Política de Segurança da Informação

Propósito

O objetivo deste documento é demonstrar o comprometimento do conselho de administração com a segurança da informação e fornecer as declarações de política abrangentes às quais todas as políticas e controles subordinados devem aderir.

Política

O Conselho de Administração e a gerência da Gamecheck Limited, localizada no Madison Building Midtown, Queensway, GX11 1AA, operam principalmente no setor de jogos.

Estamos comprometidos em preservar a confidencialidade, integridade e disponibilidade de todas as informações físicas e eletrônicas e ativos relacionados a informações para atender ao propósito e às metas da organização, conforme resumido em 4 Contexto da organização.

Nós nos comprometemos explicitamente a:

• Atender a todos os requisitos legais, regulamentares, contratuais e estatutários aplicáveis ​​relacionados à segurança da informação (incluindo, mas não se limitando a GDPR, DPA, PCI-DSS, NIST CSF, GRA e obrigações específicas do setor ) relacionados à segurança da informação.
• Melhorar continuamente nosso SGSI por meio de revisões sistemáticas de objetivos de segurança, auditorias internas, revisões de gestão e ações corretivas impulsionadas por avaliações de risco e avaliações de desempenho.

Os requisitos de informação e segurança da informação estão alinhados com os objetivos de negócios da organização, considerando as questões internas e externas que afetam a organização e os requisitos das partes interessadas.

Esta política é:

• Disponível publicamente para todas as partes interessadas em: www.gamecheck.com/security-policy
• Comunicado a todos os funcionários por meio de:
• Treinamento obrigatório de embarque
• Programas anuais de conscientização sobre segurança
• Anúncios para toda a empresa (e-mail/intranet)
• Acessível sem restrições através da nossa intranet e plataforma ISMS

Implementação do SGSI

Nossos objetivos de SGSI são definidos e mensurados de acordo com os requisitos da norma ISO/IEC 27001. O sistema gerencia os riscos de segurança da informação por meio de:

1. Plataforma de gestão de riscos online para identificar, avaliar e controlar riscos
2. Declaração de aplicabilidade que define a implementação do controle
3. Supervisão do Conselho de Revisão Gerencial dos planos de tratamento de risco
4. Avaliações de risco específicas do projeto, quando necessário

O SGSI foi criado como um mecanismo para gerenciar riscos relacionados à segurança da informação e melhorar a organização para ajudar a atingir seu propósito e metas gerais.

O ambiente da plataforma on-line, incluindo nossa abordagem de gerenciamento de riscos, fornece o contexto para identificar, avaliar, avaliar e controlar riscos relacionados a informações por meio do estabelecimento e manutenção de um SGSI.

A abordagem adotada em relação à Avaliação e gestão de Riscos, a Declaração de Aplicabilidade e os requisitos mais amplos definidos para atender à ISO 27001 identificam como a segurança da informação e os riscos relacionados são abordados.

Os objetivos de controle para cada uma dessas áreas são apoiados por políticas e procedimentos documentados específicos no ambiente online e estão alinhados com os controles abrangentes listados no Anexo A da norma ISO 27001.

Conformidade e Treinamento

Todos os funcionários e partes interessadas devem cumprir esta política. A conformidade é garantida por meio de:

• Treinamento de segurança específico para cada função
• Fóruns de comunicação do SGSI
• Consequências por não conformidade (conforme Código de Conduta)
• Treinamento especializado para pessoal técnico

Todos os funcionários e Partes Interessadas relevantes associadas ao SGSI devem cumprir esta política. Treinamento e materiais adequados para apoiá-la estão disponíveis para aqueles no escopo do SGSI, e fóruns de comunicação, como o grupo de comunicações do SGSI, estão disponíveis para garantir o engajamento contínuo.

