1.      Introdução

1.1.  O INSTITUTO DE MEDICINA INTEGRAL PROFESSOR FERNANDO FIGUEIRA – IMIP tem como missão “Assistir integralmente os usuários do sistema público de saúde, dentro das melhores normas científicas, devendo dispor, ainda, de instrumentos necessários para pesquisas relativas às condições socioeconômicas da família nordestina e à prioritária atenção aos programas de formação de pessoal para a área de saúde”.

1.2.  O INSTITUTO DE MEDICINA INTEGRAL PROFESSOR FERNANDO FIGUEIRA – IMIP entende que a informação corporativa é um bem essencial para suas atividades e para resguardar a qualidade e garantia dos serviços ofertados à população.

1.3.  O INSTITUTO DE MEDICINA INTEGRAL PROFESSOR FERNANDO FIGUEIRA – IMIP compreende que a manipulação de sua informação passa por diferentes meios de suporte, armazenamento e comunicação, sendo estes vulneráveis a fatores externos e internos que podem comprometer a segurança das informações corporativas.

1.4.  Dessa forma, o INSTITUTO DE MEDICINA INTEGRAL PROFESSOR FERNANDO FIGUEIRA – IMIP estabelece sua Política Geral de Segurança da Informação, como parte integrante do seu sistema de gestão corporativo, alinhada as boas práticas e normas internacionalmente aceitas, com o objetivo de garantir níveis adequados de proteção a informações da organização ou sob sua responsabilidade.

2.      Propósito

2.1.  Esta política tem por propósito estabelecer diretrizes e normas de Segurança da Informação que permitam aos colaboradores do INSTITUTO DE MEDICINA INTEGRAL PROFESSOR FERNANDO FIGUEIRA – IMIP adotar padrões de comportamento seguro, adequados às metas e necessidades do INSTITUTO DE MEDICINA INTEGRAL PROFESSOR FERNANDO FIGUEIRA – IMIP;

2.2.  Orientar quanto à adoção de controles e processos para atendimento dos requisitos para Segurança da Informação;

2.3.  Resguardar as informações do Instituto de Medicina Integral Professor Fernando Figueira – IMIP, garantindo requisitos básicos de confidencialidade, integridade e disponibilidade;

2.4.  Prevenir possíveis causas de incidentes e responsabilidade legal da instituição e seus empregados, estudantes, pesquisadores, usuários e parceiros;

2.5.  Minimizar os riscos de perdas financeiras, ou de qualquer outro impacto negativo na sua imagem institucional como resultado de falhas de segurança.

3.      Escopo

3.1.  Esta política se aplica a todos os usuários da informação do INSTITUTO DE MEDICINA INTEGRAL PROFESSOR FERNANDO FIGUEIRA – IMIP, incluindo qualquer indivíduo ou organização que possui ou possuiu vínculo com o INSTITUTO DE MEDICINA INTEGRAL PROFESSOR FERNANDO FIGUEIRA – IMIP, tais como empregados, ex-empregados, estudantes, ex-estudantes, pesquisadores, ex-pesquisadores, prestadores de serviço, ex-prestadores de serviço, colaboradores, ex-colaboradores, que possuíram, possuem ou virão a possuir acesso às informações do INSTITUTO DE MEDICINA INTEGRAL PROFESSOR FERNANDO FIGUEIRA – IMIP e/ou fizeram, fazem ou farão uso de recursos computacionais compreendidos na infraestrutura INSTITUTO DE MEDICINA INTEGRAL PROFESSOR FERNANDO FIGUEIRA – IMIP.

4.      Diretrizes

4.1.  O objetivo da gestão de Segurança da Informação do Instituto de Medicina Integral Professor Fernando Figueira – IMIP é garantir a gestão sistemática e efetiva de todos os aspectos relacionados à segurança da informação, provendo suporte as operações críticas institucionais e minimizando riscos identificados e seus eventuais impactos à instituição.

4.2.  A Superintendência Geral e o Comitê Gestor de Segurança da Informação estão comprometidos com uma gestão efetiva de Segurança da Informação no INSTITUTO DE MEDICINA INTEGRAL PROFESSOR FERNANDO FIGUEIRA – IMIP. Desta forma, adotam todas medidas cabíveis para garantir que esta política seja adequadamente comunicada, entendida e seguida em todos os níveis da organização. Revisões periódicas serão realizadas para garantir sua contínua pertinência e adequação as necessidades do Instituto de Medicina Integral Professor Fernando Figueira – IMIP.

