A proteção no acesso, tratamento, salvaguarda e transmissão de informação de forma consistente com os requisitos profissionais, éticos, legais, regulamentares e contratuais, é uma das maiores prioridades da eBUPi e algo que é considerado fundamental para o sucesso do projeto BUPi e a expansão do Sistema de Informação Cadastral Simplificado. A perda ou roubo de informação, pode ter consequências graves a nível legal, administrativo, financeiro e reputacional ou comprometer a prossecução do interesse público cometido à eBUPi, estando por isso esta Estrutura de Missão comprometida com a salvaguarda da confidencialidade, integridade e disponibilidade da informação, sob sua responsabilidade e da sua própria informação e propriedade intelectual, quer esta se encontre em suporte físico ou digital.

A Política de Segurança da Informação da eBUPi baseia-se na adaptação de standards internacionais e nacionais recomendados, tais como a norma ISO 27001:2022 e o Quadro Nacional de Referência para a Cibersegurança (QNRCS), que estabelecem para os respetivos efeitos, os princípios gerais que devem ser aplicados à informação e aos ativos de suporte, seguindo toda a legislação e regulamentação aplicável. É responsabilidade de todas as partes interessadas contribuírem proativamente para a proteção e segurança da informação.

Princípios

A presente política de segurança da informação, visa garantir os seguintes princípios:

  1. A confidencialidade da informação é respeitada;
  2. A informação está protegida contra acessos não autorizados;
  3. A integridade da informação está assegurada;
  4. A legislação, os estatutos, os regulamentos e os contratos, independentemente da sua designação, aplicáveis são respeitados;
  5. A segurança da informação, quando em continuidade de negócio, é apropriada, mantida e testada regularmente;
  6. O princípio da necessidade de conhecer é implementado, atribuído acesso à informação, apenas a quem dela necessitar para o desempenho de funções e apenas quanto à informação estritamente necessária;
  7. Todas as quebras de segurança da informação detetadas ou sob suspeita, são investigadas pelas áreas com competência para o efeito.
  8. O uso da informação é restrito à prossecução dos objetivos e atribuições principais no que concerne ao RJSICS e ao BUPi refletido na Lei n.º 78/2017, de 17 de agosto, na sua atual redação, à Lei n.º 65/2019, de 23 de agosto, na sua atual redação e do Decreto-Regulamentar nº 9-A/2017, de 3 de novembro, na sua atual redação, sem prejuízo do disposto em outros diplomas legais que disponham sobre essa matéria.

Objetivos

Constituem-se como principais objetivos da eBUPi neste domínio:

  1. Garantir que todos os seus dirigentes e trabalhadores, bem como os colaboradores das equipas externas contratadas têm conhecimento e cumprem as políticas e procedimentos de segurança existentes;
  2. Definir e comunicar responsabilidades ao nível da segurança de informação;
  3. Promover um ambiente positivo de segurança;
  4. Garantir a conformidade com os requisitos internos e externos, sejam eles legais, regulamentares, contratuais ou normativos, sempre que aplicáveis;
  5. Promover a consciencialização contínua sobre a segurança de informação para garantir que todos os mencionados , compreendem a forma como a segurança de informação faz parte das suas funções e as responsabilidades que têm na proteção da confidencialidade, integridade e disponibilidade da informação;
  6. Considerar os requisitos de segurança da informação na análise e previsão do desempenho do negócio;
  7. Adotar uma abordagem baseada no risco, identificando as principais áreas de risco inerentes à atividade da segurança da informação, avaliando continuamente as ameaças de segurança de informação, garantindo que estas são identificadas e geridas tendo por base a avaliação de risco e a aplicação de medidas adequadas;
  8. Promover a proteção adequada da infraestrutura de sistemas de informação e comunicações contra perda, má utilização ou acessos indevidos;
  9. Assegurar que o controlo de acessos aos sistemas de informação, cumpre os requisitos de identificação, autenticação, autorização estabelecidos e permite a sua auditoria;
  10. Estabelecer o acesso à informação somente a pessoas autorizadas e no quadro estrito do exercício das suas funções;
  11. Promover uma cultura de melhoria contínua neste domínio;
  12. Promover a deteção, registo, reporte e investigação de incidentes de segurança de forma eficaz e eficiente para garantir a minimização dos impactos deste tipo de incidentes;
  13. Promover requisitos de segurança da informação a considerar na gestão da continuidade das operações de negócio.
  14. Promover a revisão contínua dos mecanismos e processos de segurança para assegurar que são efetivos, relevantes e adequados às necessidades.