Mecanismo de Melhoria Contínua

O SGSI está sujeito à revisão e aprimoramento pelo Conselho de Revisão Gerencial, presidido pelo Diretor de Segurança da Informação (CISO) e com representação sênior contínua de setores relevantes da organização. Outros executivos/especialistas necessários para dar suporte à estrutura do SGSI e revisar periodicamente a política de segurança e o SGSI em geral são convidados para as reuniões do Conselho e realizam os trabalhos pertinentes conforme necessário, tudo documentado em conformidade com a norma.

O Conselho de Revisão Gerencial é responsável pela gestão e manutenção geral do plano de tratamento de riscos, com atividades específicas de gestão de riscos atribuídas ao responsável apropriado dentro da organização. Avaliações de risco adicionais podem, quando necessário, ser realizadas para determinar controles apropriados para riscos específicos, por exemplo, durante projetos especiais concluídos no contexto.

O Conselho de Revisão de Gestão (presidido pelo CISO):

• Realiza revisões bianuais de desempenho do SGSI
• Conclui auditorias internas anuais
• Implementa ações corretivas em 30 dias
• Atualiza os objetivos de segurança trimestralmente
• Mantém a certificação ISO 27001

Estamos comprometidos em obter e manter a certificação do SGSI conforme a ISO 27001, juntamente com outras acreditações relevantes pelas quais nossa organização buscou certificação.

Esta política será revisada regularmente para responder a quaisquer mudanças nos negócios, sua avaliação de risco ou plano de tratamento de risco, e pelo menos anualmente.

Definições

Nesta política e no conjunto de políticas relacionadas contidas no ambiente on-line que incorporam nosso SGSI, 'segurança da informação' é definida como:

preservando 

Isso significa que todas as Partes Interessadas relevantes têm, e serão informadas, de suas responsabilidades, definidas em suas descrições de cargo ou contratos, para agir em conformidade com os requisitos do SGSI. As consequências de não fazê-lo estão descritas no Código de Conduta. Todas as Partes Interessadas relevantes receberão treinamento de conscientização em segurança da informação, e recursos mais especializados receberão treinamento especializado em segurança da informação.

a disponibilidade

Isso significa que as informações e os ativos associados devem estar acessíveis a usuários autorizados quando necessário e, portanto, fisicamente seguros. O ambiente deve ser resiliente e a organização deve ser capaz de detectar e responder rapidamente a incidentes ou eventos que ameacem a disponibilidade contínua de ativos, sistemas e informações.

confidencialidade 

Isso envolve garantir que as informações sejam acessíveis somente àqueles autorizados a acessá-las e evitar o acesso não autorizado, deliberado ou acidental, às informações da organização e das Partes Interessadas relevantes, ao conhecimento proprietário, aos ativos e a outros sistemas no escopo.

e integridade

Isso envolve a proteção da precisão e integridade das informações e métodos de processamento e, portanto, requer a prevenção da destruição deliberada ou acidental, parcial ou completa, ou da modificação não autorizada de ativos físicos ou dados eletrônicos.

de informações e outros ativos relevantes

As informações podem incluir informações digitais, impressas ou escritas em papel, transmitidas por qualquer meio ou faladas em conversas, bem como informações armazenadas eletronicamente. Ativos incluem todos os dispositivos de processamento baseados em informações de propriedade da organização ou de Partes Interessadas relevantes e com escopo BYOD que processam informações relacionadas à organização.

da nossa organização

A organização e as Partes Interessadas relevantes que estão dentro do escopo do SGSI assinaram nossa política de segurança e aceitaram nosso SGSI.

Proprietário e aprovação do documento

O CEO é o proprietário deste documento e é responsável por garantir que este documento de política seja revisado em conformidade com os requisitos estabelecidos na ISO 27001. Uma versão atualizada deste documento está disponível para todos os membros da equipe no ambiente de controles do SGSI. Esta política de segurança da informação foi aprovada pelo Conselho de Revisão Gerencial e é emitida com controle de versão.

James Elliott

Fundador