4.3.  É política do Instituto de Medicina Integral Professor Fernando Figueira – IMIP:

4.3.1.       Elaborar, implantar e seguir por completo políticas, normas e procedimentos de segurança da informação, garantindo que os requisitos básicos de confidencialidade, integridade e disponibilidade da informação do INSTITUTO DE MEDICINA INTEGRAL PROFESSOR FERNANDO FIGUEIRA – IMIP sejam atingidos através da adoção de controles contra ameaças provenientes de fontes tanto externas quanto internas;

4.3.2.       Disponibilizar políticas, normas e procedimentos de segurança a todas as partes interessadas e autorizadas, tais como: Empregados, estudantes, pesquisadores, terceiros contratados e, onde pertinente, usuários.

4.3.3.       Garantir a educação e conscientização sobre as práticas adotadas pelo INSTITUTO DE MEDICINA INTEGRAL PROFESSOR FERNANDO FIGUEIRA – IMIP de segurança da informação para Empregados, estudantes, pesquisadores, terceiros contratados e, onde pertinente, usuários.

4.3.4.       Atender integralmente requisitos de segurança da informação aplicáveis ou exigidos por regulamentações, leis e/ou cláusulas contratuais;

4.3.5.       Tratar integralmente incidentes de segurança da informação, garantindo que os mesmos sejam adequadamente registrados, classificados, investigados, corrigidos, documentados e, quando necessário, comunicando as autoridades apropriadas;

4.3.6.       Garantir a continuidade institucional através da adoção, implantação, teste e melhoria contínua de planos de continuidade e recuperação de desastres;

4.3.7.       Melhorar continuamente a Gestão de Segurança da Informação através da definição e revisão sistemática de objetivos de segurança em todos os níveis da organização.

5.      Papéis e Responsabilidades

5.1.  COMITÊ GESTOR DE SEGURANÇA DA INFORMAÇÃO - CGSI

5.1.1.    Fica constituído o COMITÊ GESTOR DE SEGURANÇA DA INFORMAÇÃO, contando com a participação de, pelo menos, um representante da Superintendência e um membro sênior das seguintes áreas: Tecnologia da Informação, Segurança da Informação, Recursos Humanos, Jurídico, Comunicação.

5.1.2.    É responsabilidade do CGSI:

5.1.2.1.        Analisar, revisar e propor a aprovação de políticas e normas relacionadas à segurança da informação;

5.1.2.2.        Garantir a disponibilidade dos recursos necessários para uma efetiva Gestão de Segurança da Informação;

5.1.2.3.        Garantir que as atividades de segurança da informação sejam executadas em conformidade com a PGSI;

5.1.2.4.        Promover a divulgação da PGSI e tomar as ações necessárias para disseminar uma cultura de segurança da informação no ambiente do Instituto de Medicina Integral Professor Fernando Figueira – IMIP.

5.2.  COORDENAÇÃO DE SEGURANÇA DA INFORMAÇÃO

5.2.1.    É responsabilidade da Coordenação de Segurança da Informação:

5.2.1.1.        Conduzir a Gestão e Operação da segurança da informação, tendo como base esta política e demais resoluções do CGSI;

5.2.1.2.        Apoiar o CGSI em suas deliberações;

5.2.1.3.        Elaborar e propor ao CGSI as normas e procedimentos de segurança da informação, necessários para se fazer cumprir a PGSI;

5.2.1.4.        Identificar e avaliar as principais ameaças à segurança da informação, bem como propor e, quando aprovado, implantar medidas corretivas para reduzir o risco;

5.2.1.5.        Tomar as ações cabíveis para se fazer cumprir os termos desta política;

5.2.1.6.        Realizar a gestão dos incidentes de segurança da informação, garantindo tratamento adequado.

5.3.  GESTORES DA INFORMAÇÃO

5.3.1.    É responsabilidade dos Gestores da Informação:

5.3.1.1.        Gerenciar as informações geradas ou sob a responsabilidade da sua área durante todo o seu ciclo de vida, incluindo a criação, manuseio e descarte conforme as normas estabelecidas pelo INSTITUTO DE MEDICINA INTEGRAL PROFESSOR FERNANDO FIGUEIRA – IMIP;

5.3.1.2.        Identificar, classificar e rotular as informações geradas ou sob a responsabilidade da sua área conforme normas, critérios e procedimentos adotados pelo INSTITUTO DE MEDICINA INTEGRAL PROFESSOR FERNANDO FIGUEIRA – IMIP;

5.3.1.3.        Periodicamente revisar as informações geradas ou sob a responsabilidade da sua área, ajustando a classificação e rotulagem das mesmas conforme necessário;

5.3.1.4.        Autorizar e revisar os acessos à informação e sistemas de informação sob sua responsabilidade;

5.3.1.5.        Solicitar a concessão ou revogação de acesso à informação ou sistemas de informação de acordo com os procedimentos adotados pelo INSTITUTO DE MEDICINA INTEGRAL PROFESSOR FERNANDO FIGUEIRA – IMIP.

