POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Política de Segurança da Informação


Requisitos de segurança da informação

Uma definição clara dos requisitos de segurança da informação da Sphere IT será acordada e mantida para que toda a atividade do SGSI seja focada no cumprimento desses requisitos. Requisitos regulamentares e contratuais também serão documentados e inseridos no processo de planejamento. Requisitos específicos sobre a segurança de sistemas ou serviços novos ou alterados serão tratados como parte do estágio de desenvolvimento de cada projeto.

É um princípio fundamental do Sistema de Gestão da Segurança da Informação que os controles implementados sejam orientados pelas necessidades do negócio e isso será comunicado regularmente a todos os colaboradores através de reuniões de equipe e documentos informativos.

Estrutura para estabelecer objetivos

Será utilizado um ciclo regular para o estabelecimento de objetivos de segurança da informação.

Os objetivos de segurança da informação serão documentados, juntamente com informações de como eles serão alcançados. Estes serão avaliados e monitorados como parte das revisões de gerenciamento para garantir que permaneçam válidos.

De acordo com a ISO/IEC 27001, os controles de referência detalhados no Anexo A da norma serão adotados quando apropriado pela Sphere IT. Estes serão revisados regularmente conforme o resultado das avaliações de risco e de acordo com os planos de tratamento de risco de segurança da informação. Para obter detalhes sobre quais controles do Anexo A foram implementados e quais foram excluídos, consulte a Declaração de Aplicabilidade.

Além disso, controles aprimorados e adicionais dos seguintes códigos de prática serão adotados e implementados quando apropriado:

  • ISO/IEC 27002 – Código de prática para controles de segurança da informação

Melhoria contínua do SGSI

As diretrizes da Sphere IT relativa à melhoria contínua são:

  • Melhorar continuamente a eficácia do SGSI
  • Melhorar os processos atuais para alinhá-los com as boas práticas, conforme definido na ISO/IEC 27001 e normas relacionadas
  • Obter a certificação ISO/IEC 27001 e mantê-la continuamente
  • Aumentar o nível de proatividade (e a percepção de proatividade das partes interessadas) no que diz respeito à segurança da informação
  • Revisar as métricas relevantes anualmente para avaliar se é apropriado alterá-las, com base nos dados históricos coletados
  • Obter sugestões de melhoria por meio de reuniões regulares e outras formas de comunicação com as partes interessadas
  • Revisar sugestões para melhoria em reuniões regulares de gerenciamento para priorizar e avaliar prazos e benefícios

Sugestões para melhorias podem ser obtidas de qualquer fonte, incluindo colaboradores, clientes, fornecedores, avaliações de risco e relatórios de serviço. Uma vez identificados, eles serão registrados e avaliados como parte das revisões de gerenciamento.

Áreas de política de segurança da informação

A Sphere IT define a política em uma ampla variedade de áreas relacionadas à segurança da informação que são descritas em detalhes em um conjunto abrangente de documentação que acompanha esta política abrangente de segurança da informação.

Cada uma dessas políticas é definida e acordada por uma ou mais pessoas com competência na área em questão e, uma vez formalmente aprovada, é comunicada a um público apropriado, interno e externo à organização.

A tabela abaixo mostra as políticas individuais dentro do conjunto de documentação e resume o conteúdo de cada política.

Política Conteúdo
A05-2 Política de uso da Internet Uso comercial da Internet, uso pessoal da Internet, gerenciamento de contas na Internet, segurança e monitoramento e usos proibidos do serviço de Internet.
A05-5 Política de mídia social Diretrizes sobre como as mídias sociais devem ser usadas ao representar a organização e ao discutir questões relevantes para a organização.
A06-4 Política para o uso de dispositivos móveis Cuidado e segurança de dispositivos móveis, como notebooks, tablets e smartphones.
A06-5 Política de Trabalho remoto Considerações de segurança da informação ao estabelecer e administrar um local de trabalho remoto e arranjo, por exemplo, segurança física, seguro e equipamentos.
A07-4 Política de Segurança da Informação em RH Recrutamento, contratos de trabalho, conformidade com a política, processo disciplinar, rescisão.
A08-8 Política de Gestão de Ativos Estabelece as principais regras para a gestão de ativos do ponto de vista da segurança da informação.
A09-1 Política de controle de acesso Cadastro e cancelamento de registro de usuários, concessão de direitos de acesso, acesso externo, revisões de acesso, política de senhas, responsabilidades do usuário e controle de acesso a sistemas e aplicativos.
A10-1 Política de criptografia Avaliação de risco, seleção de técnica, implantação, teste e revisão de criptografia e gerenciamento de chaves criptográficas.
A11-1 Política de Segurança Física e do Ambiente Definir diretrizes para áreas seguras, segurança de equipamentos e documentos físicos, e gerenciamento do ciclo de vida dos equipamentos.
A11-6 Política de tela limpa e mesa limpa Segurança das informações exibidas nas telas, impressas e mantidas em mídia removível.
A12-4 Política antimalware Firewalls, antivírus, filtragem de spam, instalação e verificação de software, gerenciamento de vulnerabilidades, treinamento de conscientização do usuário, monitoramento e alertas de ameaças, análises técnicas e gerenciamento de incidentes de malware.
A12-5 Política de backup Ciclos de backup, backups em nuvem, armazenamento externo, documentação, testes de recuperação e proteção.
A12-6 Política de registros e monitoramento Configurações para coleta de eventos (logs), proteção e revisão.
A12-7 Política de software Compra de software, registro, instalação e remoção de software, desenvolvimento interno de software e uso de software na nuvem.
A12-8 Política de Gestão de Vulnerabilidades Técnicas Definição de vulnerabilidades, fontes de informação, patches e atualizações, avaliação de vulnerabilidades, hardening, treinamento de conscientização e divulgação de vulnerabilidades.
A13-1 Política de segurança de rede Projeto de segurança de rede, incluindo segregação de rede, segurança de perímetro, redes sem fio e acesso remoto. Gerenciamento de segurança de rede, incluindo funções e responsabilidades, registro, monitoramento e alterações.
A13-5 Política de mensagens eletrônicas Envio e recepção de mensagens eletrônicas, monitoração de instalações de mensagens eletrônicas e utilização de correio eletrônico.
A14-2 Política de Desenvolvimento Seguro Especificação de requisitos de negócios, projeto de sistemas, desenvolvimento e testes de software.
A15-1 Política de Segurança da Informação no Relacionamento com Fornecedores Diligência, acordos com fornecedores, acompanhamento e revisão de serviços, alterações, disputas e término de contrato.
A18-3 Política de propriedade intelectual Proteção da propriedade intelectual, da lei, das penalidades e do cumprimento da licença de software.
A18-4 Política de Proteção de Registros Período de retenção para tipos de registros específicos.
PO6.1 Política Interna de Privacidade Legislação de proteção de dados aplicável, definições e requisitos.

Aplicação da política de segurança da informação

As declarações de política feitas neste documento e no conjunto de políticas de suporte listadas acima foram revisadas e aprovadas pela direção da Sphere IT e devem ser cumpridas. A falha de um colaborador em cumprir essas políticas pode resultar em ação disciplinar sendo tomada de acordo com o Processo Disciplinar do colaborador.

 

 

 

Fale com nossa equipe

+55 11 4178-8811

sphere@sphereit.com.br

Endereço: Rua José Versolato, 111 - 18º Andar – São Bernardo do Campo

Fale com nossa equipe

+55 11 4178-8811

sphere@sphereit.com.br

Endereço: Rua José Versolato, 111 - 18º Andar – São Bernardo do Campo

pt_BR