Política Segurança da Informação by 391038

SCHMIDT LIGHT METAL GROUP

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

INTRODUÇÃO

Política Geral O objetivo da presente Política de Segurança da Informação é dirigir e servir de apoio ao Sistema de Gestão de Segurança da Informação através do estabelecimento de diretrizes aplicáveis a toda a estrutura do Schmidt Light Metal Group. O Schmidt Light Metal Group é composto pela Schmidt Light Metal, Fundição Injectada, Lda. (“SLM”), pela DMM – Desenvolvimento, Maquinagem e Montagem, Lda. (“DMM”), pela AutoConceptus – Projectos de Engenharia, Lda. (“ATC”) e pela ODIBIL – Oliveira de Azeméis Imobiliária, Lda. (“ODB”). O Schmidt Light Metal Group estabelece o compromisso de assegurar o cumprimento dos seguintes objetivos:

Adotar a presente política do sistema de informação como principal estratégia para o Sistema de Gestão de Segurança da Informação, promovendo e assegurando o seu cumprimento pelas partes interessadas envolvidas e relevantes para o seu Sistema de Gestão de Segurança da Informação;

ii)

Estabelecer, monitorizar e rever, no mínimo anualmente, os objetivos do Sistema de Gestão de Segurança da Informação, maximizando a sua eficácia na segurança de informação no Schmidt Light Metal Group;

iii)

Determinar e proteger os ativos estratégicos da informação do Schmidt Light Metal Group e dos vários processos que a suportam, impedindo a sua destruição, divulgação, modificação e utilização não autorizada;

iv)

Garantir a identificação e o cumprimento das obrigações contratuais, legais e regulamentares, em matéria de segurança de informação e dados pessoais;

Avaliar o risco e tomar medidas necessárias à prevenção e à melhoria contínua do Sistema de Gestão de Segurança da Informação e quando necessárias ações corretivas eficazes;

vi)

Envolver proactivamente todas as partes interessadas envolvidas e relevantes na melhoria do desempenho do Sistema de Gestão de Segurança da Informação;

vii)

Reduzir ao mínimo o risco de perda, adulteração ou indisponibilidade de informação considerada crítica pelo Schmidt Light Metal Group e pelas partes interessadas relevantes;

viii)

Melhorar continuamente a tendência dos indicadores de segurança da informação e o desempenho do Sistema de Gestão de Segurança da Informação.

SCHMIDT LIGHT METAL GROUP

Consideram-se partes interessadas envolvidas e relevante para o Sistema de Gestão de Segurança da Informação do Schmidt Light Metal Group toda e qualquer pessoa, singular ou colectiva que possa ter acesso a dados e informação de segurança e com as quais o Schmidt Light Metal Group tenha celebrado um contrato para o fornecimento de um produto (ou serviço) ou esteja na dependência hierárquica do Schmidt Light Metal Group ou que de alguma forma possa estar envolvida na cadeia de segurança de informação do Schmidt Light Metal Group, por exemplo: administração, trabalhadores, clientes, incluindo a cadeia de fornecimento (clientes dos nossos clientes), fornecedores e subcontratados de produtos ou serviços, autoridades e entidades reguladoras. O Schmidt Light Metal Group reserva-se o direito de, a todo o tempo, alterar as regras constantes da presente Política de Segurança da Informação sempre que tal se revele necessário, designadamente para adequar as mesmas às necessidades concretas que o desenvolvimento da sua atividade venha a revelar e para acompanhar a evolução tecnológica.

