POLÍTICA DE GESTÃO DE ACESSOS LÓGICOS. Estabelecer requisitos e orientações para a efetiva gestão de acessos lógicos na Eólica Mangue Seco 2.

Documentos relacionados
NORMAS E PROCEDIMENTOS CONTROLADORIA CONTROLE DE ACESSO DOS SISTEMAS SUMÁRIO

GIS-P-ISP-09. Procedimento de Classificação da Informação

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PÚBLICA

Usuários: Gestores de informações: Administradores dos ativos de TI:... 3 POLÍTICA CORPORATIVA

Política de Confidencialidade e Segurança da Informação

POLÍTICA DE DIVULGAÇÕES DE INFORMAÇÕES

Usuários: Gestores de informações: Administradores dos ativos de TI:... 3 POLÍTICA CORPORATIVA

BM&FBOVESPA. Política de Controles Internos. Diretoria de Controles Internos, Compliance e Risco Corporativo. Última Revisão: março de 2013.

Manual de Procedimentos backup e restore de dados. São Paulo, Janeiro de 2012 Versão 02.0

Gestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e Learning Sistema de

POLÍTICA DE CONFIDENCIALIDADE E SEGURANÇA DA INFORMAÇÃO

NORMA DE PRIVACIDADE NORMA INTERNA

NORMA DE PRIVACIDADE NORMA PÚBLICA

ACADEMIA JUINENSE DE ENSINO SUPERIOR FACULDADE DO NORTE DE MATO GROSSO REGULAMENTO DO LABORATÓRIO DE INFORMÁTICA TÍTULO I

CODIGO DE ETICA E CONDUTA

Políticas Corporativas

GIS-N-ISP-05. Norma de Classificação da Informação

DIRETRIZES DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Gerência de Processos e Automação 29/08/2018

COMPANHIA RIOGRANDENSE DE SANEAMENTO A Vida Tratada Com Respeito

4. Violação da Política, Normas e Procedimentos de Segurança da Informação

CAPÍTULO 7: CONTROLAR A ENTREGA DA DECLARAÇÃO DE BENS E RENDAS

Superintendência de Riscos e Controles 15/03/2017

Código: PG-0ST POLÍTICA DE DIVULGAÇÃO DE INFORMAÇÕES DA STRATURA ASFALTOS S.A.

DIRETRIZ DE DIVULGAÇÃO DE INFORMAÇÕES NO ÂMBITO DAS SOCIEDADES DO CONGLOMERADO PETROBRAS Adoção pela Transportadora Associada de Gás S.A.

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DAS EMPRESAS ELETROBRAS

Política de Controles Internos BM&FBOVESPA. Página 1

POLÍTICA DE CONTROLES INTERNOS

PSI - Política de Segurança da Informação 1. INTRODUÇÃO 2. OBJETIVOS. Documento de Diretrizes e Normas Administrativas

POLÍTICA DE COMUNICAÇÃO DA STRATURA ASFALTOS S.A. Aprovador Diretor Administrativo Financeiro Data: 24/09/2018

POLÍTICA. TÍTULO: PLT-SGR Política do SGSI - SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO CONTROLE DE APROVAÇÃO ELABORADO REVISADO APROVADO

REGIMENTO INTERNO DO COMITÊ TÉCNICO ESTATUTÁRIO DE GOVERNANÇA E CONFORMIDADE

. Usuários pessoas sob o comando dos Clientes, autorizadas pelos mesmos para acessar o Sistema NephroSys e dados nele armazenados

ARAZUL ASSET MANAGEMENT GESTORA DE RECURSOS LTDA.

