Política de segurança

Documentos relacionados
Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini /

Segurança da Informação ISO/IEC ISO/IEC 27002

Os processos de segurança da informação devem assegurar a integridade, a disponibilidade e a confidencialidade dos ativos de informação da Apex.

Portaria da Presidência

Interpretação da norma NBR ISO/IEC 27001:2006

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini /

POLÍTICA. TÍTULO: PLT-SGR Política do SGSI - SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO CONTROLE DE APROVAÇÃO ELABORADO REVISADO APROVADO

POLÍTICA DE CIBERSEGURANÇA DO BANCO CETELEM S.A. ( CETELEM )

DIRETRIZES DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

FUNDAÇÃO CELPE DE SEGURIDADE SOCIAL - CELPOS CONTROLE DE APROVAÇÃO REVISADO PELO ÓRGÃO NORMATIVO. Luiza M. Prestrêlo de Lima Diretoria Executiva

Política de Segurança da Informação

Público-Alvo (Áreas envolvidas)

Política de Segurança da Informação da Unidade Local de Saúde de Matosinhos, E.P.E.

FUNDAÇÃO CELPE DE SEGURIDADE SOCIAL - CELPOS CONTROLE DE APROVAÇÃO REVISADO PELO ÓRGÃO NORMATIVO. Luiza M. Prestrêlo de Lima Diretoria Executiva

Gestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e- Learning Sistema de

MGQ Manual de Gestão da Qualidade. PDQ - Procedimento Documentado ITQ Instrução de Trabalho PQC Plano da Qualidade de Contrato

Segurança da Informação

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Superintendência de Riscos e Controles 15/03/2017

Kit de Documentação da ISO 27001

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DAS EMPRESAS ELETROBRAS

Claranet. Política de Segurança da Informação. Versão 3.0

Kit de documentação premium da ISO e ISO 22301

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PÚBLICA

Segurança da Informação Aula 10 SGSI ISO e Prof. Dr. Eng. Fred Sauer

Gerência de Processos e Automação 29/08/2018

FUNDAÇÃO CELPE DE SEGURIDADE SOCIAL - CELPOS CONTROLE DE APROVAÇÃO REVISADO PELO ÓRGÃO NORMATIVO. Luiza M. Prestrêlo de Lima Diretoria Executiva

ÍNDICE 1. OBJETIVO CONCEITOS PRINCÍPIOS DIRETRIZES CORPORATIVAS ESTRUTURA DE GERENCIAMENTO... 4

1. Introdução PUBLIC - 1

Rabobank Segurança Cibernética

Gerenciamento e Interoperabilidade de Redes. Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt

POLÍTICA DE SEGURANÇA CIBERTNÉTICA, SEGURANÇA DE INFORMAÇÃO E CONTINUIDADE.

Gestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e Learning Sistema de

Gestão da Segurança da Informação

Política Controles Internos

Este documento é propriedade exclusiva da Santa Casa da Misericórdia do Porto. Data: 01/06/18 - v01 ; Classificação Doc.: Pública

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA FUNDAÇÃO UNIVERSIDADE FEDERAL DO ABC

PROJETO DE RESOLUÇÃO N.º 1498/XIII/3.ª. Política geral de segurança da informação da Assembleia da República

Módulo Contexto da organização 5. Liderança 6. Planejamento do sistema de gestão da qualidade 7. Suporte

POLÍTICA DE RISCO OPERACIONAL DOS FUNDOS E CARTEIRAS GERIDOS PELO SICREDI

AULA 02 Qualidade em TI

Política da Segurança da Informação e Comunicações da Eletrobras Distribuição Alagoas. Versão 1.0

Política Geral de Segurança da Informação da Assembleia da República

Sistema de Gestão Segurança e Saúde Ocupacional (SGSSO) ESTRUTURA ISO :2016

Edição ou última data de revisão:

GIS-N-ISP-05. Norma de Classificação da Informação

Manual de Regras, Procedimentos e Controles Internos

Política de Segurança da Informação e Comunicações. PoSIC/CNEN

POLÍTICA DE CONFORMIDADE

Portaria da Presidência

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Segurança e Auditoria de Sistemas

BS2 ASSET MANAGEMENT S.A ADMINISTRADORA DE RECURSOS LTDA

Lista de Verificação de Auditorias Internas do SGI - MA - SST

Usuários: Gestores de informações: Administradores dos ativos de TI:... 3 POLÍTICA CORPORATIVA

Usuários: Gestores de informações: Administradores dos ativos de TI:... 3 POLÍTICA CORPORATIVA

ADMINISTRAÇÃO DE SISTEMAS DE INFORMAÇÃO. Unidade VI Planejamento Estratégico de TI. Luiz Leão

