BANCO DE POUPANÇA E CRÉDITO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DO BPC

Transcrição

1 BANCO DE POUPANÇA E CRÉDITO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DO BPC

2 1. INTRODUÇÃO A Política de Segurança da Informação, pode ser usada para definir as interfaces entre os utilizadores, fornecedores e parceiros e para medir a qualidade e a segurança da informação dos sistemas actuais. Esta política é um conjunto de regras que determina qual deve ser o comportamento das pessoas que se relacionam com a organização, no que se refere ao tratamento da informação. O Conselho de Administração deve comprometer-se e apoiar a Política de Segurança da Informação como instrumento para proteção das informações organizacionais, objectivando a continuidade das operações e a confiança da comunidade envolvida nos seus processos. 2. OBJECTIVO A Política de Segurança da Informação, visa estabelecer as directrizes e princípios para o desenvolvimento da política e procedimentos de segurança da informação, orientar quanto às responsabilidades e o uso adequado das informações e dos activos relacionados por parte dos utilizadores, sejam esses colaboradores e fornecedores que tenham acesso às informações do Banco de Poupança e Crédito. 3. METODOLOGIA Fica instituída, no âmbito do Banco de Poupança e Crédito, a Política de Segurança da Informação, de forma a assegurar que as informações e seus activos, de propriedade do Banco ou custodiados, sejam protegidos e utilizados de forma a garantir sua confidencialidade, integridade, disponibilidade e autenticidade, de acordo com a lei, a ética e visando garantir a continuidade na prestação dos serviços aos clientes e o compromisso com a sociedade angolana. A Política de Segurança da Informação é composta por directrizes de segurança da informação, além das normas e procedimentos específicos. O cumprimento da Política, normas e procedimentos de segurança da informação é responsabilidade de todos que acedam às informações e aos activos de informação do BPC. A Política de Segurança da Informação está alinhada aos objetivos de segurança da informação do Banco, que protegem a informação e seus activos contra incidentes que possam causar impactos ao negócio e afirmam a sua imagem e a reputação perante o mercado e a sociedade.

3 3.1 ABRANGÊNCIA A Política de Segurança da Informação aplica-se aos utilizadores das informações e aos activos de informação do BPC. Os contractos firmados pelo BPC, que envolvam acesso às informações e a utilização de activos de informação, devem conter cláusulas de confidencialidade, pactuando com a Política de Segurança da Informação. 3.2 PROPRIEDADE E GESTÃO DOS ACTIVOS DA INFORMAÇÃO As informações e os activos da informação disponibilizados pelo Banco, independentemente da forma de sua apresentação ou guarda, são propriedade do Banco. Os terceiros que geram ou disponibilizam activos de informação para uso exclusivo do Banco, ficam obrigados ao sigilo permanente de tais produtos, sendo vedada a sua veiculação e reutilização em projectos para outrem, a menos que expressamente autorizado pelo Banco. As informações do Banco são geridas pelos gestores da informação, que são indicados dos pelo Subcomité de Segurança da Informação, mediante aprovação do Conselho de Administração. Os gestores devem designar as actividades dos seus colaboradores de forma a respeitar a segregação das funções e evitar que funções conflituantes sejam realizadas pela mesma pessoa, ou mesmo perfil de acesso, e nem conceder-lhe total acesso aos processos. 3.3 PROTECÇÃO DA INFORMAÇÃO E SEUS ACTIVOS Toda informação gerada no Banco deve ser classificada quanto à sua confidencialidade em termos de seu valor, requisitos legais e necessidade de acesso. Os activos de informação devem ser física e logicamente resguardados, além de protegidos nos acessos locais e a partir da rede de computadores e da internet. 3.4 GESTÃO DE SEGURANÇA DA INFORMAÇÃO Compete à Administração do BPC, a gestão da segurança da informação por intermédio do Subcomité de Segurança da Informação e da DTI/Gabinete de Segurança da Informação, actuarem conforme as suas atribuições.

4 A implementação de um Sistema de Gestão da Segurança da Informação (SGSI), deve ser apoiada por normas e procedimentos de segurança da informação, com o objectivo de prevenir e gerir os riscos associados à informação. 3.5 ACESSO E USO DOS ACTIVOS DA INFORMAÇÃO As credenciais de acesso dos utilizadores aos activos de informação são pessoais, únicos, intransferíveis e de responsabilidade do seu titular. Os acessos às informações ficam restritos a pessoas que tenham necessidade de conhecê-las para o desenvolvimento das suas atribuições profissionais. Compete aos utilizadores de informação e os seus activos: A) Cumprir as directrizes definidas na Política de Segurança da Informação, além das normas e dos procedimentos de segurança da informação estabelecidos pelo Banco; B) Utilizar as informações e os seus activos exclusivamente para fins relacionados ao desempenho de suas funções; C) O comprometimento em não utilizar, revelar ou divulgar a terceiros, em proveito próprio ou de terceiros, qualquer informação, classificada ou não, que tenha ou venha a ter conhecimento em razão de suas funções no Banco, mesmo depois de terminado o vínculo com o Banco. Deve ser monitorado, periodicamente, o acesso e a utilização dos activos da informação, ressalvadas as correspondências eletrónicas de carácter particular, com a finalidade de detectar divergência com a Política de Segurança da Informação do Banco. 3.6 CONTINUIDADE DOS NEGÓCIOS A continuidade das actividades do Banco deve ser preservada, reduzindo a um período aceitável a interrupção causada por desastres ou falhas de segurança, adoptando-se a combinação de acções de prevenção, administração de crise e recuperação, considerando as pessoas, processos, ambientes e tecnologias.

5 3.7 SANÇÕES O incumprimento dos preceitos da Política de Segurança da Informação do Banco implicará a aplicação de processos disciplinares previstos nos regulamentos internos, nas cláusulas de responsabilidade e sigilo, nas disposições contratuais, sem prejuízo, se for o caso, das sanções previstas na lei. Havendo indício de crime, serão os factos levados ao conhecimento da autoridade policial, para instauração do respectivo inquérito, sem prejuízo das medidas de natureza cível. 3.8 DISPOSIÇÕES FINAIS A Administração está comprometida com a melhoria contínua do Sistema de Gestão de Segurança da Informação. 4. DOCUMENTOS DE REFERÊNCIA Os documentos abaixo servem de base e corroboram com a Política de Segurança da Informação: Código de Ética e Deontologia Profissional do Banco. BNT NBR ISSO 27001:2013 Tecnologia da Informação- Técnicas de Segurança- Sistemas de Segurança da Informação - Requisitos.

6 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DO BPC