Escolar Documentos
Profissional Documentos
Cultura Documentos
-
Página 1/7
Informação
Início da Vigência
1. INTRODUÇÃO
A Política Corporativa de Segurança da Informação está baseada nas recomendações da norma ABNT
NBR ISO/IEC 27002:2013 reconhecida mundialmente como código de práticas para controles de segurança da
informação (atualização da ISO/IEC 27002:2005).
2. APLICAÇÃO
3. RESPONSÁVEIS
Diretores;
Gerente do Departamento de Tecnologia da Informação;
Gerentes, Supervisores, Líderes e todos os demais colaboradores da Organização X.
4. CLASSIFICAÇÃO DA INFORMAÇÃO
As informações devem ser classificadas e identificadas por rótulos, considerando os seguintes níveis:
Pública: são informações aprovadas pelo seu responsável para consulta irrestrita e cuja sua
divulgação externa não compromete o negócio da organização. Ex: editais, licitações, rotinas.
Interna: são informações disponíveis para a execução de suas tarefas rotineiras, não se destinando,
portanto ao usuário público externo. Ex: Memorandos, portarias, padrões, políticas e procedimentos.
Confidencial: são informações de acesso restrito a um colaborador ou a um grupo de colaboradores.
Sua revelação pode violar a privacidade de indivíduos, violar acordos de confidencialidade, dentre
outros. Ex: exames, processos judiciais, dados cadastrais de funcionários.
Restrita: são informações de acesso restrito a um colaborador ou grupo de colaboradores que
obrigatoriamente contam como destinatários da mesma, em geral, associadas ao interesse estratégico
da organização e restrita a superintendentes, gerentes, supervisores e funcionários cujas funções
queiram conhecê-las. Ex: indicadores estatísticos de processos de negócio, resultados de auditorias
internas.
5. DISPOSIÇÕES
a. Os colaboradores devem assumir uma postura proativa no que diz respeito à proteção das
informações da empresa e devem estar atentos às ameaças, bem como fraudes, sabotagem,
roubo de informações e acessos indevidos ao sistema de informação;
b. As informações não podem ser transportadas em qualquer meio físico, sem as devidas
proteções;
c. Assuntos confidenciais são de uso restrito e não devem ser expostos publicamente.
Aprovado por:
Política Corporativa de Segurança da Nº. Doc./Versão. -
Página 2/7
Informação
Início da Vigência
Aprovado por:
Política Corporativa de Segurança da Nº. Doc./Versão. -
Página 3/7
Informação
Início da Vigência
a. A troca de mensagens entre usuários, via correio eletrônico deve estar relacionada a assuntos de
interesse da organização;
b. É vedada a utilização do correio eletrônico para envio de correntes, piadas, arquivos contendo
imagens e figuras não relacionadas a Organização X, bem como sua utilização com propósitos
comerciais, religiosos, políticos ou outros quaisquer não relacionados aos interesses e negócios
da organização;
c. É proibido enviar, transmitir, manusear ou disseminar informações sigilosas, segredos de negócio
ou qualquer outra informação confidencial da Organização X;
d. É proibido acessar a caixa postal de outro usuário sem a sua autorização, exceto em casos de
auditoria e investigação de procedência, pelas Assessorias e Departamentos competentes;
e. É responsabilidade do usuário o acompanhamento diário e leitura dos e-mails em sua caixa
postal, bem como exclusão periódica de mensagens não utilizadas;
f. Mensagens eletrônicas suspeitas recebidas por exemplo link de acesso, anexos ou qualquer
outro tipo de arquivo, devem ser excluídos ou em caso de dúvida consultar o Departamento de TI
antes de realizar qualquer ação;
g. Para evitar extrapolação do limite máximo de seu espaço em disco, bem como o acúmulo de
arquivos desnecessários no servidor, comprometendo dessa forma o desempenho do correio, o
usuário deve proceder a limpeza em suas pastas de itens não usados ou antigos, caso não seja
efetuada a limpeza o usuário ficará impossibilitado de enviar e receber novas mensagens;
h. Somente os usuários autorizados pelos respectivos gestores das áreas poderão enviar
mensagens via correio eletrônico para fora da organização;
i. Somente os usuários autorizados pelos respectivos gestores das áreas poderão acessar o
correio eletrônico após o horário de expediente.
