Política de segurança
da informação

Diretrizes sobre gestão de
dados e informações
públicas e confidenciais

Objetivo

Estabelecer critérios claros e objetivos na gestão, manipulação, uso e descarte das informações disponíveis, bem como do uso dos equipamentos, softwares e demais recursos disponibilizados pela organização.

Público-alvo

Esta política se aplica a todos na organização, desde diretoria e gestores a colaboradores, terceirizados e fornecedores.

Responsabilidades

As políticas, estratégias e processos de Segurança da Informação são supervisionados por uma comissão criada para este fim, definida pela diretoria da organização.

Regra geral

As políticas de segurança da informação precisam estar disponíveis em local de acesso dos colaboradores e protegida contra alterações. A nomenclatura e o código das políticas de segurança da informação precisam ser mantidos com a mesma identificação da matriz. As políticas de segurança da informação são revisadas anualmente pela matriz, encaminhadas para as unidades onde forem aplicáveis e sua revisão e publicação é de responsabilidade da unidade local após aprovação da matriz.

Princípios de Segurança da Informação

A presente PSI está fundamentada nos seguintes princípios:

Confidencialidade: Garantimos que o acesso à informação seja obtido somente por pessoas autorizadas e quando ele for, de fato, necessário;

Disponibilidade: Garantimos que as pessoas autorizadas tenham acesso à informação sempre que necessário;

Integridade: Garantimos a exatidão e a completude da informação e dos métodos de seu processamento, bem como da transparência no trato com os públicos envolvidos.

Diretrizes de Segurança da Informação

A Segurança da Informação na Instituição estabelece os principais controles, denominados diretrizes:

As informações da Instituição, dos clientes e do público em geral devem ser tratadas de forma ética e sigilosa e de acordo com as leis vigentes e normas internas, evitando-se mau uso e exposição indevida; A informação deve ser utilizada de forma transparente e apenas para a finalidade para a qual foi coletada;

O acesso às informações e recursos só deve ser feito se devidamente autorizado;

A identificação de qualquer colaborador deve ser única, pessoal e intransferível, qualificando-o como responsável pelas ações realizadas;

A concessão de acessos deve obedecer ao critério de menor privilégio, no qual os usuários têm acesso somente aos recursos de informação imprescindíveis para o pleno desempenho de suas atividades;

A senha é utilizada como assinatura eletrônica e deve ser mantida secreta, sendo proibido seu compartilhamento;

Os riscos às informações da Instituição devem ser reportados à área de Segurança da Informação;

As responsabilidades quanto à Segurança da Informação devem ser amplamente divulgadas aos colaboradores, que devem entender e assegurar estas diretrizes.

Tratamento da Informação

A informação deve receber proteção adequada em observância aos princípios e diretrizes de Segurança da Informação em todo o seu ciclo de vida, que compreende: Geração, Manuseio, Armazenamento, Transporte e Descarte.

Gestão da Segurança da Informação

Para assegurar que as informações tratadas estejam adequadamente protegidas, a Instituição adota os seguintes processos:

 

Gestão de Ativos da Informação

Os ativos da informação devem ser identificados de forma individual, inventariados, protegidos de acessos indevidos e ter documentação e planos de manutenção atualizados.

• Classificação da Informação

As informações devem ser classificadas de acordo com a confidencialidade e as proteções necessárias, nos seguintes níveis: Restrita, Confidencial, Interna e Pública. Para isso, devem ser consideradas as necessidades relacionadas ao negócio, o compartilhamento ou restrição de acesso e os impactos no caso de utilização indevida das informações.

• Gestão de Acessos

As concessões, revisões e exclusões de acesso devem seguir o procedimento aprovado pela comissão de segurança da Informação. Os acessos devem ser rastreáveis, a fim de garantir que todas as ações passíveis de auditoria possam identificar individualmente o colaborador, para que seja responsabilizado por suas ações.

• Gestão de Riscos

Os riscos devem ser identificados por meio de um processo estabelecido para análise de vulnerabilidades, ameaças e impactos sobre os ativos de informação da Instituição, para que sejam recomendadas as proteções adequadas. Os cenários de riscos de segurança da informação são escalonados nos fóruns apropriados, para decisão.

• Tratamento de Incidentes de Segurança da Informação

Os incidentes de Segurança da Informação da Instituição devem ser reportados à Gestão de TI.

• Conscientização em Segurança da Informação

A Instituição promove a disseminação dos princípios e diretrizes de Segurança da Informação por meio de programas de conscientização e capacitação, com o objetivo de fortalecer a cultura de Segurança da Informação.

• Avaliação Independente da Auditoria

A efetividade das políticas de Segurança da Informação é verificada por meio de avaliações periódicas de auditoria.

• Propriedade Intelectual

Tecnologias, marcas, metodologias e quaisquer informações que pertençam à Instituição não devem ser utilizadas para fins particulares, nem repassadas a outrem, ainda que tenham sido obtidas ou desenvolvidas pelo próprio colaborador em seu ambiente de trabalho.

• Declaração de Responsabilidade

Os colaboradores e prestadores de serviços diretamente contratados pela Instituição devem aderir formalmente a um termo, comprometendo-se a agir de acordo com as políticas de Segurança da Informação. Os contratos da Instituição devem possuir cláusula que assegure a confidencialidade das informações.

• Medidas Disciplinares

As violações a esta política estão sujeitas às sanções disciplinares previstas nas normas internas das empresas da Instituição e na legislação vigente no Brasil e nos países onde as empresas estiverem localizadas.

Documentos relacionados

Esta Política Corporativa de Segurança da Informação é complementada por normas específicas de Segurança da Informação em conformidade com os aspectos legais e regulamentares e aprovadas pela diretoria.

Responsável DPO

Ramon Assis Rosa Dutra
DPO/Encarregado – Controller Jurídico
ramon@oliveiraeantunes.com.br