Política Pública de Segurança da Informação

Sistema de Gestão de Segurança da Informação

Política Pública de Segurança da Informação

A proteção da informação e dos ativos de informação é fundamental para o sucesso estratégico e para a sustentabilidade do negócio do Grupo REN (doravante designado REN).


Com esse propósito a REN opera um Sistema de Gestão de Segurança da Informação (doravante designado SGSI) que dispõe de todas as ferramentas necessárias para a gestão segura da informação e dos sistemas, e que garante, através de uma abordagem baseada na gestão de risco e na melhoria contínua, a confidencialidade, a integridade e a disponibilidade da informação. A salvaguarda destes três pilares da segurança da informação constitui um garante da imagem, reputação e credibilidade da organização e dos seus processos produtivos junto de parceiros e clientes.

Princípios de Segurança da Informação

A REN subscreve os princípios preconizados no referencial de segurança da informação ISO/IEC 27001 e compromete-se a:

a)    Assegurar o estabelecimento e a prossecução dos princípios descritos nesta política, bem como a sua aprovação, publicação e comunicação a todos os colaboradores e entidades externas relevantes;

b)    Garantir todos os recursos necessários para a operacionalização dos processos e atividades de gestão da segurança da informação, nomeadamente no que respeita à sensibilização e consciencialização de colaboradores internos e externos para com a temática e para com o seu papel na eficácia do SGSI;

c)     Assegurar a definição, implementação e revisão da estratégia de gestão de segurança da informação e garantir o correto alinhamento com os objetivos de negócio da REN;

d)    Assegurar que o SGSI atinge os resultados pretendidos;

e)    Promover de forma estruturada e sistemática a melhoria contínua.

Objetivos de Segurança da Informação

A REN estabelece os seguintes objetivos de segurança da informação:

     i.        Garantir a conformidade com os requisitos legais e regulamentares aplicáveis ao negócio e previstos na legislação nacional e comunitária;

    ii.        Garantir a integração de requisitos e objetivos de segurança da informação em funções e processos de negócio e operações;

   iii.        Assegurar a disponibilidade, integridade e confidencialidade da informação, serviços e infraestruturas, quer em circunstâncias normais de funcionamento quer em circunstâncias excecionais;

   iv.        Garantir que as medidas de segurança do SGSI são compreensíveis, eficazes e com uma adequada relação de custo/benefício;

     v.        Estabelecer processos de monitorização e medição que garantam a correta implementação e desempenho dos controlos de segurança de informação.

Domínios da Segurança da Informação

O SGSI da REN identifica, estabelece, operacionaliza, monitoriza e garante a melhoria contínua de requisitos de segurança da informação, entre outros, nos seguintes domínios:

a)    Organização da segurança da informação

A Gestão da REN proporciona diretrizes e apoio para a segurança da informação de acordo com os requisitos de negócio, leis e regulamentações relevantes.

b)    Dispositivos móveis e acesso remoto

A REN assegura a segurança no acesso remoto, teletrabalho e na utilização de dispositivos móveis.

c)     Segurança da informação na gestão de recursos humanos

A REN assegura que os colaboradores e prestadores de serviço compreendem as suas responsabilidades no contexto da Segurança da Informação.

d)    Gestão de ativos de informação

A REN identifica os ativos de informação e define responsabilidades de proteção apropriadas. Assegura ainda que a informação recebe o nível adequado de proteção, de acordo com a sua importância para a Organização, prevenindo a divulgação não autorizada, modificação, remoção ou eliminação da informação armazenada.

e)    Controlo de acessos

A REN limita o acesso à informação e aos recursos de processamento de informação, assegurando o acesso de utilizadores autorizados e prevenindo o acesso não autorizado a sistemas e serviços.

f)     Criptografia

A REN assegura a utilização adequada e eficaz de criptografia para proteger a confidencialidade, autenticidade e/ou integridade da informação.

g)    Segurança física e ambiental

A REN previne o acesso físico não autorizado, os danos e as interferências na informação e nos recursos de processamento de informação da Organização.

h)    Segurança nas operações

A REN assegura a operação correta e segura dos recursos de processamento de informação.

i)     Segurança nas comunicações

A REN assegura a proteção da informação nas redes e nos seus recursos de processamento de informação, mantendo a segurança da informação transferida dentro da Organização e para qualquer entidade externa.

j)     Aquisição, desenvolvimento e manutenção de sistemas

A REN assegura que a segurança da informação é uma parte integrante dos sistemas de informação ao longo de todo o seu ciclo de vida. A segurança da informação está concebida e implementada no âmbito do ciclo de vida do desenvolvimento de sistemas e informação.

k)    Segurança da informação nas relações com fornecedores

A REN assegura a proteção dos ativos da Organização que estão acessíveis aos fornecedores, mantendo o nível acordado de segurança da informação e de disponibilização de serviços, alinhado com os acordos com fornecedores.

l)     Gestão de incidentes de segurança da informação

A REN assegura uma abordagem consistente e eficaz à gestão de incidentes de segurança da informação, incluindo a comunicação de eventos e pontos fracos de segurança.

m)   Aspetos de segurança da informação na gestão de continuidade de negócio

A continuidade de segurança da informação é contemplada nos sistemas de gestão da continuidade de negócio da REN, assegurando a disponibilidade dos recursos de processamento da informação.

n)    Conformidade

A REN previne violações de obrigações legais, estatutárias, regulamentares ou contratuais relacionadas com a segurança da informação e de quaisquer requisitos de segurança.

Responsabilidade e Autoridade

As Políticas do Sistema de Gestão de Segurança da Informação são aprovadas pela Comissão Executiva da REN. Cabe ao Gestor de Segurança da Informação o controlo e a avaliação da implementação do SGSI, a comunicação à gestão de topo do seu desempenho e a garantia da conformidade do sistema com os requisitos da Norma ISO 27001 e legislação aplicável.

Resposta a incidentes

Informação sobre o serviço de resposta a incidentes de cibersegurança da Redes Energéticas Nacionais, SGPS, S.A (REN) pode ser encontrado em:

https://www.ren.pt/pt-pt/csirt/rfc-2350

Newsletter

Receba todos os detalhes da operação,
tendências e notícias que partilhamos
com toda a energia
.

Periodicidade *
0:00
/
0:00