Política de Segurança da Informação
Sistema de Segurança da Informação
A i2S é certificada pela ISO/IEC 27001:2013 desde janeiro de 2020.
Esta certificação tem subjacente um sistema que está implementado na Segurança da Informação, na conceção e desenvolvimento de aplicações informáticas para a atividade seguradora e nos serviços de implementação e assistência técnica de soluções informáticas com bases nessas aplicações.
Política de Segurança da Informação
A proteção no tratamento, salvaguarda e transmissão de informação confidencial de clientes de forma consistente com os requisitos profissionais, éticos, legais, regulamentares e contratuais, é uma das maiores prioridades da i2S e algo que é considerado fundamental para o sucesso da organização. A perda ou roubo de informação confidencial pode ter consequências graves a nível legal, financeiro e/ou reputacional, estando a i2S comprometida com a salvaguarda da confidencialidade, integridade e disponibilidade da informação confidencial de clientes e da própria i2S, quer esta se encontre em suporte físico, digital ou intelectual.
Desta forma, são princípios da política de segurança da informação garantir que:
- a informação está protegida contra acessos não autorizados;
- a confidencialidade da informação está garantida;
- a integridade da informação é mantida;
- todas as leis e regulamentos aplicáveis são respeitados;
- os planos de continuidade de negócio apropriados são mantidos e testados regularmente; e
- todas as quebras de segurança da informação detetadas ou sob suspeita, são investigadas pelas áreas com competência para o efeito.
Sistema de Gestão de Segurança da Informação
A i2S mantém um Sistema de Gestão de Segurança de Informação (SGSI) constituído por políticas e procedimentos, que foi desenhado para manter, rever e continuamente melhorar a segurança de informação na i2S, tendo por base uma avaliação do risco existente. Os objetivos de segurança da informação visam:
- Incluir a segurança da informação como componente essencial de todos os aspetos de planeamento e operações de negócio e produto, garantindo a conformidade com a norma.
- Promover a consciencialização contínua sobre a segurança de informação, garantindo que todos os colaboradores conhecem as politicas de segurança da informação, compreendem a forma como a segurança da informação faz parte das suas funções e que têm consciência sobre as responsabilidades que têm na proteção da confidencialidade, integridade e disponibilidade da informação.
- Avaliar continuamente as ameaças de segurança da informação, garantindo que estas são identificadas e geridas tendo por base a avaliação de risco e com a aplicação dos controlos adequados;
- Promover a proteção adequada da infraestrutura de sistemas de informação e comunicações da organização contra perda, má utilização ou acessos indevidos.
- Promover a deteção, registo, reporte e investigação de incidentes de segurança de forma eficaz e eficiente para garantir a minimização dos impactos deste tipo de incidentes na organização.
- Garantir a implementação e teste dos planos de continuidade de negócio, que assegurem a continuidade das operações, minimizando o impacto da ocorrência de um incidente de segurança ou de uma situação de emergência.
Responsabilidades no Sistema de Gestão da Segurança de Informação
No contexto do SGSI, o órgão máximo da i2S é a Comissão Executiva, que terá as seguintes responsabilidades:
- Garantir que o SGSI faz parte de e está integrado com os processos da organização e com a estrutura de gestão global.
- Aprovar as funções e as responsabilidades para a segurança de informação.
- Manter formalmente nomeado um CISO (Chief Information Security Officer) e um Information Security Manager (ISM), que serão os interlocutores privilegiados com as restantes estruturas da organização, nas atividades de gestão do SGSI.
Todos os responsáveis das áreas de negócio e de suporte devem estar conscientes da necessidade de os processos de negócio e de suporte estarem em conformidade com as políticas de segurança da informação da organização, e da obrigação em implementar, nas suas áreas, as iniciativas que para tal se revelem necessárias.