信息安全政策
Crowdin 信息安全政策(以下简称“政策”)定义了信息安全的目标和基本原则。 信息安全意味着实现并维护其适当级别的特性。
政策要求适用于整个 Crowdin 组织和所有业务流程,并且对所有人员以及参与这些业务流程的人员都是强制性的。 遵守本政策的要求是实现 Crowdin 战略目标和宗旨的重要方面。
Crowdin 信息安全政策符合 ISO / IEC 27001: 2022 的要求。
本政策规定:
- 组织的背景
- 与 Crowdin 宗旨相关的内部和外部问题
- 与信息安全管理体系(以下简称“ISMS”)相关的利益方
- 与 ISMS 相关的利益方的要求
- 信息安全目标
- 信息安全政策承诺
- 信息安全职责
- 衡量标准
信息安全流程以标准、政策、法规和其他内部监管文件的形式进行描述、正式定义和批准,Crowdin 对此进行指导。
根据 ISO,定义组织的背景是“商业环境”,“可能影响组织对其产品、服务和投资以及相关方的态度的内部和外部因素和条件的组合”。
Crowdin 是一家拥有超过 200 万用户账户的产品公司。
Crowdin 的软件解决方案使各种规模的公司都能接触到讲不同语言的人,从而加速其发展。
Crowdin 团队满怀热情地致力于一个共同的目标:扩大灵活本地化的潜力。 从第一天到现在,Crowdin 的使命一直是保持简单,并以出色的用户体验和最新的技术解决方案让 Crowdin 的客户叹为观止。
Crowdin 的主要产业部门是软件即服务。
ISMS 的目的是确保 Crowdin 在面临潜在和实际的安全事件时仍然能够满足其既定的业务目标并遵守其政策。
组织已在各个领域制定了政策,在信息安全规划过程中必须考虑到这些政策,以确保满足这些政策。
主要相关政策有:
- 业务连续性计划
- 信息安全管理框架
- 风险评估和处置方法
- 事件响应计划
- 可接受使用政策
- 访问控制政策
- 清洁办公桌和清洁屏幕政策
- 控制恶意软件政策
- 加密政策
- 人力资源保障政策
- 信息备份政策
- 信息分类和标记政策
- 信息系统风险管理政策
- 日志记录和监控政策
- 监控和评估 ISMS 政策的有效性
- 网络安全政策
- 密码政策
- 物理安全政策
- 开发和维护流程安全政策
- 职责分离政策
- 供应商关系安全政策
- 工作站安全政策
- 变更管理政策
- 沟通程序
- 纠正和预防措施程序
- 纪律处分程序
- 文件控制程序
- 内部审计程序
- 信息资产清查与评估程序
- 保守工作机密
- 管理审查程序
- 漏洞管理政策
- 客户支持政策中的安全性
- 竞争情报道德政策
- 远程工作政策
有许多内部和外部问题与 Crowdin 的宗旨相关,并影响 ISMS 实现其预期成果的能力。
内部问题:
- 采用的标准、准则和模式
- 重大组织变革
- 治理和组织结构
- 合同关系
- 资源和知识(如资本、人员、流程和技术)
- 与员工和利益相关者(包括合作伙伴和供应商)的关系
- 等等
外部问题
- 技术变革
- 政府法规和法律变革
- 竞争
- 市场的经济变化
- 供应链
- 社会和文化
- 利息和通货膨胀率
- 数据保护
- 支持技术和基础设施
- 自动化和人工智能
- 军事冲突和政治变革
- 等等
这些一般的内部和外部问题将作为风险评估过程的一部分得到更详细的考虑,并将定期审查和监控。
与 Crowdin 的信息安全管理体系 (ISMS) 相关的利益方已根据各自的期望确定如下。
Section titled “与 Crowdin 的信息安全管理体系 (ISMS) 相关的利益方已根据各自的期望确定如下。”利益方是指能够影响某项决策或活动、受其影响或者认为自己会受其影响的个人或组织。
与 ISMS 相关的利益方定义为:
- 企业主
- 治理体系
- 客户
- 供应商和合作伙伴
- 监管机构
- 客户用户组
- 组织人员
- 向本组织提供服务的承包商
- 竞争者
- 投资者
- 媒体
- 应急服务
- 审计员
| 利益方 | 期望 | 需求 |
|---|---|---|
| 企业主 | 有效的信息安全影响组织的财务成功 | 资本回报 |
| 治理体系 | 必须维护组织的声誉 | ISMS 实施的文件和实际确认 |
| 客户、客户用户组 | 始终确保数据的机密性、完整性和可用性 | ISMS ISO 27001 证书 |
| 供应商和合作伙伴 | 遵守协议和支付条款 | 遵守协议和支付条款的证据 |
| 监管机构 | 本组织的活动符合现行立法 | 法律要求的官方确认(报告、证书等) |
| 组织人员 | 个人数据安全、社会福利、适当的薪酬、培训和支持、安全的工作环境等。 | 立法文件和法规、保密协议条款和条件、如何处理敏感数据的明确说明等。 |
| 向本组织提供服务的承包商 | 遵守协议和支付条款;个人数据安全、社会福利、适当的报酬 | 遵守协议和支付条款的证据;立法文件和法规、保密协议、如何处理敏感数据的明确说明等。 |
| 竞争者 | 本组织采取主动行动应对竞争对手的营销活动,并制定具有竞争力的价格 | 市场监测结果 |
| 投资者 | 盈利能力、预期投资回报 | 投资回报、财务报表 |
| 媒体 | 安全事件透明度 | 数据泄露的报道以及公众对组织保护个人信息方式的广泛利益 |
| 审计员 | 期望始终实施相应级别的安全控制来保护资产 | ISMS 实施的文件和实际确认 |
| 应急服务 | 安全的工作环境等 | 消防安全、急救规定等。 |
- 确保符合 ISO / IEC 27001: 2022 的要求,这将使 Crowdin 成为客户认证的公司和值得信赖的供应商。 确保遵守与信息安全相关的法律、法规(爱沙尼亚、乌克兰立法)、合同协议和组织政策。
- 确保客户和人员数据的可用性、完整性和机密性以及内部业务流程的机密性。
- 培育积极主动的安全文化:将安全意识和责任嵌入所有人员的日常行动中,将人为因素从最薄弱的环节转变为第一道防线。
- 持续降低组织 ISMS 内的风险。
- 确保业务韧性和连续性:构建健壮的 ISMS,能够承受安全事件并从中快速恢复,最大限度地减少对业务运营的干扰,并保护组织的声誉。
此战略目标由年度 KPI 支持,在 ISMS-PL-监控和评估 ISMS 政策的有效性 政策中有更详细的描述:
- 服务可用时间(>99.95%,每年)
- 将外部系统上发现的严重和高危漏洞数量每年减少 30%。
- 零起导致敏感或受监管的客户/企业数据确认泄露的安全事件。
- 100% 在职人员完成强制性年度安全意识培训。
- 成功对关键业务应用程序进行至少一次完整的灾难恢复测试,并将平均恢复时间(MTTR)较上次测试减少 15%。
- 在下次监督审核中保持 ISO 27001 认证,零重大或轻微不符合项。
- 每年将整体计算风险评分降低 15%。
当前的政策、流程和安全措施将不断受到审查。 我们将识别并解决与 ISO/IEC 27001:2022 标准存在的任何差距。
我们将保持积极主动的风险管理策略。 该策略包括定期进行风险评估、漏洞扫描和安全审计。 我们将分析已识别的风险,并实施持续的缓解措施。
- 具有信息安全、数据保护和风险管理专业知识的专业人士。
- 安全技术,包括安全数据存储解决方案、设备管理解决方案、加密技术、漏洞评估工具。
- 熟练的审计员和分析师评估实施的安全措施的有效性并找出需要改进的领域。
- 访问最新的威胁情报来源
- 充足的预算分配来支持对安全技术、人员、培训计划和流程改进的投资。
ISMS 委员会对 Crowdin 的信息安全风险负最终责任。
有关 ISMS 委员会的职能、条例、职责和责任的详细信息,请参阅 ISMS 委员会条例。
经理/部门主管负责其部门/团队内的信息安全。 他们必须确保部门/团队已将自己的信息安全需求传达给首席信息安全官。
首席信息安全官明确负责向管理层提供适当、及时的建议,以确保根据业务战略、业务和法律要求实施、运行和维护有效的信息风险管理框架。
所有人员,无论职能、级别和角色如何,都应对信息安全管理负有明确的个人责任。
职责在 ISMS-FR-信息安全管理框架 和其他相应政策中有详细描述。
持续监控和改进 ISMS 将是一项持续的任务,以保持合规性。
定期安排风险评估和缓解活动。 漏洞评估将定期进行,作为组织持续安全实践的一部分。 一旦发现漏洞,将立即采取主动措施,以确保持续保护。
“事件响应计划”每年都会进行审查、更新和测试,以确保其在发生安全事件时能够有效地将潜在损害降至最低。
组织对 ISO/IEC 27001:2022 的遵守情况通过内部审计、管理审查、ISMS 委员会会议以及认证机构每年进行的外部审计进行评估。
定义的关键绩效指标将受到密切监控。 任何安全漏洞或事件都将触发立即调查和纠正措施,以确保客户和人员数据以及我们内部业务流程的安全。
ISMS 流程的有效性监控和评估详见 ISMS-PL-监控和评估 ISMS 政策的有效性。