Política de Segurança da Informação
Introdução
A informação gerida pela INCM, os seus processos de suporte, sistemas, aplicações e redes são ativos valiosos para a organização e, neste contexto, a segurança da informação deve ser uma prioridade, de forma a assegurar a continuidade da atividade da organização, minimizando os riscos e maximizando o desempenho e a prestação do serviço. A segurança da informação deverá ser aplicada em todas as fases do ciclo de vida da mesma, assegurando a manutenção, de forma permanente e equilibrada, de um nível de qualidade e segurança elevado, prevenindo a materialização de riscos inerentes, para mitigar os potenciais danos provocados pela exploração de vulnerabilidades e incidentes de segurança, e garantindo que o negócio opera conforme esperado ao longo do tempo.
É entendimento da INCM que a segurança da informação é um pressuposto fundamental para o sucesso dos serviços por si prestados, sendo da responsabilidade de todos, colaboradores, fornecedores ou outras entidades que tenham acesso à informação em cada momento agir em conformidade com as regras definidas e impostas pela política.
A Segurança de Informação é suportada por um sistema de gestão, denominado por Sistema de Gestão de Segurança da Informação (SGSI), constituído por um conjunto de políticas e procedimentos que asseguram os princípios essenciais da informação, a disponibilidade, a integridade e a confidencialidade, de acordo com os requisitos de negócio, leis e regulamentos relevantes.
Objetivo
Esta política pretende definir a finalidade, a direção, os princípios e as regras fundamentais da gestão de segurança da informação, segundo as características e necessidades do negócio da Imprensa Nacional - Casa da Moeda (INCM) e das suas partes interessadas.
Âmbito/Público alvo
Aplicável a toda a organização incluindo todas as partes interessadas, entidades que mantenham qualquer tipo de relação comercial/contratual com a INCM (colaboradores, clientes, fornecedores, prestadores de serviços) que tenham acesso, direito de uso ou controlo sobre ativos de informação titulados pela INCM e/ou aos recursos a eles associados.
Todas as partes interessadas devem conhecer e agir em conformidade com esta Política e com os demais documentos relacionados com a Segurança da Informação, conforme aplicável e adequado.
Incumprimento
Todas as partes interessadas abrangidas que, deliberadamente, violem esta política ficam sujeitas a sanções e outras ações, que podem ir até à cessação do contrato e/ou à participação às autoridades policiais ou judiciais das situações que indiciem a prática de crime.
Política de Segurança de Informação
A Política de Segurança da Informação expressa as considerações da INCM no que respeita à segurança da informação sobre os seguintes aspetos:
-
Aspetos elementares da Segurança da Informação
A gestão da segurança da informação e dos sistemas que a suportam é realizada garantindo, através de uma abordagem baseada na gestão de risco e na melhoria contínua, a confidencialidade, a integridade e a disponibilidade da informação. Neste sentido a INCM compromete-se a:- A garantir a segurança da informação que titula, assim como de todos os recursos a ela associados, sejam eles processuais, tecnológicos ou humanos.
- Assegurar o estabelecimento e a prossecução dos princípios descritos nesta política, bem como a sua aprovação, publicação e comunicação a todos os colabores e entidades externas relevantes;
- Garantir os recursos necessários para a operacionalização dos processos e atividades de gestão da segurança da informação;
- Assegurar a definição, implementação e revisão da estratégia de gestão de segurança da informação e garantir o correto alinhamento com as políticas e objetivos estratégicos de negócio da INCM;
- Assegurar que o SGSI atinge os resultados pretendidos;
- Promover, de forma estruturada e sistemática, a melhoria contínua.
-
Classificação e Manuseamento da Informação
Definindo-se ativo de segurança de informação como qualquer recurso com valor para a organização, estes são classificados em função da sua sensibilidade relativamente aos seus atributos, designadamente a confidencialidade, integridade e disponibilidade, de modo a aplicar os controlos adequados para a sua salvaguarda. -
Utilização de dispositivos móveis e de acesso remoto
São aplicadas medidas de segurança à utilização de dispositivos móveis para garantir a confidencialidade, integridade e a disponibilidade da informação de negócio para que possa ser acedida (de forma local ou remota) e/ou processada por estes dispositivos. -
Uso aceitáveis de ativos:
Os ativos de informação propriedade da INCM são utilizados de forma a garantir a sua proteção, evitando a exposição dos mesmos a riscos de Segurança de Informação com potencial impacto de comprometerem a continuidade de negócio da INCM.
