OBJETIVO

A Segurança de Informação deve ser suportada por um sistema de gestão: SGSI – Sistema de Gestão de Segurança da Informação, que contempla um conjunto de políticas e procedimentos que asseguram os princípios essenciais da informação: a disponibilidade, a integridade e a confidencialidade, de acordo com os requisitos de negócio, leis e regulamentos relevantes.

ÂMBITO

Esta política aplica-se a todo o Sistema de Gestão da Segurança da Informação (SGSI).

DESTINATÁRIOS

A política de segurança da informação aplica-se a todos os Colaboradores, internos ou externos, do IFAP.

INTRODUÇÃO

Os sistemas de informação assumem atualmente um papel relevo nas modernas sociedades, sendo um importante ativo para o correto desempenho das funções cometidas às Instituições, sejam elas públicas ou privadas.

Por outro lado, a abertura dos sistemas, a disponibilização da informação e a sua interconetividade aumentam a sua exposição em termos de ameaças e vulnerabilidades, o que pode acarretar riscos para o funcionamento das Instituições e para a privacidade da informação.

Neste contexto, a segurança dos sistemas de informação deve ser uma prioridade, de forma a assegurar a continuidade da atividade da Instituição, minimizando os riscos e maximizando o desempenho e a prestação do serviço.

As atividades inerentes à segurança do sistema de informação são norteadas pela necessidade da Instituição garantir a certificação do seu Sistema de Gestão de Segurança da Informação (SGSI) em conformidade com a norma NP ISO/IEC 27001:2013, nos termos exigidos pela Comissão Europeia.

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

A Instituição é responsável por todos os dados armazenados, transmitidos e processados, assim como pela informação deles resultantes.

A informação institucional relevante, assim como a associada aos componentes informáticos, é um recurso vital para a Instituição, pelo que obriga a uma proteção adequada à sua importância, nomeadamente no que diz respeito à proteção de dados pessoais.

Os objetivos de segurança de informação são:

• Garantir o cumprimento dos requisitos de segurança da informação vigente na regulamentação comunitária;
• Assegurar a disponibilidade, integridade e confidencialidade da informação, dos serviços e das infraestruturas, quer em circunstâncias normais de funcionamento, quer em circunstâncias excecionais;
• Garantir que as medidas de segurança sejam compreensíveis, eficazes e com uma relação custo/benefício adequado;
• Garantir que o acesso aos sistemas de informação obedece aos princípios de identificação, autenticação, autorização, não-repudiação e auditabilidade;
• Prever a existência de processos que garantam a correta implementação dos controlos de segurança nas normas e procedimentos da Instituição.

O Conselho Diretivo do IFAP, subscrevendo os princípios alvitrados no referencial NP ISO 27001:2013, compromete-se: 

• Garantir a avaliação da adequabilidade e praticabilidade da política adotada para a segurança da informação, em intervalos planeados, numa ótica de melhoria contínua, ou sempre que existirem alterações relevantes a nível da Instituição;
• A assegurar os recursos para a operacionalização dos processos e atividades no contexto da gestão de Segurança da Informação, inclusive ao nível da sensibilização de colaboradores internos e externos para com esta temática e respetivas responsabilidades na contribuição para a eficácia do SGSI;
• A assegurar que o sistema de gestão de segurança da informação atinge os resultados pretendidos;
• A promover a melhoria contínua do SGSI.

A segurança deve ser um esforço contínuo e ininterrupto, enquadrando soluções técnicas e medidas organizacionais, formação e sensibilização de todos os intervenientes.