Público-Alvo (Áreas envolvidas)

Documentos relacionados
GERENCIAMENTO INTEGRADO DE RISCOS CORPORATIVOS, CONTROLES INTERNOS E COMPLIANCE. Histórico de Revisões. Elaboração do Documento.

Gestão da Tecnologia da Informação

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PÚBLICA

Política de Compliance

POLÍTICA CORPORATIVA

ÍNDICE 1. OBJETIVO ABRANGÊNCIA DEFINIÇÕES GESTÃO DE RISCOS ETAPAS DA GESTÃO DE RISCOS E CONTROLES INTERNOS...

Os processos de segurança da informação devem assegurar a integridade, a disponibilidade e a confidencialidade dos ativos de informação da Apex.

DOCUMENTO DE USO INTERNO 1

Superintendência de Riscos e Controles 15/03/2017

40º. CONAC & 32º. CONAEC. Compliance como diferencial competitivo. Abril de 2018

FUNDAÇÃO CELPE DE SEGURIDADE SOCIAL - CELPOS CONTROLE DE APROVAÇÃO REVISADO PELO ÓRGÃO NORMATIVO. Luiza M. Prestrêlo de Lima Diretoria Executiva

Gerência de Processos e Automação 29/08/2018

Política de segurança

[ RAS Declaração de Apetite de Risco ] Revisado por: Márcio Placedino Data: 05/01/2018

POLÍTICA CORPORATIVA 2018

Política de Conformidade (Compliance)

Políticas Corporativas

Política de Conformidade (Compliance) do Sistema CECRED

Avenida Presidente Wilson, andar Rio de Janeiro- RJ RELATÓRIO DA ESTRUTURA DE GERENCIAMENTO DE CAPITAL

Este documento está dividido nas seguintes seções:

BM&FBOVESPA. Política de Controles Internos. Diretoria de Controles Internos, Compliance e Risco Corporativo. Última Revisão: março de 2013.

POLÍTICA PCT 007 GERENCIAMENTO DE RISCOS E CONTROLES INTERNOS

Política Controles Internos

Política de Gestão de Riscos Operacionais. 14 de fevereiro

POLÍTICA DE GERENCIAMENTO DO RISCO DE LIQUIDEZ Junho de 2013

POLÍTICA ORGANIZACIONAL

Política de Risco Operacional BM&FBOVESPA. Página 1

STANDARD CHARTERED BANK ANGOLA, S.A. (O SCBA ) REGULAMENTO DA COMISSÃO DE RISCO E DE CONTROLO INTERNO ( BRC )

Código: MSFC-P-004 Versão: 05 Emissão: 10/2011 Última Atualização em: 02/2016

Manual de Procedimentos de Controles Internos Instrução CVM nº 592/2017

DIRETRIZES DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Gestão da Tecnologia da Informação

RESPONSABILIDADE SOCIAMBIENTAL

POLÍTICA DE COMPLIANCE

Asseguração de Basiléia e Auditoria com Foco em Riscos ABBC JUN 10

Política de Controles Interno

Política de Controle a Potenciais Conflitos de Interesse - Research Código da circular: BA-51 Data da publicação: 03/01/2017

MANUAL DE GESTÃO DE RISCOS Diretoria de Riscos

POLÍTICA GESTÃO DE RISCOS CORPORATIVOS

ESTRUTURA DE GERENCIAMENTO DE RISCO OPERACIONAL

Política - Gerenciamento do Risco Operacional dos Fundos de Investimento Geridos pelo Sicredi

Instrução Normativa IN CO Política de Compliance da CIP

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Conglomerado Prudencial Bank of America Merrill Lynch Comitê de Gestão de Riscos Brasil Termos de Referência

Morgan Stanley Administradora de Carteiras S.A. Estrutura de Gestão de Risco Política

Política de Controles Internos

POLÍTICA DE GESTÃO DE RISCOS CONTAX PARTICIPAÇÕES S.A CAPÍTULO I OBJETIVO E ABRANGÊNCIA

Política de Controles Internos BM&FBOVESPA. Página 1

Por Carolina de Moura 1

POLÍTICA DE RESPONSABILIDADE SOCIOAMBIENTAL

UNITY CAPITAL GESTORA DE INVESTIMENTOS LTDA. POLÍTICA DE CONTROLES INTERNOS FEVEREIRO / 2019 VERSÃO 2.0

POLÍTICA DE CONTROLES INTERNOS

ESTRUTURA DE GERENCIAMENTO DE RISCO OPERACIONAL

Plano Continuidade de Negócios Vinci Partners

GIS-P-ISP-09. Procedimento de Classificação da Informação

Política de Segurança Cibernética

Política de Controles Internos

FRANKLIN TEMPLETON INVESTIMENTOS (BRASIL) MANUAL DE REGRAS, PROCEDIMENTOS E CONTROLES INTERNOS 1 12/06/2018

Integrated Framework 2013; (iv) a COSO Risk Assessment in Practice (2012); (v) o Regulamento do

