Política de segurança da informação
Requisitos de segurança da informação
Uma definição clara dos requisitos de segurança da informação da Sphere IT é acordada e mantida para que toda a atividade do SGSI seja focada no cumprimento desses requisitos. Requisitos regulamentares e contratuais também são documentados e inseridos no processo de planejamento. Requisitos específicos sobre a segurança de sistemas ou serviços novos ou alterados são tratados como parte do estágio de desenvolvimento de cada projeto.
É um princípio fundamental do Sistema de Gestão da Segurança da Informação que os controles implementados sejam orientados pelas necessidades do negócio e isso é comunicado regularmente a todos os colaboradores através de reuniões de equipe e documentos informativos.
Estrutura para estabelecer objetivos
É utilizado um ciclo regular para o estabelecimento de objetivos de segurança da informação.
Os objetivos de segurança da informação são documentados, juntamente com informações de como eles são alcançados. Estes são avaliados e monitorados como parte das revisões de gerenciamento para garantir que permaneçam válidos.
De acordo com a ISO/IEC 27001, os controles de referência detalhados no Anexo A da norma são adotados quando apropriado pela Sphere IT. Estes são revisados regularmente conforme o resultado das avaliações de risco e de acordo com os planos de tratamento de risco de segurança da informação. Para obter detalhes sobre quais controles do Anexo A foram implementados e quais foram excluídos, consulte a Declaração de Aplicabilidade.
Além disso, controles aprimorados e adicionais dos seguintes códigos de prática são adotados e implementados quando apropriado:
- ISO/IEC 27002 – Controles de segurança da informação
Melhoria contínua do SGSI
As diretrizes da Sphere IT relativa à melhoria contínua são:
- Melhorar continuamente a eficácia do SGSI
- Melhorar os processos atuais para alinhá-los com as boas práticas, conforme definido na ISO/IEC 27001 e normas relacionadas
- Obter a certificação ISO/IEC 27001 e mantê-la continuamente
- Aumentar o nível de proatividade (e a percepção de proatividade das partes interessadas) no que diz respeito à segurança da informação
- Revisar as métricas relevantes anualmente para avaliar se é apropriado alterá-las, com base nos dados históricos coletados
- Obter sugestões de melhoria por meio de reuniões regulares e outras formas de comunicação com as partes interessadas
- Revisar sugestões para melhoria em reuniões regulares de gerenciamento para priorizar e avaliar prazos e benefícios
Sugestões para melhorias podem ser obtidas de qualquer fonte, incluindo colaboradores, clientes, fornecedores, avaliações de risco e relatórios de serviço. Uma vez identificados, eles são registrados e avaliados como parte das revisões de gerenciamento.
Áreas de política de segurança da informação
A Sphere IT define a política em uma ampla variedade de áreas relacionadas à segurança da informação que são descritas em detalhes em um conjunto abrangente de documentação que acompanha esta política abrangente de segurança da informação.
Cada uma dessas políticas é definida e acordada por uma ou mais pessoas com competência na área em questão e, uma vez formalmente aprovada, é comunicada a um público apropriado, interno e externo à organização.
A tabela abaixo mostra as políticas específicas por tema dentro do conjunto de documentação e resume o conteúdo de cada política.
