POLÍTICA DE SIGILO E CONFIDENCIALIDADE DA INFORMAÇÃO Manual de Orientação
SEBRAE MINAS
FICHA TÉCNICA © 2016. Serviço de Apoio às Micro e Pequenas Empresas de Minas Gerais – SEBRAE TODOS OS DIREITOS RESERVADOS É permitida a reprodução total ou parcial, de qualquer forma ou por qualquer meio, desde que divulgada a fonte. INFORMAÇÕES E CONTATOS Serviço de Apoio às Micro e Pequenas Empresas de Minas Gerais – SEBRAE Unidade de Inteligência Empresarial Av. Barão Homem de Melo, 329, Nova Granada – CEP 30.431-285 - Belo Horizonte - MG. Telefone: 0800 570 0800 Home: www.sebrae.com.br/minasgerais SEBRAE MINAS Presidente do Conselho Deliberativo| OLAVO MACHADO Diretor Superintendente| AFONSO MARIA ROCHA Diretor Técnico| ANDERSON COSTA CABIDO Diretor de Operações| MARDEN MÁRCIO MAGALHÃES UNIDADE DE INTELIGÊNCIA EMPRESARIAL Gerente| FELIPE BRANDÃO DE MELO Equipe Técnica| SÍLVIA PENNA CHAVES LOBATO – Autoria Projeto gráfico | JEFFERSON SOARES FERREIRA UNIDADE DE EDUCAÇÃO E EMPREENDEDORISMO Gerente| FABIANA RIBEIRO DE PINHO Equipe Técnica| VANESSA VISACRO
L796p Lobato, Sílvia Penna Chaves Política de sigilo e confidencialidade da informação: manual de orientação. / Sílvia Penna Chaves Lobato. – Belo Horizonte: SEBRAE Minas. 2016. 29p. il 1. Sigilo da informação. 2.Segurança da informação. I. Serviço de Apoio às Micro e Pequenas Empresas de Minas Gerais. II. Título.
SUMÁRIO 04
INTRODUÇÃO
05
OBJETIVO
06
POLÍTICA DE SIGILO E CONFIDENCIALIDADE DA INFORMAÇÃO DO SEBRAE
07
CLASSIFICAÇÃO DA INFORMAÇÃO
09
ETAPAS PARA IMPLANTAÇÃO DA POLÍTICA DE SIGILO E CONFIDENCIALIDADE DA INFORMAÇÃO
19
RESPONSABILIDADES
20
GLOSSÁRIO
22
ANEXOS
28
REFERÊNCIA BIBLIOGRÁFICA
03
INTRODUÇÃO
04
A informação é um dos ativos de maior valor para as organizações e pode representar grande poder para quem a possui, apresentando-se como recurso estratégico sob a ótica da vantagem competitiva. Para o Sebrae não é diferente, uma vez que a informação é considerada um ativo essencial. Todavia, nem toda informação é crucial ou essencial a ponto de merecer cuidados especiais. De acordo com a norma ABNT ISO/IEC 27002 “informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e, consequentemente, necessita ser adequadamente protegida. [...] A informação pode existir em diversas formas. [...]. Seja qual for a forma de apresentação ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente. ” Ou seja, Informação compreende qualquer conteúdo que possa ser armazenado ou transferido de algum modo, servindo a determinado propósito e sendo de utilidade para a tomada de decisão. Trata-se de tudo aquilo que permite a aquisição de conhecimento. Partindo do pressuposto de que a informação certa comunicada às pessoas certas é de extrema importância, o Sebrae Minas implementou sua Política de Sigilo e Confidencialidade da Informação, onde a classificação e a proteção das informações são consideradas componentes críticos no processo de governança da segurança da informação. Por isto, o Sebrae tem a responsabilidade de proteger suas informações contra modificações não autorizadas, vazamentos, perdas, impacto sobre a segurança, integridade e privacidade individual e da Instituição. Para o sucesso de um projeto dessa natureza é necessário o apoio da alta direção e a capacitação dos colaboradores e estagiários, além do acompanhamento para averiguação do entendimento da política e a classificação dos documentos propriamente dita.
