logo

信息安全政策

2025年8月

[版本 1.3]

目的

本文件的目的是展示管理委员会对信息安全的承诺,并提供所有下属政策和控制必须遵守的总体政策声明。

政策

Gamecheck Limited的董事会和管理层位于Madison Building Midtown, Queensway, GX11 1AA,主要从事游戏行业业务。

我们致力于保护所有物理和电子信息以及信息相关资产的机密性、完整性可用性,以满足组织宗旨和目标(如第 4 节“组织背景”中所述)。

我们明确承诺:

  • 满足与信息安全相关的所有适用法律、法规、合同法定要求(包括但不限于GDPR、DPA、PCI-DSS、NIST CSF、GRA行业特定义务)。
  • 通过系统地审查安全目标、内部审计、管理评审以及由风险评估和绩效评估驱动的纠正措施,不断改进我们的 ISMS

信息和信息安全要求与组织的业务目标保持一致,考虑影响组织的内部和外部问题以及相关方的要求。

该政策是:

  • 所有感兴趣的各方均可在以下网址公开获取: www.gamecheck.com/security-policy
  • 通过以下方式传达给所有员工:
  • 强制性入职培训
  • 年度安全意识计划
  • 全公司公告(电子邮件/内联网)
  • 可通过我们的内联网和 ISMS 平台不受限制地访问

ISMS 实施

我们的 ISMS 目标根据 ISO/IEC 27001 的要求进行概述和衡量。该系统通过以下方式管理信息安全风险:

  1. 用于识别、评估和控制风险的在线风险管理平台
  2. 定义控制实施的适用性声明
  3. 管理审查委员会对风险处理计划的监督
  4. 根据需要进行项目特定风险评估

ISMS 旨在作为一种管理信息安全相关风险和改善组织以帮助实现其总体目的和目标的机制。

在线平台环境(包括我们的风险管理方法)为通过建立和维护 ISMS 来识别、评估、评价和控制信息相关风险提供了背景。

风险评估和管理所采取的方法、适用性声明以及满足 ISO 27001 的更广泛要求确定了如何解决信息安全和相关风险。

每个领域的控制目标都由在线环境中特定的记录政策和程序支持,并且与 ISO 27001 标准附件 A 中列出的综合控制相一致。

合规与培训

所有员工及相关方均须遵守本政策。通过以下方式确保遵守:

  • 针对特定角色的安全培训
  • ISMS交流论坛
  • 不遵守规定的后果(根据行为准则)
  • 技术人员专业培训

所有员工及与信息安全管理体系 (ISMS) 相关的相关方均须遵守本政策。我们为 ISMS 范围内的人员提供相应的培训和相关材料,并设立了 ISMS 沟通小组等沟通论坛,以确保持续参与。

持续改进机制

信息安全管理体系 (ISMS) 须接受管理审查委员会的审查和改进。该委员会由首席信息安全官 (CISO) 担任主席,并由来自组织相关部门的高级代表持续参与。支持信息安全管理体系 (ISMS) 框架并定期审查安全政策和更广泛的信息安全管理体系所需的其他高管/专家将受邀参加委员会会议,并根据需要完成相关工作,所有工作均应按照标准进行记录。

管理审查委员会负责风险处置计划的总体管理和维护,并将具体的风险管理活动委托给组织内相应的负责人。如有需要,可进行额外的风险评估,以确定针对特定风险的适当控制措施,例如在特定范围内完成的特殊项目期间。

管理审查委员会(由 CISO 担任主席):

  • 每两年进行一次 ISMS 绩效评估
  • 完成年度内部审计
  • 30天内实施纠正措施
  • 每季度更新安全目标
  • 保持 ISO 27001 认证

我们致力于获得并维持 ISO 27001 信息安全管理体系认证以及我们组织寻求认证的其他相关认证。

该政策将定期审查,以应对业务、风险评估或风险处理计划的任何变化,并且至少每年审查一次。

定义

在本政策以及包含我们 ISMS 的在线环境中的相关政策中,“信息安全”的定义是:

保存 

这意味着所有相关利益方均已知晓其职责,并将被告知其职责,这些职责在其职位描述或合同中定义,并须按照信息安全管理体系 (ISMS) 的要求行事。不履行职责的后果已在《行为准则》中说明。所有相关利益方都将接受信息安全意识培训,且更专业的资源也将接受相应的专业信息安全培训。

可用性

这意味着信息和相关资产应在需要时可供授权用户访问,从而确保物理安全。环境必须具有弹性,组织必须能够快速检测并响应威胁资产、系统和信息持续可用性的事件。

保密性 

这涉及确保只有获得授权的人员才能访问信息,并防止故意或意外未经授权访问组织和相关利益方的信息、专有知识、资产和其他系统。

和诚信

这涉及保障信息和处理方法的准确性和完整性,因此需要防止对实物资产或电子数据的故意或意外、部分或全部的破坏或未经授权的修改。

信息和其他相关资产

信息可以包括数字信息(打印或书写在纸上、以任何方式传输、在对话中口头表达),以及以电子方式存储的信息。资产包括组织或相关利益方拥有的所有基于信息的处理设备,以及范围内正在处理组织相关信息的BYOD设备。

我们的组织

属于 ISMS 范围内的组织和相关利益方已签署我们的安全政策并接受我们的 ISMS。

文档所有者和批准

首席执行官是本文件的所有者,并负责确保本政策文件根据 ISO 27001 的要求进行审核。本文件的最新版本可供 ISMS 控制环境中的所有员工使用。本信息安全政策已获得管理审查委员会的批准,并以版本控制的方式发布。

詹姆斯·埃利奥特

创始人