POLÍTICA DE RISCO OPERACIONAL

POLÍTICA. TÍTULO: PLT-SGR Política do SGSI - SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO CONTROLE DE APROVAÇÃO ELABORADO REVISADO APROVADO

COMPANHIA ABERTA (BRML3) CAPÍTULO I DEFINIÇÕES

POLÍTICA DE GERENCIAMENTO

Dezembro de 2015 Versão 1.1. Código de Compliance

ITAÚ UNIBANCO HOLDING S.A.

Usuários: Gestores de informações: Administradores dos ativos de TI:... 3 POLÍTICA CORPORATIVA

CB.POL a. 1 / 7

RIV-02 Data da publicação: 02/jun/2017

Comitê de Gestão de Riscos Brasil Termos de Referência

Morgan Stanley Administradora de Carteiras S.A. Estrutura de Gestão de Risco Política

POLÍTICA DE TREINAMENTO E RECICLAGEM

Tipo de Documento Política Corporativa Responsável: Compliance Assunto: RESPONSABILIDADE SOCIOAMBIENTAL Vigência: Outubro / 2017

POLÍTICA DE COMPLIANCE, CONTROLES INTERNOS E CUMPRIMENTO DA INSTRUÇÃO CVM 558/15

Diretrizes do Comitê de Compliance Par Mais. 1. Objetivos

Estágio 2 Auditoria de Certificação. Plano de Ações. Follow up. Emissão do Certificado

Política de Gerenciamento de Risco Operacional Maio 2018

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini /

Manual de regras, procedimentos e controles internos ICVM 558/15

POLÍTICA DE CONTROLES INTERNOS

25/08/2016 Guilherme Alano Criação das diretrizes do Comitê de Compliance.

POLÍTICA DE CONTROLES INTERNOS

RISCO OPERACIONAL INTRODUÇÃO MISSÃO E RESPONSABILIDADES CONTROLES PERMANENTES

POLÍTICA DE GESTÃO DE RISCOS DO GRUPO MRV

ÍNDICE 1. OBJETIVO CONCEITOS PRINCÍPIOS DIRETRIZES CORPORATIVAS ESTRUTURA DE GERENCIAMENTO... 4

Risco de Liquidez. Um Investimentos S/A CTVM. Fev/2010 Atualização Set/ 13 Atualização Fev/14. Resolução nº 4090/12

Política de Confidencialidade e Segurança da Informação

POLÍTICA DE GESTÃO DE RISCOS

POLÍTICA DE GESTÃO DE RISCOS - ELETROPAULO

POLÍTICA DE CONFORMIDADE

Transcrição:

Política: Política de Gestão de Dados Versão: 1.00 Responsável: Diretor Roberto Chateaubriand Tel.: +55 (11) 3556-7208 Gestor Carlos Bacetti Tel.: +55 (11) 3556-7240 Colaborador Michel Roque Tel.: +55 (11) 3556-7419 Objetivo da Política: Esta política documenta os requerimentos mínimos para a Gestão de Dados, incluindo: Definição de dados estruturados e não estruturados; Alinhamento com o apetite de risco; Principais exigências para a entrega da gestão de dados estruturados e não estruturados. Comitê(s) relacionado(s): Executivo / Riscos / Credito / Investimentos / Incidentes Público-Alvo (Áreas envolvidas) Comercial Subscrição (Técnica) Operações (Emissão) Resseguro Financeiro & Atuarial Sinistros Recursos Humanos Jurídico & Compliance TI & Projetos Administrativo Marketing & Planejamento Estratégico Riscos Corporativos Datas: Elaborada 01/05/2016 Aprovada 99/99/9999 Publicada 99/99/9999 10/08/2016 Motivo: Motivo: Motivo: Motivo: Motivo:

Relação de Leis & Regulamentações: Política(s) SURA relacionada(s): Subscrição Pessoas Controle Financeiro Divulgação e Confidencialidade Seg. da Informação Resseguro Gestão de Terceiros Reputação e Mídia Social Tecn. de Informação Investimentos Conformidade Regulatória Risco Operacional Gestão de Dados Crédito Lavagem de Dinheiro Continuidade Operacional Sustentabilidade Reservas Corrupção, Presentes e Hospitalidades e Conflito de Transparência Sinistros Interesses Risco Legal e Concorrência Glossário (Palavras-chaves para entendimento da política) Stakeholders Pessoas/partes interessadas

