Crowdin Bilgi Güvenliği İlkesi (bundan böyle İlke) bilgi güvenliğinin amaçlarını ve temel ilkelerini tanımlar. Bilgi güvenliği, özelliklerinin uygun düzeyinin uygulanması ve sürdürülmesi anlamına gelir. İlkeler gereksinimleri tüm Crowdin kuruluşu ve bütün iş süreçleri için geçerlidir ve bu iş süreçlerine dahil olanların yanı sıra tüm çalışanlar için zorunludur. İlkenin gerekliliklerine uygunluk Crowdin’in stratejik amaç ve hedeflerine ulaşmak için önemli bir husustur.
Crowdin bilgi güvenliği ilkesi ISO / IEC 27001: 2013 ve DSTU ISO / IEC 27001: 2015 gereksinimlerini karşılar.
Bu ilke şunları ayarlar:
Bilgi güvenliği süreçleri, Crowdin’in rehberliğini standartlar, ilkeler, düzenlemeler ve diğer iç düzenleyici belgeler şeklinde açıklar, resmi olarak tanımlar ve onaylar.
ISO’ya göre, bir Kuruluşun bağlamını tanımlamak bir “iş ortamı”, “kuruluşun yaklaşımının onun ürününü, hizmetini ve yatırımlarını ve ilgili taraflarını etkileyebilecek iç ve dış etkenlerin ve koşulların birleşimidir”.
Crowdin, 1.5 milyondan fazla kullanıcı hesabına sahip bir ürün şirketidir.
Crowdin’in yazılım çözümü, farklı dilleri konuşan insanlara ulaşarak büyümelerini hızlandırmak için herhangi bir şekil ve boyuttaki şirkete güç verir. Crowdin ekibi, paylaşılan bir hedefe doğru tutkuyla çalışır: çevik yerelleştirme potansiyelini genişletmek için. İlk günden bugüne kadar Crowdin’in görevi bunu her zaman basit tutmak ve Crowdin’in müşterilerini olağanüstü bir kullanıcı deneyimi ve en son teknoloji çözümleriyle şaşırtmak olmuştur.
Crowdin’in ana sanayi sektörü hizmet olarak Yazılım’dır.
BGYS’nin amacı, Crowdin’in potansiyel ve gerçek güvenlik olayları karşısında hala tanımlanmış iş hedeflerini yerine getirebilmesini ve ilkelerine uymasını sağlamaktır. İlkeler kuruluş tarafından çeşitli alanlarda belirlenmiştir ve bunların karşılandığından emin olmak için bilgi güvenliği planlama sürecinde bunlar dikkate alınmak zorundadır.
Başlıca ilgili ilkeler şunlardır:
Crowdin’in amacı ile ilgili ve BGYS’nin amaçlanan sonuçlarını elde etme yeteneğini etkileyen bir dizi iç ve dış konular vardır.
İç konular:
Dış konular:
Bu genel iç ve dış konular, risk değerlendirme sürecinin bir parçası olarak daha ayrıntılı olarak değerlendirilecek ve düzenli olarak gözden geçirilecek ve izlenecektir.
İlgili bir taraf, bir karar veya faaliyetten etkileneceklerini algılayabilecek ya da etkileyebilecek, etkilenebilecek bir kişi veya kuruluş olarak tanımlanmaktadır. Aşağıdakiler, BGYS ile ilgili olan ilgili taraflar olarak tanımlanır:
İlgilenen taraf | Beklentiler | Gereksinim |
---|---|---|
İşletme sahipleri | Etkili bilgi güvenliği, kuruluşun finansal başarısını etkiler | Sermaye getirisi |
Yönetim | Kurumsal itibar korunmak zorundadır | BGYS’nin uygulanmasının belgesel ve pratik onayı |
Müşteriler, Müşteri kullanıcı grupları | Gizlilik, bütünlük ve verilerin kullanılabilirliği her zaman güvence altına alınmıştır | BGYS ISO 27001 Sertifikası |
Tedarikçiler ve ortaklar | Sözleşmelere ve ödeme koşullarına bağlı kalmak | Sözleşmelere ve ödeme koşullarına bağlı kalma kanıtı |
Düzenleyici kuruluşlar | Kuruluşun faaliyetlerinin şu anki mevzuata uyması | Yasal gerekliliklerin resmi olarak onaylanması (raporlar, sertifikalar, vb.) |
Kuruluşun çalışanları | Kişisel veri güvenliği, sosyal yardımlar, uygun ücretlendirme, eğitim ve destek, güvenli çalışma ortamı vb. | Yasal belgeler ve düzenlemeler, NDA şartları ve koşulları, hassas verilerin nasıl ele alınacağına dair net talimatlar vb. |
