정보 보안 정책

목적

본 문서의 목적은 경영진이 정보 보안에 전념하고 있음을 입증하고 모든 하위 정책과 통제가 준수해야 하는 포괄적인 정책 성명을 제공하는 것입니다.

정책

Gamecheck Limited 의 이사회와 경영진은 퀸즈웨이 GX11 1AA, 매디슨 빌딩 미드타운 에 위치하고 있으며, 주로 게임 산업 사업을 운영합니다.

우리는 조직의 목적과 목표를 달성하기 위해 모든 물리적, 전자적 정보와 정보 관련 자산의 기밀성, 무결성 및 가용성을 보존하는 데 전념합니다. 이는 조직의 맥락 4에 요약되어 있습니다.

우리는 다음을 명시적으로 약속합니다.

• GDPR, DPA, PCI-DSS, NIST CSF, GRA 및 업계별 의무를 포함하되 이에 국한되지 않는 정보 보안과 관련된 모든 해당 법률, 규제, 계약 및 법정 요구 사항을 충족합니다.
• 위험 평가 및 성과 평가를 통한 보안 목표, 내부 감사, 경영진 검토, 시정 조치에 대한 체계적인 검토를 통해 ISMS를 지속적으로 개선합니다.

정보 및 정보 보안 요구 사항은 조직의 사업 목표에 맞춰 조정되며, 조직에 영향을 미치는 내부 및 외부 문제와 이해 관계자의 요구 사항을 고려합니다.

이 정책은 다음과 같습니다.

• 모든 관심 당사자는 www.gamecheck.com/security-policy 에서 공개적으로 이용할 수 있습니다.
• 모든 직원에게 다음을 통해 전달:
• 탑승 필수 교육
• 연간 보안 인식 프로그램
• 회사 전체 공지사항(이메일/인트라넷)
• 당사의 인트라넷 및 ISMS 플랫폼을 통해 제한 없이 접근 가능

ISMS 구현

당사의 ISMS 목표는 ISO/IEC 27001 요건에 따라 명시되고 측정됩니다. 본 시스템은 다음을 통해 정보 보안 위험을 관리합니다.

1. 위험을 식별, 평가 및 통제하기 위한 온라인 위험 관리 플랫폼
2. 제어 구현을 정의하는 적용성 설명
3. 위험 처리 계획에 대한 경영 검토 위원회 감독
4. 필요한 경우 프로젝트별 위험 평가

ISMS는 정보 보안 관련 위험을 관리하고 조직의 전반적인 목적과 목표를 달성하는 데 도움이 되는 메커니즘으로 고안되었습니다.

위험 관리에 대한 당사의 접근 방식을 포함한 온라인 플랫폼 환경은 ISMS의 수립 및 유지 관리를 통해 정보 관련 위험을 식별, 평가, 통제하기 위한 맥락을 제공합니다.

위험 평가 및 관리에 대한 접근 방식, 적용성 설명서 및 ISO 27001을 충족하기 위해 설정된 광범위한 요구 사항은 정보 보안 및 관련 위험을 해결하는 방법을 설명합니다.

이러한 각 영역에 대한 통제 목표는 온라인 환경의 구체적인 문서화된 정책과 절차에 의해 뒷받침되며 ISO 27001 표준의 부록 A에 나열된 포괄적인 통제와 일치합니다.

규정 준수 및 교육

모든 직원과 이해관계자는 본 정책을 준수해야 합니다. 준수는 다음을 통해 보장됩니다.

• 역할별 보안 교육
• ISMS 커뮤니케이션 포럼
• 불이행에 대한 결과(행동 강령에 따라)
• 기술 직원을 위한 전문 교육

ISMS와 관련된 모든 직원과 이해관계자는 본 정책을 준수해야 합니다. ISMS 관련 담당자를 위해 적절한 교육 및 자료가 제공되며, ISMS 커뮤니케이션 그룹과 같은 소통 포럼을 통해 지속적인 참여를 보장합니다.

