1/6 ELABORADO CONTROLE DE APROVAÇÃO REVISADO PELO ÓRGÃO NORMATIVO APROVADO Paulo Queiroz Luiza M. Prestrêlo de Lima Diretoria Executiva HISTÓRICO DA ÚLTIMA MODIFICAÇÃO EDIÇÃO DATA ALTERAÇÕES EM RELAÇÃO À REVISÃO ANTERIOR Edição ATUALIZAÇÃO: Responsabilidade da Assessoria de Informática e Comunicação - ASI DISTRIBUIÇÃO: Responsabilidade da Assessoria de Controles Internos - ASC ARQUIVAMENTO: Responsabilidade da Assessoria de Controles Internos - ASC
2/6 ÍNDICE 1. OBJETIVO... 3 2. RESPONSABILIDADES... 3 3. CONCEITUAÇÃO... 3 4. DISPOSIÇÕES GERAIS... 3 4.1. Relacionamento com fornecedores e parceiros... 3 4.2. Treinamento e conscientização... 4 4.3. Monitoramento e revisão... 4 4.4. Mudanças ou término de serviços do fornecedor... 4 4.5. Remoção de direitos de acesso/devolução de ativos... 5 4.6. Regras de recebimento de materiais e equipamentos...5 5. CONTROLE DE REGISTROS... 5 6. REFERÊNCIAS BIBLIOGRÁFICAS... 5 7. ANEXOS... 6 ANEXO I - Cláusulas de Segurança para Fornecedores e Parceiros...6
3/6 1. OBJETIVO O objetivo deste documento é o de definir as regras para o relacionamento com fornecedores e parceiros. 2. RESPONSABILIDADES Este documento é aplicável para todos os fornecedores e parceiros que têm a habilidade de influenciar a confidencialidade, integridade e disponibilidade de informações sensíveis da Celpos. Os usuários deste documento são a Alta Direção e as pessoas responsáveis por fornecedores e parceiros na Celpos. 3. CONCEITUAÇÃO Usuários - Estão incluídos no grupo de usuários todas as pessoas que utilizam os sistemas de informação (empregados, prestadores de serviços e estagiários). 4. DISPOSIÇÕES GERAIS 4.1. Relacionamento com fornecedores e parceiros 4.1.1. Identificação dos riscos Os riscos de segurança relativos aos fornecedores e parceiros são identificados durante o processo de avaliação do risco, como definido na Metodologia de avaliação de riscos e tratamento de riscos. Durante a avaliação do risco, deve ser tomado cuidado especial para identificar os riscos relativos à tecnologia da informação e comunicação, assim como os riscos relativos a cadeia de suprimento de produtos. O Gerente/Assessor de cada área/setor decide se é necessário avaliar adicionalmente os riscos relativos aos fornecedores ou parceiros individuais. 4.1.2. Procedimento O Gerente/Assessor de cada área/setor deve seguir o procedimento GE02.01.P01 - Aquisição de Materiais e Serviços.
4/6 4.1.3. Contratos A Assessoria Jurídica - ASJ, deverá utilizar o formulário GE06.01.F09 como referência para definir quais as cláusulas de segurança serão incluídas no contrato com o fornecedor ou parceiro. Tal decisão precisa ter base nos resultados da avaliação e tratamento do risco, no entanto, as cláusulas que estipulam a confidencialidade e devolução destes ativos após o término do contrato são obrigatórias. Mais ainda, o contrato precisa assegurar a entrega confiável dos produtos e serviços, que é particularmente importante com provedores de serviços na nuvem. Uma lista de cláusulas sugeridas é fornecida no ANEXO I - Cláusulas de Segurança para fornecedores e parceiros. O Gerente/Assessor de cada área/setor será o proprietário do contrato respectivo a sua área. 4.2. Treinamento e conscientização Caso os funcionários dos fornecedores e parceiros venham a ter livre acesso as instalações administrativas ou utilizar uma estação de trabalho da organização (Computador, login de rede, unidades de rede, e-mail e etc.), se faz necessário um treinamento de conscientização em segurança. O Gestor do Sistema de Gestão de Segurança da Informação - SGSI é responsável por fornecer todo o treinamento e conscientização para estes funcionários. 4.3. Monitoramento e revisão O proprietário do contrato precisa verificar e monitorar com regularidade o nível do serviço e o atendimento as cláusulas de segurança por fornecedores e parceiros, relatórios e registros criados pelo fornecedor/parceiro, assim como auditar o fornecedor ou parceiro ao menos uma vez por ano. Todos os incidentes de segurança relativos ao trabalho do fornecedor/parceiro precisam ser imediatamente encaminhados para o Gestor do SGSI. 4.4. Mudanças ou término de serviços do fornecedor O proprietário propõe mudanças ou a rescisão do contrato e, o Gerente/Assessor de cada área/setor toma a decisão final. Se necessário, o Gerente/Assessor da área irá executar uma nova avaliação de risco antes de aceitar as mudanças.