Kuruluşa hizmet veren yükleniciler | Sözleşmelere ve ödeme koşullarına bağlı kalmak; Kişisel veri güvenliği, sosyal yardımlar, uygun ücretlendirme | Sözleşmelere ve ödeme koşullarına bağlı kalmanın kanıtı; Yasal belgeler ve düzenlemeler, NDA, hassas verilerin nasıl ele alınacağına dair net talimatlar vb. |
Rakipler | Rakip pazarlama kampanyalarına kendi girişimleriyle yanıt veren ve fiyatları rekabetçi bir şekilde belirleyen Kuruluş | Piyasa izleme sonuçları |
Yatırımcılar | Karlılık, beklenen yatırım getirisi | Yatırım getirisi, Finansal Tablolar |
Medya | Güvenlik olayları ile ilgili şeffaflık | Veri ihlallerinin kapsamı ve kuruluşların kişisel bilgileri koruma yolunda daha geniş bir kamu yararı |
Denetçiler | Varlıkları korumak için her zaman orantılı düzeyde güvenlik denetimlerinin yerinde olmasını bekleyin | BGYS’nin uygulanmasının belgesel ve pratik onayı |
Acil Hizmetleri | Güvenli çalışma ortamı vb. | Yangın Güvenliği, İlk yardım sağlama vb. |
Mesleki daimi bir organ olan BGYS Komitesi, CISO, şirket ilkelerini güncel durumda tutmalı, bunların örgütsel süreçlere bütünleşmesini sağlamalıdır.
Bu amaçla BGYS komite üyeleri belgelerin güncellenmesi ile ilgili önerilerde bulunabilir ve komite toplantılarında onaylayabilir. BGYS ekibi, güvenlik olaylarını meydana geldiyse dikkate alır, BGYS iyileştirmeleri için bir plan oluşturur ve önceki dönemde yapılanların çözümlemesini yapar.
Bilgi güvenliği ilkelerinin içeriği, bilgi güvenliğinin genel prensipleri konusunda yıllık eğitimler düzenlenmektedir. İşbirliğine başlayan kişiler, yıllık eğitime ek olarak, gizli verilere erişmeden önce bir eğitime tabi tutulurlar. İşe alım eğitimi gereksinimlerine uygunluk, İK yöneticisi tarafından izlenir.
Sistem yöneticisi, bilgi sistemleri ve ekipmanlarının kullanımı için gerekliliklerin yerine getirilmesi üzerinde denetim sağlar. BGYS-PL İş İstasyonu güvenlik ilkesinde daha ayrıntılı olarak açıklanmaktadır.
CISO, BCP planı testi, yedeklemeler ve personel eğitimi, risklerin yeniden değerlendirilmesi, bir risk bakım planının oluşturulması gibi düzenli faaliyetler düzenler, tüm bilgi güvenliği olaylarını kaydeder ve şüpheli olayları araştırmaktan sorumludur.
BGYS çalışmalarının sonuçları yıllık olarak yönetimin gözden geçirme toplantısında, iç ve belgelendirme denetimlerinde değerlendirilir.
Şirket, BCP planına uygun olarak iş sürekliliğini sağlamak için gerekli kaynakları tahsis eder, BGYS komitesi işlerliğini sağlamaya yardımcı olur.
Crowdin yönetimi, bilgi güvenliğinin Crowdin’in temel yaşamı olduğunu açıkça anlar. Crowdin yönetimi, İlke bilgi güvenliğinin oluşturulmasına, uygulanmasına, denetimine ve desteklenmesine katkıda bulunur.
Bilgi Güvenliği ilkesi belgeleri BGYS Komitesi ve diğer birimler tarafından ilgili faaliyet alanlarına göre geliştirilmektedir.
BGYS Komitesi, bilgi güvenliği gereksinimlerini tanımlamaktan ve Crowdin’deki uygulamalarını denetlemekten sorumludur.
Crowdin bilgi güvenliği önlemleri Estonya, Ukrayna, ISO / IEC 27001: 2013, iç düzenlemeler Crowdin’in iş ihtiyaçlarını ve gereklilik mevzuatını karşılar.
Herhangi bir sürecin kuruluşunda veya mevcut süreçte değişiklik yapılması bilgi güvenliği dikkate alınarak gerçekleştirilir. BGYS’nin etkinliğinin değerlendirilmesi düzenli olarak gerçekleştirilir.
Crowdin’in iç bağımsız bilgi güvenliği denetimi her yıl BGYS işlevsel döngüsü sırasında yapılacaktır.