Política de Segurança da Informação
Quais são os domínios da Segurança e Privacidade?
Consulte em baixo os domínios da Segurança e Privacidade.
Este domínio abrange o Modelo de Governo de S&P que define os papéis e responsabilidades de S&P na NOS, bem como as metodologias para gestão e avaliação de riscos de segurança para a gestão de terceiros, de acordo com os requisitos de negócio, legislação e regulamentação aplicáveis. Inclui ainda as componentes específicas da gestão dos Processos S&P e da gestão das Certificações S&P.
Alguns dos documentos integrantes da PSI que estão enquadrados neste domínio são:
- Política Geral de Segurança da Informação
- Modelo de Governo S&P e Processos S&P (Coordenação de S&P)
- Manual do ISMS – Information Security Management System (Gestão da Certificação ISO 27001)
Este domínio abrange a gestão da segurança em aspetos especificamente relacionados com os recursos humanos, incluindo objetivos de controlo relacionados com mudanças de funções de colaboradores e com formação e conhecimentos em segurança.
Alguns dos documentos integrantes da PSI que estão enquadrados neste domínio são:
- Manual de Regras de Segurança para o Utilizador
- Guia Rápido de Regras de Segurança e Privacidade
- Procedimentos de Formação em Segurança
Este domínio cobre os objetivos de segurança física e lógica a aplicar aos sistemas e instalações ao longo do ciclo de vida de desenvolvimento e de gestão e operação. Foca ainda as especialidades relacionadas com a gestão de acessos lógicos e físicos a esses recursos.
É um domínio mais direcionado para as áreas tecnológicas que devem implementar e monitorizar as medidas de segurança e os controlos tecnológicos, físicos ou procedimentos da sua responsabilidade.
Alguns dos documentos integrantes da PSI que estão enquadrados neste domínio são:
- Norma de segurança para ambientes aplicacionais e infraestruturas
- Norma de segurança para desenvolvimento de aplicações e serviços
- Norma de segurança para a gestão de acessos
Este domínio abrange os objetivos de segurança relativos à classificação e gestão dos ativos de informação, à gestão operacional e utilização segura dos ativos TIC que suportam os utilizadores finais, e ainda à proteção adequada da informação em que alguns processos específicos de comunicação e transmissão dentro e fora da organização.
Alguns dos documentos integrantes da PSI que estão enquadrados neste domínio são:
- Norma de classificação e gestão da informação
- Guia rápido para classificação da informação
- Norma de aquisição, utilização e gestão de equipamentos
Este domínio abrange os objetivos de segurança relacionados com os processos de gestão de incidentes S&P (incluindo: a deteção, resposta e reporte e comunicação de incidentes).
Alguns dos documentos integrantes da PSI que estão enquadrados neste domínio são:
- Norma para a gestão de incidentes de segurança
- Procedimento de tratamento de incidentes de segurança e privacidade relacionados com utilizadores
- Orientação para salvaguarda de evidencia em incidentes de segurança
- Formulário de participação de incidentes
Este domínio abrange os objetivos de segurança relativos à estratégia de continuidade, planos de continuidade e de gestão de crise para mitigar falhas com impacto significativo na organização, causadas por riscos técnicos-operacionais (e.g. avarias em redes e serviços) ou por riscos catastróficos (e.g. desastres naturais).
Alguns dos documentos integrantes da PSI que estão enquadrados neste domínio são:
- Política e Metodologia de Gestão da Continuidade de Negócio
- Mission Critical Activities NOS
- Plano de Gestão de Crise NOS
Este domínio abrange os objetivos de segurança referentes aos processos de logging, monitorização e auditorias de segurança, Às redes, sistemas de informação e instalações da organização.
Alguns dos documentos integrantes da PSI que estão enquadrados neste domínio são:
- Norma de gestão de logs
- Processo de Auditorias Internas (Auditorias ISO 27001)
Este domínio abrange os objetivos de segurança relativos à proteção dos dados pessoais, em especial os dados dos Clientes e Colaboradores e outros titulares de dados pessoais. Define as medidas técnicas de segurança e as medidas organizativas específicas de privacidade que devem ser aplicadas aos processos e sistemas que efetuam o tratamento de dados pessoais.
Alguns dos documentos integrantes da PSI que estão enquadrados neste domínio são:
- Política de Privacidade de Colaboradores
- Política de Privacidade de Clientes
- Regras para Comunicações de Marketing ao Cliente