Âmbito de aplicação A presente Política de Segurança da Informação é de cumprimento obrigatório para todas as partes interessadas envolvidas e relevantes para o Sistema de Gestão de Segurança da Informação, incluindo:- administração, trabalhadores na dependência hierárquica do Schmidt Light Metal Group, com ou sem vínculo laboral e toda a pessoa, singular ou colectiva, que utilize as ferramentas disponibilizadas pelos sistemas, ou que tenham por alguma via acesso a qualquer informação no Schmidt Light Metal Group. A presente Política deverá ser lida em conjunto com outras políticas, regulamentos ou manuais de procedimentos do Schmidt Light Metal Group, designdamente Manual de Segurança da Informação, Manual da Qualidade, Manual de Gestão Ambiental e Segurança e Saúde no trabalho, Código de Conduta, Regulamento Interno, Regulamento Sobre Utilização de Equipamentos Informáticos, Política de Privacidade Interna e outros documentos relevantes à segurança da informação publicados e divulgados nos meios de informação do Schmidt Light Metal Group. Qualquer plano específico de Segurança da Informação deverá ajustarse às disposições e recomendações de carácter mais geral e superior constantes do presente documento. Perante a existência de contradições ou discrepâncias com outros documentos, será aplicada a política ou medida de carácter mais restrito. Em caso de dúvida sobre a medida a aplicar, a parte interessada envolvidas e relevante, por exemplo, um colaborador, deverá contactar o Departamento de Tecnologias de Informação para os contactos disponibilizados no Anexo III (Contactos).

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Esta Política de Segurança da Informação, baseia-se nos critérios do Standard Internacional ISO/IEC 27001 como marco de referência de controlos, nos requisitos da Indústria Automóvel “VDA Information Security Assessement” (VDA ISA) e em particular o TISAX “Trusted Information Security Assessment Exchange”, e adota as precauções necessárias para garantir o nível de segurança exigido pelo enquadramento jurídico vigente em matéria de dados pessoais, inclusivamente o Regulamento Geral de Proteção de Dados1.

Vigência da Política A Política de Segurança da Informação foi definida, aprovada, comunicada e/ ou disponibilizada aos trabalhadores pela gestão de topo do Schmidt Light Metal Group permanecendo em vigor até ser revogada. Quando revogada, se substituída por outra versão, depois de aprovada pela gestão de topo, é comunicada e/ou disponibilizada aos colaboradores. A entrada em vigor da versão coincide com a data da sua aprovação. No mínimo, todos os anos a Política de Segurança da Informação é revista, podendo esta continuar em vigor (ou não) conforme a sua adequação à estratégia e propósitos da gestão de topo Todas as referências documentais com informação referente a versões, alterações, etc., aparecem descritas na ficha de versões no Anexo II (Versões da Política de Segurança da Informação). A Política de Segurança da Informação será revista todos os anos e submetida a aprovação pela Administração, caso tenha sofrido alterações. Caso contrário, esta versão continuará em vigor.

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) e tendo já em conta o Regulamento n.º 1/2018 relativo à lista de tratamentos de dados pessoais sujeitos a Avaliação de Impacto sobre a Proteção de Dados.

• 4

SCHMIDT LIGHT METAL GROUP

II.

PRINCÍPIOS

Princípios Gerais Através da presente Política, estabelecem-se as regras e princípios destinados a zelar pela segurança da informação em todos os processos do Schmidt Light Metal Group. Para efeitos da presente Política, considera-se “Informação” quaisquer dados de natureza organizativa, técnica, comercial ou financeira, dados pessoais ou qualquer outra informação relativa à atividade do Schmidt Light Metal Group, gerados, desenvolvidos ou acedidos pelos Colaboradores ou por prestadores de serviços durante a execução de atividades ao serviço do Schmidt Light Metal Group. A Informação pode estar presente sobre quaisquer formas, quer em suporte físico (v.g., papel), suporte físico de armazenamento (v.g., Pen drive, CDROM), ou suporte digital (v.g.: pastas de rede, ficheiros, sharepoint) ou até mesmo por meio de comunicação oral. A Informação é considerada um ativo do Schmidt Light Metal Group. Assim, factos como a modificação, divulgação ou destruição não autorizada, independentemente das causas (erros, fraudes, vandalismo, espionagem, sabotagem, etc.) podem causar graves danos à empresa. As regras e princípios aqui estabelecidos são aplicáveis em todas as fases do ciclo de vida da Informação e dos documentos do Schmidt Light Metal Group (geração, distribuição, armazenamento, processamento, transporte, consulta e destruição), assim como dos Sistemas que os suportam (análise, conceção, desenvolvimento, implementação, exploração e manutenção) - a Informação e os Sistemas serão conjuntamente designados por “Ativos”. As regras e princípios estabelecidos pela Política têm em vista a adoção de medidas destinadas a preservar sempre os quatro pilares básicos da segurança da informação: i)

