Polityka Bezpieczeństwa Informacji

Zamiar

Celem niniejszego dokumentu jest pokazanie zaangażowania zarządu w bezpieczeństwo informacji oraz określenie ogólnych zasad polityki, do których muszą być zgodne wszystkie podległe polityki i kontrole.

Polityka

Zarząd i kadra zarządzająca Gamecheck Limited z siedzibą w Madison Building Midtown, Queensway, GX11 1AA działają głównie w branży gier.

Zobowiązujemy się do zachowania poufności, integralności i dostępności wszystkich informacji fizycznych i elektronicznych oraz aktywów informacyjnych w celu realizacji celów i zadań organizacji, zgodnie z podsumowaniem zawartym w punkcie 4 Kontekst organizacji.

Wyraźnie zobowiązujemy się do:

• Spełniać wszystkie obowiązujące wymogi prawne, regulacyjne, umowne i ustawowe związane z bezpieczeństwem informacji (w tym między innymi GDPR, DPA, PCI-DSS, NIST CSF, GRA i obowiązki branżowe ) w zakresie bezpieczeństwa informacji.
• Ciągłe doskonalenie naszego Systemu Zarządzania Bezpieczeństwem Informacji (ISMS) poprzez systematyczne przeglądy celów bezpieczeństwa, audyty wewnętrzne, przeglądy zarządzania oraz działania korygujące oparte na ocenie ryzyka i ewaluacji wydajności.

Wymagania dotyczące informacji i bezpieczeństwa informacji są zgodne z celami biznesowymi organizacji, uwzględniają kwestie wewnętrzne i zewnętrzne mające wpływ na organizację oraz wymagania stron zainteresowanych.

Niniejsza polityka jest następująca:

• Dostępne publicznie dla wszystkich zainteresowanych stron pod adresem: www.gamecheck.com/security-policy
• Przekazano wszystkim pracownikom za pośrednictwem:
• Obowiązkowe szkolenie w trakcie wdrażania
• Roczne programy podnoszenia świadomości bezpieczeństwa
• Ogłoszenia ogólnofirmowe (e-mail/intranet)
• Dostępne bez ograniczeń za pośrednictwem naszego intranetu i platformy ISMS

Wdrożenie SZBI

Cele naszego systemu zarządzania bezpieczeństwem informacji (ISMS) są określone i mierzone zgodnie z wymaganiami normy ISO/IEC 27001. System zarządza ryzykiem bezpieczeństwa informacji poprzez:

1. Platforma zarządzania ryzykiem online służąca do identyfikacji, oceny i kontroli ryzyka
2. Oświadczenie o stosowalności definiujące wdrożenie kontroli
3. Nadzór Zarządu nad planami postępowania z ryzykiem
4. Oceny ryzyka specyficznego dla projektu, jeśli są wymagane

System zarządzania bezpieczeństwem informacji (ISMS) ma stanowić mechanizm zarządzania ryzykiem związanym z bezpieczeństwem informacji oraz usprawniać działanie organizacji w celu osiągnięcia jej ogólnego celu i zadań.

Środowisko platformy internetowej, w tym nasze podejście do zarządzania ryzykiem, zapewnia kontekst umożliwiający identyfikację, ocenę, analizę i kontrolę ryzyka związanego z informacjami poprzez ustanowienie i utrzymanie Systemu Zarządzania Bezpieczeństwem Informacji.

Podejście przyjęte w ocenie i zarządzaniu ryzykiem, Oświadczenie o stosowalności i szersze wymagania określone w celu spełnienia normy ISO 27001 określają sposób radzenia sobie z bezpieczeństwem informacji i powiązanymi z nim ryzykami.

Cele kontroli dla każdego z tych obszarów są poparte konkretnymi udokumentowanymi zasadami i procedurami w środowisku online i są zgodne z kompleksowymi kontrolami wymienionymi w Załączniku A do normy ISO 27001.

Zgodność i szkolenia

Wszyscy pracownicy i strony zainteresowane muszą przestrzegać niniejszej polityki. Zgodność z nią jest zapewniana poprzez:

• Szkolenia z zakresu bezpieczeństwa specyficzne dla roli
• Fora komunikacyjne ISMS
• Konsekwencje nieprzestrzegania zasad (zgodnie z Kodeksem postępowania)
• Szkolenia specjalistyczne dla personelu technicznego

Wszyscy pracownicy i odpowiednie Strony Zainteresowane związane z ISMS muszą przestrzegać niniejszej polityki. Odpowiednie szkolenia i materiały wspierające są dostępne dla osób objętych zakresem ISMS, a fora komunikacyjne, takie jak grupa ds. komunikacji ISMS, zapewniają stałe zaangażowanie.