Manual de regras, procedimentos e controles internos ICVM 558/15

Sistema de Gestão Segurança e Saúde do Trabalho (SGSSO) ESTRUTURA ISO 45001:2018

Política de Segurança da Informação

Regulamento Para Certificação de Sistemas de Gestão Antissuborno

GIS-P-ISP-09. Procedimento de Classificação da Informação

Política de Segurança da Informação - Informática Corporativa

ISO/IEC família de normas ISO / IEC ISMS

Política de Controles Internos

Formação Técnica em Administração. Modulo de Padronização e Qualidade

CB.POL a. 1 / 7

Padrões que auxiliam no gerenciamento da qualidade e segurança da informação de uma organização, a figura do profissional qualificado neste contexto

Gerenciamento e Interoperabilidade de Redes

Política de Conformidade (Compliance)

Segurança da Informação Aula 9 Políticas de Segurança. Prof. Dr. Eng. Fred Sauer

PSI Política de Segurança da Informação

SÉRIE ISO SÉRIE ISO SÉRIE ISO GESTÃO AMBIENTAL E DA QUALIDADE GESTÃO AMBIENTAL E DA QUALIDADE SISTEMAS DE GESTÃO AMBIENTAL

Política de Compliance

10. Política de Segurança de Terceiras Partes

Políticas Corporativas

Dezembro de 2015 Versão 1.1. Código de Compliance

POLÍTICA CORPORATIVA DE SEGURANÇA DA INFORMAÇÃO

Telefónica SA Dezembro de 2015, Madri 2ª Edição

FORMAÇÃO DE AUDITORES INTERNOS DA QUALIDADE ISO 19011:2012 PROF. NELSON CANABARRO

Módulo 7. NBR ISO Interpretação dos requisitos: 4.3.3, 4.4, 4.4.1, 4.4.2, 4.4.3, 4.4.4, Exercícios

Gerencial Industrial ISO 9000

POLÍTICA DE SEGURANÇA CIBERNÉTICA

Segurança da Informação

DOCUMENTO DE USO INTERNO 1

Acordo de não divulgação

Transcrição:

1001 - Política de segurança

Controlo Documental Data Versão Modificações Autor 19/12/2014 1.0 Criação Manel Cervera Díaz 04/01/2016 1.1 Revisão e Atualização Manel Cervera Díaz 16/03/2016 1.2 Separação dos objetivos do documento Manel Cervera Díaz 02/12/2016 1.3 Revisão e Atualização Jordi Ramón 22/12/2017 1.4 Revisão Jordi Ramón Lista de distribuição Departamentos Lleida.net Classificação e status do documento Classificação do documento Status do documento Uso interno Aprovado Documentos referenciados Documentos 3001 - Gerenciamento do repositório de documentação 1008 - Objetivos da Lleida.net

Sumário Controlo Documental... 1 Lista de distribuição... 1 Classificação e status do documento... 1 Documentos referenciados... 1 1 Introdução... 3 1.1 Objetivo... 3 1.2 Âmbito de aplicação... 3 1.3 Distribuição... 3 1.4 Revisão... 3 2 Política de segurança da informação... 4 2.1 Responsabilidade... 4 2.2 Segurança da informação... 4 2.3 Ativos de informação... 4 2.4 Objetivos estratégicos da Lleida.net... 4 2.5 Diretrizes da Política de Segurança... 5 2.6 Corpo Normativo de Segurança da Informação... 5 2.7 Análise e Gestão de Riscos... 5 2.8 Risco residual aceito... 6 2.9 Violações da Política e processo disciplinar... 6 2.10 Conformidade legal e estatutária... 6 2.11 Conscientização e Treinamento em Segurança da Informação... 7 2.12 Incidentes de segurança... 7 3 Mapa das cláusulas da ISO 27001:2013... 7 4 Mapa de controles da ISO 27002:2013... 7

1 Introdução 1.1 Objetivo O objetivo desta política é estabelecer o compromisso da Direção da Lleida.net, representada por seu Steering Committee, quanto à segurança da informação e à proteção dos ativos de informação necessários para o desempenho das funções descritas no escopo, permitindo assim, a realização de seus objetivos. Este compromisso é materializado através da implementação e manutenção de um Sistema de Gestão de Segurança da Informação (SGSI) em conformidade com a norma internacional ISO/IEC 27001:2013. 1.2 Âmbito de aplicação Todos os membros da Lleida.net, bem como todos os terceiros identificados no âmbito do Sistema de Gestão de Segurança da Informação (SGSI). 1.3 Distribuição Aprovado pelo Steering Committee da Lleida.net, esta Política deve ser acessível a todas as pessoas incluídas na lista de distribuição especificada no controlo documental, através dos canais apropriados, estabelecidos no procedimento 3001 - Gerenciamento do repositório de documentação. 1.4 Revisão Esta Política de Segurança será revisada e aprovada anualmente pelo Steering Committee da Lleida.net. No entanto, caso ocorram mudanças relevantes para a Organização, sejam elas operacionais, legais, regulatórias ou contratuais, elas serão revisadas sempre quando for considerado necessário, garantindo assim que a Política permaneça adaptada em todos os momentos.