A) Estrutura deste documento 1 Introdução 2 Escopo da Política e Definição 3 Fora do Escopo 4 Alinhamento com o Apetite de Risco 5 Requisitos da Política 6 Desenho, Operação e Documentação de Controles 7 Validação de Controle 8 Papéis e Responsabilidades 9 Escalação 10 Atualização da Política B) Tabelas / Matrizes / Limites / Listas C) Riscos relacionados à Política / Controles Associados D) Indicadores de Gestão / Processos (KPI, KRI, etc.) E) Reportes Locais, Grupo SURA e Regulamentação inerente F) Organograma / Lista de Contatos G) Terminologia utilizada no Mercado H) Fluxograma I) Anexos / Formulários / Processos / Treinamentos

1. Introdução 1.1 Por que a política é importante para a Seguros SURA? A efetiva gestão de dados possibilita ao negócio: Assegurar que os ativos de informação recebam níveis adequados de proteção; Assegurar que os controles críticos sejam adequadamente definidos e implementados; Assegurar a conformidade com as exigências regulatórias e estatutárias. 1.2 Implicações de Falhas Materiais em Segurança da Informação relacionada a ativos de dados Existe uma série de potenciais implicações de falhas materiais nos controles de gestão de dados, incluindo: Reparação a clientes/stakeholders a respeito de informações comprometidas; Multas de órgãos reguladores; Perda de confiança do investidor e do cliente; Perda de oportunidades de negócio; Dano reputacional. 1.3 Quando e onde se aplica? Esta política se aplica a todos os negócios da Seguros SURA, detidos total ou majoritariamente, e a todas as empresas associadas nas quais a Seguros SURA tenha controle de gestão. 1.4 O que deve ser feito para estar em conformidade? O dono da política deve assegurar que a Política de Gestão de Dados do Grupo e a estrutura operacional associada estejam implementadas para entregar os requisitos mínimos estabelecidos e a implementação de padrões: Os requerimentos mínimos estão definidos no Item 5; Esta política é suportada por um nível menor de detalhe e escopo; isto é fornecido no Padrão de Gestão de Dados, suporte da implementação. A falha na implementação e manutenção de controles adequados, da validação de controle e dos processos de garantia podem resultar em consequências pessoais de desempenho para os responsáveis pelos processos. Violações à política serão levadas a sério pela empresa e poderão resultar em procedimentos disciplinares e, em último caso, em demissão (de acordo com as leis aplicáveis e/ou contrato de trabalho). A efetividade dos controles, da validação de controle e da garantia estabelecidos nesta e em outras políticas é importante para evitar o descumprimento deliberado das políticas em todos os níveis, inclusive no nível gerencial. 2. Escopo da Política e Definição Esta política se aplica a todos os negócios da Seguros SURA, detidos total ou majoritariamente, e a todas as empresas associadas nas quais a Seguros SURA tenha controle de gestão.

Esta política se aplica às informações listadas abaixo e aos ativos utilizados no manuseio destas informações: Armazenados em bancos de dados; Armazenados em computadores e transmitidos internamente e/ou através de redes públicas; Armazenados em dispositivos removíveis como CD-ROMs, dispositivos USB, discos rígidos, fitas e outros dispositivos similares; Armazenados em mídia fixa como discos rígidos (HD); Impressos ou escritos à mão em papel, quadros, flip charts, etc.; Apresentados em slides e projetores (mídia audiovisual); Verbais durante telefonemas, reuniões ou conversas; Enviados por fax, telex ou outras formas de comunicação. Definições a. Dados estruturados: Dados armazenados em um local de armazenamento de dados cujas estruturas foram definidas para aceitar os dados em um formato específico, validado durante a atualização. Em algumas situações, pode incluir campos de texto livres. b. Dados não estruturados: Dados armazenados em formato livre. Isto inclui documentos gerais, geralmente armazenados em servidores de arquivos, em arquivos de mensagem (e-mail) e em desktop/laptop. Isto também inclui as aplicações definidas pelo usuário como planilhas de Excel e bancos de dados do Access, nos quais o formato dos dados é definido pelo usuário. c. Locais de armazenamento de dados: Os locais de armazenamento de dados são mencionados na política acima. No entanto, pode ser mais prático considerar as aplicações ou sistemas para atingir os mesmos objetivos, o que é aceitável, desde que todos os locais de armazenamento de dados sejam incluídos na avaliação. 3. Fora do Escopo 4. Alinhamento com o Apetite de Risco Esta política suporta as declarações do apetite de risco, conforme aprovado pelo Comitê (Board). A empresa deve considerar o apetite de risco contido no documento Risk Appetite Statement (Declaração do Apetite de Risco). 5. Requisitos da Política Os donos e a classificação devem ser identificados para todos os dados, com controles implementados em linha com a classificação. 5.1 Dados Estruturados Os locais de armazenamento de dados (veja a definição abaixo) devem ser avaliados em relação a confidencialidade, integridade e disponibilidade. Os locais de armazenamento de dados devem ter donos (business owners) que estejam cientes e cumpram suas responsabilidades. São elas:

