coutinho_rebelo-advogado-header

Política Geral de Segurança da Informação Externa

1. Âmbito e objetivo

A Política de Segurança da Informação aplica-se a toda a informação que está sob a responsabilidade da Coutinho Rebelo Advogados (doravante designada por CRA), independentemente do suporte de registo, abrangendo, designadamente, bases de dados, qualquer ambiente informático, documentos, arquivos e restantes ferramentas tecnológicas e/ou aplicacionais.

O objetivo da Política de Segurança da Informação é preservar a confidencialidade, a integridade e a disponibilidade da informação, contribuindo para assegurar os objetivos da CRA e para manter a confiança dos clientes bem como o cumprimento das obrigações legais e regulamentares.

A presente Política formaliza e pretende comunicar as definições estratégicas e programáticas aprovadas para a segurança da informação, que são assumidas como um compromisso ético e de responsabilidade profissional da CRA.

Neste sentido, a CRA define objetivos claros para a implementação de processos, controlos e práticas de segurança da informação e promove a adoção e implementação uma Política de Segurança da Informação transversal a toda a Sociedade.

Os objetivos de segurança da informação correspondem a:

  • Avaliar os riscos de segurança da informação, de modo a implementar os controlos necessários que permitem mitigar os riscos até ao nível de aceitação estabelecido;
  • Criar uma cultura de segurança da informação através de ações de formação e sensibilização;
  • Definir e implementar os controlos técnicos e organizacionais necessários para garantir a confidencialidade, a integridade e a disponibilidade da informação;
  • Considerar a segurança da informação como um processo de melhoria contínua, que permite alcançar níveis de segurança cada vez mais avançados.

 

2. Responsabilidades e organização de segurança

A Política de Segurança de Informação destina-se a todos os advogados e colaboradores da CRA, independentemente do seu vínculo, bem como a fornecedores e prestadores de serviços e seus colaboradores que tenham acesso a informação sob a responsabilidade da CRA.

Nesta medida, todos estão obrigados a cumprir e a fazer cumprir a presente Política e a proceder à comunicação de qualquer evento que provoque ou que possa provocar uma quebra de segurança da informação.

 

3. Política de segurança da informação

A Política de Segurança da Informação orienta-se pelos seguintes princípios:

  • Confidencialidade: a informação apenas é disponibilizada a quem tem a devida autorização para o efeito;
  • Integridade: a salvaguarda e preservação da informação, e a adequação dos respetivos métodos de processamento;
  • Disponibilidade: a informação está disponível a todos utilizadores devidamente autorizados;
  • Auditabilidade: os dados e informações corporativas e/ou de negócio são registados, compilados, analisados e revelados, de modo a permitir que auditores internos ou entidades certificadoras externas possam atestar a sua integridade;
  • Rastreabilidade: a capacidade de recuperação do histórico das ações concretizadas.

A informação é um bem ou ativo essencial para a CRA pelo que tem de ser protegido da forma mais apropriada. A segurança da informação protege a informação contra uma multiplicidade de ameaças, sendo essencial para promover a continuidade do serviço (negócio), minimizar os efeitos negativos na organização, maximizar a rentabilização dos investimentos e melhorar continuamente a qualidade do serviço.

A segurança da informação é obtida através da implementação de um conjunto de controlos, designadamente: políticas, normas e procedimentos, os quais estão de acordo com a norma internacional ISO/IEC 27001.

Para o cumprimento destes princípios, a CRA, em conformidade com a legislação e com as normas em vigor em matéria de segurança da informação, adota as melhores práticas nacionais e internacionais, de modo adequado às especificidades da organização.

 

4. Organização de segurança da informação

A organização de segurança da informação é implementada e é gerida através de um Sistema de Gestão de Segurança da Informação (SGSI), de modo integrado com os processos do escritório e com a sua estrutura de gestão global, o que garante uma abordagem multidisciplinar do tema e permite planear, desenhar, controlar, avaliar e melhorar todos os processos de implementação de segurança da informação de forma transversal, considerando três vertentes de atuação: pessoas, tecnologias e processos.

CRA implementa políticas e procedimentos específicos que respeitam as normas internacionais de referência, passíveis de serem auditados e que definem os requisitos para a implementação do SGSI, designadamente: 

  1. CRA promove a definição de regras adequadas à privacidade dos dados e ao cumprimento do Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, e de legislação nacional aplicável;
  2. CRA promove, através do seu SGSI, a proteção da confidencialidade, da integridade, da disponibilidade da informação, assim como da resiliência dos seus sistemas e dos seus serviços de tratamento de informação;
  3. Através dos seus planos de Incidentes e de Continuidade de Negócio, a CRA promove a capacidade de minimizar o impacto de incidentes físicos ou técnicos, bem como a recuperação da disponibilidade e o acesso aos dados pessoais de forma atempada, em caso de desastre ou incidente grave;
  4. A avaliação regular da segurança dos tratamentos de informação e dos respetivos sistemas de suporte é promovida por processos formais de auditoria externa, executada por auditores idóneos e isentos, com competências certificadas;
  5. O processo de análise de risco implementado no âmbito do SGSI inclui os riscos associados ao tratamento de dados pessoais, incluindo a destruição, a perda e a alteração acidentais ou ilícitas e a divulgação ou acesso não autorizados de dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento;
  6. CRA, enquanto responsável pelo tratamento de dados pessoais, toma medidas para que qualquer pessoa singular que, agindo sob a autoridade do responsável pelo tratamento ou de um subcontratante, tenha acesso a dados pessoais, e só procede ao seu tratamento mediante instruções do responsável pelo tratamento, exceto se tal lhe for exigido pelo direito da União Europeia ou de um Estado-Membro.

 

4.1. Avaliação de risco de segurança da informação

Os requisitos de segurança da informação e os critérios de aceitação do risco são identificados através de uma avaliação precisa de riscos de segurança da informação. A realização de uma análise de risco contribui para determinar qual a exposição ao risco e, consequentemente, a efetuar uma priorização dos riscos mais relevantes, permitindo identificar as ações de mitigação adequadas e os controlos apropriados.

 

4.2. Controlos de segurança da informação

A seleção dos controlos depende de decisões da CRA baseadas em critérios de aceitação do risco, de tratamento do risco e em geral de gestão do risco. Estes critérios resultam da análise de risco efetuada e devem ter em conta a regulamentação e a legislação, nacional e internacional, aplicável.

Os mecanismos de segurança da informação implementados são alvo de revisões periódicas para garantir os níveis de segurança esperados, com particular enfoque para a salvaguarda da continuidade do negócio e de processos críticos.

 

4.3. Melhoria contínua

O SGSI é alvo de revisões periódicas previamente calendarizadas ou justificadas por alterações significativas, no sentido de providenciar uma melhoria da aplicabilidade, adequabilidade e eficácia.

 

4.4. Revisão e comunicação da política geral de segurança da informação

A Política de Segurança da Informação será objeto de revisão anual ou sempre que se verifiquem alterações significativas, de forma a providenciar a sua contínua aplicabilidade, adequabilidade e eficácia.

 

Documento Público
31/10/2023