Política de Segurança da Informação

De:
Criado: 30/09/2020

Timbre

 

Política SEI Nº 7259676/2020 – CAJ.CONSAD

 

 

Joinville, 29 de setembro de 2020.

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

 

 

A Tecnologia da Informação, TI, está cada dia mais presente nas empresas, mudando radicalmente os hábitos e a maneira de comunicação, sendo de vital importância a definição de normas de segurança que visem disciplinar o uso da tecnologia da informação. A Política de Segurança da Informação, também referida como PSI, é o documento que orienta e estabelece as diretrizes corporativas da CAJ para a proteção dos ativos de informação e a prevenção de responsabilidade legal para todos os usuários.  A presente PSI está baseada nas recomendações propostas pela norma ABNT NBR ISO/IEC 27002:2013, reconhecida mundialmente como um código de prática para a gestão da segurança da informação, bem como está de acordo com as leis vigentes em nosso país.

 

1. OBJETIVOS

Estabelecer diretrizes que permitam aos usuários de TI da CAJ seguirem padrões de comportamento relacionados à segurança da informação adequados às necessidades de negócio e de proteção legal da empresa e do indivíduo.

Preservar as informações da CAJ quanto à:

  • Integridade: garantia de que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais.
  • Confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas.
  • Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.

2. APLICAÇÕES DA PSI

  • As diretrizes aqui estabelecidas deverão ser seguidas por todos os colaboradores, bem como os prestadores de serviço, administradores e se aplicam à informação em qualquer meio ou suporte.
  • Esta política dá ciência a cada colaborador de que os ambientes, sistemas, computadores e redes da empresa poderão ser monitorados e gravados, com prévia informação, conforme previsto nas leis brasileiras.

3. PRINCÍPIOS DA PSI

  • Toda informação produzida ou recebida pelos colaboradores como resultado da atividade profissional contratada pela CAJ pertence à referida instituição. As exceções devem ser explícitas e formalizadas em contrato entre as partes.
  • Os equipamentos de informática e comunicação, sistemas e informações são utilizados pelos colaboradores para a realização das atividades profissionais.
  • O uso pessoal dos recursos é permitido desde que não prejudique o desempenho dos sistemas e serviços. A CAJ, por meio da Gerência de Tecnologia da Informação, poderá registrar todo o uso dos sistemas e serviços, visando garantir a disponibilidade e a segurança das informações utilizadas.

4. REQUISITOS DA PSI

  • Para a uniformidade da informação, a PSI deverá ser comunicada a todos os colaboradores e prestadores de serviços da CAJ a fim de que a política seja cumprida dentro e fora da empresa.
  • Deverá haver um comitê multidisciplinar responsável pela gestão da segurança da informação, doravante designado como Comitê de Segurança da Informação e Comunicação.
  • Tanto a PSI quanto as normas deverão ser revistas e atualizadas periodicamente, sempre que algum fato relevante ou evento motive sua revisão antecipada, conforme análise e decisão do Comitê de Segurança.
  • A responsabilidade em relação à segurança da informação deve ser comunicada na fase de contratação dos colaboradores. Todos os colaboradores devem ser orientados sobre os procedimentos de segurança, bem como o uso correto dos ativos, a fim de reduzir possíveis riscos.
  • Prestadores de serviço que utilizem algum sistema de informação da CAJ devem ser orientados sobre os procedimentos de segurança e devem assinar um termo de responsabilidade.
  • Todo incidente que afete a segurança da informação deverá ser comunicado inicialmente à Gerência de Tecnologia da Informação e ela, se julgar necessário, deverá encaminhar posteriormente ao Comitê de Segurança da Informação e Comunicação para análise.
  • Um plano de contingência e a continuidade dos principais sistemas e serviços deverão ser implantados e testados no mínimo anualmente, visando reduzir riscos de perda de confidencialidade, integridade e disponibilidade dos ativos de informação.
  • Todos os requisitos de segurança da informação, incluindo a necessidade de planos de contingência, devem ser identificados na fase de levantamento de escopo de um projeto ou sistema, e justificados, acordados, documentados, implantados e testados durante a fase de execução.
  • Deverão ser criados e instituídos controles apropriados, trilhas de auditoria ou registros de atividades, em todos os pontos e sistemas em que a instituição julgar necessário para reduzir os riscos dos seus ativos de informação como, por exemplo, nas estações de trabalho, notebooks, nos acessos à internet, no correio eletrônico, nos sistemas comerciais e financeiros desenvolvidos pela CAJ ou por terceiros.
  • Os ambientes de produção devem ser segregados e rigidamente controlados, garantindo o isolamento necessário em relação aos ambientes de desenvolvimento, testes e homologação.
  • A CAJ exonera-se de toda e qualquer responsabilidade decorrente do uso indevido, negligente ou imprudente dos recursos e serviços concedidos aos seus colaboradores, reservando-se o direito de analisar dados e evidências para obtenção de provas a serem utilizadas nos processos investigatórios, bem como adotar as medidas legais cabíveis.
  • Esta PSI será implementada na CAJ por meio de procedimentos específicos, obrigatórios para todos os colaboradores, independentemente do nível hierárquico ou função na empresa, bem como de vínculo empregatício ou prestação de serviço.
  • O não cumprimento dos requisitos previstos nesta PSI e das Normas de Segurança da Informação acarretará violação às regras internas da instituição e sujeitará o usuário às medidas administrativas e legais cabíveis.