OBJETIVO Apresentar as orientações básicas para a implantação de uma Política de Sigilo e Confidencialidade da Informação.
05
POLÍTICA DE SIGILO E CONFIDENCIALIDADE DA INFORMAÇÃO DO SEBRAE
A Política de Sigilo e Confidencialidade da Informação surgiu para preservar um dos principais ativos da organização - o CONHECIMENTO. Seu objetivo é garantir que a informação seja acessível apenas aos grupos de interesse e esteja sempre disponível, sem danos ao seu conteúdo, além de orientar todos os colaboradores envolvidos com relação a definição de:
06
• Critérios para classificação e controle das informações; • Procedimentos para garantia do sigilo e confidencialidade da informação; • Responsabilidades na gestão da segurança da informação. A Política de Sigilo e Confidencialidade da Informação é muito importante, uma vez que: • Reduz riscos de vazamento e do uso indevido da informação; • Permite a organização do ambiente de trabalho; • Garante controle sobre os recursos internos; • Garante disponibilidade, integridade, confidencialidade e autenticidade das informações. A Política de Sigilo e Confidencialidade abrange todo o Sebrae, necessitando do entendimento e participação dos colaboradores, estagiários e terceiros que temporariamente acessam a rede organizacional. A política também define as responsabilidades, procedimentos e postura esperada de todos, quanto à garantia do sigilo e confidencialidade das informações e a segurança da tecnologia da informação.
CLASSIFICAÇÃO DA INFORMAÇÃO Toda informação possui grau de sigilo diferente e nem todos os colaboradores precisam ter acesso a todas as informações geradas na organização. Para que a organização possa determinar o nível de proteção de suas informações, é necessária a classificação das mesmas. Este processo de classificação consiste em identificar quais são os níveis de proteção que as informações demandam e estabelecer classes e formas de identificá-las, além de determinar os controles de proteção a cada uma delas.
PROPOSTA DE CLASSIFICAÇÃO DA INFORMAÇÃO:
IMPACTO
+
Gerado a partir do vazamento ou indisponibilidade da informação
NÍVEL DE SIGILO
Determinado quanto ao impacto gerado à organização
Definir o impacto que pode surgir caso haja vazamento ou indisponiblidade da informação:
Definir o nível de sigilo necessário para a informação a fim de minimizar a ocorrência do impacto:
Estabelecer procedimentos quanto ao ciclo de vida da informação a serem adotados de acordo com o grau de sigilo:
Impacto à reputação
Confidencial
Criação
Impacto jurídico
Restrito
Manuseio
Impacto financeiro
Uso Interno
Transporte
Público
Armazenamento Descarte
07
A informação deve receber um nível adequado de proteção, conforme seu valor, requisitos legais, sensibilidade e criticidade para a organização. Para o Sebrae, foram definidas quatro categorias de classificação:
INFORMAÇÃO PÚBLICA De caráter informativo, comercial ou promocional, se destina à divulgação ao público em geral.
Destinada ao público interno do Sebrae.
INFORMAÇÃO RESTRITA
INFORMAÇÃO CONFIDENCIAL
Informações relevantes para o negócio do Sebrae ou suas partes interessadas (clientes, fornecedores, parceiros, etc.). Estão disponíveis apenas para um grupo de pessoas ou unidades.
08
INFORMAÇÃO INTERNA
Informações estratégicas para a organização e seu negócio, com manuseio restrito a um grupo seleto de pessoas.
