Upload
napolijr
View
219
Download
0
Embed Size (px)
DESCRIPTION
politica de seguranca bovespa
Citation preview
Poltica de Segurana da
Informao
ltima reviso: maio de 2014 Uso pblico
BM&FBOVESPA
Pgina 2
Poltica de
Segurana da Informao
ndice
1. OBJETIVO ..................................................................................................................................... 3
2. ABRANGNCIA ............................................................................................................................ 3
3. CONCEITOS .................................................................................................................................. 3
4. ESTRUTURA NORMATIVA .......................................................................................................... 3
5. DIRETRIZES .................................................................................................................................. 4
6. RESPONSABILIDADES ................................................................................................................ 5
7. AES EM CASOS DE NO CONFORMIDADE ....................................................................... 6
8. DEFINIES.................................................................................................................................. 6
9. DOCUMENTOS DE REFERNCIA ............................................................................................... 6
10. INFORMAES DE CONTROLE ............................................................................................... 7
Pgina 3
Poltica de
Segurana da Informao
1. OBJETIVO
Estabelecer os conceitos e diretrizes de segurana da informao, visando proteger as
informaes da organizao, dos clientes e do pblico em geral.
2. ABRANGNCIA
Esta Poltica aplica-se a todos os funcionrios, estagirios, prestadores de servios e das demais
controladas da BM&FBOVESPA (Grupo BM&FBOVESPA, empresas do Grupo ou Grupo).
3. CONCEITOS
A segurana da informao aqui caracterizada pela preservao dos seguintes conceitos:
Confidencialidade: Garante que a informao seja acessvel somente pelas pessoas autorizadas, pelo perodo necessrio;
Disponibilidade: Garante que a informao esteja disponvel para as pessoas autorizadas sempre que se fizer necessria;
Integridade: Garante que a informao esteja completa e ntegra e que no tenha sido modificada ou destruda de maneira no autorizada ou acidental durante o seu ciclo de
vida.
4. ESTRUTURA NORMATIVA
A estrutura normativa da Segurana da Informao da BM&FBOVESPA composta por um
conjunto de documentos, relacionados a seguir.
Poltica: define a estrutura, as diretrizes e os papis referentes segurana da informao;
Normas: estabelecem regras, definidas de acordo com as diretrizes da Poltica, a serem seguidas em diversas situaes em que a informao tratada;
Procedimentos: instrumentam as regras dispostas nas Normas, permitindo a direta aplicao nas atividades da BM&FBOVESPA.
Pgina 4
Poltica de
Segurana da Informao
5. DIRETRIZES
A seguir, so apresentadas as diretrizes da Poltica de Segurana da Informao da
BM&FBOVESPA. Tais diretrizes devem nortear a elaborao das Normas e dos Procedimentos.
I. ASPECTOS GERAIS
As informaes (em formato fsico ou lgico) e os ambientes tecnolgicos utilizados pelos usurios so de exclusiva propriedade da BM&FBOVESPA, no podendo ser
interpretados como de uso pessoal;
Todos os funcionrios, estagirios e prestadores de servios devem ter cincia de que o uso das informaes e dos sistemas de informao pode ser monitorado, e que os
registros assim obtidos podero ser utilizados para deteco de violaes da Poltica e
das Normas de Segurana da Informao, podendo estas servir de evidncia para a
aplicao de medidas disciplinares, processos administrativos e/ou legais;
Todo processo, sempre que possvel, durante seu ciclo de vida, deve garantir a segregao de funes, por meio da participao de mais de uma pessoa ou equipe.
II. TRATAMENTO DA INFORMAO
Para assegurar a proteo adequada s informaes, deve existir um mtodo de classificao da informao de acordo com o grau de confidencialidade e criticidade para
o negcio da BM&FBOVESPA;
As informaes devem ser atribudas a um proprietrio, formalmente designado como responsvel pela autorizao de acesso s informaes sob a sua responsabilidade;
Todas as informaes devem estar adequadamente protegidas em observncia s diretrizes de segurana da informao da BM&FBOVESPA em todo o seu ciclo de vida,
que compreende: gerao, manuseio, armazenamento, transporte e descarte;
A informao deve ser utilizada de forma transparente e apenas para a finalidade para a qual foi coletada.
III. GESTO DE ACESSOS E IDENTIDADES
O acesso s informaes e aos ambientes tecnolgicos da BM&FBOVESPA deve ser controlado de acordo com sua classificao, de forma a garantir acesso apenas s
pessoas autorizadas, mediante aprovao formal;
Os acessos aos funcionrios, estagirios e prestadores de servios devem ser solicitados e aprovados somente s informaes necessrias ao desempenho de suas atividades.
IV. GESTO DE INCIDENTES DE SEGURANA DA INFORMAO
Em casos de violao desta Poltica e Normas de Segurana da Informao, o Comit Gestor de Segurana da Informao (CGSI) realizar deliberaes somente nos
incidentes classificados com alta criticidade. Os demais casos sero tratados pelo fluxo
normal de resposta a incidentes. Aps deliberaes, o CGSI recomendar ao Diretor
Executivo uma ao disciplinar a ser tomada.
Pgina 5
Poltica de
Segurana da Informao
V. PARTES EXTERNAS
Os contratos entre a BM&FBOVESPA e empresas prestadoras de servios com acesso s informaes, aos sistemas e/ou ao ambiente tecnolgico da BM&FBOVESPA devem
conter clusulas que garantam a confidencialidade entre as partes e que assegurem
minimamente que os profissionais sob sua responsabilidade cumpram a Poltica e as
Normas de Segurana da Informao.
6. RESPONSABILIDADES
De forma geral, cabe a todos os funcionrios, estagirios e prestadores de servios:
Cumprir fielmente a Poltica, as Normas e os Procedimentos de Segurana da Informao da BM&FBOVESPA;
Proteger as informaes contra acessos, modificao, destruio ou divulgao no autorizados pela BM&FBOVESPA;
Assegurar que os recursos tecnolgicos, as informaes e sistemas a sua disposio sejam utilizados apenas para as finalidades aprovadas pela BM&FBOVESPA;
Cumprir as leis e as normas que regulamentam a propriedade intelectual; No discutir assuntos confidenciais de trabalho em ambientes pblicos ou em reas
expostas (avies, transporte, restaurantes, encontros sociais etc.) incluindo a emisso de
comentrios e opinies em blogs e redes sociais;
No compartilhar informaes confidenciais de qualquer tipo; Comunicar imediatamente rea de Gesto de Segurana da Informao qualquer
descumprimento ou violao desta Poltica e/ou de suas Normas e Procedimentos.
I. REA DE GESTO DE SEGURANA DA INFORMAO
Cabe rea de Gesto de Segurana da Informao:
Prover todas as informaes de gesto de Segurana da Informao solicitadas pelo CGSI ou pela Diretoria Executiva;
Prover ampla divulgao da Poltica e das Normas de Segurana da Informao para todos os funcionrios, estagirios e prestadores de servios;
Promover aes de conscientizao sobre Segurana da Informao para os funcionrios, estagirios e prestadores de servios;
Propor projetos e iniciativas relacionados ao aperfeioamento da segurana da informao da BM&FBOVESPA;
Estabelecer procedimentos relacionados instrumentao da segurana da informao da BM&FBOVESPA.
Pgina 6
Poltica de
Segurana da Informao
7. AES EM CASOS DE NO CONFORMIDADE
As regras que estabelecem o controle e o tratamento de situaes de no conformidade relativas
Poltica e s Normas de Segurana da Informao da BM&FBOVESPA devem ser tratadas
conforme a Poltica de Gesto de Riscos Corporativos vigente.
Na ocorrncia de violao desta Poltica ou das Normas de Segurana da Informao, a Diretoria
Executiva poder adotar, com o apoio das Diretorias Jurdica e de Recursos Humanos, sanes
administrativas e/ou legais, que podero culminar com o desligamento e eventuais processos
criminais, se aplicveis.
8. DEFINIES
Ativos de Informao: conjunto de informaes, armazenado de modo que possa ser
identificado e reconhecido como valioso para a empresa.
Informao: resultado do processamento e organizao de dados (eletrnicos ou fsicos)
ou registros de um sistema. composta por dados, mas um conjunto de dados no
necessariamente considerado uma informao.
Sistemas de informao: de maneira geral, so sistemas computacionais utilizados pela
empresa para suportar suas operaes.
Segregao de funes: consiste na separao entre as funes de autorizao,
aprovao de operaes, execuo, controle e contabilizao, de tal maneira que nenhum
funcionrio, estagirio ou prestador de servio detenha poderes e atribuies em
desacordo com este princpio.
Comit Gestor de Segurana da Informao: grupo multidisciplinar composto por
membros das diretorias executivas da BM&FBOVESPA com o objetivo de avaliar a
estratgia e diretrizes de segurana da informao seguidas pela empresa.
9. DOCUMENTOS DE REFERNCIA
Cdigo de Conduta da BM&FBOVESPA.
Poltica de Gesto de Riscos Corporativos.
Srie ISO 27000.
Pgina 7
Poltica de
Segurana da Informao
10. INFORMAES DE CONTROLE
Vigncia: 01 ano
Verso: 4
Responsveis pelo documento:
Responsvel Nome rea
Elaborao Cristiano Adjuto e Campos e
Simone Sunaga
Gerncia de Segurana da
Informao
Reviso Ricardo Redenschi e
Eduardo Lopes Farias
Diretoria de Projetos e Governana
de TI;
Diretoria de Controles Internos,
Compliance e Risco Corporativo
Aprovao No aplicvel Reunio da Diretoria Executiva
(RDE);
Comit Gestor de Segurana da
Informao
Registro de alteraes:
Verso Data Modificao
1 16/02/2009 Verso inicial
1.1 10/08/2009 Primeira reviso da Poltica
1.2 27/12/2010 Incluso da abrangncia da Poltica, atualizao das nomenclaturas
das reas e reviso na aplicao da Poltica.
2 08/03/2011 Ampliao das diretrizes, substituio de glossrio por definies,
remoo de regras da Poltica.
3 15/05/2013 Reviso geral, foco nas diretrizes corporativas para a Segurana da
Informao.
4 06/05/2014 Incluso dos conceitos e gesto de incidentes, simplificao das
diretrizes e responsabilidades.