5. USUÁRIOS DE INFORMÁTICA

  • São reconhecidos como usuários da infraestrutura de TI todos os colaboradores, administradores, profissionais autônomos, temporários ou de empresas prestadoras de serviço que obtiverem a aprovação do gestor e da área de TI, para prescrição de senhas de acesso aos recursos computacionais da CAJ.

6. COMITÊ DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

  • Deve ser formalmente constituído por colaboradores com nível hierárquico mínimo gerencial, nomeados para participar do grupo.
  • A composição mínima deve incluir um colaborador de cada uma das áreas: Tecnologia da Informação, Gestão de Pessoas, Governança, Jurídico e um diretor. Deverá o CSI reunir-se formalmente pelo menos uma vez a cada seis meses.
  • Reuniões adicionais devem ser realizadas sempre que for necessário deliberar sobre algum incidente grave ou definição relevante para a CAJ.
  • O CSI poderá utilizar especialistas, internos ou externos, para apoiarem nos assuntos que exijam conhecimento técnico específico.

7. DAS RESPONSABILIDADES ESPECÍFICAS

7.1 – Dos Usuários de Informática

  • Respeitar esta Política de Segurança da Informação.
  • ​Responder pela guarda e proteção dos recursos computacionais colocados á sua disposição para o trabalho.
  • Responder pelo uso exclusivo e intransferível de suas senhas de acesso.
  • Buscar conhecimento necessário para a correta utilização dos recursos de hardware e software.
  • Relatar prontamente à área de TI qualquer fato ou ameaça à segurança dos recursos, como quebra da segurança, fragilidade, mau funcionamento, presença de vírus, etc.
  • Assegurar que as informações e dados de propriedade da CAJ não sejam disponibilizadas a terceiros, a não ser com autorização por escrito do responsável hierárquico.
  • Relatar para o seu responsável hierárquico e à Gerência de TI, o surgimento da necessidade de um novo software para suas atividades.
  • Será de inteira responsabilidade de cada colaborador, todo prejuízo ou dano que vier a sofrer ou causar a CAJ e/ou a terceiros, em decorrência da não obediência às diretrizes e normas aqui referidas.

