سياسة أمن المعلومات

غاية

الغرض من هذه الوثيقة هو إظهار التزام مجلس الإدارة بأمن المعلومات وتوفير بيانات السياسة الشاملة التي يجب أن تلتزم بها جميع السياسات والضوابط التابعة.

سياسة

يعمل مجلس الإدارة والإدارة لشركة Gamecheck Limited التي تقع في Madison Building Midtown، Queensway، GX11 1AA بشكل أساسي في مجال أعمال صناعة الألعاب.

نحن ملتزمون بالحفاظ على سرية وسلامة وتوافر جميع المعلومات المادية والإلكترونية والأصول المتعلقة بالمعلومات لتحقيق غرض وأهداف المنظمة كما هو موضح في سياق المنظمة.

نحن نلتزم صراحةً بما يلي:

• تلبية جميع المتطلبات القانونية والتنظيمية والتعاقدية والتشريعية المعمول بها والمتعلقة بأمن المعلومات (بما في ذلك على سبيل المثال لا الحصر GDPR وDPA وPCI DSS وNIST CSF وGRA والالتزامات الخاصة بالصناعة ) المتعلقة بأمن المعلومات.
• تحسين نظام إدارة أمن المعلومات لدينا بشكل مستمر من خلال المراجعات المنهجية لأهداف الأمن، والتدقيق الداخلي، ومراجعات الإدارة، والإجراءات التصحيحية التي تعتمد على تقييمات المخاطر وتقييمات الأداء.

تتماشى متطلبات المعلومات وأمن المعلومات مع أهداف عمل المنظمة، مع الأخذ في الاعتبار القضايا الداخلية والخارجية التي تؤثر على المنظمة ومتطلبات الأطراف المهتمة.

هذه السياسة هي:

• متاح للعامة لجميع الأطراف المهتمة على: www.gamecheck.com/security-policy
• تم التواصل مع جميع الموظفين من خلال:
• التدريب الإلزامي على متن الطائرة
• برامج التوعية الأمنية السنوية
• الإعلانات على مستوى الشركة (البريد الإلكتروني/الإنترانت)
• يمكن الوصول إليها دون قيود عبر شبكتنا الداخلية ومنصة ISMS

تنفيذ نظام إدارة أمن المعلومات

تم تحديد أهداف نظام إدارة أمن المعلومات لدينا وقياسها وفقًا لمتطلبات ISO/IEC 27001. يدير النظام مخاطر أمن المعلومات من خلال:

1. منصة إدارة المخاطر عبر الإنترنت لتحديد المخاطر وتقييمها والسيطرة عليها
2. بيان التطبيق الذي يحدد تنفيذ الضوابط
3. إشراف مجلس مراجعة الإدارة على خطط معالجة المخاطر
4. تقييمات المخاطر الخاصة بالمشروع عند الحاجة

يهدف نظام إدارة أمن المعلومات إلى توفير آلية لإدارة المخاطر المتعلقة بأمن المعلومات وتحسين المنظمة للمساعدة في تحقيق غرضها وأهدافها الشاملة.

توفر بيئة المنصة عبر الإنترنت، بما في ذلك نهجنا لإدارة المخاطر، السياق اللازم لتحديد وتقييم ومراقبة المخاطر المتعلقة بالمعلومات من خلال إنشاء نظام إدارة أمن المعلومات وصيانته.

إن النهج المتبع في تقييم المخاطر وإدارتها، وبيان التطبيق والمتطلبات الأوسع المنصوص عليها لتلبية متطلبات ISO 27001 تحدد كيفية التعامل مع أمن المعلومات والمخاطر ذات الصلة.

ويتم دعم أهداف التحكم لكل من هذه المجالات من خلال سياسات وإجراءات موثقة محددة في البيئة عبر الإنترنت، وهي تتوافق مع الضوابط الشاملة المدرجة في الملحق أ من معيار ISO 27001.

الامتثال والتدريب

يجب على جميع الموظفين والأطراف المعنية الالتزام بهذه السياسة. ويتم ضمان الامتثال من خلال:

• التدريب الأمني ​​​​المحدد للدور
• منتديات اتصالات ISMS
• عواقب عدم الامتثال (وفقًا لقواعد السلوك)
• التدريب المتخصص للموظفين الفنيين

يجب على جميع الموظفين والأطراف المعنية ذات الصلة بنظام إدارة أمن المعلومات الالتزام بهذه السياسة. يتوفر التدريب والمواد المناسبة لدعمها لمن يشملهم نظام إدارة أمن المعلومات، كما تتوفر منتديات تواصل، مثل مجموعة اتصالات نظام إدارة أمن المعلومات، لضمان المشاركة المستمرة.

آلية التحسين المستمر

يخضع نظام إدارة أمن المعلومات (ISMS) للمراجعة والتحسين من قِبل مجلس مراجعة الإدارة، الذي يرأسه كبير مسؤولي أمن المعلومات (CISO)، ويضم تمثيلًا مستمرًا لكبار المسؤولين من الجهات المعنية في المؤسسة. يُدعى المسؤولون التنفيذيون/المتخصصون الآخرون اللازمون لدعم إطار عمل نظام إدارة أمن المعلومات (ISMS) ومراجعة سياسة الأمن ونظام إدارة أمن المعلومات (ISMS) بشكل دوري، إلى اجتماعات المجلس، ويُنجزون الأعمال ذات الصلة حسب الحاجة، ويُوثّق جميعها وفقًا للمعيار.

