1.     OBJETIVO

Esta política têm como objetivo principal fornecer diretrizes e normas para a proteção e segurança dos ativos de informação da empresa, evidenciando o comprometimento da organização por meio de orientações estratégicas que reafirmem o compromisso da empresa com a excelência na segurança da informação organizacional, estimulando a participação e engajamento de todos os seus colaboradores (funcionários, terceiros, parceiros e prestadores de serviços) na garantia da confidencialidade, integridade, auditabilidade, disponibilidade e legalidade.

 

1.1.         OBJETIVOS ESPECÍFICOS

Orientar os usuários – internos e externos – sobre as melhores práticas referentes a segurança dos ativos da informação adotadas pela organização, através das normas e procedimentos contidas em suas políticas, bem como instituir procedimentos para prevenir, responder e gerenciar eventuais incidentes de segurança da informação.

 

2.     DOCUMENTOS COMPLEMENARES / REFERÊNCIAS

• ABNT NBR / ISO 27001:2022
• ABNT NBR / ISO 27002:2022

 

3.     APLICAÇÃO

Aplica-se a todas as áreas da organização, com efeitos estendidos a parceiros e fornecedores.

 

4.     RESPONSÁVEIS

Todos os colaboradores e prestadores de serviços são responsáveis em zelar pela segurança das informações.

 

5.     DESCRIÇÃO

 

5.1.         CULTURA ORGANIZACIONAL

A informação é um ativo de grande valor para a organização, devendo ser adequadamente utilizada e protegida contra riscos e ameaças.

A adoção de políticas e procedimentos que visem garantir a segurança da informação é prioridade, com o objetivo de minimizar os riscos de falhas, os danos e / ou prejuízos que possam comprometer a imagem e os objetivos da organização.

Neste contexto, sistemas, processos, procedimentos e controles devem ser concebidos em torno da segurança. A cultura da segurança da informação deve ser adotada internamente por todos os colaboradores, parceiros, fornecedores e suas respectivas cadeias de relacionamento de nível imediato, pois são esforços que convergem objetivando a proteção de dados como um todo.

 

5.2.         DEFINIÇÕES

5.2.1.     SEGURANÇA DA INFORMAÇÃO

É a proteção da informação contra os diferentes tipos de ameaças – negação de serviço a usuários autorizados, intrusão e modificação desautorizada – aos dados armazenados, em processamento ou em trânsito com o intuito de garantir a integridade das informações e a continuidade do negócio.

 

5.2.1.1. ATIVOS DE INFORMAÇÃO

Os ativos são compostos por qualquer elemento que tenha valor para a organização, seus clientes, fornecedores e parceiros, e serão categorizados da seguinte forma:

1. Informações;
2. Software;
3. Hardware;
4. Ambiente Físico;
5. Recursos Humanos;
6. Serviços.

 

5.2.1.2. DADOS

Elemento identificado em sua forma bruta, ainda que em determinado contexto não conduza – individualmente – à compreensão de determinada situação ou fato.

 

5.2.1.3. INFORMAÇÃO

Dados organizados e inseridos em um contexto, capaz de propiciar retorno ao manipulador.

No contexto desta política, considera-se como informação:

1. Toda a base de conhecimento;
2. Conteúdo;
3. Dado;
4. Conceito;
5. Envio ou recebimento de mensagens;
6. Processo ou fato existente em meio físico ou eletrônico, que compõe documentos e informações de propriedade, interesse ou posse da organização, seus clientes, fornecedores ou parceiros.

 

5.2.1.4. SISTEMA DE INFORMAÇÃO

É definido pelo conjunto de meios de comunicação, dispositivos computacionais e redes de computadores, assim como dados e informações que possam ser armazenados, processados, recuperados ou transmitidos por serviços de telecomunicações.

 

5.2.1.5. SISTEMA DE SEGURANÇA DA INFORMAÇÃO

São sistemas destinados à proteção contra a quebra de confidencialidade, de integridade ou de disponibilidade de dados ou informações, armazenados, em processamento ou em trânsito.

A segurança da informação será obtida a partir da implementação do seguinte conjunto de controles:

1. Políticas;
2. Processos;
3. Procedimentos;
4. Tecnologia;
5. Estrutura organizacional.

 

Este conjunto de controles precisam ser:

1. Estabelecidos;
2. Implementados;
3. Monitorados;
4. Analisados periodicamente;
5. Melhorados continuamente para garantir que o alinhamento aos objetivos e a segurança sejam atendidos.