7.2 – Dos Gestores de Pessoas e/ou Processos

  • Ter postura exemplar em relação à segurança da informação, servindo como modelo de conduta para os colaboradores sob a sua gestão.
  • Atribuir aos colaboradores, na fase de contratação e de formalização dos contratos individuais de trabalho, de prestação de serviços ou de parceria, a responsabilidade do cumprimento da PSI da CAJ.
  • Exigir dos colaboradores a assinatura do Termo de Compromisso e Ciência, assumindo o dever de seguir as normas estabelecidas, bem como se comprometendo a manter sigilo e confidencialidade, mesmo quando desligado, sobre todos os ativos de informações da CAJ.
  • Antes de conceder acesso às informações da instituição, exigir a assinatura do Acordo de Confidencialidade dos colaboradores casuais e prestadores de serviços que não estejam cobertos por um contrato existente, por exemplo, durante a fase de levantamento para apresentação de propostas comerciais.
  • ​Autorizar o acesso e definir o perfil do usuário junto a área de TI.
  • Notificar imediatamente ao gestor da área de TI quaisquer vulnerabilidades e ameaças a quebra de segurança.
  • Advertir formalmente o usuário e aplicar sanções cabíveis quando este violar os princípios ou procedimentos de segurança, relatando imediatamente o fato ao gestor da área de TI.
  • Adaptar as normas, os processos, procedimentos e sistemas sob sua responsabilidade para atender a esta PSI.

7.3 – Da Área de Tecnologia da Informação

  • Testar a eficácia dos controles utilizados e informar aos gestores os riscos residuais.
  • Acordar com os gestores o nível de serviço que será prestado e os procedimentos de resposta aos incidentes.
  • Configurar os equipamentos, ferramentas e sistemas concedidos aos colaboradores com todos os controles necessários para cumprir os requerimentos de segurança estabelecidos por esta PSI e pelas Normas de Segurança da Informação complementares.
  • Os administradores e operadores dos sistemas computacionais podem, pela característica de seus privilégios como usuários, acessar os arquivos e dados de outros usuários. No entanto, isso só será permitido quando for necessário para a execução de atividades operacionais sob sua responsabilidade como, por exemplo, a manutenção de computadores, a realização de cópias de segurança, auditorias ou testes no ambiente.
  • Segregar as funções administrativas, operacionais a fim de restringir ao mínimo necessário os poderes de cada indivíduo e eliminar, ou ao menos reduzir, a existência de pessoas que possam excluir os logs e trilhas de auditoria das suas próprias ações.
  • Garantir segurança especial para sistemas com acesso público fazendo guarda de evidências que permitam a rastreabilidade para fins de auditoria ou investigação.
  • Gerar e manter as trilhas para auditoria com nível de detalhe suficiente para rastrear possíveis falhas e fraudes. Para as trilhas geradas e/ou mantidas em meio eletrônico, implantar controles de integridade para torná-las juridicamente válidas como evidências.
  • Administrar, proteger e testar as cópias de segurança dos programas e dados relacionados aos processos críticos e relevantes para a CAJ.
  • Implantar controles que gerem registros auditáveis para retirada e transporte de mídias das informações custodiadas pela TI, nos ambientes totalmente controlados por ela.
  • O gestor da informação deve ser previamente informado sobre o fim do prazo de retenção, para que tenha a alternativa de alterá-lo antes que a informação seja definitivamente descartada pelo custodiante.
  • Planejar, implantar, fornecer e monitorar a capacidade de armazenagem, processamento e transmissão necessários para garantir a segurança requerida pelas áreas de negócio.
  • Atribuir cada conta ou dispositivo de acesso a computadores, sistemas, bases de dados e qualquer outro ativo de informação a um responsável identificável como pessoa física, sendo que:
    • os usuários (logins) individuais de funcionários serão de responsabilidade do próprio funcionário.
    • os usuários (logins) de terceiros serão de responsabilidade do gestor da área contratante.
  • Proteger continuamente todos os ativos de informação da empresa contra código malicioso, e garantir que todos os novos ativos só entrem para o ambiente de produção após estarem livres de código malicioso e/ou indesejado.
  • Garantir que não sejam introduzidas vulnerabilidades ou fragilidades no ambiente de produção da empresa em processos de mudança, sendo ideal a auditoria de código e a proteção contratual para controle e responsabilização no caso de uso de terceiros.
  • Definir as regras formais para instalação de software e hardware em ambiente de produção corporativo, bem como em ambiente exclusivamente educacional, exigindo o seu cumprimento dentro da empresa.
  • Realizar auditorias periódicas de configurações técnicas e análise de riscos com reporte ao Controle Interno.
  • Garantir, da forma mais rápida possível, com solicitação formal, o bloqueio de acesso de usuários por motivo de desligamento da empresa, incidente, investigação ou outra situação que exija medida restritiva para fins de salvaguardar os ativos da empresa.
  • Garantir que todos os servidores, estações e demais dispositivos com acesso à rede da empresa operem com o relógio sincronizado com os servidores de tempo oficiais do governo brasileiro.
  • Monitorar o ambiente de TI, gerando indicadores e históricos de:
    •  uso da capacidade instalada da rede e dos equipamentos;
    • tempo de resposta no acesso à internet e aos sistemas críticos da CAJ;
    • períodos de indisponibilidade no acesso à internet e aos sistemas críticos da CAJ;
    • incidentes de segurança (vírus, trojans, furtos, acessos indevidos, e assim por diante);
    • atividade de todos os colaboradores durante os acessos às redes externas, inclusive internet (por exemplo: sites visitados, e-mails recebidos/enviados, upload/download de arquivos, entre outros).
  • Propor as metodologias e os processos específicos para a segurança da informação, como avaliação de risco e sistema de classificação da informação.
  • Propor e apoiar iniciativas que visem à segurança dos ativos de informação da CAJ.
  • Publicar e promover as versões da PSI e as Normas de Segurança da Informação aprovadas pelo Comitê de Segurança da Informação e Comunicação.
  • Promover a conscientização dos colaboradores em relação à relevância da segurança da informação para o negócio da CAJ, mediante campanhas, palestras, treinamentos e outros meios de endomarketing.
  • Apoiar a avaliação e a adequação de controles específicos de segurança da informação para novos sistemas ou serviços.
  • Analisar criticamente incidentes em conjunto com o Comitê de Segurança da Informação e Comunicação.
  • Apresentar as atas e os resumos das reuniões do Comitê de Segurança da Informação e Comunicação, destacando os assuntos que exijam intervenção do próprio comitê ou de outros membros da diretoria;
  • Manter comunicação efetiva com o Comitê de Segurança da Informação e Comunicação sobre assuntos relacionados ao tema que afetem ou tenham potencial para afetar a CAJ.
  • Buscar alinhamento com as diretrizes corporativas da instituição.
     

7.4 – Do Comitê de Segurança da Informação e Comunicação

  • Propor investimentos relacionados à segurança da informação com o objetivo de reduzir mais os riscos.
  • Propor alterações nas versões da PSI e a inclusão, a eliminação ou a mudança de normas complementares.
  • Avaliar os incidentes de segurança e propor ações corretivas.
  • Definir as medidas cabíveis nos casos de descumprimento da PSI e/ou das Normas de Segurança da Informação complementares.
  • Avaliar os pedidos de acesso aos sistemas e dados CAJ solicitados por terceiros ou mesmo nos casos em solicitações de origem interna para compartilhamento de dados.

8 – DO MONITORAMENTO E DA AUDITORIA DO AMBIENTE

Para garantir as regras mencionadas nesta PSI, a CAJ poderá:

  • Implantar sistemas de monitoramento nas estações de trabalho, servidores, correio eletrônico, conexões com a internet, dispositivos móveis ou wireless e outros componentes da rede ‒ a informação gerada por esses sistemas poderá ser usada para identificar usuários e respectivos acessos efetuados, bem como material tratado.
  • Tornar públicas as informações obtidas pelos sistemas de monitoramento e auditoria, no caso de exigência judicial, solicitação do gerente (ou superior) ou por determinação do Comitê de Segurança da Informação e Comunicação.
  • Realizar, a qualquer tempo, inspeção física nas máquinas de sua propriedade.
  • Instalar sistemas de proteção, preventivos e detectáveis, para garantir a segurança das informações e dos perímetros de acesso.