지속적 개선 메커니즘

ISMS는 최고정보보안책임자(CISO)가 위원장을 맡고 조직 내 관련 부서의 고위 임원진이 지속적으로 참여하는 경영검토위원회(Management Review Board)의 검토 및 개선을 거칩니다. ISMS 프레임워크를 지원하고 보안 정책 및 더 광범위한 ISMS를 정기적으로 검토하는 데 필요한 기타 임원/전문가는 이사회 회의에 초대되어 필요에 따라 관련 업무를 완료하며, 모든 업무는 표준에 따라 문서화됩니다.

경영심의위원회는 위험 처리 계획의 전반적인 관리 및 유지를 담당하며, 조직 내 담당자에게 특정 위험 관리 활동을 할당합니다. 필요한 경우, 특정 위험에 대한 적절한 통제 방안을 결정하기 위해 추가적인 위험 평가를 수행할 수 있습니다. 예를 들어, 해당 맥락에서 완료되는 특별 프로젝트 진행 시, 추가적인 위험 평가를 수행할 수 있습니다.

경영 검토 위원회(CISO가 의장):

• 2년마다 ISMS 성과 검토를 실시합니다.
• 연간 내부 감사를 완료합니다.
• 30일 이내에 시정 조치를 시행합니다.
• 분기별로 보안 목표를 업데이트합니다.
• ISO 27001 인증을 유지

당사는 조직이 인증을 신청한 기타 관련 인증과 함께 ISO 27001에 대한 ISMS 인증을 획득하고 유지하기 위해 최선을 다하고 있습니다.

이 정책은 사업, 위험 평가 또는 위험 처리 계획의 변화에 ​​대응하기 위해 정기적으로 검토되며, 최소한 연 1회 검토됩니다.

정의

본 정책과 ISMS를 통합한 온라인 환경에 포함된 관련 정책 세트에서 '정보 보안'은 다음과 같이 정의됩니다.

보존하다 

즉, 모든 관련 이해관계자는 직무 설명서 또는 계약서에 명시된 ISMS 요건을 준수해야 할 책임을 인지하고 있으며, 앞으로도 인지하게 될 것입니다. 이를 준수하지 않을 경우의 결과는 행동 강령에 명시되어 있습니다. 모든 관련 이해관계자는 정보 보안 인식 교육을 받게 되며, 보다 전문적인 인력은 적절한 전문 정보 보안 교육을 받게 됩니다.

가용성

즉, 정보 및 관련 자산은 필요할 때 권한이 있는 사용자가 접근할 수 있어야 하며, 따라서 물리적으로 안전해야 합니다. 환경은 복원력이 있어야 하며, 조직은 자산, 시스템 및 정보의 지속적인 가용성을 위협하는 사고나 사건을 신속하게 감지하고 대응할 수 있어야 합니다.

비밀 유지 

여기에는 권한이 있는 사람만 정보에 접근할 수 있도록 보장하고, 조직 및 관련 이해 관계자의 정보, 독점 지식, 자산 및 범위 내 다른 시스템에 대한 고의적 또는 우발적 무단 접근을 방지하는 것이 포함됩니다.

그리고 정직함

여기에는 정보 및 처리 방법의 정확성과 완전성을 보호하는 것이 포함되므로 물리적 자산이나 전자 데이터의 고의적 또는 우발적, 부분적 또는 완전한 파괴 또는 무단 수정을 방지해야 합니다.

정보 및 기타 관련 자산

정보에는 인쇄되거나 종이에 기록된 디지털 정보, 어떤 수단으로든 전송된 정보, 대화에서 발화된 정보, 그리고 전자적으로 저장된 정보가 포함될 수 있습니다. 자산에는 조직 또는 관련 이해관계자가 소유한 모든 정보 기반 처리 장치와 조직 관련 정보를 처리하는 BYOD(Bring Your Own Device)가 포함됩니다.

우리 조직의

ISMS 범위에 속하는 조직 및 관련 이해 당사자는 당사의 보안 정책에 서명하고 ISMS를 수락했습니다.

문서 소유자 및 승인

CEO는 본 문서의 소유자이며, 본 정책 문서가 ISO 27001에 명시된 요건에 따라 검토되도록 할 책임이 있습니다. 본 문서의 최신 버전은 ISMS 관리 환경의 모든 직원이 이용할 수 있습니다. 본 정보 보안 정책은 경영 검토 위원회의 승인을 받았으며 버전 관리 방식으로 발행됩니다.

제임스 엘리엇

설립자