1. Portée et objectif
La Politique de Sécurité de l’Information s’applique à toutes les informations qui sont sous la responsabilité de Coutinho Rebelo Avocats (ci-après dénommé CRA), quel que soit le support d’enregistrement, y compris notamment les bases de données, tout environnement informatique, les documents, fichiers et autres technologies et/ ou des outils d’application.
L’objectif de la Politique de sécurité de l’information est de préserver la confidentialité, l’intégrité et la disponibilité des informations, contribuant ainsi à assurer les objectifs de CRA et à maintenir la confiance des clients ainsi que le respect des obligations légales et réglementaires.
Cette politique formalise et vise à communiquer les définitions stratégiques et programmatiques approuvées pour la sécurité de l’information, qui sont considérées comme un engagement éthique et une responsabilité professionnelle de CRA.
En ce sens, CRA définit des objectifs clairs pour la mise en œuvre de processus, de contrôles et de pratiques en matière de sécurité de l’information et promeut l’adoption et la mise en œuvre d’une politique de sécurité de l’information transversale à l’ensemble de CRA.
Les objectifs de sécurité de l’information correspondent à :
2. Responsabilités et organisation de la sécurité
La Politique sur la sécurité de l’information s’adresse à tous les avocats et employés de CRA, quelle que soit leur relation, ainsi qu’aux fournisseurs et prestataires de services et à leurs employés qui ont accès aux informations sous la responsabilité de CRA.
Dans cette mesure, chacun est tenu de respecter et de faire respecter cette Politique et de communiquer tout événement qui provoque ou pourrait provoquer une violation de la sécurité des informations.
3. Politique de sécurité des informations
La politique de sécurité de l’information est guidée par les principes suivants :
4. Organisation de la sécurité de l’information
L’organisation de la sécurité de l’information est mise en œuvre et gérée à travers un système de gestion de la sécurité de l’information (SGSI), de manière intégrée avec les processus du bureau et sa structure de gestion globale, qui garantit une approche multidisciplinaire du sujet et permet de planifier, concevoir, contrôler, évaluer et améliorer tous les processus de mise en œuvre de la sécurité de l’information de manière transversale, en considérant trois aspects de l’action : les personnes, les technologies et les processus.
CRA met en œuvre des politiques et procédures spécifiques qui respectent les normes internationales de référence, susceptibles d’être auditées et qui définissent les exigences de mise en œuvre du SMSI, à savoir :
4.1. Évaluation des risques liés à la sécurité de l’information
Les exigences en matière de sécurité des informations et les critères d’acceptation des risques sont identifiés grâce à une évaluation précise des risques en matière de sécurité des informations. La réalisation d’une analyse des risques permet de déterminer l’exposition au risque et, par conséquent, de hiérarchiser les risques les plus pertinents, permettant l’identification des actions d’atténuation et des contrôles appropriés.
4.2. Contrôles de sécurité des informations
La sélection des contrôles dépend des décisions de CRA fondées sur l’acceptation des risques, le traitement des risques et, en général, les critères de gestion des risques. Ces critères résultent de l’analyse des risques réalisée et doivent tenir compte des réglementations et législations nationales et internationales applicables.
Les mécanismes de sécurité de l’information mis en œuvre sont soumis à des examens périodiques pour garantir les niveaux de sécurité attendus, avec un accent particulier sur la sauvegarde de la continuité des activités et des processus critiques.
4.3. Amélioration continue
Le SGSI fait l’objet de révisions périodiques préalablement programmées ou justifiées par des changements significatifs, afin d’en améliorer l’applicabilité, l’adéquation et l’efficacité.
4.4. Revue et communication de la politique générale de sécurité de l’information
La politique de sécurité de l’information sera soumise à un examen annuel ou chaque fois que des changements importants seront apportés, afin de garantir son applicabilité, sa pertinence et son efficacité continues.
Document public
31/10/2023