PLANO DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO

Goiânia, 11 de março de 2017.

PLANO DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO

Para empresa de TI, Beta Sistemas, que possui foco em desenvolvimento de sistemas para desktops, que visam a administração de produtos, parceiros, fornecedores e funcionários de supermercados de varejo e atacado.

Em adequação às diretrizes de segurança propostas na norma ISO/IEC 27002 segue abaixo as políticas de segurança a serem adotadas e seguidas pelos integrantes da empresa Beta Sistemas:

1. Políticas da segurança da informação na empresa;

1.1. Os funcionários devem manter o sigilo das informações e documentos que são tratados no dia-a-dia da empresa, conforme termo de confidencialidade por cargo ou função;

1.2. Cada colaborador deve ter acesso seguro (com autenticação) ao departamento em que estiver alocado, bem como terá acesso somente aos diretórios de arquivos digitais pertinentes ao seu departamento e cargo;

1.3. O acesso ao sistema interno deve estar disponível via autenticação, somente dentro do horário de trabalho que o RH especificou em contrato para o funcionário;

1.4. Cabe ao proprietário designado por cargo ou função, garantir a integridade dos documentos digitais e físicos, e impedir que a informação seja modificada, alterada, perdida ou destruída sem autorização, e que ela seja legítima e permaneça consistente;

1.5. Os acessos à internet pelos usuários internos serão todos monitorados e registrados em logs;

1.6. É o proibido o uso de câmeras, filmadoras, aparelhos celulares ou smartphones dentro do espaço físico da empresa;

2. Organização da Segurança da empresa;

2.1. Gerente de Segurança da Informação, este será nomeado pelos sócios diretores da empresa, suas atribuições:

2.1.1. Escolher, nomear e divulgar no âmbito interno, os demais gerentes envolvidos nos processos de Segurança da Informação;

2.1.2.  Realizar reuniões trimestrais de ajustes e execução do plano de Segurança da Informação com os Gerentes envolvidos;

2.1.3. Fazer registrar em ata escrita a participação e as decisões tomadas nas reuniões trimestrais, bem como fiscalizar o cumprimento do plano de Segurança da Informação nas dependências da empresa;

2.2. Gerente de Segurança de Ativos, este será nomeado pelo Gerente de Segurança da Informação da empresa, suas atribuições:

2.2.1. Criar e manter atualizada uma relação geral de ativos da empresa (pessoas com qualificações, ativos de informações, ativos de software, ativos físicos, e serviços diversos);

2.2.2. Participar dos processos de aquisição de ativos físicos e serviços, verificando os orçamentos realizados, os termos de garantia do fornecedor, e se o novo ativo físico ou serviço atenderá a quem o solicitou;

2.2.3. Elaborar e manter atualizado o documento de Risco dos Ativos da empresa;

2.3. Gerente de Segurança de RH, este será nomeado pelo Gerente de Segurança da Informação da empresa, suas atribuições:

2.3.1. Criar e manter atualizado o termo de confidencialidade que deverá ser apresentado aos novos colaboradores no ato de contratação;

2.3.2. Apresentar bimestralmente uma palestra sobre conscientização e educação em segurança da informação para todos os colaboradores;

2.3.3. Realizar a seleção, contratação e desligamento de funcionários ou colaboradores, e quando for necessário, aplicar punição administrativa interna ao funcionário ou colaborador que descumprir as políticas internas de segurança ou o termo de confidencialidade.

2.4. Gerente de Segurança Física e do Ambiente, este será nomeado pelo Gerente de Segurança da Informação da empresa, suas atribuições:

2.4.1. Criar e manter funcionando as regras de segurança que controlaram o entrar e sair de pessoas à empresa.

2.4.2. Criar e manter funcionando as regras de segurança para entrada e saída de equipamentos e materiais físicos na empresa, bem como as restrições de uso de determinados objetos, exemplo: Proibido usar aparelhos celulares em horário de trabalho.

2.4.3. Criar e apresentar trimestralmente para todos os colaboradores as condutas a serem tomadas em casos de incidentes de segurança, exemplo: Em caso de incêndio as salas deverão ser evacuadas seguindo as setas de saídas na cor verde que estão coladas nas paredes e portas da empresa.

3. Gestão de Ativos da Empresa;

3.1. Elaborar e manter atualizado a relação dos proprietários dos ativos da empresa, bem como descrever suas responsabilidades e funcionalidades, prevendo e organizando a política de backup externo de todos os dados da empresa, e a respectiva digitalização de todos os papeis documentos, por cada proprietário responsável que foi previamente designado.

3.2. Acompanhar os processos de contratação de novos colaboradores, ativos da empresa, e assim que possível registrar, descrever e apresentar os termos de responsabilidade ao novo colaborador sobre os objetos e equipamentos de uso interno na empresa, bem como fornecer e cadastrar nome de usuário e senha para os acessos à internet e aos diretórios digitais do departamento alocado;

...