Confidencialidade: garantir que apenas as pessoas devidamente autorizadas acedem aos Ativos e que não existe, em momento algum, divulgação ou acesso não autorizado de informação transmitida, conservada ou sujeita a qualquer outro tipo de tratamento;

ii)

Integridade: garantir a precisão dos Ativos contra alterações, perdas ou destruição, (acidental ou ilícita);

iii)

Disponibilidade: garantir que os Ativos podem ser utilizados da forma e no momento requeridos;

iv)

Resiliência: garantir medidas que minimizem os problemas ou falhas que possam vir a ocorrer decorrentes de falhas ou violações de segurança.

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Princípios Básicos da Segurança São indicados, de seguida, os princípios básicos relacionados com a Segurança da Informação que regem a Política de Segurança:

Defesa a fundo – A gestão de riscos deverá prever diferentes estratégias de segurança de forma a que se uma das camadas de defesa falhe ou seja inadequada, a outra camada preveja a vulnerabilidade;

ii)

Atribuição de privilégios mínimos – Será facilitado o acesso mínimo necessário à realização de uma operação, e unicamente pelo tempo necessário. Cada utilizador e processo deverão deter um conjunto de direitos de acesso mínimo e suficiente para o desempenho das tarefas de acordo com a Descrição da Função, assinada aquando da contratação;

iii)

Separação de privilégios – Na medida em que tal seja possível, e para minimizar o impacto negativo de um incidente de segurança, os privilégios de segurança deverão ser atribuídos a pessoas diferentes ao longo de cada processo;

iv)

Conveniência vs. complexidade – Os controlos de segurança devem ser de fácil utilização, de forma a serem realmente utilizados na prática pelos utilizadores finais, e não evitados e adulterados;

Privacidade por defeito e desde a conceção. Por forma a evitar incidentes de segurança no que respeita ao tratamento de dados pessoais e, consequentemente, a sua alteração, destruição e perda, são aplicados, tanto no momento de definição dos meios de tratamento como no momento do próprio tratamento, as medidas técnicas e organizativas adequadas destinadas a aplicar com eficácia os princípios da proteção de dados, bem como para assegurar que, por defeito, só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento conforme especificado na Política de Proteção de Dados Pessoais dos Colaboradores;

vi)

Utilização e reutilização de componentes de confiança – Deve-se promover a reutilização de componentes já testados e consolidados. A utilização repetitiva sem falhas promove a confiança. Recomendase “não reinventar a roda” e, por omissão, serem utilizados os mecanismos de segurança presentes nas próprias aplicações (exemplo: autenticação de servidores Web, algoritmos criptográficos, etc.) de acordo com a Política de Aquisição de Novos Equipamentos IT e Software;

SCHMIDT LIGHT METAL GROUP

vii)

“Assegurar o ponto mais fraco” – A segurança é uma corrente, e essa corrente é tão forte quanto o seu elo mais fraco. Um ativo é tão seguro quanto o seu componente mais fraco. A título de exemplo, a segurança de determinada informação armazenada num servidor é posta em causa e, apesar de, informaticamente, o servidor ser extremamente seguro, qualquer pessoa dentro da organização poder aceder ao mesmo;

viii)

Princípio da leitura para baixo – Os utilizadores autorizados a aceder a informação com um determinado nível de classificação devem estar autorizados a aceder a informação de níveis inferiores de acordo com a Política de Acessos e da respetiva Descrição da Função;

ix)

Princípio da necessidade de conhecer – A autorização de acesso a informação terá como base a “necessidade de conhecer”. O acesso a informação classificada como não pública só será concedido a quem necessite de conhecer tal informação de acordo com a Política de Acessos e da respetiva Descrição da Função;

Auditabilidade – A realização de auditorias periódicas, de acordo com o Manual de Segurança da Informação, permitirá manter os Sistemas atualizados no que respeita a ameaças internas ou externas, simulando um ataque à rede para testar as suas capacidades e ainda a capacidade de reação dos membros intervenientes;

xi)

Colaboração – O acesso aos Ativos por parte de uma terceira entidade está condicionado à adesão à presente Política e aos regulamentos associados existentes no Schmidt Light Metal Group de cumprimento obrigatório.

