POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
1. OBJETIVO
Esta Política tem por objetivo estabelecer os conceitos e as diretrizes de segurança da informação, que tratam da proteção, geração, utilização, armazenamento, distribuição, confidencialidade, disponibilidade e integridade da informação, visando proteger o INSTITUTO ASSERTIVO, os clientes e o público em geral.
2. ABRANGÊNCIA
Esta Política aplica-se aos gestores, colaboradores, fornecedores, clientes e parceiros do INSTITUTO ASSERTIVO, que tenham acesso, ou façam algum uso de suas informações. As diretrizes aqui estabelecidas são aplicáveis aos ambientes de computação em nuvem (cloud) e local.
3. CONCEITOS
A segurança da informação é aqui caracterizada pela preservação dos seguintes conceitos:
-
Confidencialidade – garantia de que a informação somente possa ser acessada por pessoas autorizadas, pelo período necessário;
-
Disponibilidade – garantia de que a informação esteja disponível para as pessoas autorizadas, quando se fizer necessária;
-
Integridade – garantia de que a informação esteja completa, exata, íntegra e que não tenha sido modificada ou destruída indevidamente, de maneira não autorizada, ou acidental, durante o seu ciclo de vida;
-
Autenticidade – garantia de que a informação acessada por pessoa, entidade, ou sistema, seja proveniente de sua verdadeira fonte.
4. DIRETRIZES
O INSTITUTO ASSERTIVO tem seus processos de segurança da informação disciplinados pelas seguintes diretrizes:
-
Organização da Segurança da Informação – definir e manter uma estrutura para gerenciar a Segurança da Informação. Nenhuma informação deve ser acessada, divulgada ou disponibilizada, sob qualquer pretexto, sem a devida autorização.
-
Segurança dos Recursos Humanos – assegurar que todas as pessoas com acesso aos sistemas e informações entendam seus papéis e responsabilidades, visando reduzir o risco de roubo, fraude e mau uso de recursos e ativos de informação.
-
Controle de Acessos – controlar os acessos à informação, recursos de informação e processos, com base nos requisitos de negócio e segurança da informação. Todas as pessoas com acesso aos sistemas e informações deverão ter uma única identificação (login).
-
Controles Criptográficos – assegurar que os dados sejam protegidos por senhas criptografadas, para proteger a confidencialidade, autenticidade e integridade da informação.
-
Desenvolvimento e manutenção de sistemas – garantir que a segurança da informação é parte integrante de todo o ciclo de vida dos sistemas de informação.
-
Propriedade e classificação da informação – classificar todo tipo de informação de forma a ser disponibilizada apenas às pessoas autorizadas e com os privilégios necessários.
-
Conformidade – assegurar que a segurança da informação está implementada e operada de acordo com as políticas e procedimentos do INSTITUTO ASSERTIVO.
5. RESPONSABILIDADES
Todas as informações trocadas ou armazenadas nos ativos de informação do INSTITUTO ASSERTIVO são de sua propriedade única e exclusiva.
-
Colaboradores – compete a todos os colaboradores o cumprimento das diretrizes constantes desta Política de Segurança da Informação. Os colaboradores devem comunicar formalmente aos gestores quaisquer irregularidades ou desvios relativos à Segurança da Informação identificados.
-
Gestores – o gestor é responsável por manter as normas e os procedimentos internos alinhados com esta Política. O gestor deve garantir que os contratos celebrados com outras entidades (parceiros, terceiros, fornecedores) contenham cláusulas, que preservem a segurança das informações do INSTITUTO ASSERTIVO, de seus clientes, parceiros e colaboradores.
6. REFERÊNCIAS
-
Marco Civil da Internet, Lei Federal nº 12.965/2014
-
LAI – Lei Federal nº 12.527/2014, a Lei de Acesso a Informação
-
LGPD – Lei Federal nº 13.709/2018, a Lei Geral de Proteção de Dados Pessoais
-
SGSI – Sistema de Gerenciamento de Segurança da Informação, tratado pela família de normas técnicas ISO 27000, no Brasil publicadas pela Associação Brasileira de Normas Técnicas (ABNT), sob a nomenclatura NBR ISO/IEC 27000.