2 Política de segurança da informação A Lleida.net está comprometida em proteger todos os ativos sob sua responsabilidade por meio das medidas necessárias, sempre garantindo a conformidade com os diferentes normas e leis aplicáveis. Por essa razão, um objetivo estratégico de negócios da Lleida.net é obter a certificação ISO 27001:2013 para o gerenciamento do processo de certificação de correios. A fim de cumprir com a norma ISO 27001:2013 a Lleida.net compromete-se a: Estabelecer e manter um Sistema de Gestão de Segurança da Informação (SGSI) que inclui os processos, recursos, procedimentos, tecnologias e ferramentas necessárias para garantir a confidencialidade, integridade e disponibilidade dos ativos de informação e ativos tecnológicos que dão suporte à Lleida.net. Especialmente aos processos incluídos no escopo. 2.1 Responsabilidade O cumprimento desta Política de Segurança é de responsabilidade de toda a equipe da Lleida.net, bem como do pessoal externo incluído no escopo do Sistema de Gestão de Segurança da Informação. A Direção da Lleida.net espera que todo o pessoal, interno e externo, esteja familiarizado com esta Política de Segurança. 2.2 Segurança da informação O termo "Segurança da Informação" refere-se à proteção dos ativos de informação contra a divulgação, modificação ou destruição não autorizada, seja causada de forma acidental ou intencional. Os atributos de segurança associados aos ativos de informações são: Confidencialidade: Propriedade para a qual as informações não são disponibilizadas ou divulgadas a indivíduos, entidades ou processos não autorizados Integridade Propriedade para salvaguardar a exatidão e integridade dos ativos de informação Disponibilidade: Propriedade a ser acessível e utilizável por uma entidade autorizada 2.3 Ativos de informação Os ativos de informação aos quais esta Política refere-se incluem qualquer informação suportada em formato físico (papel, contratos, cartões de visita, etc.) ou eletrônica (servidores, laptops, telefones celulares, etc.) e que a Lleida.net requer para o desempenho de suas funções e alcance de seus objetivos estratégicos e operacionais. 2.4 Objetivos estratégicos da Lleida.net Esta Política visa estabelecer as diretrizes necessárias em matéria de Segurança da Informação, que são consideradas pela Direção da Lleida.net como um requisito essencial para alcançar os objetivos estratégicos e operacionais. Estes podem ser consultados no documento 1008 - Objetivos da Lleida.net.

2.5 Diretrizes da Política de Segurança A Direção da Lleida.net considera que a realização dos objetivos do grupo está sujeita ao cumprimento de vários requisitos que visam garantir a Segurança da Informação dentro da Organização. Desta forma, considera-se que a Segurança da Informação deve ser uma prioridade para a organização e para isso, esta Política estabelece as seguintes diretrizes: As informações de que a Lleida.net é proprietária e/ou depositária devem ser acessíveis exclusivamente a pessoas devidamente autorizadas, pertencentes ou não à Organização Esta Política de Segurança, assim como o restante do Corpo Normativo do SGSI (procedimentos, guias, etc.), deve ser acessível a todos os membros da Lleida.net dentro do escopo do SGSI, assim como a pessoas alheias, relacionadas com o mesmo através dos seus processos A Organização deve cumprir todos os requisitos legais, regulamentares e estatutários que se aplicam a ela, bem como os requisitos contratuais A confidencialidade da informação deve ser garantida em todos os momentos A integridade da informação deve ser assegurada através de todos os processos que gerenciam, processam e armazenam a mesma A disponibilidade da informação deve ser garantida através de medidas de apoio adequadas e da continuidade dos negócios Todo o pessoal dentro do escopo do SGSI da Lleida.net deve ter o treinamento e conscientização adequados em matéria de Segurança da Informação Qualquer incidente ou fraqueza que possa comprometer ou tenha comprometido a confidencialidade, integridade e/ou disponibilidade das informações deve ser registrado e analisado para aplicar as medidas corretivas e/ou preventivas correspondentes Cada membro da Lleida.net no escopo do SGSI, tanto pertencente ao Steering Committee como ao Grupo Operativo, é responsável por implementar, manter e melhorar esta Política, bem como por garantir seu cumprimento Cada membro da Lleida.net no escopo do SGSI é responsável por garantir a adequada implementação, manutenção e melhoria do SGSI, bem como a sua conformidade com a norma ISO/IEC 27001:2013 2.6 Corpo Normativo de Segurança da Informação Como parte desta política, foi gerada documentação referente às Normas e Procedimentos que se aplicam aos processos descritos no escopo do SGSI. A referida documentação será distribuída através dos canais apropriados e baseada na necessidade de conhecimento, para todas as partes interessadas. 2.7 Análise e Gestão de Riscos A Segurança da Informação é controlada e monitorada pela Direção da Lleida.net através do quadro de Análise e Gestão de Riscos estabelecido dentro do SGSI. Esse quadro permite que a Direção da Lleida.net avalie o grau de controle interno em torno dos ativos de informação por

meio do uso de uma metodologia de análise de risco que fornece resultados objetivos, mensuráveis e reproduzíveis. 2.8 Risco residual aceito A Direção da Lleida.net, assumindo que a mitigação completa de qualquer risco não é atingível, estabelece que o nível de risco residual associado a qualquer um dos ativos de informação incluídos no escopo do SGSI não deve ser superior ao nível 8 (numa escala de 25). Para a Direção da Lleida.net, este nível representa o limiar de risco residual cujo custo de mitigação é superior à perda incorrida em caso de materialização da mesma. Caso o risco residual associado a qualquer um dos ativos de informação exceda o nível de risco aceito, a Direção da Lleida.net avaliará as alternativas de mitigação do referido risco e fornecerá os recursos necessários para colocá-lo abaixo do nível de risco residual aceito. 2.9 Violações da Política e processo disciplinar Qualquer exceção a esta Política de Segurança deve ser registrada e informada à Direção da Lleida.net. Da mesma forma, qualquer violação da mesma pode resultar na aplicação das ações disciplinares correspondentes de acordo com a legislação aplicável. É de responsabilidade de todos os membros da Lleida.net notificar a Direção de qualquer evento ou situação que possa supor a violação de qualquer uma das diretrizes definidas por esta Política. 2.10 Conformidade legal e estatutária Esta Política estabelece a necessidade de cumprir todos os requisitos legislativos, regulamentares e contratuais que se aplicam à Lleida.net e aos ativos de informação gerenciados. A este respeito, a Direção da Lleida.net está empenhada em fornecer os recursos necessários para cumprir toda a legislação e regulamentos aplicáveis à atividade da Lleida.net e estabelece a responsabilidade por tal cumprimento em todos os seus membros. A este respeito, a Direção empenhar-se-á em cumprir todas as leis e regulamentos aplicáveis, o que inclui principalmente os seguintes aspectos: Legislação relacionada à proteção de dados pessoais (LOPD): o Lei Orgânica Espanhola 15/1999, de 13 de dezembro, sobre a proteção de dados pessoais Real Decreto Espanhol 1720/2007, de 21 de dezembro, pelo qual é aprovado o Regulamento de desenvolvimento da Lei Orgânica 15/1999, de 13 de dezembro, sobre a proteção de dados pessoais Lei de Serviços da Sociedade da Informação (LSSI): o Lei 34/2002, de 11 de julho, de Serviços da Sociedade da Informação e Comércio Eletrônico Legislação relacionada à assinatura eletrônica: o Lei 59/2003, de 19 de dezembro, sobre assinatura eletrônica Da mesma forma, o cumprimento de qualquer outra legislação ou regulamentação aplicável deve ser assegurado.

2.11 Conscientização e Treinamento em Segurança da Informação Todos os membros da Lleida.net devem ter o treinamento apropriado para desempenhar suas funções. Da mesma forma, a conscientização adequada dos membros da Lleida.net em termos de Segurança da Informação e boas práticas deve ser assegurada. Da mesma forma, os membros da Lleida.net devem ter acesso e conhecimento das atualizações regulares desta Política e do restante do Corpo Normativo e Documental do SGSI. 2.12 Incidentes de segurança Um incidente de segurança consiste em qualquer evento que possa comprometer a confidencialidade, integridade e/ou disponibilidade das informações, bem como afetar a realização dos objetivos da Lleida.net. Esta Política estabelece a obrigação e a responsabilidade de todos os membros da Lleida.net, bem como de terceiros incluídos no escopo do SGSI, da identificação e notificação aos gerentes da Lleida.net de qualquer incidente que possa comprometer a segurança dos ativos de informação da Lleida.net, bem como de qualquer situação que possa supor uma não conformidade com os procedimentos do SGSI e da norma ISO/IEC 27001:2013. Esta Política de Segurança entra em vigor no dia da sua publicação. 3 Mapa das cláusulas da ISO 27001:2013 5.1 - Leadership and commitment 5.2 - Policy Cláusulas ISO 27001:2013 4 Mapa de controles da ISO 27002:2013 5.1.1 - Policies for information security 5.1.2 - Review of the policies for information security Controle ISO 27002:2013

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback