Política de Gestão de Riscos de Segurança da Informação
- 1. OBJETIVO
- 2. ABRANGÊNCIA
- 3. DEFINIÇÕES
- 4. DIRETRIZES
- 4.1 Identificação dos Riscos
- 4.2 Avaliação dos Riscos
- 4.3 ESTRATÉGIA DOS RISCOS
- 4.4 VALIDAÇÃO DOS CONTROLES
- 4.5 Tratamento dos Riscos
- 4.6 Monitoramento dos Riscos
- Comunicação dos Riscos
- 5.RESPONSABILIDADES
- 5.1 A direção da Epimed Solutions deve:
- 5.2 Comitê Gestor de Riscos da Epimed Solutions deve:
- 5.3 A força de trabalho deve:
- 5.4 Os clientes devem:
- 6. PROCESSO DISCIPLINAR
1 - OBJETIVOS
Este documento tem o objetivo de estabelecer diretrizes e responsabilidades a serem observadas no processo de Gestão de Riscos de Segurança da Informação da Epimed Solutions, de forma a possibilitar a identificação, avaliação, tratamento, monitoramento e comunicação de riscos operacionais, tecnológicos e de imagem.
2 - ABRANGÊNCIA
Esta política é aplicável a todos os níveis organizacionais da Epimed Solutions que integram o seu processo de gerenciamento de riscos de forma direta ou indireta.
3 - DEFINIÇÕES
Termo | Definição |
Risco | Possibilidade de evento que afeta negativamente a realização dos objetivos da Empresa ou de seus processos |
Apetite ao risco | Grau de exposição aos riscos que a Empresa está disposta a aceitar para atingir seus objetivos estratégicos e criar valor para os cooperados. |
Colaborador | São todas as pessoas que prestam serviço interna ou externamente à empresa, seja em caráter temporário ou efetivo, inclusive prestadores de serviço. São exemplos de colaborador: diretores, cooperados, funcionários, estagiários, terceiros que trabalham dentro das dependências da empresa. |
Terceiros | Fornecedores de serviços terceirizados, permanentes ou temporários, que prestam serviço à Epimed Solutions. |
Análise de riscos | Uso sistemático de informações para identificar fontes e estimar o risco |
Identificação de riscos | Processo para localizar, listar e caracterizar elementos do risco. |
Estimativa de riscos | Processo utilizado para atribuir valores à probabilidade e consequências de um risco. |
Gestão de Riscos | Atividades coordenadas para dirigir e controlar uma organização no que se refere ao risco. |
Reduzir Risco | Uma forma de tratamento de risco na qual são adotadas ações para reduzir a probabilidade, as consequências negativas, ou ambas, associadas a um risco. |
Informação | Conhecimento apresentado a uma pessoa em uma forma que possa ser compreendida. Dados que foram processados ou organizados para que tenham significado. A informação é um ativo que, como qualquer outro ativo importante para os negócios, tem um valor para a organização e consequentemente necessita ser adequadamente protegida. |
Integridade | Princípio de segurança por meio do qual é garantida a autenticidade da informação. |
Segurança da informação | Preservação da confidencialidade, integridade e disponibilidade da informação. |
4 - DIRETRIZES
As diretrizes apresentadas nesta política definem e caracterizam as etapas macro do processo de Gestão de Riscos de Segurança da Informação da Epimed Solutions.
4.1 Identificação dos Riscos
A identificação de riscos tem o objetivo de reconhecer e descrever os riscos aos quais a Empresa está exposta.
4.2 Avaliação dos Riscos
Após a identificação dos riscos, são realizadas análises qualitativas e quantitativas, visando a definição dos atributos de impacto e probabilidade, utilizados na priorização dos riscos a serem tratados.
4.3 ESTRATÉGIA DOS RISCOS
Após a avaliação dos riscos, são realizadas estratégias de tratamento dos riscos, visando a definição dos itens abaixo:
- Reduzir
- Aceitar
- Transferir
- Evitar
4.4 ESTRATÉGIA DOS RISCOS
Esta etapa inclui o grau de importância na implementação de um controle sobre o risco, bem como, o levantamento e a análise dos controles já existentes.
4.5 Tratamento dos Riscos
Posteriormente à etapa de validação dos controles, é definido o tratamento que será dado aos riscos e como estes devem ser monitorados e comunicados às diversas partes envolvidas.
4.6 Monitoramento dos Riscos
Visando o aprimoramento contínuo da Gestão de Riscos, o processo de monitoramento consiste em acompanhar o desempenho dos indicadores de riscos, supervisionar a implantação e manutenção dos planos de ação e o alcance das metas estabelecidas, através de atividades gerenciais contínuas e/ou avaliações independentes.
4.7 Comunicação dos Riscos
A comunicação durante todas as etapas do processo de gestão integrada de riscos atinge a todas as partes interessadas, sendo realizada de maneira clara e objetiva, respeitando as boas práticas de governança exigidas pelo mercado.
5 - RESPONSABILIDADES
5.1.1 A direção da Epimed Solutions deve:
- Aprovar o grau de apetite a riscos da Epimed Solutions e as faixas de tolerância a desvios em relação aos níveis aceitáveis de riscos;
- Aprovar a Política de Gestão de Riscos da Epimed Solutions, bem como quaisquer futuras revisões.
5.1.2 Comitê Gestor de Riscos da Epimed Solutions deve:
- Acompanhar a gestão de riscos, validando e revisando periodicamente a matriz de riscos da Epimed Solutions, assim como a estrutura de controles internos capazes de minimizar a ocorrência de riscos;
- Definir os riscos a serem priorizados para tratamento, com base no grau de exposição ao risco;
- Avaliar o desempenho dos indicadores de riscos, de modo a alinhá-los aos objetivos estratégicos da Empresa;
- Prover o alinhamento de assuntos estratégicos e operacionais no processo de gestão integrada de riscos;
- Revisar e avaliar a eficácia dos processos de trabalho da gestão integrada de riscos;
- Reportar à Diretoria os resultados do processo de gerenciamento dos riscos;
- Revisar a Política de Gestão de Riscos da Epimed Solutions;
- Indicar os proprietários de riscos;
- Homologar os planos de ação para mitigação dos riscos das áreas da Empresa;
- Disseminar a cultura de gerenciamento de riscos, conscientizando os colaboradores sobre os riscos inerentes ao negócio e suas responsabilidades no processo de gestão integrada de riscos;
- Avaliar, monitorar e propor procedimentos que mitiguem os riscos de violação dos dados pessoais por ela coletados, armazenados e descartados.
5.1.3 A força de trabalho deve:
- Gerenciar os riscos inerentes aos processos de negócio que lhes cabem;
- Otimizar as decisões baseadas nos riscos;
- Buscar oportunidades, visando à obtenção de vantagem competitiva e aumento do valor para os clientes.
5.1.4 Os clientes devem:
- Assegurar medidas básicas de segurança para evitar situações de riscos.
6 - PROCESSO DISCIPLINAR
- O não cumprimento desta Política de Segurança da Informação por parte dos colaboradores implicará na aplicação das penalidades conforme avaliação do “Comitê de Ética” de acordo com o Código de Conduta da Empresa.
- O não cumprimento desta Política de Segurança da Informação por parte dos terceiros irá resultar em ação disciplinar, prevista em contrato, ou término deste.