Política de Segurança da Informação

 

Objeto

 

O principal objetivo da segurança da informação é garantir a qualidade da informação e a prestação contínua de serviços, actuando preventivamente, supervisionando a atividade diária e reagindo prontamente a incidentes.

 

Esta Política é desenvolvida com o objetivo de estabelecer um quadro único de atuação que permita o alinhamento de cada uma das áreas de negócio e o compromisso da Administração em disponibilizar os recursos necessários à sua implementação e melhoria contínua.

 

A segurança dos activos de informação é um compromisso que afecta todo o pessoal da SIA. Consequentemente, todo o pessoal, quer pertença à organização, quer a terceiros subcontratados, é coparticipante nesta responsabilidade e deve trabalhar, a partir da posição que ocupa e independentemente da responsabilidade que lhe é explicitamente atribuída, para a obtenção de uma segurança da informação adequada.

 

Esta Política deve ser comunicada, divulgada e seguida por todo o pessoal da Organização e outras partes interessadas (clientes, empreiteiros e fornecedores) e o seu cumprimento é obrigatório na sua esfera de responsabilidade.

 

O seu incumprimento pode implicar a aplicação das medidas disciplinares adequadas e, se for caso disso, as correspondentes responsabilidades legais.

 

Missão da SIA

 

A SIA tem como missão fornecer soluções informáticas e de assinatura digital aos seus Clientes e colaborar na sua evolução. A sua Direção desenvolveu e implementou um conjunto de objectivos e orientações, sujeitos a um processo de melhoria contínua, de acordo com a legislação, o Regime Nacional de Segurança, a Proteção de Dados Pessoais e a regulamentação eIDAS aplicável às entidades que prestam serviços de confiança no domínio da assinatura digital (Trust Service Provider), como é o caso do SIACERT.

 

A Política de Segurança da Informação é uma declaração pública de intenções de alto nível por parte da Administração da SIA, que, por força da mesma, manifesta o seu compromisso de adotar todas as medidas organizativas, técnicas, físicas e legais destinadas a proteger a informação e os sistemas no seu âmbito, de forma a alcançar o cumprimento das leis, regulamentos e normas em vigor aplicáveis, e a garantir a segurança da informação em todos os momentos no que respeita à sua integridade, confidencialidade, disponibilidade, rastreabilidade e autenticação.

 

Legislação aplicável

 

A legislação e os regulamentos aplicáveis a seguir indicados constituem a base para o cumprimento dos regulamentos para a criação da presente política de segurança:

 

• REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.
• Lei Orgânica 3/2018, de 5 de dezembro, sobre a Proteção de Dados Pessoais e garantia dos direitos digitais.
• Real Decreto Legislativo 1/1996, de 12 de abril, Lei da Propriedade Intelectual.
• Real Decreto-Lei 2/2018, de 13 de abril, que altera o texto revisto da Lei da Propriedade Intelectual.
• Real Decreto 311/2022, de 3 de maio, que regulamenta o Regime Nacional de Segurança
• Sistema de gestão da segurança da informação ISO 27001.
• Princípios de segurança da informação

 

Por conseguinte, a Direção da SIA assume os seguintes princípios como compromissos estratégicos:

 

• Implementar um sistema de gestão documentado e mensurável, assegurando a melhoria contínua dos processos, procedimentos, produtos e serviços, de forma a prestar serviços que satisfaçam os requisitos dos clientes.
• Atribuir funções e responsabilidades, com base nos procedimentos correspondentes à sua designação, reforçando a premissa do menor privilégio.
• Desenvolver programas de gestão de pessoal, formação e sensibilização do pessoal que garantam o nível de formação, competência e implicações adequadas às suas funções.
• Cumprir a legislação aplicável em vigor, nomeadamente a que decorre da prestação de serviços aos cidadãos por parte das administrações públicas.
• Analisar e gerir os riscos a que a Organização está exposta, através de metodologias internacionalmente reconhecidas.
• Estabelecer níveis adequados de integridade, confidencialidade, disponibilidade, rastreabilidade e autenticação dos sistemas de informação próprios, dos fornecedores e dos clientes.
• Prevenir incidentes e planear uma reação eficaz e posterior análise no caso da sua ocorrência. Assim como assegurar a continuidade das operações críticas da organização em caso de tais incidentes.
• Orientar a atividade da Organização e dos seus fornecedores para o Cliente, cumprindo os requisitos explícitos e implícitos dos termos e condições acordados.
• Atingir os níveis adequados de serviços informáticos oferecidos pela Organização aos seus clientes, e exigir o mesmo do seus fornecedores, de forma a certificar e garantir a qualidade, a satisfação e a cooperação mútua.
• Contribuir para a prevenção da poluição e estabelecer uma gestão adequada dos resíduos ambientais, quer gerados internamente, quer através dos nossos fornecedores.
• Garantir a continuidade operacional em caso de incidentes disruptivos.
• Fornecer serviços de assinatura digital em conformidade com as normas ETSI e os regulamentos legais aplicáveis aos TSP.

 

A Política entrará em vigor a partir da data da sua aprovação e será revista anualmente, independentemente de alterações significativas, mantendo-se inalterada se não forem aplicadas alterações.