9 – DOS SERVIÇOS E RECURSOS DE TIC
 

9.1 – ANTIVÍRUS

  • Todos os dispositivos, como por exemplo: servidores, computadores, notebooks, tablets e smartphones devem ter sistema de proteção contra vírus.
  • Deverá ser disponibilizado antivírus licenciado nos casos de trabalho remoto, com acesso a recursos internos.
  • O uso do sistema antivírus deverá seguir as melhores práticas de uso com foco na segurança dos ativos internos e deve atender os padrões contidos no procedimento: PAJ – Antivírus. A Gerência de Tecnologia da Informação é responsável pela elaboração e manutenção deste procedimento.
     

9.2 – CÓPIA (BACKUP) e RESTAURAÇÃO

  • Devem ser realizadas cópias de segurança de todos os dados gerados pelos sistemas internos e mantidos nos sistemas de armazenamento.
  • A frequência das cópias deve atender os padrões de disponibilidade e integridade exigidas em lei e também para atender as necessidades do negócio.
  • As cópias de segurança devem ser mantidas em local adequado, separado e distante do Datacenter.
  • Devido ao alto volume de dados gerados pelos sistemas, as tarefas de backup ou mesmo restauração devem contemplar tecnologias que permitam a execução com mínimo impacto ao ambiente de produção.
  • Os gestores de processos devem informar a Gerência de Tecnologia de Informação sobre as características de cópia de segurança, como por exemplo,  periodicidade, dados, tempo de retenção e tempo de recuperação.
  • A operação do sistema deverá ser restrita a equipe da Gerência de Tecnologia, que deverá ser capacitada para a atividade.
  • Simulações de cópia e restauração devem ser executadas, no mínimo, a cada 180 dias para garantir o correto funcionamento da solução. 
  • As tecnologias e os métodos de  cópia devem seguir as melhores práticas de uso, com foco na segurança, integridade e disponibilidade dos dados e deve atender os padrões contidos no procedimento: PAJ – Cópia e Restauração. A Gerência de Tecnologia da Informação é responsável pela elaboração e manutenção deste procedimento.
     

9.3 – FIREWALL

  • Os ambientes computacionais internos devem ser protegidos por sistemas específicos que possam identificar e bloquear acessos não autorizados.
  • Este sistema também deverá permitir a análise de arquivos com objetivo de bloquear arquivos infectados e que possam ser prejudiciais aos sistemas internos.
  • A operação do sistema deverá ser restrita a equipe da Gerência de Tecnologia, que deverá ser capacitada para a atividade ou para empresa contratada no caso de terceirização.
  • Os acessos devem ser registrados em sistema centralizado de eventos com, no mínimo, as seguintes informações: data, hora, origem do acesso, destino do acesso, usuário e aplicativo.
  • Considerando que as técnicas de intrusão evoluem constantemente, devem-se utilizar tecnologias e métodos mais modernos possíveis para garantir segurança, integridade e disponibilidade dos ambientes computacionais e deve atender os padrões contidos no procedimento: PAJ – Firewall. A Gerência de Tecnologia da Informação é responsável pela elaboração e manutenção deste procedimento. 
     

9.4 – CORREIO ELETRÔNICO (E-MAIL)

  • Deverá ser disponibilizado serviço de correio eletrônico (e-mail) corporativo para todos os colaboradores da Companhia Águas de Joinville.
  • O uso do correio eletrônico da CAJ é para fins corporativos e relacionados às atividades do colaborador.
  • A utilização desse serviço para fins pessoais é permitida desde que feita com bom senso, não prejudique a CAJ e também não cause impacto no tráfego da rede.
  • A disponibilização deverá seguir as melhores práticas de uso do serviço de correio eletrônico e atender os padrões contidos no procedimento: PAJ – Correio Eletrônico (e-mail). A Gerência de Tecnologia da Informação é responsável pela elaboração e manutenção deste procedimento.
     