Os níveis de classificação da informação são definidos considerando os impactos negativos gerados a um stakeholder ou ao Sebrae, pelo vazamento ou indisponibilidade da informação. Todo documento deve apresentar, de forma visível e clara, o nível de classificação da informação contida no documento através de nomenclatura dos arquivos salvos em rede e do selo: • Público: nomear como PUB_Nome do documento e adicionar o selo; • Uso Interno: nomear como INT_Nome do documento e adicionar o selo; • Restrito: nomear como REST_Nome do documento e adicionar o selo; • Confidencial: nomear como CONF_Nome do documento e adicionar o selo. O selo deve ser inserido na primeira página, no canto superior direito do documento, obedecendo a seguinte formatação:
ETAPAS PARA IMPLANTAÇÃO DA POLÍTICA DE SIGILO E CONFIDENCIALIDADE DA INFORMAÇÃO
O processo de implantação de uma Política de Sigilo e Confidencialidade da Informação é composto por 6 etapas, a saber:
09 1ª etapa: Elaboração da Política de Sigilo e Confidencialidade da Informação 2ª etapa: Definição do projeto Piloto e seu escopo de informações 3ª etapa: Identificação dos macroprocessos e definição do roadmap de implementação 4ª etapa: Capacitação para implementação da Política 5ª etapa: Implementação da Política 6ª etapa: Acompanhamento da implementação da Política
É recomendado que a implementação da Política seja inicialmente realizada em um projeto Piloto, para o qual sugere-se as Unidades de Gestão Estratégica, Auditoria e Assessoria Jurídica, devido à criticidade de suas informações. Após a conclusão do projeto Piloto, deve-se expandir a implantação da Política de Sigilo e Confidencialidade para as demais Unidades do Sebrae.
1A ETAPA: ELABROAÇÃO DA POLÍTICA DE SIGILO E CONFIDENCIALIDADE DA INFORMAÇÃO Para elaboração da Política de Sigilo e Confidencialidade da Informação recomenda-se a definição de uma Unidade que será responsável por todo este processo, desde a elaboração da Política até sua implantação e acompanhamento. Também é recomendável a utilização da norma ABNT NBR 16167 – Segurança da Informação: diretrizes para classificação, rotulação e tratamento da informação. A Política deverá embasar o colaborador nos procedimentos referentes a criação, classificação, manuseio, armazenagem, transporte e descarte da informação e também orientar em relação as responsabilidades de cada ator neste processo.
10
A Política de Sigilo e Confidencialidade da Informação deve ter como conteúdo:
- Objetivo; - Introdução; - Abrangência; - Referências Normativas; - Definições; - Organização da Política de Sigilo e Confidencialidade da Informação; - Classificação da Informação; - Ciclo de Vida da Informação; - Da documentação dos incidentes e medidas disciplinares; - Documentação; - Disposição finais; - Anexos.
O conteúdo da Política de Sigilo e Confidencialidade da Informação deverá ser validado primeiramente com os Gerentes das Unidades do projeto piloto e posteriormente com a diretoria. Após a etapa da validação deverá ser elaborada a cartilha com o conteúdo da Política de Sigilo e Confidencialidade da Informação. A cartilha precisa apresentar as principais informações contidas no normativo, com linguagem simples e de fácil leitura.
2A ETAPA: DEFINIÇÃO DO PROJETO PILOTO E SEU ESCOPO DE INFORMAÇÕES Para o projeto Piloto, sugere-se a indicação de três Unidades que possuam informações sensíveis e estratégicas, como: • Volume de informações; • Valor das informações para o Sebrae; • Processos realizados de grande impacto no funcionamento da organização. Em seguida, para cada Unidade deve ser definido o escopo de informações que serão classificadas dentro das categorias: Pública, Interna, Restrita e Confidencial. Este escopo pode ser qualquer informação, desde que produzida por essas Unidades, em um período definido como, por exemplo: “Todas as informações geradas na Unidade e salvas na rede no ano de 2016”. Para facilitar a implantação do projeto Piloto, é indispensável a indicação de um Multiplicador em cada Unidade selecionada, que irá compor a equipe do projeto. O representante da Unidade responsável pela implantação do Piloto, deverá agendar uma reunião com todos os envolvidos para alinhamento das expectativas, apresentação do projeto e dos itens: - Conceitos e importância da classificação; - Nível de sensibilidade da informação; - Proposta para classificação; - Impactos no caso de vazamento/indisponibilidade; - Ciclo de vida da informação de acordo com o nível de sigilo; - Responsabilidades.
