzeyde güvenlik denetimlerinin yerinde olmasını bekleyin ISMS’in uygulanmasının belgesel ve pratik onayı
Acil Hizmetleri Güvenli çalışma ortamı vb. Yangın Güvenliği, İlk yardım sağlama vb.

Bilgi güvenliği hedefleri:

  • Bilgi güvenliğini sağlayan temel bağlantı olan ISO / IEC 27001: 2013 gereksinimlerine uygun olarak ISMS’nin etkin işleyişini oluşturmak ve sağlamak
  • CROWDIN’de ISMS’nin geliştirilmesi ve uygulanmasına yönelik Proje Planına göre ISO / IEC 27001: 2013 Sertifikasının alınması
  • Crowdin’in varolan ilkelerini destekleyen iş sürekliliğini sağlamak
  • Bilgi güvenliği olaylarının sayısını ve sonuçlarını en aza indirmek

Bilgi güvenliği hedeflerine ulaşmayı planlama

Bilgi güvenliği hedeflerine ulaşılması, OÜ CROWDIN Müdürünün kararı doğrultusunda kurulmuş bir kollektif kalıcı bir organ olan ISMS Komitesi tarafından onaylanan CROWDIN’de ISMS’nin geliştirilmesi ve uygulanmasına yönelik Proje Planına göre gerçekleştirilecektir

ISMS kuruluşunun ana aşamaları şunlardır:

  • Uygulamaya hazırlık
  • Mevcut altyapı ve güvenlik önlemlerinin açıklaması
  • Bilgi güvenliği risk değerlendirmesi
  • Riskleri en aza indirmek için bir dizi önlem planlama
  • Bir dizi önlemin onaylanması ve uygulanması
  • Personel eğitimi
  • Bilgi güvenliğinin durumu hakkında raporlar derleme

ISMS kuruluşu için Crowdin şunları yapmakla yükümlüdür:

  • Hem yasalara hem de ISO / IEC 27001: 2013 gereksinimlerine uymak
  • Tüm ISMS ilkelerini ve prosedürlerini geliştirmek ve bunlara uymak ve bunların kuruluş süreçlerine bütünleştirmeyi sağlamak
  • Bilgi güvenliği ile ilgili geçerli gereksinimleri karşılamak
  • Bilgi güvenliği yönetim sisteminin gözden geçirilmesi ve sürekli iyileştirilmesi
  • Verileri tutulan bireylere karşı açık ve dürüst olmak
  • ISMS’yi idare eden personel için eğitim ve destek sağlamak, böylece kendinden emin ve tutarlı bir şekilde davranabilirler
  • Crowdin’in stratejik hedefleriyle bilgi güvenliği ilkelerinin ve hedeflerinin uyumluluğunu sağlamak

Bilgi Güvenliği sorumlulukları

Crowdin yönetimi, bilgi güvenliğinin Crowdin’in temel yaşamı olduğunu açıkça anlar. Crowdin yönetimi, İlke bilgi güvenliğinin oluşturulmasına, uygulanmasına, denetimine ve desteklenmesine katkıda bulunur.

Bilgi Güvenliği ilkesi belgeleri ISMS Komitesi ve diğer birimler tarafından ilgili faaliyet alanlarına göre geliştirilmektedir.

ISMS Komitesi, bilgi güvenliği gereksinimlerini tanımlamaktan ve Crowdin’deki uygulamalarını denetlemekten sorumludur.

Yasal, düzenleyici ve sözleşme gereksinimleri

Crowdin bilgi güvenliği önlemleri Estonya, Ukrayna, ISO / IEC 27001: 2013, iç düzenlemeler Crowdin’in iş ihtiyaçlarını ve gereklilik mevzuatını karşılar.

Herhangi bir sürecin kuruluşunda veya mevcut süreçte değişiklik yapılması bilgi güvenliği dikkate alınarak gerçekleştirilir. ISMS’nin etkinliğinin değerlendirilmesi düzenli olarak gerçekleştirilir.

Crowdin’in iç bağımsız bilgi güvenliği denetimi her yıl ISMS işlevsel döngüsü sırasında yapılacaktır.