 

5.2.1.6. PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO

A informação e os processos de apoio, sistemas e redes são ativos críticos para o negócio da companhia, tornando essenciais as atividades de definir, alcançar, manter e melhorar continuamente a segurança da informação com o objetivo de assegurar a própria continuidade da organização como negócio, através da garantia de confidencialidade de informações de clientes e usuários, bem como o atendimento aos requisitos legais e a imagem da instituição junto ao mercado e seus clientes.

 

Os princípios adotados para o atingimento deste objetivo são os seguintes:

 

• Responsabilidade – São definidas pelas responsabilidades primárias e finais pela proteção de cada ativo de informação e pelo cumprimento das políticas e processos de segurança da informação.
• Conhecimento – Administradores, usuários, fornecedores e clientes só serão capazes de manter as informações seguras com a ciência de todas as normas e procedimentos de segurança.
• Ética – Os direitos e interesses legítimos de colaboradores e usuários devem ser respeitados ao disponibilizar um sistema de informação e ao estabelecer um sistema de segurança.
• Legalidade – O programa de segurança da informação deverá considerar e respeitar os objetivos da organização, bem como as leis, normas e políticas organizacionais, administrativas, comerciais, técnicas e operacionais;
• Proporcionalidade – As demandas de segurança da informação devem considerar os riscos, as probabilidades e a sua severidade a fim manter um equilíbrio econômico dos investimentos para estes sejam proporcionais às necessidades e ao nível de confiança adequado à sensibilidade da informação.
• Integração – Os processos de segurança da informação devem ser distribuídos e integrados entre si e com os demais processos e práticas da.
• Celeridade – As ações de resposta a incidentes e/ ou de correções de falhas de segurança devem ser adotadas com a maior brevidade possível.
• Revisão – Os componentes do programa de segurança da informação devem ser reavaliados periodicamente, uma vez que os sistemas de informação e os requisitos de segurança evoluem com o tempo.
• Liberdade – O legítimo uso e o fluxo de informações devem ser observados a fim de garantir a compatibilidade com as normas de privacidade e com o processo de realização de auditorias.

 

5.2.1.7. PROPRIEDADES DA SEGURANÇA DA INFORMAÇÃO

• Confidencialidade – A garantia de que o dito, escrito ou falado será acessado somente por pessoas autorizadas.
• Integridade – A garantia de que a informação não foi adulterada, corrompida, falsificada ou roubada.
• Disponibilidade – A garantia de que a informação estará disponível para acesso dos usuários autorizados sempre que necessário.
• Legalidade – As políticas e normas de uso da informação devem estar sempre em acordo com as leis aplicáveis.
• Auditabilidade – O acesso e o uso da informação devem possuir registros e contar com eventos rastreáveis e auditáveis, permitindo a identificação de quem realizou o acesso e qual o uso dado à informação.
• Não repúdio – O usuário que criou ou alterou a informação não pode negar o fato, considerando que existem mecanismos auditáveis que evidenciam esse acesso e garantem a rastreabilidade de sua autoria.

 

5.2.1.8. VULNERABILIDADES

São as fragilidades de um ativo ou grupo de ativos, que permitam a exploração por uma ou mais ameaças, e que devem ser identificadas e brevemente corrigidas. Para fim de classificação, os tipos de vulnerabilidades são:

1. Físicas;
2. Naturais;
3. Hardware e Software;
4. Comunicações;

 

5.2.1.9. AMEAÇAS

As ameaças podem ser resumidas como sendo todo e qualquer agente de um incidente indesejado, e que possa resultar em dano para a organização. O programa de segurança da informação deve fornecer mecanismos que impeçam as ameaças de explorarem as vulnerabilidades. Para fim de classificação, as ameaças possuem os seguintes tipos:

1. Naturais;
2. Intencionais;
3. Involuntárias.

 

5.3.         APLICABILIDADE

Os objetivos dos controles estabelecidos pelo programa de segurança da informação deverão ser seguidos por todos os colaboradores da companhia, independentemente de sua relação contratual e nível hierárquico, e são aplicáveis a toda informação da empresa, seus clientes, fornecedores e usuários, em qualquer fase de seu ciclo de vida e meio ou suporte que os mesmos se encontrem, tais como, mas não se limitando a: mídias físicas, mídias eletrônicas, transmissão de dados ou mesmo pela transmissão verbal.

 

5.4.         CLASSIFICAÇÃO DA INFORMAÇÃO

A informação é um ativo que compõe o patrimônio da organização, e possui valor diferente dependendo do seu conteúdo. Os controles de proteção desses ativos podem aumentar de acordo com seu valor. As classificações das informações também podem definir quais controles de proteção precisam ser implementados.

Esta política prevê quatro níveis de classificação da informação em ordem crescente de importância e sigilo:

 

1. PÚBLICA: São todas as informações de conhecimento público que estejam disponibilizadas para clientes, colaboradores e público em geral através da internet, ou veiculadas em documentos publicados em jornais, revistas, folders, redes sociais, panfletos, avisos, palestras autorizadas, editais de contratação de produtos e políticas para o público em geral.

 

2. INTERNA: São informações que estão disponíveis aos colaboradores por meio das soluções aprovadas, com armazenamento interno, em repositórios próprios ou de terceiros autorizados. Qualquer informação classificada como “INTERNA” não poderá ser encaminhada, divulgada ou publicada em quaisquer meios para terceiros não autorizados, devendo a sua disponibilização ser restrita ao ambiente de trabalho da organização e seu uso limitado aos colaboradores, parceiros ou terceiros. No caso de disponibilização da informação para terceiros, esta deverá ser realizada mediante assinatura de termo de “não divulgação” (NDA), ou outra forma de atestar as obrigações e responsabilidades do terceiro.

 

3. RESTRITA: Os documentos classificados como “INFORMAÇÃO RESTRITA” somente poderão ser acessados pela área, departamento, setor ou função dentro da companhia que classificou a informação. Normalmente são informações de uma determinada área, e que não devem ser acessadas por outros setores da empresa, por exemplo, documentos do setor de RH ou departamento financeiro.

 

4. CONFIDENCIAL: Todas as informações classificadas como confidenciais deverão ser mantidas em arquivos físicos ou eletrônicos com níveis de segurança compatíveis com a relevância da Informação, tais como cofres, armários com chaves, diretórios criptografados ou envio dos arquivos somente após a inclusão de mecanismos de segurança (criptografia). A transmissão de arquivos confidenciais só deverá ser feita utilizando meios de transmissão seguras, para as partes previamente autorizadas, com contrato de sigilo claro e dentro da validade, sejam as partes: funcionários, colaboradores, associados, fornecedores ou qualquer tipo de parceiro de negócios que precisam: criar, armazenar ou processar qualquer tipo de informação CONFIDENCIAL.

 

5.5.         ATRIBUIÇÃO INICIAL DA CLASSIFICAÇÃO DA INFORMAÇÃO

Caberá ao autor da informação definir os acessos, níveis de permissão e formas de proteção quando se tratar de uma informação RESTRITA ou CONFIDENCIAL.

Será considerado como autor da informação o colaborador que primeiro produzir ou manipular a informação dentro do ambiente da companhia.

Todo colaborador será́ responsável pela sua classificação e armazenamento, seguindo as recomendações contidas nessa política, e caberá à área de segurança da informação prover o suporte técnico aos autores das informações geradas, realizando os devidos treinamentos sobre proteção e armazenamento seguro de dados.

A área de tecnologia da informação é a provedora dos recursos e meios de armazenamentos seguro dessas informações, assim como as ferramentas de controle de acesso, proteção e criptografia.

 

5.6.         RESPONSABILIDADES

5.6.1.     DIRETORIA

• Apoiar as diretrizes das políticas garantindo sua operacionalização por meio de recursos, aplicação de sanções e criação de regras de negócio;
• Aprovar a política de segurança da informação e suas atualizações;
• Adotar postura exemplar em relação a segurança da informação, atuando como modelo de conduta;
• Assegurar o treinamento e conscientização dos usuários, que integram suas respectivas áreas de negócio; e
• Monitorar constantemente o cumprimento das políticas pelos colaboradores e prestadores de serviço que integram suas respectivas áreas de negócio.