11
3A ETAPA: IDENTIFICAÇÃO DOS MACROPROCESSOS E DEFINIÇÃO DO ROADMAP DE IMPLEMENTAÇÃO Esta etapa tem por objetivo definir a cadeia de valor do Sebrae e listar os tipos de informações consumidas e geradas por cada macroprocesso de cada Unidade participante do projeto Piloto. Estas Unidades devem fazer um levantamento de seus documentos produzidos respeitando um período determinado (exemplo: documentos gerados em 2016). Para complementar o mapeamento das informações, é recomendável uma entrevista com os Gerentes destas Unidades. A partir de então, deve ser terminado o escopo para implantação do projeto Piloto.
12
Para facilitar a classificação de sigilo dos documentos é importante criar uma Planilha Inventário por Unidade (Anexo 01). Esta planilha tem como objetivo auxiliar o processo de classificação das informações e documentos gerados no Sebrae. Serve também como inventário das informações classificadas nas Unidades. Na reunião de abertura da implementação da política com cada Unidade, está previsto o início do preenchimento desta planilha.
A Planilha está dividida de modo a possibilitar a classificação da informação em dois momentos: a informação em construção” e a informação finalizada (Anexo 02). Por exemplo: a informação pode ser considerada “Restrita” durante sua construção e depois de finalizada ser classificada como “Pública”.
Na Planilha Inventário, além das colunas “Informação Gerada” e “Área Envolvida”, é necessário definir como padrão para todo o Sebrae a “Lista de Stakeholders Impactados” e o “Grau de Impacto gerado ao Sebrae ou a algum agente de interesse”. Sugere-se: • Lista de stakeholders impactados (Anexo 01): - Sebrae Minas - Colaboradores - Conselho Deliberativo e/ou Fiscal - Fornecedor / Prestador de Serviço - Sebrae Nacional - Empresários
- Prefeituras - Sociedade - Associações de classe - Órgãos de fiscalização - Órgãos do Governo Estadual ou Federal - Nenhum - Outro - Mais de um stakeholder
• Grau de impacto gerado ao Sebrae ou algum agente de interesse (Anexo 01): - Violação à regulamentação interna (normativos, políticas, regimento). - Baixos danos ao clima organizacional. - Baixos danos ou impactos à imagem da organização frente a comunidade local, parceiros, clientes, entre outro agente de interesse. - Impacto ao desenvolvimento das atividades da organização. - Baixa perda de diferencial no mercado. - Violação a regulamentação externa (leis). - Reparação de danos de valor moderado (morais e/ou patrimoniais). - Médios danos ao clima organizacional. - Médios danos à imagem da organização frente a comunidade local, parceiros, clientes, entre outros stakeholders. - Moderada perda de diferencial no mercado. - Extinção das obrigações contratuais por justa causa. - Reparação de danos de valor significativo (morais e/ou patrimoniais). - Elevados danos à imagem organizacional frente a comunidade local, parceiros, clientes, entre outros stakeholders. - Impacto elevado no Clima Organizacional. - Comprometimento a atuação do Sebrae (defesa ou pleito judicial ou administrativo). - Grande perda de diferencial no mercado. - Nenhum. - Não se aplica.
13
Após o preenchimento da planilha é importante a validação com os gerentes das Unidades, e só então a equipe começa a classificação.
O processo de classificação da informação deve ser contínuo para que corresponda a realidade do Sebrae
Posteriormente a implantação nas Unidades do Piloto, utiliza-se o roadmap para planejar a implantação nas demais Unidades.
