Política de Segurança Física

Os principais itens são:
1. Política de Segurança da Informação
Uma política de segurança provê orientação para toda a empresa e faz com que os
funcionários saibam o que é esperado deles. Todos os funcionários devem estar cientes do
cuidado a ter com os dados e suas responsabilidades em protegê-los.
Desenvolva e mantenha uma política de segurança da informação que atenda os
seguintes requisitos:
• Esteja aprovada pela direção da organização;

• Esteja publicada e divulgada para toda a organização;
• Tenha um responsável pela sua manutenção e revisão;
• Seja revisada, no mínimo anualmente;
• Seja aceita por todos os funcionários.
2. Organização da Segurança
O estabelecimento de uma estrutura de gerenciamento é importante para controlar a

implementação da segurança da informação dentro da organização.
Estabeleça uma estrutura de segurança com os seguintes requisitos:
• Tenha uma área responsável pela gestão de segurança da informação;

• Garanta o cumprimento das políticas de segurança da informação e
continuidades de negócios da organização;
• Participe de fóruns ou comitês de segurança da informação;
• Esteja em compliance com leis e regulamentações vigentes.
3. Segurança em Recursos Humanos
As responsabilidades pela segurança da informação são atribuídas aos funcionários

e colaboradores através de ações realizadas pela área de Recursos Humanos.
Estabeleça um processo em conjunto com a área de Recursos Humanos que atenda
os seguintes requisitos:
• Realize análises de idoneidade pessoal e profissional no processo de seleção de

colaboradores;
• Defina uma política onde os colaboradores assinem contrato de
confidencialidade e/ou código de ética no momento de sua contratação;
• Realize treinamento focado em segurança da informação para funcionários e
terceiros.
• Defina uma política de devolução de ativos e solicitação da remoção dos
acessos no momento de desligamento de funcionários e terceiros.
4. Gestão de Ativos
A gestão de ativos é importante para proteção adequada dos ativos, onde cada ativo
tenha um proprietário responsável. A manutenção desses inventários atualizados se torna
essencial.
Estabeleça uma gestão de ativos que atenda os requisitos abaixo
:
• Exista um inventário de ativos;
• Cada ativo tenha um proprietário responsável;
• Exista uma política de classificação da informação.
5. Segurança Física e do Ambiente
A segurança física tem por objetivo prevenir o acesso físico não autorizado, danos
às instalações, fraude ou sabotagem entre outras ameaças. Convém que as instalações de
processamento da informação críticas sejam mantidas em áreas seguras, protegidas por
perímetros de segurança.
Estabeleça os controles abaixo para a proteção e segurança física do ambiente e do
data center:
• Tenha controle de acesso de entrada física nos ambientes seguros e no data

center;
• Tenha geradores de energia e no breaks que garantam a continuidade de
negócios da organização;
• Tenha monitoramento de câmeras CFTV nos ambientes seguros e no data
center;
• Tenha uma rede de supressão a gás no data center;
• Tenha um meio de detecção e extinção de incêndio no ambiente;
• Tenha um cabeamento estruturado;
• Tenha uma política de mesa limpa.
OBS: Poderá ser requerido ambiente apartado somente para as atividades executadas para o
Banco, dependendo do negócio apoiado e da criticidade da informação envolvida.
6. Gerenciamento das Operações e Comunicações
O gerenciamento das operações garante uma operação segura e correta dos recursos
de processamento da informação. Os procedimentos e responsabilidades pela gestão e
operação de todos os recursos de processamento da informação quando divulgados no
âmbito da organização evitam diversos problemas no ambiente.
Estabeleça um gerenciamento das operações e comunicações que atenda os
requisitos abaixo:
• Exista documentação dos procedimentos de operação formalizada e divulgada

no âmbito da empresa;
• A gestão das mudanças realizadas no ambiente passe por um comitê ou fórum
para serem aprovadas;
• A segregação de funções nos recursos de processamento de informação esteja
formalizada;
• A proteção e a integridade dos softwares seja garantida com políticas e
procedimento adequados;
• Exista um sistema de detecção de intrusos (IDS ou IPS) na rede;
• As conexões com empresas externas sejam protegidas por firewall;
• Um software contra códigos maliciosos (vírus) seja instalado e atualizado em
toda a empresa;
• Um procedimento para análise de vulnerabilidades esteja formalizado e em
operação;
• Um gerenciamento dos incidentes de segurança esteja devidamente formalizado
e em operação.
OBS: Poderá ser requerida rede segregada entre o Banco e a empresa, para as atividades
executadas para o Banco, dependendo do negócio apoiado e da criticidade da informação
envolvida.
7. Controle de acesso
O controle do acesso a informação, recursos de processamento das informações e

