logo

Informationssäkerhetspolicy

Augusti 2025

[version 1.3]

Ändamål

Syftet med detta dokument är att visa styrelsens engagemang för informationssäkerhet och att tillhandahålla de övergripande policyförklaringar som alla underordnade policyer och kontroller måste följa.

Politik

Styrelsen och ledningen för Gamecheck Limited, med säte på Madison Building Midtown, Queensway, GX11 1AA, är huvudsakligen verksamma inom spelindustrin.

Vi är fast beslutna att bevara sekretessen, integriteten och tillgängligheten för all fysisk och elektronisk information och informationsrelaterade tillgångar för att uppfylla organisationens syfte och mål, såsom sammanfattas i avsnitt 4 Organisationens kontext.

Vi förbinder oss uttryckligen till att:

  • Uppfylla alla tillämpliga juridiska, regulatoriska, avtalsenliga och lagstadgade krav relaterade till informationssäkerhet (inklusive men inte begränsat till GDPR, DPA, PCI-DSS, NIST CSF, GRA och branschspecifika skyldigheter ) relaterade till informationssäkerhet.
  • Kontinuerligt förbättra våra ISMS genom systematiska granskningar av säkerhetsmål, internrevisioner, ledningsgranskningar och korrigerande åtgärder drivna av riskbedömningar och prestationsutvärderingar.

Informations- och informationssäkerhetskraven är i linje med organisationens affärsmål, med hänsyn till de interna och externa frågor som påverkar organisationen och intressenternas krav.

Denna policy är:

  • Offentligt tillgängligt för alla intresserade parter på: www.gamecheck.com/security-policy
  • Kommuniceras till alla anställda genom:
  • Obligatorisk utbildning vid ombordstigning
  • Årliga program för säkerhetsmedvetenhet
  • Företagsomfattande meddelanden (e-post/intranät)
  • Tillgänglig utan begränsningar via vårt intranät och ISMS-plattform

ISMS-implementering

Våra ISMS-mål är beskrivna och mätta enligt ISO/IEC 27001-kraven. Systemet hanterar informationssäkerhetsrisker genom:

  1. Online riskhanteringsplattform för att identifiera, bedöma och kontrollera risker
  2. Tillämplighetsförklaring som definierar kontrollimplementering
  3. Ledningsgranskningsnämndens tillsyn av riskhanteringsplaner
  4. Projektspecifika riskbedömningar där det behövs

ISMS är avsett som en mekanism för att hantera informationssäkerhetsrelaterade risker och förbättra organisationen för att bidra till att uppnå dess övergripande syfte och mål.

Onlineplattformsmiljön, inklusive vår metod för riskhantering, ger förutsättningar för att identifiera, bedöma, utvärdera och kontrollera informationsrelaterade risker genom att etablera och underhålla ett ISMS.

Tillvägagångssättet för riskbedömning och riskhantering, tillämplighetsförklaringen och de bredare kraven som anges för att uppfylla ISO 27001 identifierar hur informationssäkerhet och relaterade risker hanteras.

Kontrollmålen för vart och ett av dessa områden stöds av specifika dokumenterade policyer och rutiner i onlinemiljön och de överensstämmer med de omfattande kontroller som listas i bilaga A till ISO 27001-standarden.

Efterlevnad och utbildning

Alla anställda och berörda parter måste följa denna policy. Efterlevnad säkerställs genom:

  • Rollspecifik säkerhetsutbildning
  • ISMS-kommunikationsforum
  • Konsekvenser av bristande efterlevnad (enligt uppförandekod)
  • Specialiserad utbildning för teknisk personal

Alla anställda och relevanta intressenter som är knutna till ISMS måste följa denna policy. Lämplig utbildning och material som stödjer den finns tillgängligt för de som omfattas av ISMS, och kommunikationsforum som ISMS-kommunikationsgruppen finns tillgängliga för att säkerställa kontinuerligt engagemang.