REGULAMENTO INTERNO DE PROTEÇÃO A INFORMAÇÕES MGI MINAS GERAIS PARTICIPAÇÕES

REGIMENTO INTERNO DO COMITÊ TÉCNICO ESTATUTÁRIO FINANCEIRO E DE RELACIONAMENTO COM INVESTIDORES

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

REGIMENTO INTERNO DO COMITÊ TÉCNICO ESTATUTÁRIO DE ESTRATÉGIA, ORGANIZAÇÃO E SISTEMA DE GESTÃO

REGIMENTO INTERNO DO COMITÊ TÉCNICO ESTATUTÁRIO DE REFINO E GÁS NATURAL

POLÍTICA CORPORATIVA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

LOCAL DE ARMAZENAMENTO

PROCEDIMENTO DE ACESSO AO SISTEMA

SUL AMÉRICA S.A. REGIMENTO INTERNO DO COMITÊ DE CAPITAL HUMANO

Política de Investimentos Pessoais

SUL AMÉRICA S.A. REGIMENTO INTERNO DO COMITÊ DE INVESTIMENTOS

REGIMENTO INTERNO DO COMITÊ DE AUDITORIA CAPÍTULO I OBJETO

POLÍTICA DE APROVAÇÕES

DOCUMENTO DE USO INTERNO 1

Política de Investimento Pessoal

Manual de Regras, Procedimentos e Controles Internos

REGIMENTO INTERNO DO COMITÊ TÉCNICO ESTATUTÁRIO DE INVESTIMENTO E DESINVESTIMENTO

REGULAMENTO Proteção a Informações (Sigilos Estratégico, Comercial e Industrial)

GERENCIAMENTO INTEGRADO DE RISCOS CORPORATIVOS, CONTROLES INTERNOS E COMPLIANCE. Histórico de Revisões. Elaboração do Documento.

REGIMENTO INTERNO DO COMITÊ DE EXPANSÃO

FUNDAÇÃO CELPE DE SEGURIDADE SOCIAL - CELPOS CONTROLE DE APROVAÇÃO REVISADO PELO ÓRGÃO NORMATIVO. Luiza M. Prestrêlo de Lima Diretoria Executiva

JSS Administradora de Recursos Ltda. CNPJ /

REGIMENTO INTERNO DO COMITÊ ESTRATÉGICO

SUMÁRIO DE REVISÕES. Rev. Data DESCRIÇÃO E/OU ITENS REVISADOS

REGIMENTO INTERNO DO COMITÊ DE SEGURANÇA, MEIO AMBIENTE E SAÚDE

Política de Uso dos. Recursos de Tecnologia da Informação. da UFRGS. Versão /03/2017

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO. Fev.17

REGIMENTO INTERNO DO COMITÊ TÉCNICO ESTATUTÁRIO DE EXPLORAÇÃO E PRODUÇÃO

POLÍTICA ORGANIZACIONAL

RESOLUÇÃO CODIR Nº 06, DE 08 DE JULHO DE 2016.

SUL AMÉRICA INVESTIMENTOS DTVM S.A.

POLÍTICA DE CONTRATAÇÃO DE TERCEIROS VISTA INVESTIMENTOS IMOBILIÁRIOS LTDA. JANEIRO 2017

FUNDAÇÃO CELPE DE SEGURIDADE SOCIAL - CELPOS CONTROLE DE APROVAÇÃO REVISADO PELO ÓRGÃO NORMATIVO. Luiza M. Prestrêlo de Lima Diretoria Executiva

Política de Backup e Restauração

DIAGNÓSTICOS DA AMÉRICA S.A. NIRE nº CNPJ/MF nº / REGIMENTO INTERNO DO COMITÊ DE GENTE

Esta Política se aplica aos Diretores Estatutários e aos membros do Conselho de Administração da Companhia.

POLÍTICA CONHEÇA SEU COLABORADOR

SEGURANÇA PATRIMONIAL E OPERACIONAL RD N : 16 DATA DE EMISSÃO 12/08/1999

Os critérios deste procedimento aplicam-se aos Departamentos: Compras de Suprimentos e Insumos e Almoxarifado da TRUFER.

Portaria da Presidência

Companhia de Saneamento de Minas Gerais REGIMENTO INTERNO DA SUPERINTENDÊNCIA DE CONFORMIDADE E RISCOS DA COPASA MG

Instrução de Trabalho: Instalar Client

POLÍTICA DE GESTÃO DE PATROCÍNIO

O F Í C I O C I R C U L A R. Participantes dos Mercados da B3 Segmento BM&FBOVESPA

DOS USUÁRIOS. Art. 4º. Aos usuários compete:

MANUAL DE REGRAS, PROCEDIMENTOS E DESCRIÇÃO DOS CONTROLES INTERNOS POLARIS INVESTIMENTOS

REGIMENTO INTERNO DO COMITÊ DE ELEGIBILIDADE

MINUTA PARA A POLÍTICA DE SOFTWARE LIVRE NA UFRPE GT Software Livre: André Aziz, Luiz Maia e Milena Almeida Setembro/2016

Controle de versão POLÍTICA DE CONTRATAÇÃO E MONITORAMENTO DE PRESTADORES DE SERVIÇOS

Código: MSFC-P-004 Versão: 05 Emissão: 10/2011 Última Atualização em: 02/2016

Público-Alvo (Áreas envolvidas)

PROCEDIMENTO PARA ATENDIMENTO A FORNECEDORES E CLIENTES EXTERNOS REVISÃO. PÁGINA 1 de 5

POLÍTICA DE PRIVACIDADE

MÓDULO CAPITAL GESTÃO DE RECURSOS LTDA. Política de Controles Internos

Os processos de segurança da informação devem assegurar a integridade, a disponibilidade e a confidencialidade dos ativos de informação da Apex.

REGULAMENTO. CONSIDERANDO que o Programa de Colaborador Voluntário deve estar adequado à missão e aos objetivos da Instituição;

Transcrição:

POLÍTICA DE GESTÃO DE ACESSOS LÓGICOS. ATA DE APROVAÇÃO RCA de 31/08/2018 1. OBJETIVO Estabelecer requisitos e orientações para a efetiva gestão de acessos lógicos na Eólica Mangue Seco 2. 2. ABRANGÊNCIA Aplica-se à Eólica Mangue Seco 2, respeitando-se os devidos trâmites societários, conforme disposto em seu Estatuto Social. 3. DESCRIÇÃO A gestão dos acessos lógicos é atividade fundamental na preservação da segurança das informações e se constitui de controle indispensável na mitigação de riscos como acesso indevido, roubo, vazamento de informações, perda de integridade e alteração não autorizada de informações. Neste sentido é fundamental que os processos de concessão, revogação, revisão de acessos, bem como a gestão de perfis e a correta definição das ações críticas e as que devem ser segregadas por conta de conflitos que levem a riscos estejam corretamente definidos, sejam seguidos e monitorados. 3.1 Autoridade e responsabilidade Caberá à Diretoria Executiva conceder, revogar e revisar os acessos dos seus colaboradores ao Servidor de Arquivos da Eólica Mangue Seco 2, quando o mesmo for instalado e utilizado. Para tanto, a Diretoria Executiva poderá: a) Analisar as solicitações de concessão, revogação e revisão de acesso; b) Restringir o acesso dos colaboradores a determinados arquivos e conteúdos, quando for necessário, a seu critério, ou por determinação do Conselho de Administração e/ou pela Assembleia de Acionistas; Página: 1/5

c) Promover as revogações por desligamento; d) Avaliar as matrizes de riscos; e) Garantir que os colaboradores da companhia só tenham acesso ao Servidor de Arquivos com login e senha pessoais, bem como mediante termo de sigilo e confidencialidade; 3.2 Concessão de acessos a) todo acesso deve ser autorizado formalmente pela Diretoria Executiva, mediante termo de sigilo e confidencialidade firmado pelo colaborador da Eólica Mangue Seco 2, após a instalação do servidor de arquivos; b) Em razão da estrutura operacional pequena, com apenas 04 (quatro) colaboradores cedidos pelos acionistas, bem como, os 2 (dois) membros da Diretoria Executiva, todos os colaboradores e membros da Diretoria terão completo acesso ao Servidor de Arquivos da Eólica Mangue Seco 2, quando o mesmo for instalado, salvo se identificada a possibilidade de restrição, prevista no item 3.1 b supra. 3.4. Análise de riscos a) a análise dos riscos da matriz deve ser documentada mesmo que não existam riscos mapeados para o Servidor de Arquivos da Companhia, assim que o servidor de arquivos for instalado na Companhia; b) a matriz de riscos deverá ser revista e atualizada sempre que surjam novos riscos inerentes do negócio ou sistema ou de forma anual. A revisão deve ser documentada, mesmo que não haja alterações, bem como os critérios utilizados na revisão; c) alguns eventos exemplificativos utilizados na revisão da matriz de riscos podem ser encontrados abaixo: - alteração de perfis; - criação de novos perfis; - criação de novas funcionalidades no sistema; - alteração de funcionalidades do sistema. d) as concessões devem ser precedidas de análise de riscos que levem em conta a necessidade de conhecimento, os impactos e controles para proteção das informações, as ações conflitantes e críticas; Página: 2/5

