Política de Segurança da Informação

  1. Preâmbulo

A gestão de informação levada a cabo pela Assembleia da República, através do seu Sistema de Gestão de Segurança da Informação (SGSI), referente aos seus processos, procedimentos, sistemas, aplicações e redes, são um acervo relevante para a instituição e, neste contexto, a segurança da informação é tratada como prioridade, por forma a assegurar a plena atividade da Livraria Parlamentar Virtual, minimizando os riscos associados e otimizando o desempenho e a prestação do serviço. A segurança da informação aplica-se a todas as fases do ciclo de vida da mesma e, por isso, é importante assegurar um nível de qualidade e segurança elevado que permita acautelar eventuais riscos intrínsecos, atenuar possíveis danos provocados pela deteção de vulnerabilidades e incidentes de segurança, e garantir a continuidade da atividade da Livraria Parlamentar Virtual ao longo do tempo, com os níveis de qualidade pretendidos.

O SGSI é o sistema de gestão que estabelece os princípios gerais que devem ser aplicados aos ativos de informação, nomeadamente servidores, sistemas de informação, redes, infraestruturas, entre outros. Este sistema, que visa a salvaguarda da integridade, autenticidade, disponibilidade e confidencialidade da informação, é constituído por políticas, processos e procedimentos internos, pensados para manter e melhorar a segurança da informação, tendo por base a avaliação do risco existente.

Para a Assembleia da República, a segurança da informação é uma condição fundamental para a boa prestação dos serviços disponibilizados, sendo da responsabilidade de todos — utilizadores, parceiros, fornecedores ou outras entidades que tenham acesso à informação. Durante as várias fases dos processos, os intervenientes devem atuar em conformidade com a legislação em vigor e com as regras pré-definidas.

 

  1. Âmbito

A Política de Segurança da Informação aplica-se a toda a Assembleia da República, bem como a todas as partes interessadas, a entidades e parceiros que mantenham qualquer tipo de relação comercial e/ou contratual com a instituição e que tenham acesso, direito de uso ou controlo sobre o acervo de informação ou sobre outros recursos associados que estejam à guarda, nomeadamente, da Livraria Parlamentar Virtual.

 

  1. Objetivo

A Política de Segurança da Informação tem como objetivo principal a definição dos princípios, dos propósitos e das regras fundamentais da gestão de segurança da informação, de acordo com as especificidades e as necessidades da Livraria Parlamentar Virtual.

Por esta razão, todos os intervenientes devem conhecer e aplicar o disposto no documento da Política de Segurança da Informação.

 

  1. Incumprimento

Os intervenientes que, deliberadamente, violem as disposições definidas pela Política de Segurança da Informação ficam sujeitos às devidas sanções, que incluem a imediata cessação do contrato ou mesmo a denúncia, às autoridades policiais ou judiciais, de ações que indiciem a prática de crime.

 

  1. Definição da Política de Segurança da Informação

A Política de Segurança da Informação da Livraria Parlamentar Virtual reflete o posicionamento da Assembleia da República relativamente à segurança da informação, de acordo com as alíneas que a seguir se descrevem:

 

  1. Fundamentos da segurança de informação

A gestão da política de segurança da informação e dos sistemas associados é construída numa perspetiva baseada na gestão de risco, no aperfeiçoamento sustentado, integridade, autenticidade, disponibilidade e confidencialidade da informação.

Assim, a Livraria Parlamentar Virtual compromete-se a:

  • assegurar a segurança do acervo de informação à sua guarda, bem como de todos os recursos a ela associados;
  • garantir o estabelecimento e a prossecução dos princípios descritos neste documento, bem como a aprovação, publicitação e comunicação destes a todos os utilizadores e parceiros relevantes;
  • disponibilizar os recursos necessários à plena atividade de gestão da segurança de informação;
  • definir, operacionalizar e rever a estratégia de gestão da segurança de informação, garantindo também a concretização dos objetivos da Livraria Parlamentar Virtual;
  • verificar se o SGSI atinge os resultados desejados;
  • promover o aperfeiçoamento sustentado e estruturado da política de segurança da informação adotada.

 

  1. Classificação da informação

O acervo de informação detido pela Assembleia da República é constituído por qualquer recurso com valor, sendo o grau de sensibilidade da sua classificação determinado pelos seus atributos, designadamente a integridade, a autenticidade, a disponibilidade e a confidencialidade, por forma a aplicar os controlos apropriados para a sua proteção.

 

  1. Uso de dispositivos móveis e de acesso remoto

As medidas de segurança são igualmente aplicáveis aos dispositivos móveis, garantindo a integridade, a autenticidade, a disponibilidade e a confidencialidade e a possibilidade de a informação poder ser acedida local ou remotamente ou processada por estes dispositivos.

