Escolar Documentos
Profissional Documentos
Cultura Documentos
Sumário
1. Quadro de revisões...............................................................................................................................................
2. Objetivos...............................................................................................................................................................
3. Documentos de Referência...................................................................................................................................
4. Abrangência..........................................................................................................................................................
5. Diretrizes Gerais...................................................................................................................................................
6. Classificação da Informação................................................................................................................................
8. Tratamento da Informação...................................................................................................................................
11. Reclassificação.................................................................................................................................................
12. Contratos..........................................................................................................................................................
13. Responsabilidades............................................................................................................................................
13.4 Colaboradores..................................................................................................................................................
14. Sanções.............................................................................................................................................................
1. Quadro de revisões
• PG Advogados
Atualização das regras Compliance com Normas
• Comitê de Segurança da
2.0 23/04/2021 para classificação da ABNT NBR ISO/IEC
Informação & Proteção de
informação da Neogrid. 27001 e 27002.
Dados
2. Objetivos
Este documento estabelece as regras e restrições para classificação e tratamento da informação de propriedade
ou sob a responsabilidade da Neogrid.
3. Documentos de Referência
ABNT NBR ISO/IEC 27001:2013: Norma que estabelece os requisitos do Sistema de Gerenciamento de
Segurança da Informação (Information Security Management System – ISMS).
ABNT NBR ISO/IEC 27002:2013: Código de prática para controles de segurança da informação, que descreve
os controles e objetivos referentes às boas práticas de controle de segurança da informação.
4. Abrangência
Este procedimento é um documento interno, com valor jurídico e aplicabilidade imediata e indistinta, a partir da
sua publicação, aos dirigentes, colaboradores, parceiros e fornecedores da Neogrid.
5. Diretrizes Gerais
A classificação da informação consiste na atribuição do nível de sigilo e a indicação de seu respectivo rótulo
pelo Gestor da Informação para determinar quais os controles devem ser aplicados para preservar a informação.
Com vistas a reduzir a aplicação de medidas e controles de segurança desnecessários, despesas adicionais ou impactos
operacionais nas atividades da Neogrid, não se deve classificar a informação de maneira mais restritiva do que é
necessário.
As informações de propriedade ou sob a responsabilidade da Neogrid devem ser imediatamente classificadas pelo
Gestor da Informação no momento em que são geradas, adquiridas, processadas ou armazenadas, para assegurar que
recebam tratamento e proteção adequados com controles compatíveis em todo o seu ciclo de vida.
Gestor da informação é o colaborador responsável pela informação. No âmbito da Neogrid, o gestor ou gerente de
cada área fica designado como gestor das informações relativas ao trabalho da área sob sua responsabilidade.
O acesso às informações da Neogrid deve estar condicionado à necessidade de conhecimento do colaborador para a
estrita realização de suas atividades profissionais.
6. Classificação da Informação
Todas as Áreas da Neogrid devem classificar as informações geradas, adquiridas, processadas ou armazenadas no
desenvolvimento de suas atividades, por meio dos Gestores da Informação.
Todo documento classificado deve apresentar, de forma visível e clara, qual o nível de classificação da informação
contida no documento.
A classificação da informação deve ser realizada com base nos seguintes níveis de sigilo:
PÚBLICA: Informação disponibilizada ao público em geral, ou seja, que pode ou deve ser de conhecimento
público, sem restrição ou controle de acesso, por exemplo: serviços prestados , produtos ofertados pela
Neogrid ou Guia de Atendimento. Sua divulgação não causa qualquer dano à Neogrid. Somente o Gestor da
respectiva Área pode classificar uma informação como PÚBLICA.
INTERNA: Informação disponibilizada somente ao público interno, mediante gerenciamento de acesso. Sua
divulgação deve ser previamente aprovada e classificada. A perda de confidencialidade destas informações
pode causar perda de produtividade no processo operacional, perda financeira, divulgação de informações
para competidores de mercado, dentre outras.
CONFIDENCIAL: Informação que possa ter impacto ou relação direta ao negócio e nossos clientes, de
cunho restrito, também podendo abranger dados pessoais e dados pessoais sensíveis. Deve ser mantida em
sigilo e manuseada/acessada apenas por Colaboradores autorizados. A divulgação ou acesso indevido pode
gerar impacto significativo financeiro, legal, normativo, contratual ou reputacional ao negócio como um todo
ou alguns de seus processos.
SECRETA: Informação que possa ter impacto na estratégia da Neogrid e em interesses dos acionistas, de
cunho altamente restrito. Informação que deve ser mantida em sigilo e manuseada/acessada apenas por
Colaboradores autorizados. A preservação da confidencialidade desta informação é vital, de modo que sua
divulgação ou acesso indevido também pode gerar um gravíssimo impacto sobre os objetivos estratégicos de
longo prazo, ou coloca a sobrevivência da organização em risco.
As informações protegidas por legislações específicas, tais como sigilos bancário, fiscal, comercial, profissional e
segredo de justiça, da mesma forma que ocorre em relação aos dados pessoais devem ser tratadas conforme
disciplinado na respectiva legislação.
