Estabelecer o compromisso e a liderança da alta direção através da definição da Política Geral de Segurança da Informação, em conformidade com o Sistema de Gestão da Segurança da Informação da Aranda Software e com o objetivo de preservar a integridade, a confidencialidade e a disponibilidade da informação.
Aplica-se aos ativos de informação necessários para o funcionamento dos processos de Suporte, Operações e Desenvolvimento alojados na nuvem Microsoft Azure para as soluções oferecidas pela Aranda Software na modalidade SaaS e deve ser cumprida por toda a organização.
Todos os colaboradores e outras partes interessadas que gerem, utilizam ou acedem aos ativos de informação da Aranda Software.
A presente política entra em vigor a partir de (28/12/2023), data em que foi aprovada, devendo ser revista anualmente ou atualizada sempre que houver alterações no objetivo ou contexto da organização, no âmbito do Sistema de Gestão da Segurança da Informação ou quando houver alterações legais, estatutárias ou regulamentares; e deve ser assegurado o acompanhamento do cumprimento das disposições aqui contidas.
Ativo: Qualquer elemento que tenha valor para a organização. Para a gestão dos riscos de segurança da informação, são considerados os seguintes elementos: informação, software, elementos físicos, serviços, pessoas e ativos intangíveis.
Confidencialidade: Característica da informação que impede que esta seja disponibilizada ou revelada a indivíduos, entidades ou processos não autorizados.
Disponibilidade: Propriedade de ser acessível e utilizável mediante solicitação de uma entidade autorizada. [Fonte: ISO 27000].
Importância do ativo: Valor que reflete o nível de proteção exigido por um ativo de informação face às três propriedades da segurança da informação: integridade, confidencialidade e disponibilidade.
Integridade: Característica de precisão e exaustividade. [Fonte: ISO 27000].
Monitorização: Vverificação, supervisão, observação crítica ou determinação contínua do estado, com o objetivo de identificar alterações em relação ao nível de desempenho exigido ou esperado.
Parte envolvida: Ppessoa ou organização que pode afetar, ser afetada ou considerar-se afetada por uma decisão ou atividade. Uma pessoa que toma decisões pode ser uma parte interessada. [Fonte: ISO 31000].
Risco: Eefeito da incerteza sobre os objetivos. Um efeito é um desvio em relação ao esperado, seja positivo, negativo ou ambos. Os objetivos podem ter diferentes aspetos (económicos, de imagem, ambientais) e podem ser aplicados a diferentes níveis (estratégico, operacional, toda a organização) [Fonte: ISO 31000]
Alta Direção: Definição, publicação, comunicação e implementação da Política Geral de Segurança da Informação.
Líderes do Processo: Lliderando a implementação e adoção, nos seus processos, da Política Geral de Segurança da Informação.
Colaboradores e outras partes interessadas: Aodoptando e cumprindo as diretrizes contidas na Política Geral de Segurança da Informação.
Terceiros e/ou cadeia de abastecimento: Aadotando e cumprindo as diretrizes contidasna Política Geral de Segurança da Informação emitida pela Aranda Software neste documento.
A normativa aplicável à presente política pode ser consultada no Normograma do Sistema de Gestão da Segurança da Informação – SGSI.
O presente documento tem como objetivo descrever a Política Geral do Sistema de Gestão da Segurança da Informação (SGSI), em conformidade com a norma internacional NTC ISO 27001 e outras disposições nacionais e internacionais relativas aos princípios da segurança da informação (integridade, confidencialidade e disponibilidade).
A aplicação da Política deve visar a proteção dos ativos de informação da Aranda Software contra qualquer ameaça que afete os três pilares da informação.
Tendo em conta que a segurança da informação deve estar em constante evolução, uma vez que as organizações enfrentam ameaças persistentes e novas, em função das mudanças tecnológicas e das condições do seu ambiente, o Sistema de Gestão da Segurança da Informação deve adaptar-se a esta situação.
Tendo em conta o exposto, as políticas requerem revisão, atualização, aprovação e adaptação contínua para alcançar o objetivo da melhoria contínua.
A Aranda Software, consciente da importância da segurança da informação e considerando-a um fator fundamental que deve ser integrado nos seus processos e na missão institucional, compromete-se a preservar a confidencialidade, a integridade e a disponibilidade da informação através da implementação e melhoria contínua do Sistema de Gestão da Segurança da Informação – SGSI, monitorizando o cumprimento dos objetivos, implementando estratégias, controlos e diretrizes que permitam gerir adequadamente os seus ativos, riscos e incidentes de segurança da informação e atribuindo os recursos necessários para garantir o cumprimento dos requisitos legais, organizacionais e obrigações contratuais relacionados com a gestão e/ou tratamento da informação.
A organização compromete-se a ter em conta os possíveis impactos das alterações climáticas na segurança da informação, integrando critérios de sustentabilidade e resiliência na gestão de riscos do SGSI.
Promove, entre os seus colaboradores e outras pessoas ligadas à organização, a criação de uma cultura de segurança da informação, que permita a adoção efetiva de controlos e boas práticas de segurança concebidos internamente na organização.
- Reduzir a probabilidade de ocorrência de riscos associados à segurança da informação, que possam comprometer a confidencialidade, a integridade e a disponibilidade da informação, através de uma gestão adequada dos riscos.
- Sensibilizar os colaboradores para a importância de proteger os ativos de informação, através de formações sobre temas relacionados com a segurança da informação, de modo a comprovar o cumprimento das políticas, procedimentos e outras diretrizes definidas no âmbito da gestão do SGSI.
- Garantir a resposta atempada a incidentes de segurança da informação, implementando um procedimento eficaz para a identificação, comunicação e tratamento dos mesmos.
- Dar resposta atempada às medidas corretivas e observações resultantes de acompanhamentos, auditorias internas/externas e revisões planeadas.
Fornecer os recursos financeiros, humanos e de infraestrutura necessários para manter o Sistema de Gestão da Segurança da Informação (SGSI) e garantir um tratamento adequado dos riscos na Aranda Software.
Todos os colaboradores e, em geral, todas as partes interessadas identificadas no Sistema de Gestão da Segurança da Informação da Aranda Software devem cumprir integralmente a política.
O incumprimento da presente política e das disposições aqui contidas pode dar origem a medidas disciplinares, inquéritos e/ou ações de natureza jurídica, de acordo com os procedimentos internos da Aranda Software e outras diretrizes aplicáveis à organização.
NTC ISO 27001:2022
- Objetivos do SGSI
- Âmbito do SGSI