O acervo de informação detido pela Assembleia da República é utilizado mediante a garantia da sua proteção, evitando a exposição do mesmo a riscos de segurança de informação, que possam comprometer a continuidade da atividade da Livraria Parlamentar Virtual.

Os utilizadores da Assembleia da República podem utilizar os seus próprios equipamentos, na condição de que sejam cumpridas todas as regras internas, bem como a Política de Uso Aceitável do Sistema Informático da Assembleia da República[1].

 

  1. Responsabilidade dos fornecedores

Os fornecedores e os parceiros contratados com vista a contribuir para a obtenção de acesso a matérias e serviços necessários à atividade da Livraria Parlamentar Virtual têm de estar em conformidade com os requisitos do SGSI.

Os cadernos de encargos elaborados pela Assembleia da República, na fase de adjudicação de contratos de fornecimentos de bens ou serviços, incluem cláusulas que asseguram a segurança da informação e estipulando as responsabilidades e os deveres do fornecedor.

 

  1. Sistemas de controlo de acesso lógico

O controlo de acesso lógico diz respeito à restrição de acesso a dados, através da atribuição de credenciais de acesso, em função do perfil de utilizador.

Os diferentes perfis de utilizador e de níveis de acesso são definidos pelo princípio do privilégio mínimo, isto é, pela atribuição do nível de acesso estritamente necessário em função das especificidades de utilização da Livraria Parlamentar Virtual.

 

  1. Criptografia

A Livraria Parlamentar Virtual recorre a mecanismos criptográficos com o objetivo de proteger a informação de acessos não autorizados e indesejados.

 

  1. Política de mesa limpa e ecrã limpo

Com vista a estabelecer as regras para impedir o acesso não autorizado à informação nos locais de trabalho, todos os dados, tanto no seu formato físico como digital, estão devidamente protegidos, quando os dispositivos não estão em utilização.

 

  1. Cópias de segurança

Com vista à salvaguarda da informação, são efetuadas cópias de segurança com alguma regularidade.

A Assembleia da República e as entidades parceiras são responsáveis pelas cópias de segurança da informação contida nos equipamentos a seu cargo.

 

  1. Transferência de informação

Há transferência de informação em canais de comunicação pré-aprovados, de acordo com os requisitos de segurança definidos.

Os princípios de desenvolvimento de sistemas de informação seguros aplicam-se a todos os níveis da arquitetura de sistemas (negócio, dados, aplicações e tecnologia), equilibrando a necessidade de segurança com a necessidade de acessibilidade e eficiência funcionais. Estes princípios são válidos para todo o ciclo de vida dos sistemas de informação, numa perspetiva evolutiva.

 

  1. Segurança da informação na gestão de projetos

A segurança da informação é tida em conta na gestão de projetos através da antecipação de eventuais riscos de segurança de informação associados ao projeto em desenvolvimento.

 

  1. Gestão de risco, gestão de incidentes e continuidade da atividade

Todas as potenciais ameaças que possam pôr em causa os compromissos de segurança de informação assumidos são tratadas como possíveis incidentes de segurança, de acordo com o processo interno de gestão de incidentes.

 

  1. Competência, responsabilidade e autoridade para o SGSI

As competências, a responsabilidade e a autoridade para as políticas de segurança da informação residem na Assembleia da República, que garante o cumprimento das disposições definidas neste documento.

 

  1. Responsável pela Política de Segurança da Informação

A aplicação da Política de Segurança da Informação é da responsabilidade do Administrador de Segurança da Informação da Assembleia da República, que fará o controlo e a apreciação da implementação do SGSI, o reporte do seu desempenho e a garantia de conformidade do sistema com os requisitos da norma internacional ISO 27001:2013.

 

  1. Atualização e publicitação da Política de Segurança da Informação

O documento da Política de Segurança da Informação é periodicamente revisto e atualizado, por forma a assegurar que continua a respeitar a legislação em vigor e que corresponde aos padrões de qualidade e às necessidades da Livraria Parlamentar Virtual. Todas as alterações são impreterivelmente comunicadas a todos os intervenientes, no âmbito da relação contratual estabelecida com a Assembleia da República.

 

  1. Contacto direto

Para qualquer assunto que esteja relacionado com a Política de Segurança da Informação da Livraria Parlamentar Virtual, poderá enviar um e-mail para o endereço eletrónico livraria@ar.parlamento.pt ou enviar o seu pedido por carta para Livraria Parlamentar | Palácio de São Bento | Praça da Constituição de 1976 | 1249-068 Lisboa.

 

[1]     Despacho n.º 115/XIII — Regulamento de Política de Uso Aceitável do Sistema Informático da Assembleia da República