Afirma-se que: A Política de Segurança da Informação de uma empresa ou organização pode ser chamada de Política Principal de Segurança da Informação ou Política Geral de Segurança da Informação que é composta obrigatoriamente por: • Norma de uso aceitável de ativos de informação • Norma de gestão de riscos • Norma de gestão de vulnerabilidades de segurança • Norma de proteção de dados • Norma de controle de acesso • Norma de continuidade de negócios • Norma de correlação de registros (log) • Norma de segurança física • Norma de desenvolvimento seguro de aplicativos • Norma de gestão de mudanças • Norma de e-mail e comunicação instantânea • Norma de resposta a incidentes. Como estruturar uma Política de Segurança da Informação de maneira coerente ao porte da sua empresa? Pode ser feita a Política Principal de Segurança da Informação juntamente com as políticas secundárias (ou chamadas de normas)? Justifique.

Questão

Afirma-se que: A Política de Segurança da Informação de uma empresa ou organização pode ser chamada de Política Principal de Segurança da Informação ou Política Geral de Segurança da Informação que é composta obrigatoriamente por: • Norma de uso aceitável de ativos de informação • Norma de gestão de riscos • Norma de gestão de vulnerabilidades de segurança • Norma de proteção de dados • Norma de controle de acesso • Norma de continuidade de negócios • Norma de correlação de registros (log) • Norma de segurança física • Norma de desenvolvimento seguro de aplicativos • Norma de gestão de mudanças • Norma de e-mail e comunicação instantânea • Norma de resposta a incidentes.

Como estruturar uma Política de Segurança da Informação de maneira coerente ao porte da sua empresa? Pode ser feita a Política Principal de Segurança da Informação juntamente com as políticas secundárias (ou chamadas de normas)? Justifique.

Resposta0

Uma forma coerente de estruturar a Política de Segurança da Informação (PSI) é tratá-la como um documento “guarda-chuva” (Política Principal/Geral), com diretrizes de alto nível alinhadas ao porte, contexto regulatório, apetite a risco e criticidade dos processos da empresa, e desdobrá-la em políticas secundárias/normas/procedimentos (documentos mais específicos e operacionais).

1) Estrutura recomendada (coerente com o porte)

a) Política Principal (alto nível, curta e estável)

Deve responder ao “o quê” e “por quê”, sendo mais perene e aprovada pela alta direção. Normalmente inclui:

  1. Objetivo e escopo (quem e o que cobre: unidades, sistemas, dados, terceiros).
  2. Princípios (confidencialidade, integridade, disponibilidade; conformidade; mínimo privilégio; need-to-know; segregação de funções etc.).
  3. Papéis e responsabilidades (Diretoria, TI, Segurança, Jurídico/Privacidade, donos de processo, usuários, terceiros).
  4. Governança (comitê, autoridade para exceções, gestão de riscos, auditoria interna, sanções disciplinares).
  5. Diretrizes gerais de controles (referência aos temas: acesso, ativos, logs, continuidade, incidentes, desenvolvimento seguro, físico etc.).
  6. Treinamento e conscientização.
  7. Gestão de exceções (como pedir, aprovar, prazo, compensações).
  8. Conformidade e penalidades.
  9. Revisão e atualização (periodicidade e gatilhos: incidentes, mudança regulatória, mudanças relevantes de negócio).

Para empresas menores, essa Política Principal costuma ser mais enxuta (ex.: 6–12 páginas), com linguagem simples e foco em riscos reais do negócio.

b) Políticas secundárias / normas (baixo nível, detalhadas e mutáveis)

Elas respondem ao “como” e “com que padrão”. São as “normas” que você listou (uso aceitável, riscos, vulnerabilidades, dados/LGPD, acesso, continuidade, logs, físico, SDLC seguro, mudanças, e-mail/IM, resposta a incidentes). Aqui é onde entram:

  • Regras objetivas (ex.: MFA obrigatório; tempo de retenção de logs; classificação de informação; critérios de senha; criptografia; backup; prazos de correção de vulnerabilidades por criticidade).
  • Processos (fluxos, responsáveis, registros obrigatórios, SLAs/SLOs).
  • Padrões técnicos (hardening, baseline, requisitos de nuvem, requisitos de endpoint, padrões de desenvolvimento).