Todas as informações da Neogrid devem ser rotuladas de acordo com o seu nível de sigilo, independente de se
encontrarem em formato físico ou digital (ex. CONFIDENCIAL). Quando ainda não houver a rotulagem da
informação, o colaborador deve tratá-la como INTERNA e imediatamente acionar o Gestor da Informação para
confirmar sua categorização, como já explicito na Política de Segurança da Informação.
Qualquer sistema que permita a saída de informações da Neogrid deve ter um rótulo apropriado de classificação.
Os Colaboradores têm o dever de assegurar a proteção das informações que tiverem contato contra perda, acesso,
alteração ou divulgação não autorizada, de acordo com a sua classificação, além de não as utilizar para obtenção de
vantagens para si ou outrem.
A classificação de um grupo de informações deve ser a mesma atribuída à informação classificada com o nível mais
alto de sigilo.
O tratamento de uma informação classificada deve ser seguido pelos colaboradores da Neogrid durante todas as etapas
do ciclo de vida da informação, a saber:
a) Criação, aquisição e recebimento;
b) Registro, acesso, tramitação, transporte, compartilhamento, distribuição, destinação e demais formas de
utilização;
c) Cópia, impressão e demais formas de reprodução;
d) Transmissão via correio eletrônico, telefonia, voz, vídeo ou quaisquer outros meios de comunicação;
8. Tratamento da Informação
a) Rotular SECRETA, CONFIDENCIAL ou INTERNA em todas as páginas, nas capas e cópias, se houver, de
forma que não comprometa a leitura ou compreensão do documento e que possibilite sua eventual
reprodução;
b) Incluir advertência sobre restrição de acesso;
c) Incluir o responsável pela Classificação (nome do Gestor da Informação ou Área de Negócio);
d) Identificar Colaboradores, Áreas de Negócio ou Terceiros autorizados de acesso;
e) Identificar numeração e total em cada página;
f) Autorizar acesso apenas aos Colaboradores, Áreas de Negócio ou Terceiros que necessitem para o
desenvolvimento da atividade profissional para a Neogrid;
g) Aplicar medidas de proteção lógica e física que assegurem o acesso exclusivo as pessoas autorizadas.
A Área Responsável pela Gestão da Informação pode classificar uma informação como PÚBLICA ou ratificar
o que será divulgado pela Neogrid como sendo pública em materiais de divulgação, promocionais ou
institucionais, contando com o apoio da área de Marketing, Jurídico e Segurança da Informação
As seguintes atividades quanto ao manuseio das informações encontram seu detalhamento no ANEXO I -
Procedimento para a Classificação e Tratamento da Informação:
As informações devem ser descartadas de forma segura, após avaliação específica, nos moldes estabelecidos no Anexo
1 e pelo PRD-TEC-045 Procedimento de Descarte Seguro, seguindo critérios de acordo com a mídia utilizada e o nível
de confidencialidade da informação.
11. Reclassificação
Informações que tiveram sua relevância ou potencial de impacto alteradas devem ser reclassificadas pelo Gestor da
Informação respectivo.
Compete ao Gestor da Informação ou colaborador por ele designado formalmente, alterar ou cancelar a classificação
atribuída às informações respeitando os interesses da Neogrid, quando julgar necessário.
12. Contratos
Os contratos estabelecidos com terceiros que implicarem no acesso à informação da Neogrid podem conter cláusulas
prevendo a:
Obrigação da manutenção do sigilo das informações que tiverem acesso, do objeto do contrato e da sua
execução;
Obrigação de adoção de medidas de segurança adequadas no âmbito de suas atividades para manutenção do
sigilo das informações que tiverem acesso;
Devolução ou eliminação definitiva de todas as informações que estiverem em posse após a conclusão do
projeto cuja execução exigia, por meio de métodos de descarte seguro, sob pena de multa e medidas judiciais
cabíveis.
13. Responsabilidades
Orientar sobre a aplicação deste Procedimento e demais normativos internos relacionados às atividades de
tecnologia da informação na Neogrid;
Garantir e gerenciar o cumprimento deste Procedimento e demais normativos internos pelos seus
colaboradores;
Identificar violações ou eventual ação em desconformidade às regras de retenção e de descarte de informações
praticada por pessoa no uso da informação ou sistemas e comunicar à Segurança da Informação.
Garantir que os contratos celebrados com terceiros possuam cláusulas que preservem a segurança e a proteção
das informações da Neogrid;
Garantir que o acesso ou o manuseio das informações da Neogrid sejam desempenhados mediante vigência de
Acordo de Confidencialidade com as empresas contratadas.
13.4 Colaboradores
Cumprir, estar ciente e manter-se atualizado com este Procedimento e demais normativos internos.
14. Sanções
A) Rotulagem
Para a rotulagem de documentos digitais, impressos, e-mails e informações transmitidas verbalmente convém
que o colaborador adote as diretrizes da tabela a seguir.
Quando
Utilizar o
rotulado, utilizar
recurso de Utilizar o recurso de Utilizar o recurso de
E-mail o recurso de
rotulagem do rotulagem do Outlook. rotulagem do Outlook.
rotulagem do
Outlook.
Outlook.
