INTRODUÇÃO
A Política de Segurança da Informação da RHpro define os princípios gerais que orientam a proteção e a gestão dos ativos sob a responsabilidade da RHpro no âmbito do seu Sistema de Gestão de Segurança da Informação (SGSI).
REFERÊNCIAS NORMATIVAS
ISO/IEC 27001:2022 – Information security, cybersecurity and privacy protection – Information Security Management Systems – Requirements
TERMOS E DEFINIÇÕES
| Termo | Definição
| Ameaça | Causa potencial de um incidente indesejado que pode resultar em dano para um sistema ou organização.
| Ativo de Informação | Qualquer informação ou recurso que tenha valor para a organização, incluindo dados, sistemas, pessoas, processos e infraestruturas.
| Confidencialidade | Propriedade que garante que a informação não é disponibilizada ou divulgada a pessoas, entidades ou por acessos não autorizados.
| Controlo | Medida que modifica o risco, incluindo políticas, procedimentos, práticas ou estruturas organizacionais.
| Disponibilidade | Propriedade de ser acessível e utilizável sob demanda por uma entidade autorizada.
| Incidente de Segurança da Informação | Evento indesejado ou inesperado que compromete ou tem potencial para comprometer a confidencialidade, integridade ou disponibilidade da informação.
| Integridade | Propriedade de exatidão, completude e proteção contra alterações não autorizadas.
| Partes Interessadas | Pessoa ou organização que pode afetar, ser afetada ou considerar-se afetada por uma decisão ou atividade da organização.
| Risco de Segurança da Informação | Efeito da incerteza nos objetivos, associado a ameaças e vulnerabilidades que podem comprometer a informação.
| SGSI | Sistema de Gestão de Segurança da Informação, baseado numa abordagem sistemática para gerir informação sensível e garantir a sua proteção.
| Tratamento de Risco | Processo de seleção e implementação de medidas para modificar o risco.
| Vulnerabilidade | Fraqueza de um ativo ou controlo que pode ser explorada por uma ameaça.
COMPROMISSO
Ao integrar os princípios da segurança de informação, a RHpro assegura uma abordagem sistemática e eficaz para garantir a confidencialidade, integridade, disponibilidade e qualidade dos dados e sistemas sob a sua gestão.
A Administração ao estabelecer o seu SGSI assume os compromissos definidos na presente política.
Este compromisso inclui a integração dos requisitos da ISO/IEC 27001 nos processos organizacionais e a garantia de que os recursos necessários para a sua implementação estão devidamente assegurados.
Além disso, a Administração reconhece a sua responsabilidade perante as partes interessadas, comprometendo-se a:
- Adotar uma gestão adequada no âmbito da Segurança da Informação, Cibersegurança e Proteção da Privacidade;
- Monitorizar, avaliar e melhorar continuamente o seu SGSI, como parte integrante da RHpro;
- Cumprir os requisitos normativos e legais, garantindo o cumprimento das normas nacionais, europeias e internacionais aplicáveis à segurança da informação;
- Proteger a informação assegurando a confidencialidade, integridade e disponibilidade da informação em todos os processos organizacionais;
- Promover a comunicação efetiva estabelecendo e mantendo uma comunicação clara e eficiente das políticas e procedimentos de segurança da informação, assegurando que todas as partes interessadas compreendem as suas responsabilidades;
- Sensibilizar e formar continuamente implementando um programa contínuo de formação e sensibilização para reforçar a cultura de segurança da informação entre os colaboradores e demais partes interessadas;
- Evidenciar segurança organizacional demonstrando, de forma consistente, que a RHpro é uma organização confiável e segura no âmbito da segurança da informação, adotando boas práticas e padrões reconhecidos internacionalmente.
VALOR DA INFORMAÇÃO
A informação é um ativo essencial para a RHpro assumindo diversas formas, como documentos físicos, registos eletrónicos ou comunicações transmitidas por meios digitais.
Independentemente do suporte, uso ou formato, é imprescindível garantir a proteção adequada da informação com base na sua relevância e valor.
A disponibilidade da informação e das infraestruturas tecnológicas que a suportam é vital para o funcionamento eficiente da RHpro sendo a segurança no tratamento e transmissão de dados fundamental para os seus serviços.
Incidentes como interrupções de serviço, fugas de informação ou modificações não autorizadas podem comprometer a confiança dos seus clientes e violar obrigações legais e contratuais. Por isso, é responsabilidade de todas as partes interessadas colaborar ativamente na proteção da informação.
A segurança da informação deve ser garantida em todas as etapas do ciclo de vida dos dados, desde a inserção/recolha até ao processamento, armazenamento, transmissão, pesquisa e eventual destruição. O controlo da segurança nessas operações é tão crítico quanto a funcionalidade dos sistemas que as suportam.
MANUTENÇÃO DA SEGURANÇA DE INFORMAÇÃO
Para assegurar a sua eficácia, as políticas e procedimentos de segurança da informação são regularmente revistos e atualizados, de forma a garantir que permanecem relevantes, adequados e alinhados com os requisites organizacionais, a evolução das ameaças à segurança de informação e as mudanças nos requisites legais e normativos.
O SGSI é regularmente avaliado através de auditorias internas por equipas independentes e imparciais ao trabalho da RHpro e auditorias externas por entidades certificadoras acreditadas pelo Instituto Português de Acreditação (IPAC).
Este processo contínuo de comunicação, revisão e auditoria assegura que a RHpro mantém elevados padrões de segurança da informação, protegendo os ativos críticos e promovendo a confiança das partes interessadas.