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

III.

NORMAS

Organização da Segurança da Informação A Direção de Tecnologias de Informação (“DIT”) assegura a implementação de controlos adequados, a definição de procedimentos e de papéis/ responsabilidades, a delimitação de responsabilidades e a gestão de todo o pessoal envolvido, canalizando as diretrizes e regulamentos para as diferentes linhas comerciais, assim como a definição de uma estrutura organizativa de segurança. No caso de contratos com fornecedores, a Segurança da Informação deverá ser garantida e mantida através de acordos ou cláusulas a inserir nos acordos, que deverão contemplar os riscos, os controlos de segurança e os procedimentos para a utilização dos Ativos no contrato entre as partes, bem como a forma de reação em caso de Violações de Dados Pessoais ou outros Incidentes de Segurança. O Schmidt Light Metal Group testa, aprecia e avalia regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento de Dados Pessoais e de Segurança da Informação. São definidos três perfis com responsabilidades distintas ao nível da Segurança da Informação: Proprietário

é o responsável pela classificação dos Ativos e pela atribuição das respetivas autorizações de acesso, de acordo com os fins definidos por si.

Guardião

é o responsável pela adoção das medidas de segurança, bem como da implementação e administração dos controlos necessários.

Utilizador

é o responsável pelo cumprimento dos controlos estabelecidos, fazendo uso dos Ativos apenas para os fins para os quais foi autorizado.

Os Ativos deverão ser classificados em função dos níveis estabelecidos com base na sua sensibilidade e criticidade (ver quadro abaixo). A classificação dos Ativos, com a atribuição dos respetivos Proprietários, Guardiões e Utilizadores, consta no Manual de Segurança da Informação.

SCHMIDT LIGHT METAL GROUP

Classificação Definição

Impacto

Controlos Previstos

Altamente Confidencial

Aplicável a informação mais sensível, bem como a dados pessoais que devam ser rigorosamente restritos conforme a necessidade (por exemplo: documentos de aquisição, planos estratégicos, estratégias de contencioso, dados de saúde)

Um Incidente de Segurança pode afetar significativamente a organização, os respetivos investidores, colaboradores e parceiros

• Consentimento do titular da informação • Encriptação obrigatória • Implementação de contratos e/ou acordos de confidencialidade com terceiros • Controlos estritos de acesso sempre que possível • Não pode ser partilhada sem consentimento expresso

Confidencial

Informação de acesso restrito a um grupo limitado de pessoas dentro da organização, incluindo informação que permita identificar pessoas singulares externas à organização e informação sensível relativa à atividade: • estratégia, quadros de referência não publicados, casos de negócios • relatórios de auditorias • detalhes dos riscos comerciais • contratos • resultados financeiros não publicados ou informação financeira confidencial da sociedade • credenciais de acesso e registo • detalhes dos salários dos colaboradores

Um Incidente de Segurança pode ter um impacto grave, por exemplo, na reputação organizacional, devido à violação de regulamentos / legislação

• Consentimento do titular da informação • Encriptação obrigatória • Implementação de contratos e/ ou acordos de confidencialidade com terceiros e respetivos colaboradores • Controlos de acesso sempre que possível • Proibição de publicação na intranet ou em websites

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Classificação Definição

Impacto

Controlos Previstos • Consentimento do titular da informação • A encriptação deve ser ponderada, mas não é obrigatória • Implementação de acordos de confidencialidade com terceiros (ponderar contratos)