5.4.  USUÁRIOS DA INFORMAÇÃO

5.4.1.    É responsabilidade dos Usuários da Informação:

5.4.1.1.        Ler, compreender e cumprir integralmente os termos da Política Geral de Segurança da Informação, bem como as demais normas e procedimentos de segurança aplicáveis;

5.4.1.2.        Encaminhar quaisquer dúvidas e/ou pedidos de esclarecimento sobre a Política Geral de Segurança da Informação, suas normas e procedimentos à Coordenação de Segurança da Informação ou, quando pertinente, ao Comitê Gestor de Segurança da Informação;

5.4.1.3.        Comunicar à Coordenação de Segurança da Informação qualquer evento que viole esta Política ou coloque/possa vir a colocar em risco a segurança das informações ou dos recursos computacionais do INSTITUTO DE MEDICINA INTEGRAL PROFESSOR FERNANDO FIGUEIRA – IMIP;

5.4.1.4.        Assinar o Termo de Uso de Sistemas Internos do INSTITUTO DE MEDICINA INTEGRAL PROFESSOR FERNANDO FIGUEIRA – IMIP, formalizando a ciência e o aceite integral das disposições da Política Geral de Segurança da Informação, bem como as demais normas e procedimentos de segurança, assumindo responsabilidade pelo seu cumprimento;

5.4.1.5.        Responder pela inobservância da Política Geral de Segurança da Informação, normas e procedimentos de segurança, conforme definido no item sanções e punições.

6.      Sanções e Punições

6.1.  As violações, mesmo que por mera omissão ou tentativa não consumada, desta política, bem como demais normas e procedimentos de segurança, serão passíveis de penalidades que incluem advertência verbal, advertência por escrito, suspensão não remunerada e a demissão por justa causa;

6.2.  A aplicação de sanções e punições será realizada conforme a análise do Comitê Gestor de Segurança da Informação, devendo-se considerar a gravidade da infração, efeito alcançado, recorrência e as hipóteses previstas no artigo 482 da Consolidação das Leis do Trabalho, podendo o CGSI, no uso do poder disciplinar que lhe é atribuído, aplicar a pena que entender cabível quando tipificada a falta grave.

6.3.  No caso de terceiros contratados ou prestadores de serviço, o CGSI deve analisar a ocorrência e deliberar sobre a efetivação das sanções e punições conforme termos previstos em contrato;

6.4.  Para o caso de violações que impliquem em atividades ilegais, ou que possam incorrer em dano ao INSTITUTO DE MEDICINA INTEGRAL PROFESSOR FERNANDO FIGUEIRA – IMIP, o infrator será responsabilizado pelos prejuízos, cabendo aplicação das medidas judiciais pertinentes sem prejuízo aos termos descritos nos itens 6.1, 6.2 e 6.3 desta política.

7.      Casos Omissos

7.1.  Os casos omissos serão avaliados pelo Comitê Gestor de Segurança da Informação para posterior deliberação.

7.2.  As diretrizes estabelecidas nesta política e nas demais normas e procedimentos de segurança, não se esgotam em razão da contínua evolução tecnológica e constante surgimento de novas ameaças. Desta forma, não se constitui rol enumerativo, sendo obrigação do usuário da informação do INSTITUTO DE MEDICINA INTEGRAL PROFESSOR FERNANDO FIGUEIRA – IMIP adotar, sempre que possível, outras medidas de segurança além das aqui previstas, com o objetivo de garantir proteção as informações do INSTITUTO DE MEDICINA INTEGRAL PROFESSOR FERNANDO FIGUEIRA – IMIP.

8.      Glossário

8.1.        Ameaça: Causa potencial de um incidente, que pode vir a prejudicar ao INSTITUTO DE MEDICINA INTEGRAL PROFESSOR FERNANDO FIGUEIRA – IMIP;

8.2.        Ativo: Tudo aquilo que possui valor para o INSTITUTO DE MEDICINA INTEGRAL PROFESSOR FERNANDO FIGUEIRA – IMIP;