9.5 – INTERNET

  • A comunicação com a Internet é recurso essencial para disponibilização de aplicativos, informações, troca de arquivos e comunicação via computador com fornecedores, clientes e a sociedade em geral.
  • O acesso a Internet deverá ser disponibilizado através de link de comunicação específico para este fim, com garantia de qualidade, disponibilidade e segurança, adequadas a necessidade de negócio.
  • Os padrões tecnológicos, quantidades e capacidades para links de Internet devem seguir as especificações contidas no procedimento: PAJ – Comunicação com a Internet. A Gerência de Tecnologia da Informação é responsável pela elaboração e manutenção deste procedimento.
     

9.6 – COMPUTADORES

  • Deverá ser disponibilizado computador aos colaboradores da Companhia Águas de Joinville para o desempenho das atividades.
  • Os equipamentos devem ser especificados com capacidades de acordo com a necessidade das atividades do colaborador. 
  • Todos os computadores devem permanecer conectados em rede local e permitir o monitoramento de recursos através de softwares específicos.
  • O uso de computadores deverá seguir as definições contidas no procedimento: PAJ – Uso de computadores. A Gerência de Tecnologia da Informação é responsável pela elaboração e manutenção deste procedimento.
     

9.7 – DISPOSITIVOS MÓVEIS

  • Quando se descreve “dispositivo móvel” entende-se qualquer equipamento eletrônico com atribuições de mobilidade de propriedade da instituição, como: notebooks, smartphones, tablets e pendrives.
  • Deverá ser disponibilizado dispositivo móvel aos colaboradores, conforme necessidade definida pelo gestor da área para utilização em ambiente externo.
  • Os equipamentos devem ser especificados com capacidades de acordo com a necessidade das atividades do colaborador. 
  • Os dispositvos móveis, de propriedade da CAJ, podem ser conectados a rede local respeitando os critérios de segurança definidos pela Gerência de Tecnologia da Informação.
  • O uso de dispositivos móveis deverá seguir as definições contidas no procedimento: PAJ – Uso de dispositivos móveis. A Gerência de Tecnologia da Informação é responsável pela elaboração e manutenção deste procedimento.
     

9.8 – DATACENTER

  • Deverá ser disponibilizado local físico destinado a acomodação dos equipamentos como servidores, modems, sistemas de telefonia, armazenamento e afins.
  • O local deverá ser preparado para atender os padrões de umidade e temperatura necessários ao correto funcionamento dos equipamentos.
  • Deverá ter fornecimento de energia elétrica específico para uso com equipamentos de informática devendo ter proteção contra interrupção de fornecimento com uso de nobreak e gerador adequados a necessidade de negócio.
  • O local deverá conter sistema de detecção de incêndio. 
  • O acesso ao Datacenter somente deverá ser feito por sistema forte de autenticação. Por exemplo: biometria, cartão magnético entre outros.
  • Os padrões e especificações do Datacenter devem seguir as definições contidas no procedimento: PAJ – Datacenter. A Gerência de Tecnologia da Informação é responsável pela elaboração e manutenção deste procedimento.
     

9.9 – IDENTIFICAÇÃO

  • O uso dos equipamentos e sistemas corporativos devem ser permitidos somente mediante a identificação de usuário.
  • Os acessos devem ser registrados em sistema centralizado de eventos contendo, no mínimo, informações de data, hora, usuário e recurso acessado.
  • Deverá ser disponibilizada credencial aos colaboradores da CAJ adequadas a necessidade das atividades.
  • Todos os dispositivos de identificação utilizados na CAJ, como o número de registro do colaborador, o crachá, as identificações de acesso aos sistemas, os certificados e assinaturas digitais e os dados biométricos têm de estar associados a uma pessoa física.
  • Os padrões, técnicas de segurança e controle de identificação devem seguir as definições contidas no procedimento: PAJ – Padrão de identificação. A Gerência de Tecnologia da Informação é responsável pela elaboração e manutenção deste procedimento.
     