processos de negócios são obrigatórios. As regras de controle de acesso levam em
consideração as políticas da organização com base nos requisitos de negócio.
Estabeleça um gerenciamento de controle de acesso adequado que atenda os
requisitos de segurança abaixo:
• Tenha políticas e procedimentos formalizados de controle de acesso contendo

informações sobre privilégios, perfis, senha etc;
• Tenha política e procedimentos implementados de computação móvel e
trabalho remoto;
• Tenha política e procedimento de desligamento de usuário em parceria com a
área de Recursos Humanos;
• Exista uma identificação única de usuários na rede;
• Tenha uma política de tela limpa;
• Realize revisões periódicas nos acessos e nos sistemas da organização.
8. Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação
A aquisição e manutenção de sistemas destinados a apoiar um processo de negócio

podem ser cruciais para a segurança. Os requisitos de segurança quando identificados e
acordados antes do desenvolvimento e/ou implementação evitam diversas ameaças ao
negócio.
Estabeleça uma estrutura que atenda os requisitos abaixo:
• Exista uma estrutura responsável interna para gerenciamentos dos projetos com
envolvimento de sistemas de informação;
• Exista uma metodologia formalizada para desenvolvimento de sistemas;
• Exista segregação dos ambientes de desenvolvimento, homologação e
produção;
• Exista um controle e planos de ação das vulnerabilidades técnicas dos sistemas.
9. Gestão de Incidentes de Segurança da Informação
As fragilidades e eventos de segurança da informação quando comunicados permite

a tomada de ação corretiva em tempo hábil.
Estabeleça uma gestão de incidentes de Segurança da Informação que atenda os
requisitos abaixo :
• Tenha um sistema ou processo de notificação de incidentes de segurança;

• Exista um processo formalizado e implantado para o tratamento dos incidentes;
• Exista uma estrutura responsável para tratamento dos incidentes.
10. Gestão da Continuidade do Negócio
A gestão da continuidade do negócio permite que não haja interrupção das

atividades do negócio e protege os processos críticos contra efeitos de falhas ou desastres
significativos, e assegura sua retomada em tempo hábil, se for o caso.
Estabeleça uma gestão para continuidade dos negócios que atenda os seguintes
requisitos:
• Realize uma análise de riscos para o desenvolvimento do plano de continuidade

de negócios;
• Desenvolva, revise e teste (no mínimo anualmente) o plano de continuidade de
negócios de pessoas;
• Desenvolva, revise e teste (no mínimo anualmente) o plano de continuidade de
negócios de tecnologia.
11. Conformidade
A conformidade da organização com os requisitos legais (leis, regulamentações,

estatutos etc.) garante uma confiabilidade e o comprometimento da organização junto aos
órgãos regulatórios.
Estabeleça um processo de gestão da conformidade que atenda os seguintes requisitos:

• Garanta o cumprimento das leis e regulamentações vigentes;
• Verifique os direitos de propriedade intelectual em todos os aplicativos de
microinformática da empresa;
• Consulte uma auditoria independente para levantamento dos pontos críticos
melhorias no ambiente;

Política de Segurança Física

Enviado por

Direitos autorais:

Formatos disponíveis

Política de Segurança Física

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Política de Segurança Física

Enviado por

Direitos autorais:

Formatos disponíveis

Os principais itens são:

1. Política de Segurança da Informação

• Esteja aprovada pela direção da organização;

O estabelecimento de uma estrutura de gerenciamento é importante para controlar a

• Tenha uma área responsável pela gestão de segurança da informação;

3. Segurança em Recursos Humanos

As responsabilidades pela segurança da informação são atribuídas aos funcionários

• Realize análises de idoneidade pessoal e profissional no processo de seleção de

5. Segurança Física e do Ambiente

• Tenha controle de acesso de entrada física nos ambientes seguros e no data

6. Gerenciamento das Operações e Comunicações

• Exista documentação dos procedimentos de operação formalizada e divulgada

O controle do acesso a informação, recursos de processamento das informações e

• Tenha políticas e procedimentos formalizados de controle de acesso contendo

8. Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação

A aquisição e manutenção de sistemas destinados a apoiar um processo de negócio

9. Gestão de Incidentes de Segurança da Informação

As fragilidades e eventos de segurança da informação quando comunicados permite

• Tenha um sistema ou processo de notificação de incidentes de segurança;

10. Gestão da Continuidade do Negócio

A gestão da continuidade do negócio permite que não haja interrupção das

• Realize uma análise de riscos para o desenvolvimento do plano de continuidade

A conformidade da organização com os requisitos legais (leis, regulamentações,

Estabeleça um processo de gestão da conformidade que atenda os seguintes requisitos:

Você também pode gostar