P01 Política de Segurança da Informação

A Política de Segurança da Informação (P01) estabelece o compromisso fundamental de uma organização em proteger a confidencialidade, integridade e disponibilidade dos seus ativos de informação. Ao exigir a implementação de um Sistema de Gestão de Segurança da Informação (SGSI) formal, a política define a direção estratégica essencial para manter uma postura de risco empresarial que seja baseada no risco, mensurável e sujeita a melhoria contínua. O âmbito desta política é abrangente, vinculando todos os trabalhadores e prestadores de serviços, prestadores de serviços terceiros e todos os ambientes físicos e digitais envolvidos no tratamento de dados da empresa. Abrange todo o ciclo de vida da informação, com requisitos rigorosos de que quaisquer exclusões deste âmbito devem ser totalmente documentadas e aprovadas pela Alta direção. Esta aplicação vinculativa assegura uniformidade nos padrões de proteção em toda a empresa, independentemente da localização ou função do ativo. Os objetivos definidos procuram não apenas satisfazer a conformidade com normas internacionais como a ISO/IEC 27001:2022, NIST SP 800-53 e COBIT 2019, mas também promover uma cultura em que a segurança está incorporada nas atividades diárias, parcerias e sistemas de informação. Para esse fim, os papéis e responsabilidades atribuídos clarificam as expectativas para a Alta direção, responsáveis de segurança, proprietário do ativo, pessoal de TIC e Operações Técnicas e todo o pessoal. Isto assegura que todos, desde a Alta direção até aos contratados externos, compreendem os seus deveres na manutenção da segurança da organização e no apoio à resposta a incidentes, formação e atividades de auditoria. A governação no âmbito do SGSI é um pilar crítico da política, exigindo estruturas formalizadas, como comités de direção e uma Matriz de Papéis e Responsabilidades, para supervisionar a avaliação contínua do desempenho do SGSI e permitir revisão pela gestão atempada. A política descreve requisitos de coordenação interfuncional, assegurando que a segurança da informação não fica isolada, mas é integrada na gestão de projetos, aquisição, Recursos Humanos (RH) e Jurídico e Conformidade. Os procedimentos de revisão e atualização são rigorosamente regulados, com sistemas de controlo de versões e aprovação executiva explícita, reforçando ainda a responsabilização e a defensabilidade regulamentar. Para cumprir exigências regulamentares, de clientes e de auditoria, a política exige que todos os controlos e a documentação de suporte sejam auditáveis e verificáveis. São detalhadas vias claras para seleção de controlos baseada no risco, tratamento de exceções e aceitação do risco residual. A aplicação e conformidade é suportada por consequências concretas para o incumprimento, proteções do mecanismo de denúncia e programas de sensibilização e formação obrigatória. As interligações com outras políticas organizacionais essenciais — Governação, papéis e responsabilidades, Política de Utilização Aceitável, Política de Controlo de Acesso, Quadro de Gestão de Riscos e Auditoria e Conformidade — garantem alinhamento total em todo o SGSI para uma gestão unificada de risco e conformidade.