Políticas de segurança

Política de Gestão de Riscos de Segurança da Informação

  1. 1. OBJETIVO
  2. 2. ABRANGÊNCIA
  3. 3. DEFINIÇÕES
  4. 4. DIRETRIZES
    1. 4.1 Identificação dos Riscos
    2. 4.2 Avaliação dos Riscos
    3. 4.3 ESTRATÉGIA DOS RISCOS
    4. 4.4 VALIDAÇÃO DOS CONTROLES
    5. 4.5 Tratamento dos Riscos
    6. 4.6 Monitoramento dos Riscos
    7. Comunicação dos Riscos
  5. 5.RESPONSABILIDADES
    1. 5.1 A direção da Epimed Solutions deve:
    2. 5.2 Comitê Gestor de Riscos da Epimed Solutions deve:
    3. 5.3 A força de trabalho deve:
    4. 5.4 Os clientes devem:
  6. 6. PROCESSO DISCIPLINAR

1 - OBJETIVOS

Este documento tem o objetivo de estabelecer diretrizes e responsabilidades a serem observadas no processo de Gestão de Riscos de Segurança da Informação da Epimed Solutions, de forma a possibilitar a identificação, avaliação, tratamento, monitoramento e comunicação de riscos operacionais, tecnológicos e de imagem.

2 - ABRANGÊNCIA

Esta política é aplicável a todos os níveis organizacionais da Epimed Solutions que integram o seu processo de gerenciamento de riscos de forma direta ou indireta.

3 - DEFINIÇÕES

Termo Definição
Risco Possibilidade de evento que afeta negativamente a realização dos objetivos da Empresa ou de seus processos
Apetite ao risco Grau de exposição aos riscos que a Empresa está disposta a aceitar para atingir seus objetivos estratégicos e criar valor para os cooperados.
Colaborador São todas as pessoas que prestam serviço interna ou externamente à empresa, seja em caráter temporário ou efetivo, inclusive prestadores de serviço. São exemplos de colaborador:  diretores, cooperados, funcionários, estagiários, terceiros que trabalham dentro das dependências da empresa.
Terceiros Fornecedores de serviços terceirizados, permanentes ou temporários, que prestam serviço à Epimed Solutions.
Análise de riscos Uso sistemático de informações para identificar fontes e estimar o risco
Identificação de riscos Processo para localizar, listar e caracterizar elementos do risco.
Estimativa de riscos Processo utilizado para atribuir valores à probabilidade e consequências de um risco.
Gestão de Riscos Atividades coordenadas para dirigir e controlar uma organização no que se refere ao risco.
Reduzir Risco Uma forma de tratamento de risco na qual são adotadas ações para reduzir a probabilidade, as consequências negativas, ou ambas, associadas a um risco.
Informação Conhecimento apresentado a uma pessoa em uma forma que possa ser compreendida. Dados que foram processados ou organizados para que tenham significado. A informação é um ativo que, como qualquer outro ativo importante para os negócios, tem um valor para a organização e consequentemente necessita ser adequadamente protegida. 
Integridade Princípio de segurança por meio do qual é garantida a autenticidade da informação.
Segurança da informação Preservação da confidencialidade, integridade e disponibilidade da informação.

 

4 - DIRETRIZES

As diretrizes apresentadas nesta política definem e caracterizam as etapas macro do processo de Gestão de Riscos de Segurança da Informação da Epimed Solutions.

4.1 Identificação dos Riscos
A identificação de riscos tem o objetivo de reconhecer e descrever os riscos aos quais a Empresa está exposta.

4.2 Avaliação dos Riscos
Após a identificação dos riscos, são realizadas análises qualitativas e quantitativas, visando a definição dos atributos de impacto e probabilidade, utilizados na priorização dos riscos a serem tratados.

4.3 ESTRATÉGIA DOS RISCOS
Após a avaliação dos riscos, são realizadas estratégias de tratamento dos riscos, visando a definição dos itens abaixo:

  • Reduzir
  • Aceitar
  • Transferir
  • Evitar

4.4 ESTRATÉGIA DOS RISCOS
Esta etapa inclui o grau de importância na implementação de um controle sobre o risco, bem como, o levantamento e a análise dos controles já existentes.

4.5 Tratamento dos Riscos
Posteriormente à etapa de validação dos controles, é definido o tratamento que será dado aos riscos e como estes devem ser monitorados e comunicados às diversas partes envolvidas.

4.6 Monitoramento dos Riscos
Visando o aprimoramento contínuo da Gestão de Riscos, o processo de monitoramento consiste em acompanhar o desempenho dos indicadores de riscos, supervisionar a implantação e manutenção dos planos de ação e o alcance das metas estabelecidas, através de atividades gerenciais contínuas e/ou avaliações independentes.

4.7 Comunicação dos Riscos
A comunicação durante todas as etapas do processo de gestão integrada de riscos atinge a todas as partes interessadas, sendo realizada de maneira clara e objetiva, respeitando as boas práticas de governança exigidas pelo mercado.

5 - RESPONSABILIDADES

5.1.1 A direção da Epimed Solutions deve:

  • Aprovar o grau de apetite a riscos da Epimed Solutions e as faixas de tolerância a desvios em relação aos níveis aceitáveis de riscos; 
  • Aprovar a Política de Gestão de Riscos da Epimed Solutions, bem como quaisquer futuras revisões.

5.1.2 Comitê Gestor de Riscos da Epimed Solutions deve:

  • Acompanhar a gestão de riscos, validando e revisando periodicamente a matriz de riscos da Epimed Solutions, assim como a estrutura de controles internos capazes de minimizar a ocorrência de riscos;
  • Definir os riscos a serem priorizados para tratamento, com base no grau de exposição ao risco; 
  • Avaliar o desempenho dos indicadores de riscos, de modo a alinhá-los aos objetivos estratégicos da Empresa;
  • Prover o alinhamento de assuntos estratégicos e operacionais no processo de gestão integrada de riscos;
  • Revisar e avaliar a eficácia dos processos de trabalho da gestão integrada de riscos;
  • Reportar à Diretoria os resultados do processo de gerenciamento dos riscos;
  • Revisar a Política de Gestão de Riscos da Epimed Solutions;
  • Indicar os proprietários de riscos;
  • Homologar os planos de ação para mitigação dos riscos das áreas da Empresa;
  • Disseminar a cultura de gerenciamento de riscos, conscientizando os colaboradores sobre os riscos inerentes ao negócio e suas responsabilidades no processo de gestão integrada de riscos;
  • Avaliar, monitorar e propor procedimentos que mitiguem os riscos de violação dos dados pessoais por ela coletados, armazenados e descartados.

5.1.3 A força de trabalho deve:

  • Gerenciar os riscos inerentes aos processos de negócio que lhes cabem;
  • Otimizar as decisões baseadas nos riscos; 
  • Buscar oportunidades, visando à obtenção de vantagem competitiva e aumento do valor para os clientes.

5.1.4 Os clientes devem:

  • Assegurar medidas básicas de segurança para evitar situações de riscos.

6 - PROCESSO DISCIPLINAR

  • O não cumprimento desta Política de Segurança da Informação por parte dos colaboradores implicará na aplicação das penalidades conforme avaliação do “Comitê de Ética” de acordo com o Código de Conduta da Empresa.
  • O não cumprimento desta Política de Segurança da Informação por parte dos terceiros irá resultar em ação disciplinar, prevista em contrato, ou término deste.