9.10 – PERFIL DE ACESSO

  • O acesso as funcionalidades de sistemas deve ser controlado por perfil de acesso e não deverá ser controlado por usuário.
  • O perfil de acesso deve ser relacionado ao cargo ou função e não deverá ser relacionado ao usuário.
  • As alterações do perfil de acesso devem ser autorizadas pelo gestor do processo ou da funcionalidade impactada.
  • Os padrões para perfil de acesso devem seguir as definições contidas no procedimento: PAJ – Perfil de Acesso. A Gerência de Tecnologia da Informação é responsável pela elaboração e manutenção deste procedimento.
     

9.11 – ACESSO PARA TERCEIROS, VISITANTES 

  • Poderá ser disponibilizada conectividade de rede para usuários externos, como por exemplo: terceiros, visitantes e outros usuários que não sejam colaboradores diretos da Companhia Águas de Joinville.
  • O ambiente utilizado por terceiros e visitantes deverá ser separada do ambiente de produção e deverá permitir somente acesso a Internet.
  • Devem ser registrados todos os acessos em sistema centralizado de eventos. 
  • Os acessos permitidos, técnicas de segurança e controle de identificação devem seguir as definições contidas no procedimento: PAJ – Acesso para Terceiros e Visitantes. A Gerência de Tecnologia da Informação é responsável pela elaboração e manutenção deste procedimento.
     

10 – DA CLASSIFICAÇÃO DA INFORMAÇÃO

  • As informações geradas nos processos internos devem ser classificadas no momento de sua criação.
  • Os gestores de processos devem informar a classificação das informações dos processos de sua responsabilidade.
  • Os critérios relativos ao nível de confidencialidade da informação devem ser definidas em política específica, com base nas orientações da ISO 27002/2013.
     

11 – DAS DISPOSIÇÕES FINAIS

Assim como a ética, a segurança deve ser entendida como parte fundamental da cultura interna da CAJ, ou seja, qualquer incidente de segurança subtende-se como alguém agindo contra a ética e os bons costumes regidos pela instituição.

Na hipótese de violação desta PSI ou das normas de segurança da informação, a Diretoria, com o apoio das áreas de Segurança da Informação, Conformidade e Gestão de Pessoas, determinarão as sanções administrativas que serão aplicadas ao infrator, sendo que:

  • Para os colaboradores, pode acarretar na aplicação de advertência e/ou suspensão ou desligamento formal conforme previsto na Matriz de Penalidades.
  • Para os prestadores de serviços, pode acarretar na aplicação rescisória imediata do respectivo contrato estabelecido violado.

 

Esta política foi aprovada na reunião do Conselho de Administração realizada em 24/09/2020, Ata SEI 7211332.


logotipo

Documento assinado eletronicamente por Luiz Claudio Gubert, Presidente do Conselho, em 29/09/2020, às 15:30, conforme a Medida Provisória nº 2.200-2, de 24/08/2001, Decreto Federal nº8.539, de 08/10/2015 e o Decreto Municipal nº 21.863, de 30/01/2014.


logotipo

Documento assinado eletronicamente por Luana Siewert Pretto, Diretor (a) Presidente, em 29/09/2020, às 15:34, conforme a Medida Provisória nº 2.200-2, de 24/08/2001, Decreto Federal nº8.539, de 08/10/2015 e o Decreto Municipal nº 21.863, de 30/01/2014.


QRCode Assinatura

A autenticidade do documento pode ser conferida no site https://portalsei.joinville.sc.gov.br/ informando o código verificador 7259676 e o código CRC 1F64660C.



Rua XV de Novembro, 3950 – Bairro Glória – CEP 89216-202 – Joinville – SC – www.aguasdejoinville.com.br


20.1.006717-1
7259676v4

Criado por vladia.brito, versão 4 por vladia.brito em 29/09/2020 15:14:37.

Compartilhe