Política de Segurança da Informação

A proteção no tratamento, salvaguarda e transmissão de informação confidencial de clientes de forma consistente com os requisitos profissionais, éticos, legais, regulamentares e contratuais, é uma das maiores prioridades da i2S e algo que é considerado fundamental para o sucesso da organização. A perda ou roubo de informação confidencial pode ter consequências graves a nível legal, financeiro e/ou reputacional, estando a i2S comprometida com a salvaguarda da confidencialidade, integridade e disponibilidade da informação confidencial de clientes e da própria i2S, quer esta se encontre em suporte físico, digital ou intelectual.

Desta forma, são princípios da política de segurança da informação garantir que:

• a informação está protegida contra acessos não autorizados;
• a confidencialidade da informação está garantida;
• a integridade da informação é mantida;
• todas as leis e regulamentos aplicáveis são respeitados;
• os planos de continuidade de negócio apropriados são mantidos e testados regularmente; e
• todas as quebras de segurança da informação detetadas ou sob suspeita, são investigadas pelas áreas com competência para o efeito.

Sistema de Gestão de Segurança da Informação

A i2S mantém um Sistema de Gestão de Segurança de Informação (SGSI) constituído por políticas e procedimentos, que foi desenhado para manter, rever e continuamente melhorar a segurança de informação na i2S, tendo por base uma avaliação do risco existente. Os objetivos de segurança da informação visam:

• Incluir a segurança da informação como componente essencial de todos os aspetos de planeamento e operações de negócio e produto, garantindo a conformidade com a norma.
• Promover a consciencialização contínua sobre a segurança de informação, garantindo que todos os colaboradores conhecem as politicas de segurança da informação, compreendem a forma como a segurança da informação faz parte das suas funções e que têm consciência sobre as responsabilidades que têm na proteção da confidencialidade, integridade e disponibilidade da informação.
• Avaliar continuamente as ameaças de segurança da informação, garantindo que estas são identificadas e geridas tendo por base a avaliação de risco e com a aplicação dos controlos adequados;
• Promover a proteção adequada da infraestrutura de sistemas de informação e comunicações da organização contra perda, má utilização ou acessos indevidos.
• Promover a deteção, registo, reporte e investigação de incidentes de segurança de forma eficaz e eficiente para garantir a minimização dos impactos deste tipo de incidentes na organização.
• Garantir a implementação e teste dos planos de continuidade de negócio, que assegurem a continuidade das operações, minimizando o impacto da ocorrência de um incidente de segurança ou de uma situação de emergência.

Responsabilidades no Sistema de Gestão da Segurança de Informação

No contexto do SGSI, o órgão máximo da i2S é a Comissão Executiva, que terá as seguintes responsabilidades:

• Garantir que o SGSI faz parte de e está integrado com os processos da organização e com a estrutura de gestão global.
• Aprovar as funções e as responsabilidades para a segurança de informação.
• Manter formalmente nomeado um CISO (Chief Information Security Officer) e um Information Security Manager (ISM), que serão os interlocutores privilegiados com as restantes estruturas da organização, nas atividades de gestão do SGSI.

Todos os responsáveis das áreas de negócio e de suporte devem estar conscientes da necessidade de os processos de negócio e de suporte estarem em conformidade com as políticas de segurança da informação da organização, e da obrigação em implementar, nas suas áreas, as iniciativas que para tal se revelem necessárias.