|
Baseando num referencial voluntário
ISO/IEC 27001:2013 Sistema de gestão de segurança de informação – Requisitos da ISO Interntional Organization for Standardization
|
Baseando num referencial obrigatório
REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados
|
|
Objetivo da Segurança da Informação
Dotar a organização de um sistema capaz de garantir a confidencialidade, integridade e disponibilidade dos ativos críticos de informação da organização e prevenir incidentes que ponham em risco a reputação da organização e a sua capacidade de resposta aos Clientes e acionistas.
Os ativos críticos podem ser os dados do negócio, fórmulas técnicas, bases de dados pessoais, contratos com Clientes, Fornecedores, Parceiros e Colaboradores, entre outros.
|
Objetivo da Proteção dos Dados Pessoais
Dotar a Organização de capacidade de resposta ao cumprimento do Regulamento Europeu publicado em 2016 com aplicabilidade em 2018.
Clarificar que os dados pessoais pertencem aos seus titulares e não às organizações utilizadoras.
Realçar que o tratamento dos dados pessoais é concebido para servir as pessoas titulares dos seus dados.
Esta em causa a credibilidade da Organização, seus subcontratados e as expectativas do consumidor.
|
|
Prejuízos
Há vários exemplos de organizações que foram muito penalizadas pelo impacto de um incidente de segurança de informação na sua reputação e/ou capacidade de resposta e sobrevivência.
|
Coimas
Estão previstas em Regulamento Coimas severas para as Organizações e para os seus subcontratados no caso provado de violações da privacidade dos dados pessoais.
|
|
Princípio da transparência
A Organização pode submeter o seu Sistema de Gestão de Segurança da Informação à certificação nacional e internacional ISO 27001 por parte de um organismo certificador independente que garante de forma transparente que a Organização tem capacidade de proteção da informação critica, incluindo os dados pessoais dos seus Clientes.
|
Princípio da transparência
“Deverá ser transparente para as pessoas singulares que os dados pessoais que lhes dizem respeito são recolhidos, utilizados, consultados ou sujeitos a qualquer outro tipo de tratamento e a medida em que os dados pessoais são ou virão a ser tratados. O princípio da transparência exige que as informações ou comunicações relacionadas com o tratamento desses dados pessoais sejam de fácil acesso e compreensão, e formuladas numa linguagem clara e simples.” In Regulamento
|
|
Metodologia de implementação
As organizações devem aplicar a metodologia PLAN + DO + CHECK + ACT:
PLAN - diagnosticar a informação crítica da organização e a legislação aplicável
PLAN - identificar e avaliar os riscos da segurança da informação crítica incluindo os dados pessoais
PLAN - Decidir qual o plano de tratamento, responsáveis e recursos
DO – Implementar o plano de tratamento dos riscos
CHECK – Verificar, medir e monitorizar o nível de risco resultante
ACT - Atuar no sentido da melhoria e desempenhos crescentes
|