Interno

• A maioria dos dados tratados pela organização • Informação não sensível de rotina, relacionada com operações • Detalhes de métodos de trabalho e serviços • Listas de tarefas • Procedimentos operacionais normais • Organigramas

Um Incidente de Segurança pode causar algum impacto ou ser inconveniente do ponto de vista operacional

Público

Os dados não estão sujeitos a quaisquer controlos, podendo ser livremente difundidos

Desnecessidade N/A de proteção; contudo, poderá ponderar-se a implementação de controlos para salvaguardar a integridade da Informação

Sempre que a Informação tenha sido classificada, deve a mesma ser tratada em conformidade. Caso determinada Informação não tenha sido classificada, recairá na classificação supletiva “INTERNO”.

SCHMIDT LIGHT METAL GROUP

Segurança Relacionada com Gestão das Pessoas As responsabilidades de cada Colaborador em matéria de segurança dos Ativos deverão ser detalhadas nos contratos a celebrar com o Schmidt Light Metal Group e analisadas durante a avaliação de desempenho do Colaborador. Todos os Colaboradores, independentemente do vínculo existente com o Schmidt Light Metal Group, deverão assinar um acordo de confidencialidade, não divulgação de informação e compromisso relativamente a quaisquer medidas de segurança adotadas ou a adotar. Todos os Colaboradores do Schmidt Light Metal Group recebem formação adequada, tal como descrito no plano de formação anual e de acordo com a sua Descrição da Função, sobre os procedimentos de segurança e sobre a utilização correta dos serviços e processos de Informação do Schmidt Light Metal Group, que os consciencializará para as ameaças e riscos no âmbito da Segurança da Informação. Todos os Colaboradores do Schmidt Light Metal Group deverão notificar quaisquer Incidentes de Segurança para a Direção de Tecnologias de Informação, devendo conhecer os diferentes procedimentos existentes para os diferentes incidentes, de acordo com o Manual de Segurança da Informação. Os Incidentes de Segurança deverão ser comunicados imediatamente através dos meios indicados no Anexo III (Contactos). A violação da presente Política de Segurança da Informação, no caso dos Colaboradores com vínculo laboral ao Schmidt Light Metal Group, constituirá infração disciplinar, a qual poderá originar a instauração do competente processo disciplinar, nos termos da legislação laboral. Relativamente aos Colaboradores sem vínculo laboral ao Schmidt Light Metal Group, a violação das presentes regras poderá determinar a cessação do respetivo contrato. Os Colaboradores, independentemente na natureza do seu vínculo, são ainda responsáveis, perante o Schmidt Light Metal Group e perante quaisquer terceiros, por qualquer dano que possa resultar, para uns ou para outros, do incumprimento das regras definidas nesta Política de Segurança da Informação.

Segurança Física e do Ambiente Os Ativos (quando aplicável) deverão estar localizados em áreas seguras devidamente protegidas de quaisquer riscos e ameaças físicas ou ambientais, sejam estas intencionais ou acidentais. A proteção fornecida deverá ser sempre proporcional e adequada ao risco existente, tendo em consideração a criticidade, sensibilidade e classificação da Informação. Será necessário estabelecer garantias físicas de segurança, a fim de reduzir os riscos de danos ou perda de dados.

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Se necessário, o Schmidt Light Metal Group poderá implementar controlos adicionais, a fim de salvaguardar determinados Sistemas, tanto internos como externos, conforme a sua classificação. As instalações dedicadas ao processamento da Informação, assim como a própria Informação, devem ser protegidas contra a divulgação, alteração, acesso ou extravio por parte de pessoas não autorizadas, devendo serem implementados controlos e medidas de segurança destinadas a evitar e minimizar perdas ou danos. O Departamento de Gestão de Segurança e Saúde no Trabalho mantém um plano de emergência e evacuação do(s) edifício(s) no caso de ameaças físicas ou ambientais, o qual é comunicado a todos os Colaboradores.

