Politique Générale de Sécurité des Informations Externes

1. Portée et objectif

La Politique de Sécurité de l’Information s’applique à toutes les informations qui sont sous la responsabilité de Coutinho Rebelo Avocats (ci-après dénommé CRA), quel que soit le support d’enregistrement, y compris notamment les bases de données, tout environnement informatique, les documents, fichiers et autres technologies et/ ou des outils d’application.

L’objectif de la Politique de sécurité de l’information est de préserver la confidentialité, l’intégrité et la disponibilité des informations, contribuant ainsi à assurer les objectifs de CRA et à maintenir la confiance des clients ainsi que le respect des obligations légales et réglementaires.

Cette politique formalise et vise à communiquer les définitions stratégiques et programmatiques approuvées pour la sécurité de l’information, qui sont considérées comme un engagement éthique et une responsabilité professionnelle de CRA.

En ce sens, CRA définit des objectifs clairs pour la mise en œuvre de processus, de contrôles et de pratiques en matière de sécurité de l’information et promeut l’adoption et la mise en œuvre d’une politique de sécurité de l’information transversale à l’ensemble de CRA.

Les objectifs de sécurité de l’information correspondent à :

  • Évaluer les risques liés à la sécurité de l’information, afin de mettre en œuvre les contrôles nécessaires permettant d’atténuer les risques jusqu’au niveau d’acceptation établi ;
  • Créer une culture de sécurité de l’information à travers des actions de formation et de sensibilisation ;
  • Définir et mettre en œuvre les contrôles techniques et organisationnels nécessaires pour garantir la confidentialité, l’intégrité et la disponibilité des informations ;
  • Considérer la sécurité de l’information comme un processus d’amélioration continue, qui permet d’atteindre des niveaux de sécurité de plus en plus avancés.

 

2. Responsabilités et organisation de la sécurité

La Politique sur la sécurité de l’information s’adresse à tous les avocats et employés de CRA, quelle que soit leur relation, ainsi qu’aux fournisseurs et prestataires de services et à leurs employés qui ont accès aux informations sous la responsabilité de CRA.

Dans cette mesure, chacun est tenu de respecter et de faire respecter cette Politique et de communiquer tout événement qui provoque ou pourrait provoquer une violation de la sécurité des informations.

 

3. Politique de sécurité des informations

La politique de sécurité de l’information est guidée par les principes suivants :

  • Confidentialité : les informations ne sont mises à la disposition que des personnes disposant de l’autorisation appropriée à cet effet ;
  • Intégrité : la sauvegarde et la préservation des informations, et l’adéquation des méthodes de traitement respectives ;
  • Disponibilité : les informations sont disponibles pour tous les utilisateurs dûment autorisés ;
  • Audibilité : les données et informations d’entreprise et/ou commerciales sont enregistrées, compilées, analysées et révélées, afin de permettre aux auditeurs internes ou aux entités de certification externes d’attester de leur intégrité ;
  • Traçabilité : capacité à récupérer l’historique des actions réalisées. Les renseignements constituent un bien ou un actif essentiel pour CRA et doivent être protégés de la manière la plus appropriée. La sécurité de l’information protège les informations contre une multitude de menaces, étant essentielle pour promouvoir la continuité du service (activité), minimiser les effets négatifs sur l’organisation, maximiser la rentabilité des investissements et améliorer continuellement la qualité du service. La sécurité de l’information est obtenue grâce à la mise en œuvre d’un ensemble de contrôles, à savoir : des politiques, des normes et des procédures, qui sont conformes à la norme internationale ISO/IEC 27001. Pour respecter ces principes, CRA, conformément aux lois et normes en vigueur en matière de sécurité de l’information, adopte les meilleures pratiques nationales et internationales, de manière appropriée aux spécificités de l’organisation.

 

4. Organisation de la sécurité de l’information

L’organisation de la sécurité de l’information est mise en œuvre et gérée à travers un système de gestion de la sécurité de l’information (SGSI), de manière intégrée avec les processus du bureau et sa structure de gestion globale, qui garantit une approche multidisciplinaire du sujet et permet de planifier, concevoir, contrôler, évaluer et améliorer tous les processus de mise en œuvre de la sécurité de l’information de manière transversale, en considérant trois aspects de l’action : les personnes, les technologies et les processus.

CRA met en œuvre des politiques et procédures spécifiques qui respectent les normes internationales de référence, susceptibles d’être auditées et qui définissent les exigences de mise en œuvre du SMSI, à savoir :

  1. CRA promeut la définition de règles appropriées en matière de confidentialité des données et de respect du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 et de la législation nationale applicable ;
  2. CRA favorise, par l’intermédiaire de son SGSI, la protection de la confidentialité, de l’intégrité, de la disponibilité des renseignements ainsi que la résilience de ses systèmes et services de traitement de l’information ;
  3. Grâce à ses plans d’incident et de continuité des activités, CRA favorise la capacité de minimiser l’impact des incidents physiques ou techniques, ainsi que de rétablir la disponibilité et l’accès aux données personnelles en temps opportun, en cas de catastrophe ou d’incident grave ;
  4. L’évaluation régulière de la sécurité du traitement de l’information et des systèmes de support respectifs est favorisée par des processus d’audit externe formels, effectués par des auditeurs réputés et impartiaux, dotés de compétences certifiées ;
  5. Le processus d’analyse des risques mis en œuvre dans le cadre du SGSI inclut les risques liés au traitement des données personnelles, y compris la destruction accidentelle ou illicite, la perte et l’altération et la divulgation ou l’accès non autorisés aux données personnelles transmises, stockées ou soumises à toute autre forme de traitement ;
  6. CRA, en tant que responsable du traitement des données personnelles, prend des mesures pour que toute personne physique qui, agissant sous l’autorité du responsable du traitement ou d’un sous-traitant, ait accès aux données personnelles et ne les traite que sur instructions du responsable du traitement, sauf si la législation de l’Union européenne ou d’un État membre l’y oblige.

 

4.1. Évaluation des risques liés à la sécurité de l’information

Les exigences en matière de sécurité des informations et les critères d’acceptation des risques sont identifiés grâce à une évaluation précise des risques en matière de sécurité des informations. La réalisation d’une analyse des risques permet de déterminer l’exposition au risque et, par conséquent, de hiérarchiser les risques les plus pertinents, permettant l’identification des actions d’atténuation et des contrôles appropriés.

 

4.2. Contrôles de sécurité des informations

La sélection des contrôles dépend des décisions de CRA fondées sur l’acceptation des risques, le traitement des risques et, en général, les critères de gestion des risques. Ces critères résultent de l’analyse des risques réalisée et doivent tenir compte des réglementations et législations nationales et internationales applicables.

Les mécanismes de sécurité de l’information mis en œuvre sont soumis à des examens périodiques pour garantir les niveaux de sécurité attendus, avec un accent particulier sur la sauvegarde de la continuité des activités et des processus critiques.

 

4.3. Amélioration continue

Le SGSI fait l’objet de révisions périodiques préalablement programmées ou justifiées par des changements significatifs, afin d’en améliorer l’applicabilité, l’adéquation et l’efficacité.

 

4.4. Revue et communication de la politique générale de sécurité de l’information

La politique de sécurité de l’information sera soumise à un examen annuel ou chaque fois que des changements importants seront apportés, afin de garantir son applicabilité, sa pertinence et son efficacité continues.

 

Document public

31/10/2023