5/6 4.5. Remoção de direitos de acesso/devolução de ativos Quando o contrato é modificado ou rescindido, os direitos de acesso para os funcionários dos parceiros/fornecedores devem ser removidos de acordo com a Política de controle de acesso. Mais ainda, quando o contrato é modificado ou rescindido, o proprietário do contrato precisa assegurar que todos os equipamentos, software ou informações no formato eletrônico ou em papel sejam devolvidos. 4.6. Regras de recebimento de materiais e equipamentos A área responsável pela aquisição deverá acompanhar a entrega do fornecedor e realizar uma inspeção visual do equipamento ou material entregue pelo fornecedor, para assegurar que: O equipamento ou material corresponde àquele especificado na NF. O equipamento ou material está completo, com todos acessórios e documentação técnica especificados. Não existem partes do equipamento e seus acessórios danificados. O equipamento está compatível com os requisitos de pré-instalação aprovados pelo fornecedor. O fornecedor não acesse as áreas sem autorização ou acompanhamento Após seu recebimento formal, o equipamento deve receber um código de identificação apropriado, a fim de incluí-lo no patrimônio e no sistema de ativos da entidade. 5. CONTROLE DE REGISTROS Esta norma não gera nenhum registro, não necessitando assim, do quadro de controle de registros. 6. REFERÊNCIAS BIBLIOGRÁFICAS Norma NBR ISO/IEC 27001 - Sistemas de Gestão da Segurança da Informação NBR ISO 9001 - Sistemas de Gestão da Qualidade NBR ISO 31.000 - Sistema de Gestão de Riscos GE01.01 - Emissão e Controle de Instrumentos Normativos
6/6 7. ANEXOS ANEXO I - Cláusulas de Segurança para Fornecedores e Parceiros 1. Especificar a classificação das informações que serão acessadas pelo fornecedor/parceiro. 2. A duração do contrato e da obrigação em manter as informações confidenciais e classificadas/os segredos comerciais após a expiração do contrato. 3. O direito da organização em acessar as informações armazenadas ou processadas pelo fornecedor/parceiro; O direito de auditar ou monitorar o uso das informações comerciais e de monitorar a execução do acordo nas instalações do fornecedor/parceiro. 4. As ações necessárias após a expiração do contrato (devolução, destruição ou correção de informações confidenciais, devolução de equipamentos, etc.) para garantir a proteção de informações confidenciais e a continuidade de negócios na organização. 5. A comunicação entre a organização e os fornecedores/parceiros. 6. Cláusula geral de confidencialidade contendo as responsabilidades das partes. 7. A identificação do proprietário das informações e de como os direitos de propriedade intelectual são regulamentados. 8. O conhecimento do fornecedor/parceiro dos principais procedimentos e políticas de segurança da organização. 9. O processo de notificação das outras partes do acordo sobre o acesso não autorizado às informações, quebras de confidencialidade ou qualquer outro incidente. 10. A definição do tempo de resposta aos incidentes e o estabelecimento de um processo de encaminhamento para resolução de problemas e incidentes. 11. A definição dos critérios para realização do serviço, seu monitoramento e geração de relatórios 12. O direito de monitorar e revogar qualquer atividade relacionada aos ativos da organização. 13. Os controles para garantir a continuidade dos negócios, de acordo com as prioridades da organização. 14. A responsabilidade pelos danos em caso de quebra das relações contratuais, incluindo a responsabilidade material em caso de quebra de confidencialidade das informações ou em caso de não realização dos serviços. 15. A responsabilidade do fornecedor/parceiro pelo armazenamento de dados.