يتولى مجلس مراجعة الإدارة مسؤولية الإدارة الشاملة وصيانة خطة معالجة المخاطر، مع إسناد أنشطة إدارة المخاطر المحددة إلى الجهة المختصة داخل المؤسسة. ويمكن إجراء تقييمات إضافية للمخاطر، عند الضرورة، لتحديد الضوابط المناسبة لمخاطر محددة، على سبيل المثال خلال المشاريع الخاصة التي تُنجز ضمن السياق.

مجلس مراجعة الإدارة (برئاسة CISO):

• يجري مراجعات أداء نظام إدارة أمن المعلومات كل ستة أشهر
• يكمل عمليات التدقيق الداخلي السنوية
• تنفيذ الإجراءات التصحيحية خلال 30 يومًا
• تحديث أهداف الأمان ربع سنويًا
• يحافظ على شهادة ISO 27001

نحن ملتزمون بتحقيق والحفاظ على شهادة نظام إدارة أمن المعلومات ISO 27001 جنبًا إلى جنب مع الاعتمادات الأخرى ذات الصلة التي سعت مؤسستنا للحصول على الشهادة بموجبها.

سيتم مراجعة هذه السياسة بشكل منتظم للاستجابة لأي تغييرات في الأعمال، وتقييم المخاطر أو خطة معالجة المخاطر، مرة واحدة على الأقل سنويًا.

التعاريف

في هذه السياسة ومجموعة السياسات ذات الصلة المضمنة في البيئة عبر الإنترنت التي تتضمن نظام إدارة أمن المعلومات الخاص بنا، يتم تعريف "أمن المعلومات" على النحو التالي:

الحفاظ 

هذا يعني أن جميع الأطراف المعنية مُلِمّة بمسؤولياتها المحددة في أوصاف وظائفها أو عقودها، وسيتم إطلاعها عليها، وذلك للعمل وفقًا لمتطلبات نظام إدارة أمن المعلومات. وترد عواقب عدم الالتزام بذلك في مدونة قواعد السلوك. وستتلقى جميع الأطراف المعنية تدريبًا للتوعية بأمن المعلومات، وستتلقى الموارد الأكثر تخصصًا تدريبًا متخصصًا في أمن المعلومات.

التوفر

هذا يعني أن المعلومات والأصول المرتبطة بها يجب أن تكون متاحة للمستخدمين المصرح لهم عند الحاجة، وبالتالي آمنة ماديًا. يجب أن تكون البيئة مرنة، وأن تكون المؤسسة قادرة على اكتشاف الحوادث أو الأحداث التي تهدد استمرار توافر الأصول والأنظمة والمعلومات، والاستجابة لها بسرعة.

السرية 

يتضمن ذلك ضمان إمكانية الوصول إلى المعلومات فقط من قبل الأشخاص المصرح لهم بالوصول إليها ومنع الوصول غير المصرح به المتعمد أو العرضي إلى معلومات المنظمة والأطراف المهتمة ذات الصلة والمعرفة الملكية والأصول والأنظمة الأخرى في نطاق العمل.

والنزاهة

يتضمن ذلك حماية دقة واكتمال المعلومات وطرق المعالجة، وبالتالي يتطلب منع التدمير المتعمد أو العرضي، الجزئي أو الكامل، أو التعديل غير المصرح به، للأصول المادية أو البيانات الإلكترونية.

من المعلومات والأصول الأخرى ذات الصلة

تشمل المعلومات المعلومات الرقمية، المطبوعة أو المكتوبة على الورق، والمنقولة بأي وسيلة، أو المنطوقة في المحادثات، بالإضافة إلى المعلومات المخزنة إلكترونيًا. تشمل الأصول جميع أجهزة معالجة المعلومات المملوكة للمؤسسة أو تلك التابعة للأطراف المعنية، وأجهزة BYOD التي تُعالج المعلومات المتعلقة بالمؤسسة.

من منظمتنا

لقد قامت المنظمة والأطراف المهتمة ذات الصلة التي تقع ضمن نطاق نظام إدارة أمن المعلومات بالتوقيع على سياسة الأمن الخاصة بنا وقبلت نظام إدارة أمن المعلومات الخاص بنا.

مالك الوثيقة والموافقة عليها

الرئيس التنفيذي هو مالك هذه الوثيقة، وهو المسؤول عن ضمان مراجعتها وفقًا لمتطلبات معيار ISO 27001. تتوفر نسخة حالية من هذه الوثيقة لجميع الموظفين في بيئة ضوابط نظام إدارة أمن المعلومات. وقد وافق مجلس مراجعة الإدارة على سياسة أمن المعلومات هذه، وهي تُصدر وفقًا لنظام التحكم بالإصدارات.

جيمس إليوت

مؤسس