A INCM concede aos seus colaboradores e visitantes o direito de utilizar os seus próprios equipamentos, desde que sejam cumpridas as orientações internas. -
Relação com fornecedores
Os fornecedores são avaliados de forma a garantir relações contratuais com entidades que contribuem para a obtenção de acesso a matérias e serviços adequados ao negócio da INCM.
Os cadernos de encargos elaborados pela INCM para adjudicação de contratos de fornecimentos de bens ou serviços compreendem aspetos que garantem a Segurança da Informação, estipulando responsabilidades e deveres do fornecedor. -
Controlos de acesso físico e lógico
Estão implementados controlos de acesso físico e lógico que permitem a gestão de identidades através de processos de identificação e autenticação do utilizador e que, por sua vez, permitem a implementação de regras de restrição baseadas em critérios de segurança.
Os diferentes perfis, privilégios e níveis de acesso físicos e lógicos são definidos seguindo o Princípio do Privilégio Mínimo, ou seja, pela atribuição do nível de acesso estritamente necessário para o utilizador desempenhar as funções atribuídas e não mais. -
Criptografia
A INCM implementa mecanismos criptográficos para proteger informação lógica de acessos não autorizados. -
Mesa e ecrã limpo
A informação consideradas sensíveis, em formato físico ou digital, são devidamente protegidas sempre que não se encontram em uso. -
Cópias de Segurança
São efetuadas cópias de segurança, que ocorrem com uma periodicidade definida de forma a salvaguardar a informação.
Os colaboradores e visitantes são responsáveis pelas cópias de segurança da informação contida nos equipamentos a seu cargo. -
Transferência de Informação
A informação é trocada em canais de comunicação aprovados seguindo os requisitos de segurança definidos consoante a sua classificação de segurança. -
Princípios de engenharia e política de desenvolvimento de sistemas de informação seguros:
São aplicados princípios de desenvolvimento de sistemas de informação seguros em todos os níveis da arquitetura de sistemas (negócio, dados, aplicações e tecnologia) balanceando a necessidade de segurança com a necessidade de acessibilidade/eficiência funcional. Os princípios são considerados durante todo o ciclo de vida dos sistemas de informação numa perspetiva evolutiva. -
Segurança da Informação na Gestão de Projetos
A segurança da informação é endereçada na gestão de projetos através da identificação de possíveis riscos de segurança de informação associados ao projeto a implementar. -
Gestão de Riscos e Gestão de Incidentes e Continuidade de Negócio
São identificados, analisados, quantificados/qualificados os riscos decorrentes de várias fontes de risco para os seus ativos de informação.
Os eventos que colocam em causa ou tenham potencial de colocar em causa os compromissos de Segurança de Informação são tratados como possíveis incidentes de segurança e são tratados de acordo com o processo de Gestão de Incidentes interno.
A continuidade da Segurança da Informação é contemplada na continuidade de negócio, de tal forma que contempla a perda de recursos de informação através da implementação de controlos preventivos e de recuperação. -
Perfis, Responsabilidades e Autoridades do SGSI
Encontram-se definidos os papéis, responsabilidade e autoridades para fazer cumprir os comprometimentos da INCM perante a Segurança da Informação.
Responsabilidades da Segurança da Informação
A Política de Segurança da Informação é da responsabilidade do CISO - Chief Information Security Officer, cabendo-lhe o controlo e a avaliação da implementação do SGSI, a comunicação à gestão de topo do seu desempenho e a garantia da conformidade do sistema com os requisitos da Norma.
Manutenção e comunicação das Políticas de Segurança da Informação
A Política de Segurança da Informação deve ser periodicamente revista, de forma a garantir que continua a ser adequada à INCM e deve ser comunicada a todas as partes interessadas no âmbito da sua relação com a INCM.
Fale connosco
Poderá contactar a INCM para todos os assuntos relacionados com esta política através do seguinte endereço de email: ciso@incm.pt ou enviar o seu pedido por carta para a morada Avenida de António José de Almeida, Edifício Casa da Moeda, 1000-042 Lisboa.