e) a análise dos riscos das concessões de acesso, pelos gestores de risco, deverá ser documentada preferencialmente em sistema previsto para esta finalidade; f) a análise deve ser feita no momento da construção e alteração do perfil e não é necessária que seja feita a cada caso. 3.5 Revogação de acessos A Diretoria Executiva pode a qualquer tempo suspender, revogar ou restringir o acesso aos dados e informações sob sua responsabilidade. 3.6 Revisão dos acessos dos usuários a) os acessos e perfis devem ser revisados e revalidados pela Diretoria Executiva, se necessário; 3.7 Definição de ações críticas a) devem ser definidas, caso existam, as ações em sistemas que são críticas devido a sua relevância para a execução do processo, que possam pôr em risco o sigilo, disponibilidade, integridade dos dados e informações e aquelas que possam gerar impactos operacionais, legais, financeiros ou de reputação; b) os critérios que levaram à definição de ações críticas devem ser definidos e documentados; c) é de responsabilidade da Diretoria Executiva revisar a totalidade dos usuários que incorram em tais acessos críticos visando manter ou revogar tais acessos pelo menos uma (01) vez por ano. 3.8 Gestão de perfis a) perfis de acesso só poderão ser modificados, criados ou removidos dos ambientes de produção após a autorização e validação da Diretoria Executiva da Companhia; b) as ações críticas só poderão existir em perfis cujas ações sejam rastreáveis (log de ações); c) perfis descontinuados não devem ser mapeados para nenhum usuário. Página: 3/5

3.9 Monitoramento a) a qualquer tempo o Conselho de Administração da Companhia poder avaliar a totalidade dos acessos e perfis de acesso sob sua responsabilidade; b) a qualquer tempo o Conselho de Administração da Companhia poderá avaliar a totalidade do histórico de concessões de acesso e perfis sob sua responsabilidade; c) dever haver por parte da Diretoria Executiva, bem como do Conselho de Administração, o monitoramento periódico das ações críticas realizadas; d) as ações de usuários de serviço ou com acesso a sistemas por meio de perfis temporários ou de emergência devem ser rastreáveis e monitoradas pela Diretoria Executiva. 3.10 Usuários externos a) quando houver necessidade de uso de sistemas por parte de usuários externos (estrangeiros, usuários de fora da Eólica Mangue Seco 2, ou outros casos), incluindo os cadastros em bases ou serviços/servidores locais, os mesmos cuidados já descritos neste padrão devem ser tomados pelos gestores de tais sistemas; b) os usuários Externos devem ser identificados de forma inequívoca através de número de CPF. Quando se tratar de estrangeiro, poderá ser utilizado CPF, passaporte ou número do documento de identificação de estrangeiro do seu país de origem; c) o responsável pelo cadastro deverá providenciar formulários e cópias da documentação de forma a identificar os usuários que são externos à Eólica Mangue Seco 2 ou estrangeiros; d) os controles de concessão, revisão, revogação, monitoramento, gestão de perfis, e definição de ações críticas devem ser observados, conforme descrito neste padrão. Não sendo possível a automatização em sistema específico, deve ser criado e mantido um processo que garanta os controles citados neste padrão. Página: 4/5

3.11 Prazo para implantação Os prazos para implantação nos sistemas e aplicações já existentes dos controles definidos neste padrão, a partir da data de sua aprovação pelo Conselho de Administração é de 180 dias, após a instalação do servidor de arquivos. Caso a Eólica Mangue Seco 2 venha adquirir ou utilizar novos sistemas ou aplicações desenvolvidas, sob qualquer forma de comercialização, deverá rever a presente diretriz de modo a adequá-la à Diretriz PE-1PBR-00029 Versão: F GESTÃO DE ACESSOS LÓGICOS da sua acionista Petróleo Brasileiro S.A. ( Petrobras ). Página: 5/5

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback