M L

Política de Segurança da Informação

1. Âmbito

A segurança da informação é uma prioridade e uma responsabilidade exercida de forma quotidiana e transversal em toda a Morais Leitão (ML ou Sociedade).

A presente política de Segurança de Informação:

i)      estabelece os objetivos gerais aplicáveis no âmbito do Sistema de Gestão de Segurança da Informação (SGSI), de acordo com a ISO/IEC 27001, assim como, com toda a legislação e regulamentação aplicáveis em matéria de segurança da informação, para preservar a confidencialidade, a integridade e a disponibilidade da informação;

ii)    formaliza e comunica as definições estratégicas e programáticas aprovadas para a segurança da informação, que são assumidas como um compromisso ético e de responsabilidade profissional da ML.

Esta política aplica-se a toda a informação sob a responsabilidade da Sociedade, independentemente do suporte de registo, abrangendo, designadamente, bases de dados, documentos, arquivos e restantes ferramentas tecnológicas e/ou aplicacionais que envolvam a sua estrutura.

2. Princípios de segurança da informação

A segurança da informação orienta-se pelos seguintes princípios:

  • Confidencialidade: a informação apenas é disponibilizada a quem tem a devida autorização para o efeito;
  • Integridade: assegurar que a informação permanece integra ao longo do seu ciclo de vida;
  • Disponibilidade: a informação está disponível a todos utilizadores devidamente autorizados.

A segurança da informação protege a informação contra uma multiplicidade de ameaças, de forma a assegurar a continuidade do negócio, a minimizar os efeitos negativos na organização, a maximizar a rentabilização dos investimentos e a melhorar a qualidade do serviço prestado.

A segurança da informação é obtida através da implementação de um conjunto de controlos, refletidos em políticas e procedimentos, os quais estão de acordo com a norma internacional ISO/IEC 27001.

Para o cumprimento destes princípios, a ML, em conformidade com a legislação e com as normas em vigor em matéria de segurança da informação, adota as melhores práticas nacionais e internacionais, de modo adequado às especificidades da organização.

3. Objetivos gerais de segurança da informação

O SGSI visa assegurar que:

  • Os riscos de segurança da informação, são avaliados de modo a implementar os controlos necessários que permitem mitigar os riscos até ao nível de aceitação estabelecido;
  • Existe uma cultura de segurança da informação através de ações de formação e sensibilização;
  • Os controlos técnicos e organizacionais necessários se encontram implementados para garantir a confidencialidade, a integridade e a disponibilidade da informação;
  • A segurança da informação é alvo de melhoria contínua, que permita incrementar a aplicabilidade, adequabilidade e a eficácia do SGSI.

4. Responsabilidades na segurança da informação

A Política de SI destina-se a todos os advogados e colaboradores da ML, independentemente do seu vínculo, a fornecedores e prestadores de serviços e seus colaboradores, bem como quaisquer outras partes interessadas que tenham acesso a informação sob a responsabilidade da ML.

Nesta medida, todos estão obrigados a cumprir e a fazer cumprir a presente Política e a proceder à comunicação de qualquer evento que provoque ou que possa provocar uma quebra de segurança da informação.

4.1. Responsabilidade na receção das mensagens por destinatários indevidos

Todas as mensagens e eventuais anexos remetidos pelos advogados e colaboradores da ML são confidenciais e exclusivamente destinados às pessoas a quem são dirigidos. Se por improvável lapso, uma mensagem e eventuais anexos forem rececionadas por um destinatário indevido, o remetente deve ser avisado de imediato e a respetiva mensagem e anexos devem ser devidamente eliminados.

5. Sistema de gestão de segurança da informação

A organização de segurança da informação é implementada e é gerida através de um Sistema de Gestão de Segurança da Informação (SGSI), de modo integrado com os processos da Sociedade e com a sua estrutura de gestão global, o que garante uma abordagem multidisciplinar do tema e permite planear, desenhar, controlar, avaliar e melhorar todos os processos de implementação de segurança da informação de forma transversal, considerando três vertentes de atuação: pessoas, tecnologias e processos.

A ML implementa políticas e procedimentos específicos que respeitam as normas internacionais de referência, passíveis de serem auditados e que definem os requisitos para a implementação do SGSI, designadamente:

  1. A ML promove a definição de regras adequadas à privacidade dos dados e ao cumprimento do Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, e de legislação nacional aplicável;
  2. A ML promove, através do seu SGSI, a proteção da confidencialidade, da integridade, da disponibilidade da informação, assim como da resiliência dos seus sistemas e dos seus serviços de tratamento de informação;
  3. Através dos seus planos de Incidentes e de Continuidade de Negócio, a ML promove a capacidade de minimizar o impacto de incidentes físicos ou técnicos, bem como a recuperação da disponibilidade e o acesso à informação de forma atempada, em caso de desastre ou incidente grave;
  4. A avaliação regular da segurança dos tratamentos de informação e dos respetivos sistemas de suporte é promovida por processos formais de auditoria interna e externa, executada por auditores idóneos e isentos, com competências certificadas;
  5. O processo de análise do risco implementado no âmbito do SGSI inclui os riscos associados ao tratamento de dados pessoais, incluindo a destruição, a perda e a alteração acidentais ou ilícitas e a divulgação ou acesso não autorizados de informação transmitida, conservada ou sujeita a qualquer outro tipo de tratamento.

5.1. Avaliação do risco de segurança da informação

Os requisitos de segurança da informação e os critérios de aceitação do risco são identificados através de uma avaliação dos riscos de segurança da informação. A realização de uma análise do risco ajuda a determinar qual a exposição ao risco e, consequentemente, a efetuar uma priorização dos riscos mais relevantes, permitindo identificar as ações de mitigação adequadas e os controlos apropriados. 

5.2. Controlos de segurança da informação

A seleção dos controlos depende das decisões da ML baseadas em critérios de aceitação do risco, de tratamento do risco e na gestão do risco de um modo geral. Estes critérios resultam da análise do risco efetuada e devem ter em conta a regulamentação e a legislação aplicável.

Os mecanismos de segurança da informação implementados devem ser alvo de revisões periódicas para garantir os níveis de segurança esperados, com particular enfoque na salvaguarda da continuidade do negócio e de processos críticos.

5.3. Melhoria contínua

O SGSI é alvo de revisões periódicas, previamente agendadas ou justificadas por alterações significativas, no sentido de providenciar uma melhoria da aplicabilidade, da adequabilidade e da eficácia.

5.4. Revisão e comunicação da política de segurança da informação

A política de segurança da informação será objeto de revisão anual ou sempre que se verifiquem alterações significativas.

Documento Público
29/11/2023

Patronos da Coleção Nacional de Arte Contemporânea da Fundação Serralves