Estabelecer o compromisso e a liderança da alta administração através da definição da Política Geral de Segurança da Informação, em conformidade com o Sistema de Gestão de Segurança da Informação da Aranda Software e com o objetivo de preservar a integridade, confidencialidade e disponibilidade das informações.
Aplica-se aos ativos de informação necessários para o funcionamento dos processos de Suporte, Operações e Desenvolvimento localizados na nuvem Microsoft Azure para as soluções oferecidas pela Aranda Software na modalidade SaaS e deve ser cumprido por toda a organização.
Todos os colaboradores e outras partes interessadas que gerem, utilizam ou acedem aos ativos de informação da Aranda Software.
A presente política entra em vigor a partir de (28/12/2023), data em que foi aprovada, devendo ser revista anualmente ou atualizada sempre que houver alterações no objetivo ou contexto da organização, no âmbito do Sistema de Gestão de Segurança da Informação ou quando houver alterações legais, estatutárias ou regulamentares; e deve ser feito o acompanhamento do cumprimento das disposições aqui contidas.
Ativo: Qualquer elemento que tenha valor para a organização. Para a gestão de riscos de segurança da informação, são considerados os seguintes elementos: informação, software, elementos físicos, serviços, pessoas e intangíveis.
Confidencialidade: Propriedade da informação que impede que esta seja disponibilizada ou revelada a indivíduos, entidades ou processos não autorizados.
Disponibilidade: Propriedade de ser acessível e utilizável mediante solicitação de uma entidade autorizada. [Fonte: ISO 27000].
Importância do ativo: Valor que reflete o nível de proteção exigido por um ativo de informação em relação às três propriedades da segurança da informação: integridade, confidencialidade e disponibilidade.
Integridade: Propriedade de precisão e completude. [Fonte: ISO 27000].
Monitorização: Verificação, supervisão, observação crítica ou determinação contínua do estado com o objetivo de identificar mudanças em relação ao nível de desempenho exigido ou esperado.
Parte envolvida: PPessoa ou organização que pode afetar, ser afetada ou perceber-se como afetada por uma decisão ou atividade. Uma pessoa que toma decisões pode ser uma parte envolvida. [Fonte: ISO 31000].
Risco: EEfeito da incerteza sobre os objetivos. Um efeito é um desvio do que se espera, seja positivo, negativo ou ambos. Os objetivos podem ter diferentes aspetos (económicos, de imagem, ambientais) e podem ser aplicados a diferentes níveis (estratégico, operacional, toda a organização) [Fonte: ISO 31000]
Alta Administração: Definição, publicação, comunicação e implementação da Política Geral de Segurança da Informação.
Líderes do processo: Liderando a implementação e adoção em seus processos da Política Geral de Segurança da Informação.
Colaboradores e demais partes interessadas: Aadotando e cumprindo as diretrizes contidas na Política Geral de Segurança da Informação.
Terceiros e/ou cadeia de abastecimento: Adoptando e cumprindo as diretrizes contidasna Política Geral de Segurança da Informação emitida pela Aranda Software neste documento.
A normativa aplicável à presente política pode ser consultada no Normograma do Sistema de Gestão de Segurança da Informação – SGSI.
Este documento tem como objetivo descrever a Política Geral do Sistema de Gestão da Segurança da Informação – SGSI, de acordo com a norma internacional NTC ISO 27001 e outras disposições nacionais e internacionais relativas aos princípios de segurança da informação (integridade, confidencialidade e disponibilidade).
A aplicação da Política deve tender à proteção dos ativos de informação da Aranda Software contra qualquer ameaça que afete os três pilares da informação.
Tendo em conta que a segurança da informação deve estar em constante evolução, uma vez que as organizações enfrentam ameaças persistentes e novas, de acordo com as mudanças tecnológicas e as condições do seu ambiente, o Sistema de Gestão da Segurança da Informação deve adaptar-se a esta situação.
Em virtude do exposto, as políticas requerem revisão, atualização, aprovação e adaptação permanente para alcançar o objetivo da melhoria contínua.
A Aranda Software, consciente da importância da segurança da informação e considerando-a um fator fundamental que deve ser incorporado nos seus processos e na missão institucional, compromete-se a preservar a confidencialidade, integridade e disponibilidade da informação através da implementação e melhoria contínua do Sistema de Gestão da Segurança da Informação – SGSI, monitorando o cumprimento dos objetivos, implementando estratégias, controlos e diretrizes que permitam gerenciar adequadamente seus ativos, riscos e incidentes de segurança da informação e alocando os recursos necessários para garantir o cumprimento dos requisitos legais, organizacionais e obrigações contratuais em relação ao manuseio e/ou tratamento da informação.
A organização compromete-se a considerar os possíveis impactos das alterações climáticas na segurança da informação, integrando critérios de sustentabilidade e resiliência na gestão de riscos do SGSI.
Promove entre os seus colaboradores e outras pessoas relacionadas a formação de uma cultura de segurança da informação, que permita a adoção eficaz de controlos e boas práticas de segurança concebidos dentro da organização.
- Diminuir a probabilidade de ocorrência de riscos associados à segurança da informação, que possam comprometer a confidencialidade, integridade e disponibilidade da informação, através de uma gestão adequada dos riscos.
- Conscientizar os colaboradores sobre a importância de proteger os ativos de informação, por meio de formações em temas relacionados com a segurança da informação, de modo a evidenciar o cumprimento das políticas, procedimentos e outras diretrizes concebidas no âmbito da gestão do SGSI.
- Garantir a atenção oportuna aos incidentes de segurança da informação, implementando um procedimento eficaz para a identificação, comunicação e tratamento dos mesmos.
- Atender de forma oportuna às ações corretivas e observações emitidas por acompanhamentos, auditorias internas/externas e revisões planeadas.
Fornecer os recursos financeiros, humanos e de infraestrutura necessários para manter o Sistema de Gestão de Segurança da Informação (SGSI) e garantir um tratamento adequado dos riscos na Aranda Software.
Todos os colaboradores e, em geral, todas as partes interessadas identificadas no Sistema de Gestão de Segurança da Informação da Aranda Software devem cumprir 100% da política.
O incumprimento da presente política e das disposições aqui contidas pode conduzir a ações disciplinares, investigações e/ou ações de natureza legal, de acordo com os procedimentos internos da Aranda Software e outras diretrizes aplicáveis à organização.
NTC ISO 27001:2022
- Objetivos SGSI
- Âmbito do SGSI