| Política | Conteúdo |
| PO8.1 08-20 Política de GMUD | Diretrizes para que as mudanças sejam realizadas de forma estruturada e controlada. |
| DS5.1 A05-2 Política de Uso da Internet | Uso comercial da Internet, uso pessoal da Internet, gerenciamento de contas na Internet, segurança e monitoramento e usos proibidos do serviço de Internet. |
| DS5.1 A05-5 Política de Mídia Social | Diretrizes sobre como as mídias sociais devem ser usadas ao representar a organização e ao discutir questões relevantes para a organização. |
| DS5.1 A05-10 Política de Uso Aceitável | Comprometimento dos funcionários com as políticas de segurança da informação da organização. |
| DS5.1 A05-14 Política de Transferência de Informações | Diretrizes para transferência de informações de forma adequadamente segura. |
| DS5.1 A05-15 Política de Controle de Acesso | Cadastro e cancelamento de registro de usuários, concessão de direitos de acesso, acesso externo, revisões de acesso, política de senhas, responsabilidades do usuário e controle de acesso a sistemas e aplicativos. |
| DS5.1 A05-19 Política de Segurança da Informação no Relacionamento com Fornecedores | Diligência, acordos com fornecedores, acompanhamento e revisão de serviços, alterações, disputas e término de contrato. |
| DS5.1 A05-32 Política de Propriedade Intelectual | Proteção da propriedade intelectual, da lei, das penalidades e do cumprimento da licença de software. |
| DS5.1 A05-33 Política de Proteção de Registros | Período de retenção para tipos de registros específicos. |
| DS5.1 A05-34 Política Interna de Privacidade | Requisitos, regulamentos e legislação de proteção de dados pessoais. |
| DS5.1 A06 Política de Segurança da Informação em RH | Recrutamento, contratos de trabalho, conformidade com a política, processo disciplinar, rescisão. |
| DS5.1 A06-7 Política de Trabalho Remoto | Considerações de segurança da informação ao estabelecer e administrar um local de trabalho remoto e arranjo, por exemplo, segurança física, seguro e equipamentos. |
| DS5.1 A07-5 Política de Segurança Física e do Ambiente | Definir diretrizes para áreas seguras, segurança de equipamentos e documentos físicos, e gerenciamento do ciclo de vida dos equipamentos. |
| DS5.1 A07-7 Política de Tela Limpa e Mesa Limpa | Segurança das informações exibidas nas telas, impressas e mantidas em mídia removível. |
| DS5.1 A08-1 Política para o Uso de Dispositivos Móveis | Cuidado e segurança de dispositivos móveis, como notebooks, tablets e smartphones. |
| DS5.1 A08-7 Política Antimalware | Firewalls, antivírus, filtragem de spam, instalação e verificação de software, gerenciamento de vulnerabilidades, treinamento de conscientização do usuário, monitoramento e alertas de ameaças, análises técnicas e gerenciamento de incidentes de malware. |
| DS5.1 A08-8 Política de Gestão de Vulnerabilidades Técnicas | Definição de vulnerabilidades, fontes de informação, patches e atualizações, avaliação de vulnerabilidades, hardening, treinamento de conscientização e divulgação de vulnerabilidades. |
| DS5.1 A08-13 Política de Backup | Ciclos de backup, backups em nuvem, armazenamento externo, documentação, testes de recuperação e proteção. |
| DS5.1 A08-16 Política de Registros e Monitoramento | Configurações para coleta de eventos (logs), proteção e revisão. |
| DS5.1 A08-19 Política de Software | Compra de software, registro, instalação e remoção de software, desenvolvimento interno de software e uso de software na nuvem. |
| DS5.1 A08-20 Política de Segurança de Rede | Projeto de segurança de rede, incluindo segregação de rede, segurança de perímetro, redes sem fio e acesso remoto. Gerenciamento de segurança de rede, incluindo funções e responsabilidades, registro, monitoramento e alterações. |
| DS5.1 A08-24 Política de Criptografia | Avaliação de risco, seleção de técnica, implantação, teste e revisão de criptografia e gerenciamento de chaves criptográficas. |
| DS5.1 A08-25 Política de Desenvolvimento Seguro | Especificação de requisitos de negócios, projeto de sistemas, desenvolvimento e testes de software. |
Aplicação da política de segurança da informação
As declarações de política feitas neste documento e no conjunto de políticas de suporte listadas acima foram revisadas e aprovadas pela direção da Sphere IT e devem ser cumpridas. A falha de um colaborador em cumprir essas políticas pode resultar em ação disciplinar sendo tomada de acordo com o Processo Disciplinar em vigor.
Versão: março/2025