Controlo de Acesso Os procedimentos para o controlo do acesso aos sistemas de Informação cobrirão todas as etapas do ciclo de vida dos acessos de um Colaborador e serão devidamente comunicados ao mesmo. O acesso não autorizado aos Sistemas e à Informação está vedado, sendo implementados controlos apropriados para a gestão dos direitos de cada Colaborador. O Schmidt Light Metal Group reserva-se o direto de utilizar todas e quaisquer medidas de segurança lógica e organizacional para restringir o acesso não autorizado. Os acessos à Informação serão monitorizados, a fim de verificar a eficácia dos controlos adotados e detetar desvios à política de controlo de acessos de acordo com o descrito no Manual de Segurança da Informação. Deverá ser garantida a Segurança da Informação na utilização de dispositivos móveis e instalações de trabalho remotas. A proteção requerida será proporcional ao risco implicado pela modalidade de trabalho.

Aquisição, Desenvolvimento e Manutenção de Sistemas Serão desenvolvidas diretrizes essenciais para garantir que a segurança é incorporada no desenvolvimento e manutenção dos Sistemas, bem como nos novos projetos e no tratamento de Dados Pessoais, incluindo as infraestruturas e aplicações, através da análise e especificação de requisitos de segurança, designando controlos apropriados, a fim de prevenir perdas, alterações ou utilizações não autorizadas. Os requisitos de segurança deverão ser identificados e aprovados antes do desenvolvimento dos Sistemas e incorporados durante toda a sua utilização. Os Sistemas devem incluir medidas de controlo e auditoria, logs ou registos de atividade necessários, a fim de evitar perdas, alterações ou a má utilização de dados do Colaborador ou de um terceiro nos mesmos. As aplicações dos Sistemas (se aplicável) devem ser desenvolvidas de forma a permitir a validação dos dados de entrada, o tratamento interno e os dados de saída.

SCHMIDT LIGHT METAL GROUP

Quando alguma Informação é crítica e tem um alto grau de risco, de acordo com a classificação vigente no Schmidt Light Metal Group, deverão ser usados sistemas e técnicas criptográficas para proteger a Informação, destinadas a proteger a confidencialidade, autenticidade e integridade da mesma. Deve ainda ser garantido que os projetos e atividades de suporte dos Sistemas são desenvolvidos de forma segura, controlando o acesso a todos os ficheiros de dados. A manutenção da integridade dos Sistemas será da responsabilidade do Proprietário da Informação. Os ambientes dos projetos e o suporte aos mesmos serão rigorosamente controlados. Os Guardiões da Informação ou dos Sistemas também serão responsáveis pela segurança dos mesmos, garantindo que todas as alterações propostas são revistas, a fim de comprovar que as mesmas não comprometem a segurança dos Sistemas.

Gestão de Incidentes de Segurança (incluindo Violações de Dados Pessoais) Serão colocados à disposição dos Colaboradores todos os meios necessários para garantir que os Incidentes de Segurança (incluindo Violações de Dados Pessoais), sejam comunicados de forma a permitir a aplicação oportuna e adequada das medidas corretivas. Em particular, aponta-se para o Manual de Resposta a Incidentes de Violação de Segurança da Informação e o Manual de Resposta a Incidentes e Violação de Dados Pessoais. No Manual de Segurança da Informação estão definidos procedimentos formais de comunicação e encaminhamento de Incidentes de Segurança. Todos os Colaboradores têm acesso aos procedimentos estabelecidos e estão obrigados a comunicá-los ao contacto designado. Estão ainda definidas responsabilidades e procedimentos para responder a Incidentes de Segurança, aplicando-se um processo de melhoria contínua à reação, supervisão, avaliação e gestão geral dos mesmos. Quando forem necessários testes, estes deverão ser recolhidos de forma a garantir o cumprimento dos requisitos legais.

Continuidade de Negócio A continuidade das atividades críticas do Schmidt Light Metal Group é garantida através da implementação de diretrizes e de controlos preventivos e corretivos adequados a fim de reduzir as falhas de segurança ao máximo. Os planos de contingência devem ser desenvolvidos e implementados de forma a assegurar que a atividade pode ser restabelecida o mais rapidamente possível. Implementar-se-ão vários controlos para identificar e reduzir os riscos, limitar as consequências de Incidentes de Segurança, e assegurar o tempo de resposta das operações essenciais.

