Propósito

Informações que são coletadas, analisadas, armazenadas, comunicadas e reportadas podem estar sujeitas a roubo, mau uso, perda e corrupção.

Informações podem ser colocadas em risco por educação e treinamento deficientes, e pela quebra dos controles de segurança.

Os incidentes de segurança da informação podem dar origem a constrangimento, perda financeira, não conformidade com normas e legislação, bem como possíveis julgamentos contra a Universidade.

Esta Política de Segurança da Informação de alto nível se enquadra ao lado da Política de Gerenciamento de Riscos da Informação e da Política de Proteção de Dados para fornecer o esboço de alto nível e a justificativa para os controles de segurança da informação baseados em risco da Universidade.

• Política de Gerenciamento de Riscos da Informação
• Política de Proteção de Dados

Objetivos

Os objetivos de segurança da Universidade são esses:

• Os nossos riscos de informação são identificados, geridos e tratados de acordo com uma tolerância de risco acordada
• Os nossos utilizadores autorizados podem aceder e partilhar informações de forma segura para desempenharem as suas funções
• Os nossos controlos físicos, processuais e técnicos equilibram a experiência do utilizador e a segurança
• As nossas obrigações contratuais e legais relativas à segurança da informação são cumpridas
• O nosso ensino, a investigação e actividade administrativa considera a segurança da informação
• Os indivíduos que acedem à nossa informação estão conscientes das suas responsabilidades em matéria de segurança da informação
• Os incidentes que afectam os nossos activos de informação são resolvidos, e aprendemos com eles para melhorar os nossos controlos.

Escopo

A Política de Segurança da Informação e seus controles, processos e procedimentos de suporte se aplicam a toda informação utilizada na Universidade, em todos os formatos. Isto inclui informação processada por outras organizações em suas relações com a Universidade.

A Política de Segurança da Informação e seus controles, processos e procedimentos de suporte se aplicam a todos os indivíduos que têm acesso à informação e tecnologias da Universidade, incluindo partes externas que fornecem serviços de processamento de informação para a Universidade.

Um escopo detalhado, incluindo uma discriminação de usuários, ativos de informação e sistemas de processamento de informação, está incluído no documento Framework do Information Security Management System (ISMS).

Conformidade

A conformidade com os controles desta política será monitorada pela equipe de Segurança da Informação e reportada ao Information Governance Board.

Revisão

Uma revisão desta política será realizada pela equipe de Segurança da Informação anualmente ou com maior freqüência conforme necessário, e será aprovada pelo Conselho de Governança da Informação e pelo Grupo Executivo Universitário.

Declaração da política

É política da Universidade assegurar que a informação seja protegida de uma perda de:

• Confidencialidade – a informação será acessível apenas a indivíduos autorizados
• Integridade – a exatidão e integridade da informação será mantida
• Disponibilidade – a informação será acessível a usuários e processos autorizados quando necessário

A Universidade implementará um Sistema de Gestão de Segurança da Informação baseado na Norma Internacional ISO 27001 para Segurança da Informação. A Universidade também fará referência a outras normas conforme necessário, tendo em conta as abordagens adoptadas pelas suas partes interessadas, incluindo parceiros de investigação.

1. Políticas de Segurança da Informação

Será definido um conjunto de controles, processos e procedimentos de nível inferior para a segurança da informação, em apoio à Política de Segurança da Informação de alto nível e seus objetivos declarados. Este conjunto de documentação de suporte será aprovado pelo Conselho de Segurança da Informação, publicado e comunicado aos usuários da Universidade e partes externas relevantes.

2. Organização da Segurança da Informação

A Universidade definirá e implementará acordos de governança adequados para a gestão da segurança da informação. Isto incluirá a identificação e alocação de responsabilidades de segurança, para iniciar e controlar a implementação e operação da segurança da informação dentro da Universidade.

A Universidade irá nomear pelo menos:

• Um Executivo para presidir o Conselho de Governança da Informação e assumir a responsabilidade pelo risco da informação
• Um Conselho de Governança da Informação para influenciar, supervisionar e promover a gestão efetiva da informação da Universidade
• Um especialista em Segurança da Informação para gerenciar a função diária de segurança da informação
• Proprietários de Ativos de Informação (IAOs) para assumir a responsabilidade local pela gestão da informação; e Gestores de Ativos de Informação (IAMs) responsáveis pela gestão diária da informação

3. Segurança de Recursos Humanos

As políticas de segurança da Universidade e as expectativas de uso aceitável serão comunicadas a todos os usuários para garantir que eles entendam suas responsabilidades. Educação e treinamento em segurança da informação serão disponibilizados a todo o pessoal, e o comportamento pobre e inadequado será abordado.

