Introdução
Informação é todo conjunto de fatos (dados)
e o conhecimento que pode ser extraído dele
por meio de sua estruturação, tratamento ou
análise. A informação permite tomar
decisões, direcionar ações, atuar, comunicar
ou interagir. Ela pode ser coletada,
armazenada e processada em uma organização
como o Instituto Mauá de Tecnologia (IMT) de
diversas maneiras diferentes, inclusive na
forma digital.
Exemplos de informação são cadastros de
alunos, currículos escolares, programa de
atividades especiais, planos de aulas,
material didático, folha de pagamentos etc.
A classificação do tipo de informação e dos
requisitos de confidencialidade, integridade
e disponibilidade aplicáveis são essenciais
para a aplicação das medidas de segurança da
informação apropriadas e para o uso adequado
pelos usuários dos recursos de tecnologia da
informação do IMT que tem acesso a eles.
Proprietário da Informação
É o gestor da área do IMT que responde pelos
principais processos de trabalho que
dependem da informação considerada ou que
tem o controle sobre as regras de tratamento
que se aplicam a ela dentro do instituto.
Os proprietários da informação são os
responsáveis pela classificação da
informação utilizada em documentos
impressos, arquivos digitais, sistemas e
bancos de dados.
Dados Pessoais
É a informação que se refere, de forma
direta ou indireta, a pessoas naturais
identificáveis. É protegida pela legislação
brasileira, em particular, a Lei Geral de
Proteção de Dados (LGPD).
A LGPD traz os princípios e requisitos para
que o tratamento de dados pessoais possa ser
feito.
Os dados pessoais que permitem lidar com a
esfera mais íntima da vida particular da
pessoa são considerados sensíveis pela LGPD
e os requisitos para o seu tratamento são
mais restritivos. Nesta categoria se
classificam os dados pessoais que tratam de
origem racial ou étnica, convicção
religiosa, opinião política, filiação a
sindicato ou a organização de caráter
religioso, filosófico ou político, dado
referente à saúde ou à vida sexual, dado
genético ou biométrico, quando vinculado a
uma pessoa natural.
Os processos de tratamento de dados pessoais
no IMT devem ser sempre executados pelos
usuários em conformidade com a LGPD conforme
estabelecido em sua política de privacidade
da informação, bem como nos contratos e
termos de uso aplicados por ele.
Confidencialidade da Informação
A confidencialidade da informação representa
o quanto uma informação deve ter seu acesso
restrito por meio dos controles de segurança
da informação aplicados pela GTI e dos
cuidados tomados pelos seus usuários.
A classificação da confidencialidade da
informação deve ser revisada periodicamente
pelo proprietário da informação e divulgada
para os usuários e para a GTI, de forma que
possam ser aplicadas as medidas de segurança
apropriadas.
|
PÚBLICA
|
A informação é de uso livre e
seu conteúdo pode ser divulgado
sem restrições.
|
|
INTERNA
|
A informação é pertinente
as atividades do dia a dia
do IMT e pode ser
disponibilizada para
qualquer usuário dos
recursos de tecnologia da
informação do IMT que queira
ter acesso a ela. Não há
motivos para a divulgação
externa, porém não há
impactos significativos se
isto ocorrer.
|
|
RESTRITA
|
A informação é destinada ao
uso por um grupo restrito de
usuários, para as suas
atividades no IMT, e a
divulgação não autorizada
pode trazer danos para as
atividades administrativas
ou acadêmicas do IMT. Um
exemplo deste tipo de
informação é o planejamento
de novos cursos, que se
divulgado antes do momento
correto, pode prejudicar as
campanhas de lançamento e
passar informações ainda
incompletas trazendo
desorientação para os
futuros interessados.
|
|
CONFIDENCIAL
|
A informação é destinada ao
uso somente para grupos de
usuários que necessitam
explicitamente delas para a
execução de suas atividades
e sua divulgação não
autorizada pode ferir
direitos, violar a
legislação, desrespeitar
cláusulas contratuais,
trazer riscos para pessoas
físicas ou impactar de forma
negativa o IMT e outras
partes interessadas.
Dados pessoais, por padrão,
devem ser tratados como
informação confidencial pelo
IMT e usados apenas para os
propósitos informados para
os seus titulares.
|
Integridade da Informação
Por padrão, se considera que toda informação
tratada no IMT deve ser protegida de forma
razoável contra modificações indevidas ou
erros operacionais. Casos excepcionais, em
que cuidados especiais (informações com
criticidade ALTA em relação ao requisito de
integridade) devam ser tomados, devem ser
informados pelos proprietários da informação
para a GTI.
Disponibilidade da Informação
Por padrão, se considerar que toda
informação tratada no IMT deve ter garantida
sua disponibilidade para os usuários de
forma razoável. Casos excepcionais, em que
cuidados especiais (informações com
criticidade ALTA em relação ao requisito de
disponibilidade) devam ser tomados, devem
ser informados pelos proprietários da
informação para a GTI.
Aplicação da Classificação pela GTI e pelos
usuários
Os usuários dos recursos de tecnologia da
informação deverão conhecer as regras de
classificação apresentadas neste documento e
as aplicar em todas as suas atividades no
IMT que envolvam o uso da informação.
A política de segurança da informação, os
padrões de configuração, os procedimentos de
uso dos recursos de tecnologia da informação
e os controles estabelecidos pela GTI se
aplicam de forma obrigatória a todas as
informações classificadas como confidencial
ou restrita e de forma opcional a informação
de uso interno e pública.
Rotulagem da Informação
Por padrão, para fins de aplicação das
medidas de controle de segurança da
informação e divulgação pelos usuários,
qualquer informação do IMT não rotulada,
seja em arquivos, mídia ou impressa, deve
ser considerada confidencial por seus
usuários até que seja determinado de forma
diferente por seu proprietário.
A rotulagem poderá ser feita por meio do
nome do arquivo, de indicação no rodapé do
documento ou pela identificação da mídia.
|
Revisão
Jean Marcos Barbosa de Souza
Analista de Segurança
Carlos Alberto Iglesia Bernardo
Consultor
Aprovação
João Carlos Corrêa
Gerente de TI
A GTI aprova esta política e autoriza
sua publicação e vigência
Versão
: 1.0
Data
: 19/09/2023
Autor
: IT Secure / GTI
|
