Politica de Segurança
Por: Rodrigo.Claudino • 10/4/2018 • 5.429 Palavras (22 Páginas) • 247 Visualizações
...
1.3- Segurança Lógica
Estabelecer regras que garantam a prevenção para que apenas usuários autorizados se conectem ou obtenham acesso às aplicações e recursos dos sistemas, além de assegurar controles nos sistemas e infraestrutura tecnológica da Philadelfia.
-
ABRANGÊNCIA
Esta Política se aplica a todos os colaboradores e prestadores de serviço.
---------------------------------------------------------------
-
CONSIDERAÇÕES
3.1- Todas as informações e deliberações da Política de Segurança são de uso interno da Philadelfia SA.
3.2- Nesta política usaremos o termo Philadelfia para designar a empresa Philadelfia SA.
3.3- A Segurança da Informação é um processo contínuo voltado para a proteção dos ativos de informação importantes da Philadelfia, e que através de processos, tecnologia e mudanças de comportamento visa preservar os princípios de:
- Disponibilidade : visa garantir que as informações e sistemas da Philadelfia estejam acessíveis e operacionais para os usuários, sempre que necessário e previamente acordado.
- Confidencialidade : visa garantir que as informações sejam acessadas apenas pelas pessoas previamente autorizadas pela Philadelfia.
- Integridade : visa garantir que as informações mantidas nos sistemas estejam protegidas contra alterações ou destruição.
4.RESPONSABILIDADES
4.1- GESTÃO DE SEGURANÇA
4.1.1- A Segurança da Informação é uma responsabilidade de negócios compartilhada por todos os membros do grupo executivo, contudo:
- Caberá à Diretoria de Sistemas & Logística exclusivamente a definição de padrões para a implementação de controles tecnológicos da Philadelfia.
- Caberão às demais áreas da Philadelfia aderir a estes padrões, ou, do contrário, avaliar (juntamente com a Diretoria de Sistemas & Logística) um controle compensatório ou assumir integralmente os riscos de negócio e possíveis conseqüências desta decisão.
4.2- COMITÊ EXECUTIVO DE SEGURANÇA DA INFORMAÇÃO
4.2.1- O Comitê de Segurança Corporativa é integrado por executivos das áreas de negócio e tecnologia da Philadelfia, e tem como atribuições:
- Definição de estratégias para redução do nível de riscos em Segurança Corporativa.
---------------------------------------------------------------
- Monitoramento dos riscos de negócio decorrentes de novas ameaças em segurança.
- Acompanhamento e análise nos processos de negócio frente às mudanças tecnológicas, operacionais, físicas e humanas, com o objetivo de garantir a continuidade do negócio nas indisponibilidades dos recursos críticos.
- Apresentação de relatórios gerados pela área de Segurança da Informação para análise do comitê:
- Acompanhamento e análise crítica de possíveis incidentes de segurança;
- Aprovação de alterações na Política de Segurança;
- Apresentação de incidentes de segurança;
- Aprovação da análise independente.
- O Comitê deverá se reunir pelo menos uma vez a cada bimestre. Reuniões extraordinárias devem ser realizadas sempre que houver necessidade.
4.3- ÁREA DE SEGURANÇA DA INFORMAÇÃO
4.3.1- A área de Segurança da Informação, representada pelo setor de Tecnologia da Diretoria de Sistemas & Logística trata da avaliação e implementação de controles em aspectos de tecnologia e processos, sendo responsável por:
- Avaliar a implementação de novas ferramentas/ processos de segurança necessários a Philadelfia.
- Avaliar o impacto e riscos de mudanças no ambiente da Philadelfia do ponto de vista de segurança.
- Participar de ações de disseminação da cultura de segurança da Philadelfia;
- Elaborar relatórios periódicos contendo indicadores (métricas) de segurança e para apresentação ao Comitê Executivo.
- Direcionar e gerenciar as dúvidas ou sugestões referentes aos documentos de Política de Segurança ou normas.
- Propor normas e padrões que poderão ser aprovados pelo Comitê Executivo.
---------------------------------------------------------------
4.4- PROPRIETÁRIOS DAS INFORMAÇÕES
4.4.1- O gerente funcional de cada área é o proprietário de toda a informação de sua área, sendo o responsável pela criação e manutenção dos dados e deverá zelar pela sua integridade, confidencialidade e disponibilidade, juntamente com seus funcionários e colaboradores próximos.
4.4.2- Toda a informação considerada importante ou sensível para Pague Menos deve ser classificada. A classificação das informações irá determinar a necessidade de sua proteção que poderá então ter a prioridade adequada, sob os aspectos de integridade, confidencialidade e disponibilidade.
NOTA: O termo “proprietário” identifica uma pessoa ou organismo que tenha uma
responsabilidade autorizada para controlar a produção, o desenvolvimento, a manutenção, o uso e a segurança dos ativos. O termo “proprietário” não significa que a
pessoa realmente tenha qualquer direito de propriedade pelo ativo. (ABNT NBR ISO/IEC 27001:2006).
4.5- RECURSOS HUMANOS
4.5.1- As atividades de contratação, treinamento e desligamento de funcionários são importantes para as iniciativas de segurança da Philadelfia.
...