Quando prático, as responsabilidades de segurança serão incluídas nas descrições de funções, especificações de pessoas e planos de desenvolvimento pessoal.

4. Gestão de activos

Todos os activos (informação, software, equipamento electrónico de processamento de informação, serviços públicos e pessoas) serão documentados e contabilizados. Os proprietários serão identificados para todos os ativos e eles serão responsáveis pela manutenção e proteção de seus ativos.

Todos os ativos de informação serão classificados de acordo com seus requisitos legais, valor do negócio, criticidade e sensibilidade, e a classificação indicará os requisitos de manuseio apropriados. Todos os ativos de informação terão um cronograma de retenção e alienação definido.

5. Controle de acesso

Acesso a toda informação será controlado e será orientado pelos requisitos do negócio. O acesso será concedido ou providenciado aos utilizadores de acordo com o seu papel e a classificação da informação, apenas a um nível que lhes permita desempenhar as suas funções.

Será mantido um procedimento formal de registo e cancelamento de registo de utilizadores para acesso a todos os sistemas e serviços de informação. Isto incluirá métodos de autenticação obrigatórios baseados na sensibilidade da informação a ser acessada, e incluirá a consideração de múltiplos fatores, conforme apropriado.

Controles específicos serão implementados para usuários com privilégios elevados, a fim de reduzir o risco de negligência ou uso indevido deliberado do sistema. A segregação de funções será implementada, onde prático.

6. Criptografia

A Universidade fornecerá orientação e ferramentas para assegurar o uso adequado e eficaz da criptografia para proteger a confidencialidade, autenticidade e integridade das informações e sistemas.

7. Segurança Física e Ambiental

As instalações de processamento de informações estão alojadas em áreas seguras, fisicamente protegidas de acesso não autorizado, danos e interferências por perímetros de segurança definidos. Controles de segurança internos e externos em camadas serão implementados para impedir ou impedir o acesso não autorizado e proteger bens, especialmente aqueles que são críticos ou sensíveis, contra ataques forçados ou sub-reptícios.

8. Segurança das Operações

A Universidade assegurará as operações correctas e seguras dos sistemas de processamento de informação.

A Universidade assegurará as operações correctas e seguras dos sistemas de processamento de informação. Segurança das comunicações

A Universidade manterá controles de segurança de rede para garantir a proteção das informações dentro de suas redes, e fornecerá as ferramentas e orientações para garantir a transferência segura de informações tanto dentro de suas redes quanto com entidades externas, de acordo com os requisitos de classificação e manuseio associados a essas informações.

10. Aquisição, Desenvolvimento e Manutenção de Sistemas

Requisitos de segurança da informação serão definidos durante o desenvolvimento de requisitos de negócio para novos sistemas de informação ou alterações aos sistemas de informação existentes.

Controles para mitigar quaisquer riscos identificados serão implementados quando apropriado.

Desenvolvimento de sistemas estarão sujeitos a controle de alterações e separação de ambientes de teste, desenvolvimento e operacionais.

11. Relacionamentos com fornecedores

Os requisitos de segurança da informação da Universidade serão considerados ao estabelecer relacionamentos com fornecedores, para garantir que os ativos acessíveis aos fornecedores sejam protegidos.

Atividade do fornecedor será monitorada e auditada de acordo com o valor dos ativos e os riscos associados.

12. Gerenciamento de Incidentes de Segurança da Informação

Guia estará disponível sobre o que constitui um incidente de Segurança da Informação e como isto deve ser relatado.

Atuais ou suspeitas de violação da segurança da informação devem ser relatadas e serão investigadas.

Acção correctiva apropriada será tomada e qualquer aprendizagem incorporada aos controlos.

13. Aspectos de Segurança da Informação da Gestão da Continuidade do Negócio

A Universidade terá em vigor disposições para proteger processos críticos de negócios dos efeitos de grandes falhas de sistemas de informação ou desastres e para assegurar sua recuperação oportuna em linha com as necessidades documentadas do negócio.

Esta incluirá rotinas de backup apropriadas e resiliência incorporada.

Planos de continuidade de negócios devem ser mantidos e testados em apoio a esta política.

Análise de impacto nos negócios será realizada das consequências de desastres, falhas de segurança, perda de serviço e falta de disponibilidade de serviço.

14. Conformidade

O projeto, operação, uso e gerenciamento dos sistemas de informação devem cumprir todos os requisitos legais, regulamentares e contratuais de segurança.

Atualmente isto inclui a legislação de proteção de dados, o padrão da indústria de cartões de pagamento (PCI-DSS), a orientação do Governo Prevenir e os compromissos contratuais da Universidade.