Aprovado por:
Política Corporativa de Segurança da Nº. Doc./Versão. -
Página 4/7
Informação
Início da Vigência
a. Nenhuma informação confidencial deve ser deixada à vista, seja em papel, mídias (CD, pen
drive, HD externo), dispositivos, eletrônicos ou qualquer outro meio que seja de fácil acesso;
b. Nunca escrever senhas em lembretes, cadernetas ou qualquer outro meio que seja de fácil
acesso e possa violar a confidencialidade da informação.
a. O acesso remoto à rede corporativa da Organização X será provido mediante solicitação à Área
de Segurança e Infraestrutura via sistema de chamados informando horário de início e término e
também os motivos. Mediante somente a aprovação do Departamento de Recursos Humanos
será realizada a liberação conforme documento PSI0068 Gestão de Pessoas;
b. O acesso remoto à rede corporativa da Organização X deverá ser realizado através de VPN
(Rede Virtual Privada), sendo expressamente proibido o acesso remoto por qualquer outra
ferramenta;
c. As credencias de acessos remoto do usuário são de uso exclusivo e intransferível;
d. O usuário deve fechar a sessão de trabalho após conclusão das atividades evitando a exposição
de informações a pessoas não autorizadas;
Aprovado por:
Política Corporativa de Segurança da Nº. Doc./Versão. -
Página 5/7
Informação
Início da Vigência
Aprovado por:
Política Corporativa de Segurança da Nº. Doc./Versão. -
Página 6/7
Informação
Início da Vigência
a. As senhas dos usuários são pessoais e intransferíveis, pois asseguram que apenas ele,
devidamente identificado, utilize e mantenha de acordo com a necessidade, os acessos aos
sistemas;
b. O usuário não deve escolher senhas óbvias, baseadas em nomes próprios, datas de
aniversários, siglas conhecidas, nome da organização, data de nascimento e etc.;
c. A senha de acesso a estação de trabalho deverá ser alterada a cada seis meses por medidas de
segurança. A senha deve conter no mínimo seis caracteres com letra maiúscula, números e com
no mínimo um caractere especial;
d. Estagiários e terceiros devem ter suas chaves de acesso bloqueadas, de acordo com a data de
expiração do contrato de trabalho firmado;
e. Colaboradores devem ter seus acessos lógicos bloqueados e inativados imediatamente após
saída da empresa conforme documento PSI0068 Gestão de Pessoas;
f. Cadastro de novos usuários, inativação de acessos, mudança de função devem ser registrados
em chamado pelo Departamento de RH conforme fluxo descrito no documento PSI0068 Gestão
de Pessoas.
a. Para garantir a adequada utilização dos recursos de processamento de informações, fica criado Comitê
de Privacidade e Proteção de Dados, composta por membros de áreas de interesse e que serão
nomeados internamente, que ficará autorizada a aplicar penalidades, previstas no PSI0068 Gestão de
Pessoas, aos que violarem a legislação em vigor e as dispostas nesta política;
b. Sempre que julgar necessário para a preservação da integridade dos recursos computacionais, dos
serviços aos usuários ou dos dados, a Gerência de Tecnologia poderá suspender temporariamente
qualquer conta, seja ou não o responsável pela conta suspeita de alguma violação;
c. As penalidades a serem aplicadas por infração à presente política são redução ou eliminação,
temporárias ou permanentes, dos acessos aos recursos computacionais.
Aprovado por:
Política Corporativa de Segurança da Nº. Doc./Versão. -
Página 7/7
Informação
Início da Vigência
7. SANÇÕES
8. DISPOSIÇÕES FINAIS
9. DOCUMENTOS RELACIONADOS
Documento X.
Documento Y.
Documento Z.
Aprovado por: