Politica de Segurança da Informação

...

Visto que em Angola não há ainda documentos legais que regulamentam a Gestão da Segurança da Informação, a presente POSIC está baseada nas recomendações propostas pela norma ABNT NBR ISO/IEC 27002:2005, reconhecida mundialmente como um código de prática para a gestão da segurança da informação.

O presente documento, trata-se de uma proposta de uma Política de Segurança da Informação e Comunicações (POSIC), para a empresa na qual trabalho – APnet, Technologies.

ESCOPO

O Presete documento tem como objetivos estabelecer diretrizes que permitam aos colaboradores e clientes da APnet, Technologies seguirem padrões de comportamento relacionados à segurança da informação adequados às necessidades de negócio e de proteção legal da empresa e do indivíduo.

Orientar a definição de normas e procedimentos específicos de segurança da informação, bem como a implementação de controles e processos para seu atendimento.

Preservar as informações da APnet, Technologies quanto à:

• Integridade: garantia de que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais.

• Confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas.

• Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.

APLICAÇÕES DA POSIC

As diretrizes desta POSIC deverão ser seguidas por todos os colaboradores, bem como os prestadores de serviço, e se aplicam à informação em qualquer meio ou suporte.

Esta política visa concientizar cada colaborador de que os ambientes, sistemas, computadores e redes da empresa poderão ser monitorados e gravados, com prévia informação, conforme previsto nas leis em vigro no País.

É também obrigação de cada colaborador manter-se atualizado em relação a esta POSIC e aos procedimentos e normas relacionadas, buscando orientação do seu gestor ou da Gerência de Sistemas sempre que não estiver absolutamente seguro quanto à aquisição, uso e/ou descarte de informações em sua posse.

PRINCÍPIOS DA POSIC

Toda informação produzida ou recebida pelos colaboradores como resultado da atividade profissional contratada pela APnet, Technologies pertence à referida empresa. As excepções devem ser explícitas e formalizadas em contrato entre as partes.

Os equipamentos de informática e comunicação, sistemas e informações são utilizados pelos colaboradores para a realização das atividades profissionais. O uso pessoal dos recursos é permitido desde que não prejudique o desempenho dos sistemas e serviços.

A APnet, Technologies, por meio da Gerência de Sistemas, poderá registrar todo o uso dos sistemas e serviços, visando garantir a disponibilidade e a segurança das informações utilizadas.

REQUISITOS DA POSIC

Para a uniformidade da informação, a POSIC deverá ser comunicada a todos os colaboradores da APnet, Technologies a fim de que a política seja cumprida dentro e fora da empresa.

Deverá haver uma comissão multidisciplinar responsável pela gestão da segurança da informação, doravante designado como Comissão de Gestão da Segurança da Informação.

Tanto a POSIC quanto as normas, deverão ser revistas e atualizadas periodicamente, sempre que algum fato relevante ou evento motive sua revisão antecipada, conforme análise e decisão do Comissão de Segurança.

Deverá constar em todos os contratos da APnet, Technologies o anexo de Acordo de Confidencialidade ou Cláusula de Confidencialidade, como condição imprescindível para que possa ser concedido o acesso aos ativos de informação disponibilizados pela instituição.

A responsabilidade em relação à segurança da informação deve ser comunicada na fase de contratação dos colaboradores. Todos os colaboradores devem ser orientados sobre os procedimentos de segurança, bem como o uso correto dos ativos, a fim de reduzir possíveis riscos. Eles devem assinar um termo de responsabilidade.

Todo incidente que afete a segurança da informação deverá ser comunicado inicialmente à Gerência de Sistemas e ela, se julgar necessário, deverá encaminhar posteriormente à Comissão de Gestão da Segurança da Informação para análise.

Um plano de contingência e a continuidade dos principais sistemas e serviços deverão ser implantados e testados no mínimo anualmente, visando reduzir riscos de perda de confidencialidade, integridade e disponibilidade dos ativos de informação.

Deverão ser criados e instituídos controles apropriados, trilhas de auditoria ou registros de atividades, em todos os pontos e sistemas em que a instituição julgar necessário para reduzir os riscos dos seus ativos de informação como, por exemplo, nas estações de trabalho, notebooks, nos acessos à internet, no correio eletrônico, nos sistemas comerciais e financeiros desenvolvidos pela APnet, Technologies ou por terceiros.

Os ambientes de produção devem ser separados e rigorosamente controlados, garantindo deste modo isolamento necessário em relação aos ambientes de desenvolvimento, testes e homologação.

A APnet, Technologies não se responsabilizará de toda e qualquer uso indevido, negligente ou imprudente dos recursos e serviços concedidos aos seus colaboradores, reservando-se o direito de analisar dados e evidências para obtenção de provas a serem utilizadas nos processos investigatórios, bem como adotar as medidas legais cabíveis.

Esta POSIC será implementada na APnet, Technologies por meio de procedimentos específicos, obrigatórios para todos os colaboradores, independentemente do nível hierárquico ou função na empresa.

O não cumprimento dos requisitos previstos nesta POSIC e das Normas de Segurança da Informação constituirá violação às regras internas da instituição e sujeitará o usuário às medidas administrativas e legais previstas por lei.

RESPONSABILIDADES ESPECÍFICAS

1 - Dos Colaboradores em Geral

Entende-se por colaborador toda e qualquer pessoa física, contratada ou prestadora de serviço por intermédio de pessoa jurídica