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

8. Conformidade A conceção, operação, utilização e administração dos Sistemas estará sujeita a requisitos de segurança legal, regulamentar e contratual. Em conformidade com a legislação aplicável, bem como quaisquer orientações e regulamentação a que o Schmidt Light Metal Group esteja sujeito, este compromete-se a:

Zelar pelo cumprimento de qualquer legislação que verse sobre Segurança da Informação, dos sistemas e Dados Pessoais;

ii)

Impor aos seus Colaboradores o mesmo cumprimento;

iii)

Impor a quaisquer outros Utilizadores dos Sistemas ou da Informação – incluindo prestadores de serviços – o mesmo cumprimento.

Avaliação e Tratamento de Riscos Serão realizadas avaliações metódicas do risco que visem identificar, quantificar e hierarquizar os riscos aos quais o Schmidt Light Metal Group está sujeito e que identifiquem desde logo as medidas de resolução de incidentes proporcionais e adequados ao risco identificado. Os processos de avaliação/apreciação dos riscos e de seleção de controlos servirão de orientação e determinarão as ações de gestão mais apropriadas, assim como as prioridades de ação. As avaliações do risco serão realizadas periodicamente de forma a contemplar eventuais alterações nos requisitos de segurança e nas situações-tipo de risco.

IV. Incumprimento da Política de Segurança O incumprimento manifesto da Política de Segurança da Informação poderá determinar o início de um procedimento disciplinar e, caso aplicável, responsabilidade civil ou criminal.

V. Anexos Constituem Anexos da presente Política, os seguintes documentos:

•

Anexo I – Glossário

•

Anexo II – Versões da Política de Segurança da Informação

•

Anexo III – Contactos

SCHMIDT LIGHT METAL GROUP

ANEXO I GLOSSÁRIO Ativos

A Informação e os Sistemas.

Colaboradores

Toda e qualquer pessoa singular com a qual tenha sido celebrado um contrato de trabalho ou qualquer outra pessoa que preste serviços ao Schmidt Light Metal Group, incluindo, designadamente, representantes legais, trabalhadores, procuradores, de empresas prestadoras de serviços, consultores, prestadores de serviço em nome individual, independentemente da natureza e validade do vínculo jurídico estabelecido com o Schmidt Light Metal Group.

Incidente de Segurança

Qualquer evento com um efeito adverso na segurança dos Sistemas e/ou da Informação, incluindo Violações de Dados Pessoais.

Informação

Quaisquer dados de natureza organizativa, técnica, comercial ou financeira, dados pessoais ou qualquer outra informação relativa à atividade do Schmidt Light Metal Group, gerados, desenvolvidos ou acedidos pelos Colaboradores ou por outros prestadores de serviços durante a execução de atividades ao serviço do Schmidt Light Metal Group. A Informação pode estar presente sobre quaisquer formas, quer em suporte físico (v.g., papel), suporte físico de armazenamento (v.g., Pen drive, CD-ROM), ou suporte digital (v.g.: pastas de rede, ficheiros, sharepoint) ou até mesmo por meio de comunicação oral.

Sistemas

Conjunto organizado de dados ou outros recursos utilizados para processar informação dentro do Schmidt Light Metal Group. Uma violação da segurança que provoque, de modo acidental

Violação de dados ou ilícito, a destruição, a perda, a alteração, a divulgação ou pessoais o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

ANEXO II VERSÕES DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Data

Referência da versão

31/05/2019

1ª Versão

Principais alterações

ANEXO III CONTACTOS Direção de Tecnologias de Informação Manuel António Valente informationsecurity@performing.solutions Departamento de Tecnologias de Informação helpdesk@performing.solutions

Link para a versão

SCHMIDT LIGHT METAL GROUP

Versão 1 Data de entrada em vigor 31 de maio de 2019 Última revisão em 31 de maio de 2019 Emitido por P&C Aprovado por Administração

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Schmidt Light Metal Group