B) Transmissão
O colaborador deve ter cautela ao repassar ou transmitir informações corporativas para outras pessoas, seja de
forma presencial, por telefone, aplicativos de comunicação instantânea, mensagens eletrônicas, mídias sociais e
outros meios.
As chamadas telefônicas consideradas suspeitas devem ser encerradas e nenhuma informação deve ser fornecida a
quem chamar.
Antes de transmitir informações SECRETAS, CONFIDENCIAIS ou INTERNAS, o colaborador deve
sempre confirmar a identidade do solicitante ou destinatário, a procedência da solicitação (inclusive se há
1
Quando não há a rotulagem da informação é subentendido que se trata de uma informação interna como já explicito na
Política de Segurança da Informação.
Não é permitido:
a) Transmitir informações classificadas como SECRETAS OU CONFIDENCIAIS para serviços de
armazenamento na nuvem ou repositórios digitais fora da infraestrutura da Neogrid ou não homologados pela
Segurança da Informação;
b) Compartilhar informações classificadas como SECRETAS OU CONFIDENCIAIS pelos aplicativos de
comunicação instantânea não homologados pela Segurança da Informação, ou sem a aplicação adequada de
Criptografia e autorização prévia e expressa do Gestor da Informação;
c) Compartilhar informações classificadas como INTERNAS sem a autorização prévia e expressa do Gestor da
Informação ou por aplicações que não atendam aos critérios de conexão segura acima indicados.
De forma específica, também convém que para a transmissão de documentos digitais e impressos, e-mails e
informações transmitidas verbalmente o colaborador adote as diretrizes abaixo dispostas em tabela.
Utilizar a opção de
Utilizar a opção de não
Utilizar a opção de não
Sem encaminhamento e
criptografia nas encaminhamento e
E-mail requisitos criptografia nas
configurações do e- criptografia nas
específicos configurações de envio do
mail. configurações do e-
e-mail.
mail.
Em canal de
comunicação
Em canal de
seguro que
comunicação seguro Em canal de comunicação
impossibilite a
que impossibilite a seguro que impossibilite a
Sem interceptação do
Documentos interceptação do interceptação do arquivo e
requisitos arquivo e mantenha
eletrônicos arquivo. E.g: Via e- mantenha o registro das
específicos o registro das
mail criptografado, atividades. E.g: Sharepoint
atividades. E.g:
Sharepoint corporativo.
Sharepoint
corporativo.
corporativo,
conexão SSL/TSL.
dependências deve
ser enviado em
envelope lacrado, custódia e confirmação de
recebimento.
identificado com a recebimento.
classificação da
informação contida.
Apenas em
Apenas em
ambiente
ambiente
corporativo
corporativo Neogrid Apenas em ambiente
Neogrid ou por
ou por meio da corporativo Neogrid ou por
meio da ferramenta
ferramenta de meio da ferramenta de
de comunicação
Informação Sem comunicação interna comunicação interna E.g
interna E.g
transmitida requisitos E.g Microsoft Microsoft Teams,
Microsoft Teams,
verbalmente específicos Teams, observando observando o instruído na
observando o
o instruído na PSI PSI quanto a discussão de
instruído na PSI
quanto a discussão assuntos confidenciais em
quanto a discussão
de assuntos locais públicos.
de assuntos
confidenciais em
confidenciais em
locais públicos.
locais públicos.
C) Armazenamento
Convém que o armazenamento de documentos impressos ou digitais e e-mails siga as diretrizes abaixo
relacionadas em tabela.
A Segurança da Informação poderá decidir por encriptar todos os discos das estações de trabalho e servidores da
Neogrid conforme as necessidades da instituição. O algoritmo a ser utilizado para tal tarefa não deve ter nível de
segurança inferior a Advanced Encryption Standard (AES), com 128 bits.
Em rede corporativa
Em rede corporativa e
Em rede corporativa com controle de
controle de acesso
com controle de acesso compatível
compatível com a
Sem acesso compatível com a criticidade da
Documentos criticidade da informação,
requisitos com a criticidade da informação,
eletrônicos mantendo registro de
específicos informação. E.g mantendo registro de
acesso de preferência
Sharepoint acesso. E.g:
protegido com senha. E.g
corporativo. Sharepoint
Sharepoint Corporativo.
corporativo.
natureza do trabalho
necessitem. E.g:
Relatório de folha
em armário ou armário ou gaveta com
de pagamento de
gaveta com tranca tranca em sala com acesso
funcionários apenas
em ambiente controlado em ambiente
para colaboradores
corporativo. corporativo.
de Gente e Gestão
designados para tal
atribuição.
Informação
transmitida N/A N/A N/A N/A
verbalmente
D) Reprodução da Informação
As informações SECRETAS, CONFIDENCIAIS e INTERNAS apenas podem ser reproduzidas (cópia)
mediante autorização prévia do Gestor da Informação. A reprodução deve receber a mesma proteção e
tratamento dado à informação original.
E) Descarte seguro
Convém que o descarte de informações em documentos impressos ou digitais, equipamentos e e-mails siga as
diretrizes constantes do PRO-TEC-045 Procedimento de Descarte Seguro.