Realizar todas as tarefas atribuídas ao business owner. É responsabilidade do business owner compartilhar ou delegar tarefas quando necessário. Os locais de armazenamento de dados podem ter mais de um dono; Participar e aceitar os resultados da avaliação de risco em conjunto com a equipe de Segurança da Informação; Classificar de forma apropriada a informação nos locais de armazenamento de dados; Os locais de armazenamento de dados com alto impacto devem ser revisados para assegurar que a garantia necessária de proteção seja alcançada por meio de controles efetivos. Isto deve considerar todas as aplicações que acessem os locais de armazenamento de dados. Relatórios periódicos devem existir a fim de que os business owners estejam cientes dos riscos que os sistemas de suas responsabilidades estão sujeitos e consigam implantar ações corretivas. 5.2 Dados Não Estruturados Uma avaliação de risco deve ser realizada nos dados não estruturados para identificar os principais riscos e vulnerabilidades. Esta avaliação deve ser aceita pelos donos de negócio (business owners) e incluir atividade de remediação que seja documentada e monitorada. Os controles de proteção de dados não estruturados devem ser documentados e revisados regularmente. 6. Desenho, Operação e Documentação de Controles Os requisitos mínimos contidos no Item 5 devem ser implementados exatamente como especificados. Pedidos de exceção para os requisitos mínimos devem ser documentados, gerenciados e aprovados. Donos devem ser identificados para todos os controles, sendo responsáveis pela entrega e demonstração da operação dos controles. 7. Validação de Controle A validação é uma atividade da primeira linha de defesa para assegurar que os controles são desenhados e operam efetivamente. Qualquer fraqueza identificada no processo de validação de controle deve ser escalada ao Gestor Proprietário da política para que seja acordado o curso da ação. 8. Papéis e Responsabilidades O Executivo Proprietário (Primeira Linha de Defesa) é responsável pela incorporação da política na empresa e por designar um Gestor Proprietário. O Gestor Proprietário (Primeira Linha de Defesa) é responsável pelo desenvolvimento e incorporação da política na empresa, monitorando e coordenando as atividades, conforme apropriado. A Função de Risco (Segunda Linha de Defesa) é responsável pela garantia e supervisão do desenvolvimento e implementação da política dentro da empresa.

O Executivo Proprietário, o Gestor Proprietário e a Função de Risco devem seguir os procedimentos de políticas estabelecidos no Sistema de Gerenciamento de Riscos. Os responsáveis por reportar regularmente informações de risco operacional ao Gestor Proprietário e à Função de Risco devem ser claramente identificados. 9. Escalação Eventualmente, algumas questões poderão exigir a escalação fora dos padrões de reporte e podem incluir violações ao apetite de risco ou descumprimento desta política. Os responsáveis por esta ação devem ser claramente identificados. Eventos de risco A empresa deve reportar eventos de risco à Função de Risco, que determinará a forma de gerenciar a resposta. 10. Atualização da Política Esta política será revisada anualmente pelo Gestor Proprietário (Managing Owner). Quaisquer recomendações de alteração devem ser revisadas pelo comitê apropriado ou pelo Comitê (Board). B) Tabelas / Matrizes / Limites / Listas. C) Riscos relacionados à Política / Controles Associados D) Indicadores de Gestão / Processos (KPIs, KRI, etc.) Documentos disponíveis em diretório específico de TI. E) Reportes Locais, Grupo SURA e Regulamentação inerente

F) Organograma / Lista de Contatos G) Terminologia utilizada no Mercado H) Fluxograma Fluxos disponíveis em diretório específico de TI. I) Anexos / Formulários / Processos / Treinamentos Processos disponíveis em diretório específico de TI.

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback