detalhes do Serviço

1. OBJETIVO

 

A presente política tem por escopo estabelecer as diretrizes e critérios para orientar os colaboradores, clientes, parceiros de negócios e fornecedores do HOSPITAL SANTA PAULA sobre a preservação das propriedades da informação, notadamente sua confidencialidade, integridade e disponibilidade. Visa permitir o uso e compartilhamento controlado e seguro das informações, bem como o monitoramento e tratamento de incidentes provenientes de ataques cibernéticos.

Esta política é pautada pelos seguintes princípios norteadores:

?      A confiabilidade das informações por meio da preservação da confidencialidade, integridade e disponibilidade dos dados tratados pela empresa;

?      O compromisso da empresa com a proteção das informações de sua propriedade e/ou sob sua guarda;

?      A participação e cumprimento de todos os colaboradores, parceiros e fornecedores na proteção da informação, conforme estabelecido nesta política.

 

2. ABRANGÊNCIA

 

A política abrange todos aqueles que exerçam, ainda que transitoriamente, acesso às informações e processos de negócios do HOSPITAL SANTA PAULA.

 

3. DEFINIÇÕES

 

Para fins da presente política, adotam-se as seguintes definições:

3.1.   Informação: conteúdo de valor para uma organização ou profissional que deve ser protegido para mantê-la;

3.2.   Classificação da Informação: processo que identifica e define níveis e critérios de proteção para as informações, garantindo sua confidencialidade, integridade e disponibilidade.

3.3.   Confidencialidade: garantia de que a informação é acessível somente às pessoas autorizadas.

3.4.   Integridade: salvaguarda da exatidão e dos métodos de processamento da informação.

3.5.   Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação sempre que necessário.

3.6.   Segurança: medidas de proteção contra perigos, ameaças e incertezas;

3.7.   Risco: relação entre probabilidade e impacto, auxiliando na determinação de investimentos em segurança da informação;

3.8.   Ameaça: elemento externo capaz de explorar vulnerabilidades para ocasionar prejuízo em um sistema ou organização;

3.9.   Vulnerabilidade: fragilidade de um ativo ou controle que pode ser explorado por uma ou mais ameaças;

3.10. Riscos Cibernéticos: riscos de ataques cibernéticos, internos ou externos, oriundos de malware, técnicas de engenharia social, invasões, ataques de rede (DDos e Botnets), sabotagem, violação de acessos e privacidade, podendo desproteger dados, redes e sistemas da empresa causando danos financeiros e de reputação.

3.11. Gestão de Risco: atividades coordenadas para dirigir e controlar a organização em relação ao risco, aplicabilidade de políticas de segurança, monitoramento e revisão dos riscos;

3.12. Incidente de Segurança da Informação: evento indesejado ou inesperado que possa colocar em risco informações armazenadas em meio físico ou eletrônico sob a guarda desta Empresa ou que tenha grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.

3.13. Plano de Continuidade do Negócio: estratégias para garantir que serviços essenciais sejam identificados e preservados após desastres, até o retorno à situação normal de funcionamento da instituição, com previsão de planos de ação a serem realizados em cada momento.

 

4. COMPETÊNCIAS

 

4.1.   A Direção compete:

4.1.1. Deliberar sobre as diretrizes, normas de caráter geral, políticas e estratégias em Segurança da Informação.

4.1.2. Aprovar a Política de Segurança da Informação do HOSPITAL SANTA PAULA.

4.1.3. Acompanhar a implementação da Política de Segurança da Informação.

4.2.   Responsável pela Tecnologia da Informação:

4.2.1. Participar permanentemente do Comitê de Segurança da Informação e Proteção de Dados.

4.2.2. Propor medidas técnicas e administrativas para garantir a segurança da informação nas dependências do HOSPITAL SANTA PAULA ou onde as informações estiverem sendo coletadas, processadas, em trânsito ou armazenadas.

4.2.3. Orientar sobre questões de segurança da informação para que todos os profissionais do HOSPITAL SANTA PAULA estejam cientes das melhores práticas para esse objetivo.

4.2.4. Convocar, além dos membros permanentes, outros profissionais para participarem das reuniões do Comitê de Segurança da Informação e Proteção de Dados.

4.2.5. Homologar os sistemas de informação e operação de TI.

4.2.6. Validar as Normas e Procedimentos de Segurança da Informação.

4.3.   Comitê de Segurança da Informação e Proteção de Dados:

4.3.1. Propor diretrizes e normas de caráter geral, políticas e estratégias em segurança da informação.

4.3.2. Elaborar o planejamento e gestão da Segurança da Informação.

4.3.3. Elaborar documentos necessários à Segurança da Informação.

4.3.4. Elaborar, divulgar para as partes interessadas, manter e aperfeiçoar os indicadores de Segurança da Informação.

4.3.5. Elaborar, implementar, manter e melhorar o Plano de Continuidade de Negócios.

4.3.6. Coordenar programas de treinamento e conscientização em Segurança da Informação.

4.3.7. Analisar os incidentes de Segurança da Informação e recomendar ações corretivas.

4.3.8. Assegurar a conformidade do sistema de gestão da segurança da informação com os requisitos da norma ISO vigente.

4.3.9. Relatar o desempenho do sistema de Gestão da Segurança da Informação para a Alta Direção.

4.4.   Responsável do RH / Gerente de Recursos Humanos:

4.4.1.

