Política Geral de Segurança da Informação Externa
1. Âmbito e objetivo
A Política de Segurança da Informação aplica-se a toda a informação que está sob a responsabilidade da Morais Leitão (ML ou Sociedade), independentemente do suporte de registo, abrangendo, designadamente, bases de dados, qualquer ambiente informático, documentos, arquivos e restantes ferramentas tecnológicas e/ou aplicacionais.
O objetivo da Política de Segurança da Informação é preservar a confidencialidade, a integridade e a disponibilidade da informação, contribuindo para assegurar os objetivos da ML e para manter a confiança dos clientes bem como o cumprimento das obrigações legais e regulamentares.
A presente Política formaliza e pretende comunicar as definições estratégicas e programáticas aprovadas para a segurança da informação, que são assumidas como um compromisso ético e de responsabilidade profissional da ML.
Neste sentido, a ML define objetivos claros para a implementação de processos, controlos e práticas de segurança da informação e promove a adoção e implementação uma Política de Segurança da Informação transversal a toda a Sociedade.
Os objetivos de segurança da informação correspondem a:
- Avaliar os riscos de segurança da informação, de modo a implementar os controlos necessários que permitem mitigar os riscos até ao nível de aceitação estabelecido;
- Criar uma cultura de segurança da informação através de ações de formação e sensibilização;
- Definir e implementar os controlos técnicos e organizacionais necessários para garantir a confidencialidade, a integridade e a disponibilidade da informação;
- Considerar a segurança da informação como um processo de melhoria contínua, que permite alcançar níveis de segurança cada vez mais avançados.
2. Responsabilidades e organização de segurança
A Política de SI destina-se a todos os advogados e colaboradores da ML, independentemente do seu vínculo, bem como a fornecedores e prestadores de serviços e seus colaboradores que tenha acesso a informação sob a responsabilidade da ML.
Nesta medida, todos estão obrigados a cumprir e a fazer cumprir a presente Política e a proceder à comunicação de qualquer evento que provoque ou que possa provocar uma quebra de segurança da informação.
3. Política de segurança da informação
A Política de Segurança da Informação orienta-se pelos seguintes princípios:
- Confidencialidade: a informação apenas é disponibilizada a quem tem a devida autorização para o efeito;
- Integridade: a salvaguarda e preservação da informação, e a adequação dos respetivos métodos de processamento;
- Disponibilidade: a informação está disponível a todos utilizadores devidamente autorizados;
- Auditabilidade: os dados e informações corporativas e/ou de negócio são registados, compilados, analisados e revelados, de modo a permitir que auditores internos ou entidades certificadoras externas possam atestar a sua integridade;
- Rastreabilidade: a capacidade de recuperação do histórico das ações concretizadas.
A informação é um bem ou ativo essencial para a Sociedade pelo que tem de ser protegido da forma mais apropriada. A segurança da informação protege a informação contra uma multiplicidade de ameaças, sendo essencial para promover a continuidade do serviço (negócio), minimizar os efeitos negativos na organização, maximizar a rentabilização dos investimentos e melhorar continuamente a qualidade do serviço.
A segurança da informação é obtida através da implementação de um conjunto de controlos, designadamente: políticas, normas e procedimentos, os quais estão de acordo com a norma internacional ISO/IEC 27001.
Para o cumprimento destes princípios, a ML, em conformidade com a legislação e com as normas em vigor em matéria de segurança da informação, adota as melhores práticas nacionais e internacionais, de modo adequado às especificidades da organização.
4. Organização de segurança da informação
A organização de segurança da informação é implementada e é gerida através de um Sistema de Gestão de Segurança da Informação (SGSI), de modo integrado com os processos da Sociedade e com a sua estrutura de gestão global, o que garante uma abordagem multidisciplinar do tema e permite planear, desenhar, controlar, avaliar e melhorar todos os processos de implementação de segurança da informação de forma transversal, considerando três vertentes de atuação: pessoas, tecnologias e processos.
A ML implementa políticas e procedimentos específicos que respeitam as normas internacionais de referência, passíveis de serem auditados e que definem os requisitos para a implementação do SGSI, designadamente:
- A ML promove a definição de regras adequadas à privacidade dos dados e ao cumprimento do Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, e de legislação nacional aplicável;
- A ML promove, através do seu SGSI, a proteção da confidencialidade, da integridade, da disponibilidade da informação, assim como da resiliência dos seus sistemas e dos seus serviços de tratamento de informação;
- Através dos seus planos de Incidentes e de Continuidade de Negócio, a ML promove a capacidade de minimizar o impacto de incidentes físicos ou técnicos, bem como a recuperação da disponibilidade e o acesso aos dados pessoais de forma atempada, em caso de desastre ou incidente grave;
- A avaliação regular da segurança dos tratamentos de informação e dos respetivos sistemas de suporte é promovida por processos formais de auditoria externa, executada por auditores idóneos e isentos, com competências certificadas;
- O processo de análise de risco implementado no âmbito do SGSI inclui os riscos associados ao tratamento de dados pessoais, incluindo a destruição, a perda e a alteração acidentais ou ilícitas e a divulgação ou acesso não autorizados de dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento;
- A ML, enquanto responsável pelo tratamento de dados pessoais, toma medidas para que qualquer pessoa singular que, agindo sob a autoridade do responsável pelo tratamento ou de um subcontratante, tenha acesso a dados pessoais, e só procede ao seu tratamento mediante instruções do responsável pelo tratamento, exceto se tal lhe for exigido pelo direito da União Europeia ou de um Estado-Membro.
4.1. Avaliação de risco de segurança da informação
Os requisitos de segurança da informação e os critérios de aceitação do risco são identificados através de uma avaliação precisa de riscos de segurança da informação. A realização de uma análise de risco contribui para determinar qual a exposição ao risco e, consequentemente, a efetuar uma priorização dos riscos mais relevantes, permitindo identificar as ações de mitigação adequadas e os controlos apropriados.
4.2. Controlos de segurança da informação
A seleção dos controlos depende de decisões da ML baseadas em critérios de aceitação do risco, de tratamento do risco e em geral de gestão do risco. Estes critérios resultam da análise de risco efetuada e devem ter em conta a regulamentação e a legislação, nacional e internacional, aplicável.
Os mecanismos de segurança da informação implementados são alvo de revisões periódicas para garantir os níveis de segurança esperados, com particular enfoque para a salvaguarda da continuidade do negócio e de processos críticos.
4.3. Melhoria contínua
O SGSI é alvo de revisões periódicas previamente calendarizadas ou justificadas por alterações significativas, no sentido de providenciar uma melhoria da aplicabilidade, adequabilidade e eficácia.
4.4. Revisão e comunicação da política geral de segurança da informação
A Política de Segurança da Informação será objeto de revisão anual ou sempre que se verifiquem alterações significativas, de forma a providenciar a sua contínua aplicabilidade, adequabilidade e eficácia.
Documento Público
14/03/2022