8.3.        Ativo de informação: Patrimônio intangível do INSTITUTO DE MEDICINA INTEGRAL PROFESSOR FERNANDO FIGUEIRA – IMIP, constituído por suas informações de qualquer natureza, incluindo de caráter estratégico, técnico, administrativo, financeiro, mercadológico, de recursos humanos, legal natureza, bem como quaisquer informações criadas ou adquiridas por meio de parceria, aquisição, licenciamento, compra ou confiadas ao INSTITUTO DE MEDICINA INTEGRAL PROFESSOR FERNANDO FIGUEIRA – IMIP por parceiros, usuários, empregados, estudantes, pesquisadores, e terceiros, em formato escrito, verbal, físico ou digitalizado, armazenada, trafegada ou transitando pela infraestrutura computacional do INSTITUTO DE MEDICINA INTEGRAL PROFESSOR FERNANDO FIGUEIRA – IMIP ou por infraestrutura externa contratada pela organização, além dos documentos em suporte físico, ou mídia eletrônica transitados dentro e fora de sua estrutura física.

8.4.        COMITÊ GESTOR DE SEGURANÇA DA INFORMAÇÃO – CGSI: Grupo de trabalho multidisciplinar permanente, efetivado pela Superintendência do INSTITUTO DE MEDICINA INTEGRAL PROFESSOR FERNANDO FIGUEIRA – IMIP, que tem por finalidade tratar questões ligadas à Segurança da Informação.

8.5.        Confidencialidade: Propriedade dos ativos da informação do INSTITUTO DE MEDICINA INTEGRAL PROFESSOR FERNANDO FIGUEIRA – IMIP, de não serem disponibilizados ou divulgados para indivíduos, processos ou entidades não autorizadas.

8.6.        Controle: Medida de segurança adotada pelo INSTITUTO DE MEDICINA INTEGRAL PROFESSOR FERNANDO FIGUEIRA – IMIP para o tratamento de um risco específico.

8.7.        Disponibilidade: Propriedade dos ativos da informação do INSTITUTO DE MEDICINA INTEGRAL PROFESSOR FERNANDO FIGUEIRA – IMIP, de serem acessíveis e utilizáveis sob demanda, por partes autorizadas.

8.8.        Gestor da Informação: Usuário da informação que ocupe cargo especifico, ao qual foi atribuída responsabilidade sob um ou mais ativos de informação criados, adquiridos, manipulados ou colocados sob a responsabilidade de sua área de atuação.

8.9.        Incidente de segurança da informação: Um evento ou conjunto de eventos indesejados de segurança da informação que tem possibilidade significativa de afetar as operações ou ameaçar as informações do INSTITUTO DE MEDICINA INTEGRAL PROFESSOR FERNANDO FIGUEIRA – IMIP.

8.10.      Integridade: Propriedade dos ativos da informação do INSTITUTO DE MEDICINA INTEGRAL PROFESSOR FERNANDO FIGUEIRA – IMIP, de serem exatos e completos.

8.11.      Risco de segurança da informação: Efeito da incerteza sobre os objetivos de segurança da informação do INSTITUTO DE MEDICINA INTEGRAL PROFESSOR FERNANDO FIGUEIRA – IMIP.

8.12.      Segurança da informação: A preservação das propriedades de confidencialidade, integridade e disponibilidade das informações do INSTITUTO DE MEDICINA INTEGRAL PROFESSOR FERNANDO FIGUEIRA – IMIP.

8.13.      Usuário da informação: Empregados com vínculo empregatício de qualquer área do INSTITUTO DE MEDICINA INTEGRAL PROFESSOR FERNANDO FIGUEIRA – IMIP, Estudantes, Pesquisadores ou terceiros alocados na prestação de serviços ao INSTITUTO DE MEDICINA INTEGRAL PROFESSOR FERNANDO FIGUEIRA – IMIP, indiferente do regime jurídico a que estejam submetidos, assim como outros indivíduos ou organizações devidamente autorizados a utilizar, manipular qualquer ativo de informação do INSTITUTO DE MEDICINA INTEGRAL PROFESSOR FERNANDO FIGUEIRA – IMIP para o desempenho de suas atividades.

8.14.      Vulnerabilidade: Causa potencial de um incidente de segurança da informação, que pode vir a prejudicar as operações ou ameaçar as informações do INSTITUTO DE MEDICINA INTEGRAL PROFESSOR FERNANDO FIGUEIRA – IMIP.

Revisões

9.1.     Esta política é revisada com periodicidade anual ou conforme o entendimento do Comitê Gestor de Segurança da Informação.

Gestão da Política

10.1.  A Política Geral de Segurança da Informação é aprovada pelo Comitê Gestor de Segurança da Informação, em conjunto com a Superintendência do INSTITUTO DE MEDICINA INTEGRAL PROFESSOR FERNANDO FIGUEIRA – IMIP.

10.2.  A presente política foi aprovada no dia 09/08/2021.