 

         Apoiar os projetos de disseminação da Cultura de Segurança da Informação junto aos recursos humanos do HOSPITAL SANTA PAULA.

4.5.   Usuário da informação:

4.5.1. Desenvolver suas atividades profissionais de acordo com as determinações e orientações estabelecidas na Política de Segurança da Informação, suas normas, procedimentos e Código de Conduta da empresa.

4.5.2. Sugerir ao responsável pela segurança da informação melhorias e mudanças necessárias para manter a Política de Segurança da Informação atualizada e aderente às necessidades do HOSPITAL SANTA PAULA.

4.5.3. Não fazer uso indevido das informações da empresa que possui e manter a confidencialidade delas.

 

5. DIRETRIZES

 

O HOSPITAL SANTA PAULA adota políticas e procedimentos para assegurar que as informações estejam adequadamente protegidas, baseando-se nos requerimentos mínimos dos Órgãos Reguladores e nas melhores práticas reconhecidas pelo mercado. As diretrizes e normas referentes à Política de Segurança da Informação serão estabelecidas conforme abaixo:

5.1.   Gestão de Ativos da Informação:

Os ativos da informação devem ser identificados individualmente, inventariados e protegidos contra acessos indevidos, adulterações de dados e contarem com documentação e planos de manutenção atualizados;

5.2.   Proteção da Informação:

5.2.1. As informações geradas, adquiridas, armazenadas, processadas, transmitidas e descartadas pelas unidades do HOSPITAL SANTA PAULA devem possuir mecanismos de proteção adequados para resguardar sua confidencialidade, integridade, disponibilidade, autenticidade e legalidade.

5.2.2. Os mecanismos de proteção devem estar em conformidade com a legislação vigente e as normas de Segurança da Informação da ISO 27001 em vigor.

5.3.   Classificação da Informação:

As informações devem ser classificadas para serem adequadamente protegidas, de acordo com a legislação aplicável no HOSPITAL SANTA PAULA.

5.4.   Controle de Acesso às Informações:

Toda informação utilizada pelas unidades do HOSPITAL SANTA PAULA deve ter seu acesso controlado, permitindo-se o uso somente por usuários devidamente autorizados.

5.5.   Educação em Segurança da Informação:

Os usuários devem ser instruídos sobre a correta utilização das informações, recursos computacionais, sistemas e serviços disponibilizados pelo HOSPITAL SANTA PAULA.

5.6.   Gestão de Continuidade do Negócio:

O HOSPITAL SANTA PAULA é responsável por elaborar e manter um plano de continuidade de negócios para reduzir os impactos decorrentes da interrupção de serviços causada por desastres ou falhas de segurança. Cada situação deve contar com um plano de continuidade, com informações mínimas para recuperação do serviço.

5.7.   Gestão de Riscos:

5.7.1. O HOSPITAL SANTA PAULA é responsável por implementar e manter um processo de gestão de riscos para minimizar possíveis impactos à confidencialidade, integridade e disponibilidade das informações.

5.7.2. O processo de gestão de riscos deve permitir a seleção e priorização dos ativos a serem protegidos, assim como a definição e implantação de controles para a identificação e tratamento de problemas de segurança.

5.7.3. As medidas de proteção devem ser planejadas, e os custos na aplicação de controles devem ser balanceados em relação aos possíveis danos que falhas de segurança possam causar.

5.8.   Tratamento de Incidentes:

Procedimentos formais devem ser estabelecidos para a notificação de incidentes de segurança da informação, bem como para a resposta a incidentes, sendo obrigatória a notificação desses incidentes pelos usuários.

5.9.   Comunicação:

5.9.1. A segurança das informações é responsabilidade de todos os colaboradores e prestadores de serviços, abrangendo as atividades que envolvam dados e informações no ambiente do HOSPITAL SANTA PAULA.

5.9.2. Quaisquer indícios de incidentes ou irregularidades mencionadas nesta Política devem ser comunicadas imediatamente para o departamento de TI por meio do e-mail disponibilizado abaixo: dpo@santapaulahospital.com.br.

 

6. PENALIDADES

 

6.1.   Violações:

Os incidentes de segurança da informação identificados como violações devem ser avaliados pelo Comitê de Segurança da Informação e Proteção de Dados correspondente à origem do incidente, o qual deverá elaborar um relatório após análise. Caso se identifique responsabilidade de gestores, colaboradores ou prestadores, poderá ser enviada à área gestora a relação das sanções administrativas cabíveis, previstas em cláusulas contratuais, normas e políticas incidentes sobre o regime de pessoal e outros documentos normativos da empresa.

6.2.   Tentativa de transgressão a normas:

A tentativa de transgredir as diretrizes e controles estabelecidos, quando constatada, deve ser tratada como uma violação.

 

7. DISPOSIÇÕES GERAIS

 

7.1.   Esta Política será revisada no prazo máximo de 24 (vinte e quatro) meses.

7.2.   Situações não previstas, dúvidas, informações adicionais e sugestões referentes a esta Política de Segurança da Informação devem ser encaminhadas ao Gestor de Segurança do ambiente.

7.3.   O não cumprimento da Política de Segurança da Informação sujeitará o usuário à suspensão temporária ou permanente do acesso aos recursos informacionais do ambiente corporativo.