Para empresas maiores e/ou reguladas, é comum haver ainda um terceiro nível: procedimentos e instruções técnicas (runbooks), além de padrões (standards) e guias (guidelines).

2) Como “calibrar” ao porte da empresa (prático)

A coerência com o porte vem de priorizar por risco e maturidade, não de “ter tudo grande”. Uma abordagem simples:

  1. Mapeie ativos e processos críticos (ex.: financeiro, dados pessoais, ERP, e-commerce, produção).
  2. Identifique requisitos legais/contratuais (LGPD, contratos com clientes, ISO, auditorias, requisitos setoriais).
  3. Avalie riscos principais (ex.: ransomware, vazamento de dados, fraude interna, indisponibilidade).
  4. Defina um conjunto mínimo viável de normas e evolua em fases.

Um “mínimo viável” para pequenas/médias empresas (exemplo)

  • Uso aceitável
  • Controle de acesso
  • Proteção de dados (privacidade e segurança)
  • Resposta a incidentes
  • Backup/continuidade (pode ser um capítulo inicial e depois virar norma)
  • Gestão de vulnerabilidades (mesmo que simples)
  • Logs (ao menos diretrizes e retenção básica)

As demais normas podem ser adicionadas conforme crescimento, auditorias, cloud, dev interno, ambiente industrial etc.

3) Pode fazer a Política Principal junto com as políticas secundárias?

Sim, pode. Existem duas formas comuns, e a escolha depende do porte/maturidade:

Opção A — Documento único (mais comum em empresas pequenas)

  • Um único documento “PSI” com seções/capítulos para cada tema (acesso, dados, incidentes etc.).
  • Vantagens: mais simples de manter, menos burocracia, adoção mais rápida.
  • Cuidados: pode ficar longo e difícil de atualizar; mudanças técnicas frequentes podem “bagunçar” a política.

Opção B — Política Principal + anexos/normas separadas (mais comum em empresas médias/grandes)

  • A Política Principal fica estável (alto nível) e as normas mudam com mais frequência.
  • Vantagens: governança melhor, atualização controlada por tema, facilita auditorias e delegação (ex.: TI atualiza padrão técnico sem “mexer” na diretriz corporativa).
  • Cuidados: exige controle de versões e boa organização do repositório documental.

Justificativa (melhor prática): separar “o que é obrigatório” (princípios e governança) do “como implementar” (normas e padrões) melhora clareza, manutenção, aderência e auditabilidade. Porém, em empresas pequenas, um documento único pode ser plenamente aceitável se estiver claro quem faz o quê, quais controles mínimos existem e como revisar.

4) Dica de organização (modelo simples)

  • PSI (Política Principal): 1 documento corporativo.
  • Normas (12 temas como você listou): 12 documentos (ou anexos), cada um com: objetivo, escopo, requisitos, responsabilidades, exceções, evidências.
  • Procedimentos/Playbooks: incidentes (runbooks), backup, mudança, onboarding/offboarding, hardening, SDLC.
  • Matriz de conformidade: relaciona requisitos (LGPD/contratos/ISO) ↔ controles ↔ evidências.

confidence: 92 slug: "estrutura-politica-seguranca-informacao-psic-normas" categories: ["Segurança da Informação", "Governança", "Políticas e Normas", "Gestão de Riscos"]}}}

Questões relacionadas

Ver últimas questões

Comece a estudar de forma inteligente hoje mesmo

Resolva questões de concursos e vestibulares com IA, gere simulados personalizados e domine os conteúdos que mais caem nas provas.

Ter acesso ilimitado

Cancele quando quiser.