Introdução
A proteção no acesso, tratamento, salvaguarda e transmissão de informação de forma consistente com os requisitos profissionais, éticos, legais, regulamentares e contratuais, é uma das maiores prioridades do IGFEJ e algo que é considerado fundamental para o sucesso do IGFEJ. A perda ou roubo de informação, pode ter consequências graves a nível legal, financeiro e reputacional, estando o IGFEJ comprometido com a salvaguarda da confidencialidade, integridade e disponibilidade da informação, sob sua responsabilidade e da sua própria informação, quer esta se encontre em suporte físico, digital ou intelectual.
O IGFEJ implementou e mantém um Sistema de Gestão de Segurança de Informação (SGSI) constituído por políticas, processos e procedimentos, que foi desenhado para manter, rever e melhorar a segurança da informação, tendo por base uma avaliação do risco existente.
A Política de Segurança da Informação do IGFEJ baseia-se na adaptação de standards internacionais recomendados, tais como a norma ISO 27001:2013, que estabelece para esse efeito, os princípios gerais que devem ser aplicados à informação e aos ativos de suporte (servidores, sistemas de informação, redes, infraestruturas, etc.) no âmbito do SGSI, seguindo toda a legislação e regulamentação aplicável.
O cumprimento das políticas, processos e procedimentos do âmbito do SGSI, que origine a interrupção de um serviço, fuga ou roubo de informação para entidades não autorizadas ou modificação não autorizada da informação, pode levar a consequências graves ao nível financeiro, legal, reputacional e a perda de confiança das partes interessadas.
É da responsabilidade de todas as partes interessadas contribuírem proactivamente para a proteção e segurança da informação.
Princípios
A política de segurança da informação do IGFEJ, visa garantir os seguintes princípios:
- A informação está protegida contra acessos não autorizados;
- A confidencialidade da informação está garantida;
- A integridade da informação é mantida;
- Todas as leis e regulamentos aplicáveis são respeitados;
- Os planos de continuidade de negócio apropriados são mantidos e testados regularmente;
- Todas as quebras de segurança da informação detetadas ou sob suspeita, são investigadas pelas áreas com competência para o efeito.
Objetivos
Constituem-se como principais objetivos do SGSI:
- Garantir que todos os colaboradores têm conhecimento e cumprem as políticas e procedimentos de segurança existentes;
- Definir e comunicar responsabilidades ao nível da Segurança de Informação no âmbito do SGSI;
- Promover a consciencialização contínua sobre a segurança de informação e realizar programas de formação para garantir que todos os colaboradores compreendem a forma como a segurança de informação faz parte das suas funções e as responsabilidades que têm na proteção da confidencialidade, integridade e disponibilidade da informação;
- Incluir a segurança de informação como componente essencial de todos os aspetos de planeamento e operações do IGFEJ;
- Identificar as principais áreas de risco inerentes à atividade da segurança da informação, avaliando continuamente as ameaças de segurança de informação, garantindo que estas são identificadas e geridas tendo por base a avaliação de risco e a aplicação de medidas adequadas;
- Promover a proteção adequada da infraestrutura de sistemas de informação e comunicações contra perda, má utilização ou acessos indevidos;
- Estabelecer o acesso à informação somente a pessoas a autorizadas para o exercício das suas funções;
- Estabelecer os princípios e regras de segurança inerentes aos recursos de informática;
- Promover a deteção, registo, reporte e investigação de incidentes de segurança de forma eficaz e eficiente para garantir a minimização dos impactos deste tipo de incidentes;
- Promover requisitos de segurança da informação a considerar na gestão da continuidade das operações de negócio.
- Garantir a disponibilização dos recursos necessários para a efetiva manutenção e melhoria contínua do SGSI;
- Promover a revisão contínua dos mecanismos e processos de segurança para assegurar que são efetivos, relevantes e adequados às necessidades.
Responsabilidades
As atividades relacionadas com a segurança da informação, permitem determinar e garantir as diversas orientações gerais com vista a implementar, manter e melhorar o SGSI. A definição das responsabilidades e autoridades das funções relevantes para o contexto da segurança da informação é fundamental para que:
- Todos os responsáveis departamentais e de núcleos de suporte estejam conscientes da necessidade dos processos de negócio e de suporte estarem em conformidade com as Políticas de Segurança de Informação, e da obrigação em implementar, nas suas áreas, as iniciativas que para tal se revelem necessárias.
- Todos os colaboradores, bem como terceiros que, de alguma forma, possam interagir com informação do IGFEJ ou à sua responsabilidade, sejam obrigados a cumprir e a fazer cumprir todas as políticas de segurança da informação em vigor, devendo prontamente reportar pelos meios adequados qualquer incidente de segurança, ou seja, qualquer evento que possa provocar, ou que tenha provocado, uma quebra de segurança da informação.
O IGFEJ definiu os Papeis, Responsabilidade e Autoridades das funções relevantes no âmbito do seu SGSI, as quais se encontram descritos em documento
Responsabilidades da Segurança da Informação
A Política de Segurança da Informação é da responsabilidade do CISO - Chief Information Security Officer, cabendo-lhe o controlo e a avaliação da implementação do SGSI, a comunicação ao Conselho Diretivo do seu desempenho e a garantia da conformidade do sistema com os requisitos da Norma ISO 27001.
Manutenção e Comunicação das Políticas de Segurança da Informação
A Política de Segurança da Informação deve ser periodicamente revista, de forma a garantir que continua a ser adequada ao IGFEJ e deve ser comunicada a todas as partes interessadas no âmbito da sua relação com o IGFEJ
Consultar aqui a Política de Segurança da Informação
CONTROLO DE ALTERAÇÕES
Primeira versão da Política de Segurança de Informação | 30/10/2021