1. Âmbito e objetivo
A Política de Segurança da Informação aplica-se a toda a informação que está sob a responsabilidade da Coutinho Rebelo Advogados (doravante designada por CRA), independentemente do suporte de registo, abrangendo, designadamente, bases de dados, qualquer ambiente informático, documentos, arquivos e restantes ferramentas tecnológicas e/ou aplicacionais.
O objetivo da Política de Segurança da Informação é preservar a confidencialidade, a integridade e a disponibilidade da informação, contribuindo para assegurar os objetivos da CRA e para manter a confiança dos clientes bem como o cumprimento das obrigações legais e regulamentares.
A presente Política formaliza e pretende comunicar as definições estratégicas e programáticas aprovadas para a segurança da informação, que são assumidas como um compromisso ético e de responsabilidade profissional da CRA.
Neste sentido, a CRA define objetivos claros para a implementação de processos, controlos e práticas de segurança da informação e promove a adoção e implementação uma Política de Segurança da Informação transversal a toda a Sociedade.
Os objetivos de segurança da informação correspondem a:
2. Responsabilidades e organização de segurança
A Política de Segurança de Informação destina-se a todos os advogados e colaboradores da CRA, independentemente do seu vínculo, bem como a fornecedores e prestadores de serviços e seus colaboradores que tenham acesso a informação sob a responsabilidade da CRA.
Nesta medida, todos estão obrigados a cumprir e a fazer cumprir a presente Política e a proceder à comunicação de qualquer evento que provoque ou que possa provocar uma quebra de segurança da informação.
3. Política de segurança da informação
A Política de Segurança da Informação orienta-se pelos seguintes princípios:
A informação é um bem ou ativo essencial para a CRA pelo que tem de ser protegido da forma mais apropriada. A segurança da informação protege a informação contra uma multiplicidade de ameaças, sendo essencial para promover a continuidade do serviço (negócio), minimizar os efeitos negativos na organização, maximizar a rentabilização dos investimentos e melhorar continuamente a qualidade do serviço.
A segurança da informação é obtida através da implementação de um conjunto de controlos, designadamente: políticas, normas e procedimentos, os quais estão de acordo com a norma internacional ISO/IEC 27001.
Para o cumprimento destes princípios, a CRA, em conformidade com a legislação e com as normas em vigor em matéria de segurança da informação, adota as melhores práticas nacionais e internacionais, de modo adequado às especificidades da organização.
4. Organização de segurança da informação
A organização de segurança da informação é implementada e é gerida através de um Sistema de Gestão de Segurança da Informação (SGSI), de modo integrado com os processos do escritório e com a sua estrutura de gestão global, o que garante uma abordagem multidisciplinar do tema e permite planear, desenhar, controlar, avaliar e melhorar todos os processos de implementação de segurança da informação de forma transversal, considerando três vertentes de atuação: pessoas, tecnologias e processos.
A CRA implementa políticas e procedimentos específicos que respeitam as normas internacionais de referência, passíveis de serem auditados e que definem os requisitos para a implementação do SGSI, designadamente:
4.1. Avaliação de risco de segurança da informação
Os requisitos de segurança da informação e os critérios de aceitação do risco são identificados através de uma avaliação precisa de riscos de segurança da informação. A realização de uma análise de risco contribui para determinar qual a exposição ao risco e, consequentemente, a efetuar uma priorização dos riscos mais relevantes, permitindo identificar as ações de mitigação adequadas e os controlos apropriados.
4.2. Controlos de segurança da informação
A seleção dos controlos depende de decisões da CRA baseadas em critérios de aceitação do risco, de tratamento do risco e em geral de gestão do risco. Estes critérios resultam da análise de risco efetuada e devem ter em conta a regulamentação e a legislação, nacional e internacional, aplicável.
Os mecanismos de segurança da informação implementados são alvo de revisões periódicas para garantir os níveis de segurança esperados, com particular enfoque para a salvaguarda da continuidade do negócio e de processos críticos.
4.3. Melhoria contínua
O SGSI é alvo de revisões periódicas previamente calendarizadas ou justificadas por alterações significativas, no sentido de providenciar uma melhoria da aplicabilidade, adequabilidade e eficácia.
4.4. Revisão e comunicação da política geral de segurança da informação
A Política de Segurança da Informação será objeto de revisão anual ou sempre que se verifiquem alterações significativas, de forma a providenciar a sua contínua aplicabilidade, adequabilidade e eficácia.
Documento Público
31/10/2023