Mechanizm ciągłego doskonalenia

System Zarządzania Bezpieczeństwem Informacji (ISMS) podlega przeglądowi i udoskonalaniu przez Radę ds. Przeglądu Zarządzania, której przewodniczy Dyrektor ds. Bezpieczeństwa Informacji (CISO), a w której stale reprezentowane są kadry kierownicze wyższego szczebla z odpowiednich działów organizacji. Inni dyrektorzy/specjaliści, niezbędni do wspierania ram ISMS oraz okresowego przeglądu polityki bezpieczeństwa i szerszego systemu ISMS, są zapraszani na posiedzenia Rady i wykonują niezbędne prace, które są dokumentowane zgodnie ze standardem.

Rada ds. Przeglądu Zarządzania odpowiada za całościowe zarządzanie i utrzymanie planu postępowania z ryzykiem, a konkretne działania w zakresie zarządzania ryzykiem są przypisane odpowiedniemu właścicielowi w organizacji. W razie potrzeby można przeprowadzić dodatkowe oceny ryzyka w celu określenia odpowiednich mechanizmów kontroli dla konkretnych ryzyk, na przykład podczas projektów specjalnych realizowanych w ramach danego kontekstu.

Rada ds. przeglądu zarządzania (przewodniczący CISO):

• Przeprowadza dwukrotne w roku przeglądy wydajności ISMS
• Przeprowadza coroczne audyty wewnętrzne
• Wdraża działania korygujące w ciągu 30 dni
• Aktualizuje cele bezpieczeństwa kwartalnie
• Posiada certyfikat ISO 27001

Naszym celem jest uzyskanie i utrzymanie certyfikatu ISMS zgodnego z normą ISO 27001, a także innych stosownych akredytacji, o których certyfikację ubiega się nasza organizacja.

Niniejsza polityka będzie regularnie przeglądana w celu uwzględnienia wszelkich zmian w działalności firmy, jej ocenie ryzyka lub planie postępowania z ryzykiem, co najmniej raz w roku.

Definicje

W niniejszej polityce i powiązanym zestawie polityk zawartych w środowisku online, które obejmuje nasz System Zarządzania Bezpieczeństwem Informacji, „bezpieczeństwo informacji” zdefiniowano jako:

konserwowanie 

Oznacza to, że wszystkie zainteresowane strony mają i będą świadome swoich obowiązków określonych w opisach stanowisk lub umowach, zgodnie z wymogami SZBI. Konsekwencje nieprzestrzegania tych obowiązków opisano w Kodeksie Postępowania. Wszystkie zainteresowane strony otrzymają szkolenie w zakresie świadomości bezpieczeństwa informacji, a bardziej wyspecjalizowane zasoby otrzymają odpowiednio specjalistyczne szkolenie z zakresu bezpieczeństwa informacji.

dostępność

Oznacza to, że informacje i powiązane zasoby powinny być dostępne dla upoważnionych użytkowników w razie potrzeby, a zatem fizycznie bezpieczne. Środowisko musi być odporne, a organizacja musi być w stanie szybko wykrywać incydenty lub zdarzenia zagrażające ciągłej dostępności zasobów, systemów i informacji oraz na nie reagować.

poufność 

Polega to na zapewnieniu, że dostęp do informacji mają wyłącznie osoby upoważnione, a także na zapobieganiu zarówno celowemu, jak i przypadkowemu nieautoryzowanemu dostępowi do informacji, wiedzy stanowiącej własność organizacji, zasobów i innych objętych systemem systemów stron zainteresowanych.

i integralności

Wiąże się to z ochroną dokładności i kompletności informacji oraz metod przetwarzania, a zatem wymaga zapobiegania celowemu lub przypadkowemu, częściowemu lub całkowitemu zniszczeniu lub nieautoryzowanej modyfikacji aktywów fizycznych lub danych elektronicznych.

informacji i innych istotnych aktywów

Informacje mogą obejmować informacje cyfrowe, drukowane lub pisane na papierze, przekazywane w dowolny sposób lub przekazywane ustnie, a także informacje przechowywane elektronicznie. Aktywa obejmują wszystkie urządzenia przetwarzające informacje, będące własnością organizacji lub należących do odpowiednich Stron Zainteresowanych, a także BYOD, które przetwarzają informacje dotyczące organizacji.

naszej organizacji

Organizacja i odpowiednie Strony Zainteresowane objęte zakresem stosowania ISMS podpisały naszą politykę bezpieczeństwa i zaakceptowały nasz ISMS.

Właściciel dokumentu i zatwierdzenie

Prezes Zarządu jest właścicielem niniejszego dokumentu i odpowiada za zapewnienie, że niniejszy dokument polityki jest weryfikowany zgodnie z wymogami określonymi w normie ISO 27001. Aktualna wersja niniejszego dokumentu jest dostępna dla wszystkich pracowników w środowisku kontroli ISMS. Niniejsza polityka bezpieczeństwa informacji została zatwierdzona przez Radę ds. Przeglądu Zarządzania i jest wydawana z zachowaniem kontroli wersji.

James Elliott

Założyciel