Segue abaixo exemplo:
14
4A ETAPA: CAPACITAÇÃO PARA IMPLEMENTAÇÃO DA POLÍTICA A capacitação é obrigatória para todos os colaboradores integrantes das Unidades do projeto Piloto. Para facilitar o aprendizado sugere-se que ela aconteça por Unidade. Esta etapa destina-se a conduzir capacitações que esclareçam a maneira como as informações deverão ser classificadas a partir da implementação da política. O conteúdo da capacitação deverá abranger: • Os itens da Política; • O ciclo de vida da informação; • Esclarecimentos sobre o preenchimento da planilha inventário; • Responsabilidades de cada colaborador; • Consequências do não cumprimento da Política.
Durante a capacitação inicia-se o preenchimento da planilha inventário (Anexo 01). A cartilha informativa deverá ser entregue no momento da capacitação dos colaboradores. Após a expansão do projeto para as demais Unidades, é indispensável que todos os colaboradores e estagiários sejam capacitados para entenderem o objetivo, os procedimentos e as responsabilidades de cada ator descritos na Política. Profissionais terceirizados, que tenham acesso à rede do Sebrae, também devem ser contemplados na capacitação.
15
5A ETAPA: IMPLEMENTAÇÃO DA POLÍTICA A elaboração do plano de implementação da Política de Sigilo e Confidencialidade da Informação para todas as outras áreas deve levar em consideração a organização dos macroprocessos do Sebrae e o volume de informações geradas. Antes do início da implantação da Política, devem ser feitas reuniões com os Gerentes das Unidades para esclarecimento do processo e engajamento de todos. Nesta etapa acontece a execução da Política, isto é, os arquivos salvos na rede interna do Sebrae devem ser renomeados inserindo, antes do nome do documento, as iniciais correspondentes ao seu grau de sigilo (ex: PUB_; INT_; REST_; CONF_) seguida de underline e o nome do arquivo, como os exemplos abaixo:
16
• REST_ Radar da Inovação • PUB_ Identidade demográfica do estado de Minas Gerais • INT_ Detalhamento do processo de gestão de ativos intangíveis
Também deve ser inserido o selo correspondente a classificação, na primeira página, no lado esquerdo do documento.
17 Exemplo de inserção do selo em infográfico
Exemplo em documento Word
6A ETAPA: ACOMPANHAMENTO DA IMPLEMENTAÇÃO DA POLÍTICA
Para o sucesso do projeto é primordial o monitoramento da classificação das informações nas Unidades, após 10 dias da realização do treinamento/preenchimento da planilha inventário. Esta etapa tem como principal objetivo apoiar a implementação da política, realizando ajustes de percurso, se necessário, e pactuando as ações corretivas e preventivas, além de proposições de melhorias tanto na condução da implementação quanto na própria política.
18
Neste momento também são sanadas as dúvidas e aferido se os documentos estão renomeados e com o selo conforme definido na planilha inventário por Unidade (Anexo 02).
RESPONSABILIDADES
A classificação da informação define e atribui responsabilidades relacionadas aos colaboradores de acordo com a relação que a pessoa tem com a informação. A seguir as categorias elencadas:
Gestor da Informação O Gestor da Informação é qualquer unidade ou colaborador do Sebrae que seja responsável pela informação. São responsabilidades do gestor da informação: a) Atribuir a correta classificação do documento, dado ou informação; b) Contribuir para que os envolvidos na tramitação da informação adotem os procedimentos adequados para o manuseio, transporte, armazenagem e descarte da informação.
Colaboradores Cabe a todos os colaboradores e estagiários do Sebrae: a) Cumprir os procedimentos e as regras estabelecidos na política, observando-se o nível de sigilo da informação; b) Proteger as informações contra acessos, modificação, destruição ou divulgação não autorizados; c) Assegurar que os recursos tecnológicos, as informações e sistemas a sua disposição sejam utilizados apenas para as finalidades aprovadas; d) Não compartilhar informações confidenciais de qualquer tipo; e) Comunicar imediatamente ao seu Gerente, qualquer descumprimento ou violação da política e/ou de suas normas e procedimentos para as providências cabíveis.