 

5.6.2.     USUÁRIOS DE INFORMAÇÕES E TECNOLOGIAS

• Seguir as diretrizes apresentadas e aprovadas pela Diretoria;
• Participar dos treinamentos e das campanhas de conscientização de segurança da informação;
• Responder única e exclusivamente por todas as ações executadas com sua identificação de acesso e proteger os ativos e as informações que estejam sob sua custódia;
• Levar, imediatamente, ao conhecimento dos responsáveis, os casos de violação de segurança, de mau uso das informações ou de descumprimento das diretrizes ou dos princípios vigentes, bem como relatar incidentes de segurança da informação;
• Proteger as informações e dados contra acesso, divulgação, modificação ou destruição indevida;
• Adotar postura exemplar em relação a segurança da informação, atuando como modelo de conduta; e
• Comunicar seu gestor em caso de ciência sobre eventual violação das políticas que compõe o programa de segurança da informação.

 

5.6.3.     COMITÊ GESTOR

• Desenvolver, manter e auditar as diretrizes as normas e políticas que compõe o acervo do programa de segurança da informação;
• Aprovar normas pontuais e específicas para a operacionalização das políticas nas áreas de negócio da organização;
• Disseminar a cultura de segurança da informação por meio de treinamentos, de campanhas de conscientização, de eventos e de conteúdos em outros meios de divulgação;
• Apoiar as áreas de negócio nos processos relacionados às diretrizes e aos princípios registrados nas políticas;
• Adotar postura exemplar em relação a segurança da informação, atuando como modelo de conduta;
• Dar encaminhamento a incidentes relativos a não conformidade de segurança da informação.

 

5.6.4.     DO USO DESAUTORIZADO

Esta política determina como conduta inaceitável, tanto no uso quanto no comportamento dos usuários:

 

• Usar o computador para executar quaisquer tipos ou formas de fraudes, ou softwares não licenciados;
• Usar a Internet para enviar material ofensivo ou de assédio para outros usuários;
• Realizar o download de software comercial ou qualquer outro material cujo direito pertença a terceiros, sem ter um contrato de licenciamento ou outros tipos de licença;
• Atacar e / ou pesquisar em áreas não autorizadas, caracterizando conduta conhecida como “hacking”;
• Criar ou transmitir material difamatório;
• Infectar a rede corporativa com qualquer praga virtual;
• Copiar, transferir, examinar, alterar, ou apagar qualquer informação ou programas que pertençam a outro usuário sem permissão expressa;
• Copiar, transferir, examinar, alterar, ou apagar qualquer informação ou programas que pertençam à organização sem permissão expressa;
• Armazenar, transmitir, ou receber qualquer material de conteúdo obsceno, difamador, de natureza repetitiva, ou ilegal;
• Postar qualquer material ou conteúdo que contenha dados relativos à organização sem a devida autorização;
• Não é permitido ao usuário utilizar o acesso à internet para se representar como alguém que é imaginário, ou anônimo;
• Realizar tentativas de descoberta de conta ou senha de outros usuários;
• Abrir arquivos vindos de dispositivos móveis ou recebidos através da internet em dispositivos que não possuam uma solução de antivírus;
• Instalar software em qualquer computador sem a supervisão e consentimento do departamento de tecnologia da informação;
• Acessar páginas relacionadas a pornografia, habilidades criminais, jogos on-line, entretenimento on-line;
• Transportar software sem aprovação da compra das licenças exigidas;
• Causar excesso de tráfego na rede através de acessos que não estejam alinhados com os objetivos da organização;
• É proibida a divulgação de informações confidenciais da instituição em grupos de discussão, listas ou bate-papo, não importando se a divulgação foi deliberada ou inadvertida, sendo possível sofrer as penalidades previstas nas políticas e procedimentos internos e / ou na forma da lei;
• Fica proibido o uso de soluções para guarda de arquivos em nuvem não autorizadas previamente pela instituição;
• Colaboradores com acesso à internet não podem efetuar upload de quaisquer dados e/ou softwares de propriedade e licenciados pela organização, sem expressa autorização;
• Caso a organização julgue necessário haverá bloqueio de acesso a arquivos, domínios e serviços de internet que comprometam: o uso de banda, a segurança ou a disponibilidade dos serviços;
• Haverá geração de relatórios para análise de segurança dos sites acessados pelos usuários;

 

5.6.5.     PUBLICAÇÃO DE INFORMAÇÕES PÚBLICAS

Somente os Diretores organização, com assessoria devida das áreas de Comunicação e Marketing, deverão classificar informações para divulgar externamente ou as definir como Informação Pública.

 

5.6.6.     DESCARTE DE INFORMAÇÃO CLASSIFICADA

As informações classificadas como RESTRITA ou CONFIDENCIAL devem sofrer tratamento especial no seu descarte.

O descarte de informações, armazenadas em meio físico ou eletrônico, deverá ser realizado segundo o procedimento de descarte aplicável para garantir que a informação descartada não possa ser recuperada de qualquer forma.

 

5.6.7.     EXTRAVIO DE INFORMAÇÃO

Quaisquer eventos de perda, extravio, vazamento ou roubo de informações, devem ser reportados imediatamente à organização.

 

5.6.8.     VIOLAÇÃO DAS POLÍTICAS

A violação desta política acarretará a aplicação de sanções administrativas e / ou legais, sem prejuízo da rescisão do contrato de trabalho e / ou qualquer outro contrato de relacionamento de prestação de serviço entre o colaborador, associado, consultor e / ou sócio, assim como qualquer entidade com relação contratual direta ou indireta com a organização.

 

5.6.9.     EDUCAÇÃO E CONSCIENTIZAÇÃO

A organização compreende que para que a cultura de privacidade e segurança da informação seja perpetuada na instituição, é necessário um contínuo processo educacional. A participação nos treinamentos e campanhas de conscientização serão obrigatórias.

 

5.7.         MONITORAMENTO

A organização se reserva ao direito de monitorar todas as atividades realizadas pelos seus colaboradores em seus sistemas de informação para garantir o cumprimento desta e outras políticas da empresa.

 

6.     NORMAS E PROCEDIMENTOS DE SEGURANÇA

6.1.         USO DE SOLUÇÕES CORPORATIVAS

A organização poderá fornecer aos colaboradores, parceiros e prestadores de serviço contas de correio eletrônico, acesso à internet e outras ferramentas de comunicação e produtividade para a dinamização do trabalho, ou ainda utensílios como gavetas e quaisquer dispositivos físicos ou lógicos para a execução do trabalho.

O uso destas ferramentas estará sujeito às políticas de segurança da informação, de acordo com o nível de acesso outorgado ao usuário e deliberações de segurança da informação.

Como política de nível de acesso à informação, utilizamos a premissa de “menor privilégio possível”. O colaborador somente terá acesso aos aplicativos e informações que forem estritamente necessários para a realização do seu trabalho. É expressamente proibido o uso de qualquer recurso corporativo, computadores, redes, acessos bem como quaisquer meios de comunicação corporativos para a prática de qualquer ato ilícito sob pena de responsabilização civil e / ou criminal.

 

6.2.         POLÍTICA DE AQUISIÇÃO DE SOFTWARE

As aquisições de software devem ser analisadas e autorizadas previamente pelo departamento de tecnologia da informação, e devem estar alinhadas às camadas de proteção instituídas na organização. A instalação e configuração dos softwares deve ser realizada prioritariamente pelo departamento de tecnologia, que deverá avaliar os riscos inerentes a cada solução.

 

6.3.         POLÍTICA DE AQUISIÇÃO DE HARDWARE

As aquisições de hardware devem ser analisadas previamente pelo departamento de tecnologia da informação, bem como a instalação e configuração dos equipamentos.

A liberação dos dispositivos só poderá ser realizada após o inventário do conjunto de ativos e a instalação das soluções de segurança e proteção de dados.

 

6.4.         POLÍTICA DE IDENTIFICAÇÃO DE HARDWARE

Todos os dispositivos deverão possuir as seguintes identificações:

• Física: Plaqueta do Patrimônio e Número de Série
• Lógica: Nomenclatura para identificação no inventário de ativos, com as informações de série do equipamento.

 

6.5.         POLÍTICA DE MOVIMENTAÇÃO DE USUÁRIOS

O departamento de RH deverá informar à tecnologia da informação sobre toda e qualquer movimentação de temporários e / ou estagiários, bem como a admissão e demissão de colaboradores, ou ainda a contração de prestadores de serviços, para que possam ter seus privilégios de acessos aos sistemas, informações e recursos devidamente liberados, revistos, modificados ou revogados, bem como a transferência de colaboradores entre setores e mudança de função, para adequação dos acessos ao novo perfil.

O setor solicitante da contratação deve realizar a comunicação sobre as rotinas que o novo contratado terá direito a acesso.