Mekanism för kontinuerlig förbättring

ISMS granskas och förbättras av Management Review Board, som leds av Chief Information Security Officer (CISO) och har löpande representation på högre nivå från lämpliga delar av organisationen. Andra chefer/specialister som behövs för att stödja ISMS-ramverket och regelbundet granska säkerhetspolicyn och bredare ISMS bjuds in till styrelsemöten och slutför relevant arbete efter behov, vilket allt dokumenteras i enlighet med standarden.

Ledningsgranskningsnämnden ansvarar för den övergripande hanteringen och underhållet av riskhanteringsplanen, med specifika riskhanteringsaktiviteter tilldelade lämplig ägare inom organisationen. Ytterligare riskbedömningar kan, vid behov, utföras för att fastställa lämpliga kontroller för specifika risker, till exempel under särskilda projekt som slutförs inom ramen.

Ledningsgranskningsnämnden (ordförande av CISO):

  • Genomför halvårsvisa ISMS-prestandagranskningar
  • Genomför årliga internrevisioner
  • Implementerar korrigerande åtgärder inom 30 dagar
  • Uppdaterar säkerhetsmålen kvartalsvis
  • Bibehåller ISO 27001-certifieringen

Vi är fast beslutna att uppnå och upprätthålla certifiering av ISMS enligt ISO 27001 tillsammans med andra relevanta ackrediteringar som vår organisation har sökt certifiering mot.

Denna policy kommer att ses över regelbundet för att hantera eventuella förändringar i verksamheten, dess riskbedömning eller riskhanteringsplan, och minst en gång per år.

Definitioner

I denna policy och den relaterade uppsättningen policyer som ingår i onlinemiljön som innehåller vårt ISMS definieras "informationssäkerhet" som:

bevarande 

Detta innebär att alla relevanta intressenter har, och kommer att bli medvetna om, sina skyldigheter som definieras i deras arbetsbeskrivningar eller avtal för att agera i enlighet med kraven i ISMS. Konsekvenserna av att inte göra det beskrivs i uppförandekoden. Alla relevanta intressenter kommer att få utbildning i informationssäkerhetsmedvetenhet och mer specialiserade resurser kommer att få lämplig specialiserad informationssäkerhetsutbildning.

tillgängligheten

Det innebär att information och tillhörande tillgångar ska vara tillgängliga för behöriga användare vid behov och därför fysiskt säkra. Miljön måste vara motståndskraftig och organisationen måste kunna upptäcka och reagera snabbt på incidenter eller händelser som hotar den fortsatta tillgängligheten av tillgångar, system och information.

sekretess 

Detta innebär att säkerställa att information endast är tillgänglig för de som är behöriga att få tillgång till den och förhindra både avsiktlig och oavsiktlig obehörig åtkomst till organisationens och relevanta intresserade parters information, proprietär kunskap, tillgångar och andra system som omfattas av organisationen.

och integritet

Detta innebär att säkerställa informationens och behandlingsmetodernas riktighet och fullständighet, och kräver därför att man förhindrar avsiktlig eller oavsiktlig, partiell eller fullständig förstörelse eller obehörig modifiering av antingen fysiska tillgångar eller elektroniska data.

av information och andra relevanta tillgångar

Informationen kan innefatta digital information, tryckt eller skriven på papper, överförd på något sätt eller talad i samtal, såväl som information lagrad elektroniskt. Tillgångar inkluderar alla informationsbaserade bearbetningsenheter som ägs av organisationen eller de som tillhör relevanta intressenter och som omfattas av BYOD och som behandlar organisationsrelaterad information.

av vår organisation

Organisationen och relevanta intresserade parter som omfattas av ISMS har skrivit under vår säkerhetspolicy och accepterat vårt ISMS.

Dokumentägare och godkännande

VD:n är ägare till detta dokument och ansvarar för att säkerställa att detta policydokument granskas i enlighet med kraven i ISO 27001. En aktuell version av detta dokument finns tillgänglig för alla anställda i ISMS-kontrollmiljön. Denna informationssäkerhetspolicy har godkänts av Management Review Board och utfärdas på versionskontrollerad basis.

James Elliott

Grundare