Diretores e Gerentes São responsabilidades dos Diretores e Gerentes: a) Contribuir para que suas equipes tenham acesso e cumpram os procedimentos e as regras da Política de Sigilo e Confidencialidade da Informação; b) Realizar adequações dos processos e procedimentos sob sua responsabilidade para atender as exigências da política.
19
GLOSSÁRIO
TI: Tecnologia da Informação. Ativo: qualquer recurso que tenha valor para a Instituição; Classificação da Informação: é a ação de definir o nível de sensibilidade da informação a fim de assegurar que a informação receba um nível adequado de proteção, conforme seu valor, requisitos legais, sensibilidade e criticidade para organização (ABNT NBR 16167:2013).
20
Segurança da Informação: preservação da informação considerada como estratégica, observando-se as seguintes premissas:
1.Confidencialidade: garantia de que a informação é acessível apenas a pessoas, entidades ou processos devidamente autorizados; 2.Integridade: salvaguarda da inteireza da informação e dos respectivos métodos de processamento; 3.Disponibilidade: garantia de que usuários ou processos devidamente autorizados obtenham acesso à informação e aos ativos correspondentes sempre que for necessário.
Informação: resultado do processamento e da organização de dados, que podem estar na forma escrita, verbal ou imagética e em meio físico ou digital, ou registros de um sistema, passíveis de serem armazenados para posterior transmissão. Gestor da informação: unidade organizacional ou colaborador do SEBRAE/MG que seja responsável pela informação. Política: conjunto de intenções e diretrizes globais, formalmente expressas pela Direção da Instituição.
Memória Organizacional: documentos produzidos pela Instituição, tais como
relatório de atividades, plano plurianual, relatório setorial/regional, diagnósticos, pesquisas, dentre outros.
Mídias Removíveis: dispositivos que permitem a leitura e gravação de dados como CD, DVD, Pen Drive, Cartão de Memória, dentre outros.
OneDrive: serviço de armazenamento em nuvem da Microsoft, que possibilita
armazenar, hospedar e compartilhar qualquer arquivo, bem como definir restrições quanto ao acesso a arquivos, sendo o drive na nuvem oficial do SEBRAE/ MG.
Sigilo: salvaguarda de informações não passíveis de revelação, sem a devida autorização do gestor da informação. Stakeholder: pessoa ou grupo que tenha interesse por uma Instituição e seus negócios; público estratégico desta ou partes interessadas, conforme exemplos listados no Anexo I desta norma. Vazamento: divulgação ou disponibilização a pessoa não autorizada de informações consideradas confidenciais ou de acesso controlado.
Usuário dos Ativos de TI: todas as pessoas que venham a utilizar os ativos de tecnologia da informação.
Ativos de Tecnologia da Informação: hardwares, softwares, informações e
conhecimentos armazenados em mídia digital, todas as informações geradas ou processadas por todo e qualquer usuário dos ativos da entidade, que possuem seus respectivos valores associados:
Físicos: equipamentos computacionais e periféricos, infraestrutura física e ló-
gica de rede, dispositivos de armazenamento de dados, instalações físicas, ambiente, acesso remoto, telefonia fixa e móvel, dentre outros;
Softwares: bancos de dados, aplicativos, sistemas operacionais, navegador, ferramentas de desenvolvimento, linguagens de programação, softwares utilitários, sistemas corporativos, gerenciamento de rede, dentre outros;
Informacionais: bases de dados, arquivos, documentação de sistemas, manuais, material de treinamento, metodologias e procedimentos operacionais, plano de continuidade dos negócios, dentre outros. Incidentes de Segurança: ocorrência de um incidente pelo não cumprimento de padrões e recomendações de sigilo e confidencialidade da informação.
Medidas Disciplinares: aplicação de sanções de ordem administrativa, tais
como advertência, suspensão, rescisão de contrato de trabalho, decorrentes da inobservância dos comandos desta norma, sem prejuízo da adoção de medidas judiciais.