Nos casos de demissão ou término / cancelamento de serviços temporários, estagiários ou prestadores de serviço, o setor de RH deverá comunicar o fato o mais brevemente possível para que os usuários tenham seus acessos inativados e / ou suas senhas redefinidas.

As solicitações devem conter as responsabilidades e papéis pela segurança da informação pertinentes a cada cargo, tais como:

• As características de responsabilidade;
• As necessidades de acesso a informações RESTRITAS ou CONFIDENCIAIS;
• O nível de segurança do setor onde a função é exercida.

 

Após o término dos contratos, os usuários devem devolver todos os ativos que estejam em sua posse, bem como documentar e transferir para a organização qualquer procedimento ou detalhe técnico essencial para a continuidade dos serviços.

A entrevista de desligamento deverá orientar o colaborador sobre sua responsabilidade na manutenção do sigilo de dados e / ou sistemas críticos aos quais teve acesso durante sua permanência na organização.

Os usuários não poderão ter acesso aos ativos de informação após seu desligamento.

 

6.6.         POLÍTICA DE AVALIAÇÃO DE DESEMPENHO

O processo de avaliação de desempenho deve ser realizado com o objetivo de documentar a observação do comportamento pessoal e funcional dos usuários. Os comportamentos incompatíveis que possam gerar comprometimento à segurança da informação deverão ser averiguados e comunicados ao responsável pelo departamento.

 

6.7.         POLÍTICA DE CONTRATAÇÃO DE FORNECEDORES

O contrato de prestação de serviços deve especificar claramente a responsabilidade e os deveres de ambas as partes para a segurança da informação, bem como fazer constar um Termo de Responsabilidade para Fornecedores, que será tratado em política específica.

 

6.8.         POLÍTICA DE CONTROLE DE ACESSO

Política que visa assegurar os acessos aos usuários autorizados e prevenir acessos não autorizados a sistemas de informação. Será tratado em política específica.

 

6.9.         POLÍTICA DE SENHA DE ACESSO

Controla as diretrizes para implementação da política de concessão de senhas de acesso, regulando seus requisitos mínimos. Será tratado em política específica.

 

6.10.      POLÍTICA PARA DISPOSITIVOS MÓVEIS E TRABALHO REMOTO

Visa garantir a segurança da informação no uso da computação móvel e recursos de trabalho remoto. Será tratado em política específica.

 

6.11.      POLÍTICA PARA PUBLICAÇÃO DE APLICAÇÕES

No caso da publicação de aplicações e serviços administrados pela organização, os seguintes critérios devem ser observados:

• É mandatório que a rede seja segmentada;
• Deve-se criar uma DMZ (DeMilitarized Zone, ou zona desmilitarizada) para esta finalidade:
  • Deve haver a criação de uma rede específica para publicação de serviços e aplicações, e esta não poderá participar do mesmo segmento da rede interna;
  • O tráfego para a DMZ deve ser rigorosamente controlado;
  • A utilização de dispositivos e serviços de proteção, como firewall ou WAF (web application firewall) é mandatória;
  • As conexões para a rede interna, a partir de dispositivos que integram a DMZ, devem ter seus pacotes inspecionados, e devem contar com o mesmo nível de proteção que os acessos considerados externos.

 

6.12.      POLÍTICA DE CRIPTOGRAFIA

Esta política determina parâmetros de uso de soluções criptográficas com o objetivo de proteger a confidencialidade, a autenticidade ou a integridade das informações. Será tratado em política específica.

 

6.13.      GERENCIAMENTO DE INCIDENTES

A tecnologia da informação – juntamente com o comitê de segurança da informação – será responsável pelo monitoramento dos incidentes de segurança da informação.

Deve-se assegurar que as fragilidades e eventos de segurança dos ativos de informação sejam comunicados aos responsáveis e documentados, permitindo a tomada de ação corretiva no menor tempo hábil.

Os colaboradores, fornecedores e terceiros devem ser orientados a registrar e notificar qualquer observação ou suspeita de ameaças à segurança da informação.

 

7.     CONSIDERAÇÕES GERAIS

As políticas, normas e procedimentos que compõe o programa de segurança da informação devem ser interpretados de forma que todas as suas determinações sejam imperativas e obrigatórias.

Este documento deve ser revisado semestralmente.