Política de Segurança da Informação
SD Segurança Eletrônica
Campo de Aplicação:
Este documento se aplica na empresa SD Segurança Eletrônica
Estabelecer direcionamentos e valores para a gestão da segurança da informação da empresa SD Segurança Eletrônica
Este documento contém princípios e diretrizes aplicáveis à segurança das informações custodiadas ou de propriedade da SD Segurança Eletrônica, estabelecendo direcionamentos e valores para a gestão da segurança da informação.
Este documento se destina a todos os colaboradores de qualquer setor sendo ele Gestor, Coordenador, Supervisor, prestadores de serviço, ocupantes de qualquer cargo na SD Segurança Eletrônica que façam uso de algum sistema de informação da SD Segurança Eletrônica, sendo de responsabilidade de cada um o seu cumprimento.
Ativo de informação – é o patrimônio composto por todos os dados e informações gerados e manipulados durante a execução dos sistemas e processos da SD Segurança Eletrônica.
Ativo de Processamento – é o patrimônio composto por todos os elementos de hardware e software necessários para a execução dos sistemas e processos da SD Segurança Eletrônica, tanto os produzidos internamente quanto os adquiridos, recebidos por doação ou incorporados.
A Política de Segurança da Informação da SD Segurança Eletrônica está fundamentada na preservação das informações necessárias às atividades da Instituição e nos seguintes princípios:
Segurança Focada na Instituição
Garantir a segurança da informação tanto aos sistemas no ambiente de computação quanto aos meios convencionais de processamento, comunicação e armazenamento em papel.
Informação é patrimônio
Considerar que toda e qualquer informação gerada, adquirida, utilizada ou armazenada pela SD Segurança Eletrônica é patrimônio da empresa e deve ser protegida quanto aos aspectos de confidencialidade, autenticidade, integridade e disponibilidade.
Proteção compatível com os riscos
Dimensionar e aplicar os investimentos necessários em medidas de segurança, segundo o valor do ativo que está sendo protegido e de acordo com a identificação de riscos de potenciais prejuízos ao negócio, à atividade fim e aos objetivos de execução do serviço.
Tratamento conforme a classificação
Todas as informações devem ser adequadamente armazenadas e protegidas quanto ao uso e acesso, conforme definido em sua classificação de segurança.
Responsabilização baseada na credencial
Responsabilizar, com base no uso da credencial, que se caracteriza por ser pessoal e intransferível, qualificando aquele que se encontra formalmente associado a ela como responsável por todas as atividades desenvolvidas em seu uso.
Utilização restrita às atividades
Administrar o acesso e o uso da informação e dos ativos de informação de acordo com as atribuições necessárias para o cumprimento de suas atividades . Qualquer outra forma de uso necessitará de prévia autorização.
Utilização orientada à segurança
Permitir somente o uso de ativos de informação ou ativos de processamento autorizados pelos gestores, sempre se atentando que estes estejam identificados, protegidos, inventariados e de acordo com a legislação vigente.
Autorização definida pelos gestores
Definir e cancelar acessos aos recursos e aos locais restritos com base na solicitação dos gestores de cada órgão, que também são responsáveis pelos ativos disponibilizados para uso.
Segregação de funções
Segregar a administração e execução de funções ou áreas de responsabilidade críticas para o negócio, evitando o controle de um processo na sua totalidade, visando à redução do risco de mau uso acidental ou deliberado.
Educação e Capacitação
Promover continuamente ações educativas e de capacitação sobre segurança da informação ao público-alvo para que realizem suas atividades de forma segura, utilizando procedimentos que minimizem os riscos e que possibilitem o uso correto dos ativos e ferramentas de informação.
Auditoria
Monitorar e auditar, pela área competente, a implementação e o cumprimento da Política de Segurança da Informação. Consultorias externas especializadas poderão ser utilizadas para avaliação da Política de Segurança da Informação e de seu cumprimento, bem como para validar protocolos e procedimentos especiais, quando necessário.
Continuidade aplicada aos serviços
Planejar e definir estratégias para reduzir, a um nível aceitável, a possibilidade de interrupção causada por desastres ou falhas nos recursos que suportam os processos de trabalho. O resultado desse planejamento deve ser documentado, testado e
revisado conforme a necessidade, assegurados os recursos necessários à sua implementação.
Notificação imediata de incidentes de segurança
Notificar todos os incidentes de segurança à administração da SD Segurança Eletrônica para apuração e gestão do incidente através do tel (11)99134-9401 para encaminhamento dos processos necessários à apuração de responsabilidades.
O público-alvo desta política está sujeito às regras da mesma, devendo observar integralmente suas disposições. A inobservância dessas regras acarretará apuração de responsabilidades, na forma da legislação em vigor, podendo haver responsabilização penal, civil e/ou administrativa.
Ao público-alvo não é dado o direito de desconhecimento desta política, devendo o mesmo seguir rigorosamente o estabelecido nas normas de segurança.
Qualquer tipo de dúvida sobre a Política de Segurança da Informação da SD Segurança Eletrônica e seus documentos deve ser imediatamente esclarecida junto a Administração /Diretoria
Casos omissos, os quais não estão cobertos por esta política, deverão ser submetidos a Administração, para que haja apreciação e deliberação, definindo assim se o objeto será incluído ou resultará na alteração de algum ponto da política em vigência.
Vigência:
Este documento entra em vigor a partir da data de sua publicação e deve ser revisto em caso de ocorrência de alguma das condições obrigatórias de atualização do documento.
Atualização:
Essas diretrizes foram criadas em 28/04/2021.
Condições obrigatórias para atualização do documento:
Responsável pela atualização desta política:
Administração / Diretoria
Responsável pela aprovação desta política e de atualizações propostas: Diretoria
Responsável pela aprovação das Instruções Normativas de segurança da informação: Diretoria
A Administração é realizada pela responsável Sandra Blanc