21
ANEXOS
Anexo 01 – PLANILHA PARA CLASSIFICAÇÃO DOS DOCUMENTOS
22
Anexo 01 – CLASSIFICAÇÃO DOS DOCUMENTOS
Selecione para quem a informação é crítica/impactado (relação dos stakeholders)
23
Relação de stakeholders: - Sebrae Minas - Colaboradores - Conselho Deliberativo e/ou Fiscal - Fornecedor / Prestador de Serviço - Sebrae Nacional - Empresários - Prefeituras - Sociedade - Associações de classe - Órgãos de fiscalização - Órgãos do Governo Estadual ou Federal - Nenhum - Outro - Mais de um stakeholders
Identifique qual o grau de impacto para o Sebrae ou a algum stakeholder no caso de vazamento
Selecione o grau de impacto no caso de vazamento:
24
Relação do grau de impacto no caso de vazamento: - Violação à regulamentação interna (normativos, políticas, regimento) - Baixo danos ao clima organizacional - Baixos danos ou impactos à imagem da organização frente a comunidade local, parceiros, clientes, entre outro agente de interesse - Impacto ao desenvolvimento das atividades da organização - Baixa perda de diferencial no mercado - Violação a regulamentação externa (leis) - Reparação de danos de valor moderado (morais e/ou patrimoniais) - Médio danos ao clima organizacional - Médios danos à imagem da organização frente a comunidade local, parceiros, clientes, entre outros stakeholder - Moderada perda de diferencial no mercado - Extinção das obrigações contratuais por justa causa - Reparação de danos de valor significativo (morais e/ou patrimoniais) - Elevados danos à imagem organizacional frente a comunidade local, parceiros, clientes, entre outros stakeholder - Impacto elevado no Clima Organizacional - Comprometimento a atuação do Sebrae (defesa ou pleito judicial ou administrativo) - Grande perda de diferencial no mercado - Nenhum - Não se aplica
Anexo 02 – CLASSIFICAÇÃO DOS DOCUMENTOS: Informação em construção e Informação final Classificação da Informação em construção
25 Classificação da Informação final
Anexo 03 – Exemplo de planilha preenchida: Informação em construção e Informação final
26
27
REFERÊNCIA BIBLIOGRÁFICAS
28
1. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002: Tecnologia da informação - Técnicas de segurança - Código de pratica para a gestão da segurança da informação. Rio de Janeiro.
2. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR 16167: Segurança da informação – Diretrizes para classificação, rotulação e tratamento da informação. Rio de Janeiro, 2013. 13p.
3. BARUFFI, Elisa; LIMÕES, Luiza. Como garantir o sigilo e a confidencialidade das informações. Belo Horizonte: Sebrae Minas, 2015. 16p.il.
REFERÊNCIA BIBLIOGRÁFICAS
1. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002: Tecnologia da informação - Técnicas de segurança - Código de pratica para a gestão da segurança da informação. Rio de Janeiro.
2. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR 16167: Segurança da informação – Diretrizes para classificação, rotulação e tratamento da informação. Rio de Janeiro, 2013. 13p.
3. BARUFFI, Elisa; LIMÕES, Luiza. Como garantir o sigilo e a confidencialidade das informações. Belo Horizonte: Sebrae Minas, 2015. 16p.il.
4. CARDOSO, Fábio Eder; OLIVEIRA, Paulo Cesar de. Política de segurança das informações nas empresas. Disponível em: http://s.profissionaisti.com.br/ wp-content/uploads/2013/06/Politica-de-Seguran%C3%A7a-nas-Empresas. pdf . Acessado em: 19 de setembro de 2016.
5. FAGUNDES, Leonardo Lemes. Classificação da informação: aula 07. Disponível em: http://professor.unisinos.br/llemes/Aula07/Aula07.pdf Acessado em: 19 de setembro de 2016.
6. OLIVEIRA, Paulo César. Política de segurança da informação: definição, importância, elaboração e implementação. Disponível em: http://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/. Acessado em: 19 de setembro de 2016.
7. SEBRAE Minas. IN/DIREX/001/2016: Política de sigilo e confidencialidade. Belo Horizonte.
29