Política de Segurança da Informação
Política de Segurança da Informação
Requisitos de segurança da informação
Uma definição clara dos requisitos de segurança da informação da Sphere IT é acordada e mantida para que toda a atividade do SGSI seja focada no cumprimento desses requisitos. Requisitos regulamentares e contratuais também são documentados e inseridos no processo de planejamento. Requisitos específicos sobre a segurança de sistemas ou serviços novos ou alterados são tratados como parte do estágio de desenvolvimento de cada projeto.
É um princípio fundamental do Sistema de Gestão da Segurança da Informação que os controles implementados sejam orientados pelas necessidades do negócio e isso é comunicado regularmente a todos os colaboradores através de reuniões de equipe e documentos informativos.
Estrutura para estabelecer objetivos
É utilizado um ciclo regular para o estabelecimento de objetivos de segurança da informação.
Os objetivos de segurança da informação são documentados, juntamente com informações de como eles são alcançados. Estes são avaliados e monitorados como parte das revisões de gerenciamento para garantir que permaneçam válidos.
De acordo com a ISO/IEC 27001, os controles de referência detalhados no Anexo A da norma são adotados quando apropriado pela Sphere IT. Estes são revisados regularmente conforme o resultado das avaliações de risco e de acordo com os planos de tratamento de risco de segurança da informação. Para obter detalhes sobre quais controles do Anexo A foram implementados e quais foram excluídos, consulte a Declaração de Aplicabilidade.
Além disso, controles aprimorados e adicionais dos seguintes códigos de prática são adotados e implementados quando apropriado:
- ISO/IEC 27002 – Código de prática para controles de segurança da informação
Melhoria contínua do SGSI
As diretrizes da Sphere IT relativa à melhoria contínua são:
- Melhorar continuamente a eficácia do SGSI
- Melhorar os processos atuais para alinhá-los com as boas práticas, conforme definido na ISO/IEC 27001 e normas relacionadas
- Obter a certificação ISO/IEC 27001 e mantê-la continuamente
- Aumentar o nível de proatividade (e a percepção de proatividade das partes interessadas) no que diz respeito à segurança da informação
- Revisar as métricas relevantes anualmente para avaliar se é apropriado alterá-las, com base nos dados históricos coletados
- Obter sugestões de melhoria por meio de reuniões regulares e outras formas de comunicação com as partes interessadas
- Revisar sugestões para melhoria em reuniões regulares de gerenciamento para priorizar e avaliar prazos e benefícios
Sugestões para melhorias podem ser obtidas de qualquer fonte, incluindo colaboradores, clientes, fornecedores, avaliações de risco e relatórios de serviço. Uma vez identificados, eles são registrados e avaliados como parte das revisões de gerenciamento.
Áreas de política de segurança da informação
A Sphere IT define a política em uma ampla variedade de áreas relacionadas à segurança da informação que são descritas em detalhes em um conjunto abrangente de documentação que acompanha esta política abrangente de segurança da informação.
Cada uma dessas políticas é definida e acordada por uma ou mais pessoas com competência na área em questão e, uma vez formalmente aprovada, é comunicada a um público apropriado, interno e externo à organização.
A tabela abaixo mostra as políticas individuais dentro do conjunto de documentação e resume o conteúdo de cada política.
Política | Conteúdo |
A05-2 Política de uso da Internet | Uso comercial da Internet, uso pessoal da Internet, gerenciamento de contas na Internet, segurança e monitoramento e usos proibidos do serviço de Internet. |
A05-5 Política de mídia social | Diretrizes sobre como as mídias sociais devem ser usadas ao representar a organização e ao discutir questões relevantes para a organização. |
A06-4 Política para o uso de dispositivos móveis | Cuidado e segurança de dispositivos móveis, como notebooks, tablets e smartphones. |
A06-5 Política de Trabalho remoto | Considerações de segurança da informação ao estabelecer e administrar um local de trabalho remoto e arranjo, por exemplo, segurança física, seguro e equipamentos. |
A07-4 Política de Segurança da Informação em RH | Recrutamento, contratos de trabalho, conformidade com a política, processo disciplinar, rescisão. |
A08-8 Política de Gestão de Ativos | Estabelece as principais regras para a gestão de ativos do ponto de vista da segurança da informação. |
A09-1 Política de controle de acesso | Cadastro e cancelamento de registro de usuários, concessão de direitos de acesso, acesso externo, revisões de acesso, política de senhas, responsabilidades do usuário e controle de acesso a sistemas e aplicativos. |
A10-1 Política de criptografia | Avaliação de risco, seleção de técnica, implantação, teste e revisão de criptografia e gerenciamento de chaves criptográficas. |
A11-1 Política de Segurança Física e do Ambiente | Definir diretrizes para áreas seguras, segurança de equipamentos e documentos físicos, e gerenciamento do ciclo de vida dos equipamentos. |
A11-6 Política de tela limpa e mesa limpa | Segurança das informações exibidas nas telas, impressas e mantidas em mídia removível. |
A12-4 Política antimalware | Firewalls, antivírus, filtragem de spam, instalação e verificação de software, gerenciamento de vulnerabilidades, treinamento de conscientização do usuário, monitoramento e alertas de ameaças, análises técnicas e gerenciamento de incidentes de malware. |
A12-5 Política de backup | Ciclos de backup, backups em nuvem, armazenamento externo, documentação, testes de recuperação e proteção. |
A12-6 Política de registros e monitoramento | Configurações para coleta de eventos (logs), proteção e revisão. |
A12-7 Política de software | Compra de software, registro, instalação e remoção de software, desenvolvimento interno de software e uso de software na nuvem. |
A12-8 Política de Gestão de Vulnerabilidades Técnicas | Definição de vulnerabilidades, fontes de informação, patches e atualizações, avaliação de vulnerabilidades, hardening, treinamento de conscientização e divulgação de vulnerabilidades. |
A13-1 Política de segurança de rede | Projeto de segurança de rede, incluindo segregação de rede, segurança de perímetro, redes sem fio e acesso remoto. Gerenciamento de segurança de rede, incluindo funções e responsabilidades, registro, monitoramento e alterações. |
A13-5 Política de mensagens eletrônicas | Envio e recepção de mensagens eletrônicas, monitoração de instalações de mensagens eletrônicas e utilização de correio eletrônico. |
A14-2 Política de Desenvolvimento Seguro | Especificação de requisitos de negócios, projeto de sistemas, desenvolvimento e testes de software. |
A15-1 Política de Segurança da Informação no Relacionamento com Fornecedores | Diligência, acordos com fornecedores, acompanhamento e revisão de serviços, alterações, disputas e término de contrato. |
A18-3 Política de propriedade intelectual | Proteção da propriedade intelectual, da lei, das penalidades e do cumprimento da licença de software. |
A18-4 Política de Proteção de Registros | Período de retenção para tipos de registros específicos. |
PO6.1 Política Interna de Privacidade | Legislação de proteção de dados aplicável, definições e requisitos. |
Aplicação da política de segurança da informação
As declarações de política feitas neste documento e no conjunto de políticas de suporte listadas acima foram revisadas e aprovadas pela direção da Sphere IT e devem ser cumpridas. A falha de um colaborador em cumprir essas políticas pode resultar em ação disciplinar sendo tomada de acordo com o Processo Disciplinar em vigor.
Versão: outubro/2023