69 3525-1016
Atualizado em 22 de maio de 2025 às 13:44
Acessibilidade

Publicação

Espaço para as publicações dos atos e ações do poder legislativo.

Publicado em 20 de setembro de 2023.

LGPD - Politica de Segurança da Informação

Descrição

Para a implementação de controles de segurança faz-se necessária a criação de um processo de gestão da segurança da informação. Este processo deve considerar o incentivo à definição de políticas de segurança, cujos escopos devem abarcar o gerenciamento de riscos baseado em análise quantitativa e qualitativa, como análises de custo-benefício e programas de conscientização. A gestão da segurança da informação inicia-se com a definição de políticas, procedimentos, guias e padrões. As políticas podem ser consideradas como o mais alto nível de documentação da segurança da informação, enquanto nos níveis mais baixos podemos encontrar os padrões, procedimentos e guias. Isto não quer dizer que as políticas sejam mais importantes que os guias, procedimentos e padrões.

Conteúdo

Para a implementação de controles de segurança faz-se necessária a criação de um processo de gestão da segurança da informação. Este processo deve considerar o incentivo à definição de políticas de segurança, cujos escopos devem abarcar o gerenciamento de riscos baseado em análise quantitativa e qualitativa, como análises de custo-benefício e programas de conscientização. A gestão da segurança da informação inicia-se com a definição de políticas, procedimentos, guias e padrões. As políticas podem ser consideradas como o mais alto nível de documentação da segurança da informação, enquanto nos níveis mais baixos podemos encontrar os padrões, procedimentos e guias. Isto não quer dizer que as políticas sejam mais importantes que os guias, procedimentos e padrões. O primeiro documento a ser definido deve conter o comprometimento da alta administração, deixando clara a importância da segurança da informação e dos recursos computacionais para a missão institucional. É uma declaração que fundamenta a segurança da informação na totalidade da instituição. Deve conter ainda a autorização para a definição dos padrões, procedimentos e guias de mais baixo nível. As políticas de alerta não são mandatórias, mas são fortemente incentivadas, normalmente incluindo as consequências da não conformidade com elas. A política informativa é aquela que existe simplesmente para informar aos usuários de um determinado ambiente. Não implica necessariamente em requisitos específicos, e seu público-alvo pode ser determinados setores somente ou até mesmo parceiros externos. Possuindo caráter genérico, pode ser distribuída para parceiros externos, como fornecedores, por exemplo, que acessam a rede do local, sem que isso acarrete o comprometimento da informação interna. Os regulamentos de segurança são políticos que uma instituição deve implementar em conformidade com legislação em vigor, garantindo aderência a padrões e procedimentos básicos de setores específicos. Os padrões especificam o uso uniforme de determinadas tecnologias. Normalmente são mandatórios e implementados através de toda a instituição, a fim de proporcionar maiores benefícios. Os fundamentos ou princípios são semelhantes aos padrões, com pequena diferença. Uma vez que um conjunto consistente de fundamentos seja definido, a arquitetura de segurança de uma instituição pode ser planejada e os padrões podem ser definidos. Os fundamentos devem levar em conta as diferenças entre as plataformas existentes, para garantir que a segurança seja implementada uniformemente em toda a instituição. Quando adotados, são mandatórios. Os guias são similares aos padrões, embora mais flexíveis, se referindo a metodologias para os sistemas de segurança.

Lista de anexos

Dúvidas sobre os termos técnicos?

Acesse Explicações Gerais e Glóssario de Termos.