O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.
Não foi possivel carregar a página pretendida. Reportar Erro

26 DE ABRIL DE 2018

5

i) Identificar e localizar a informação que contem dados pessoais, o seu propósito, risco e valor;

ii) Garantir que os procedimentos a estabelecer sejam adequados às obrigações de proteção de dados

pessoais decorrentes, nomeadamente, do Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho,

de 27 de abril de 2016, sobre a proteção de dados pessoais, e legislação nacional aplicável.

Artigo 5.º

Princípios aplicáveis

As políticas de segurança da informação da Assembleia da República, quer na sua definição, quer na sua

concretização diária, devem orientar-se pelos seguintes princípios:

a) Garantia de proteção – a informação é um recurso crítico para o eficaz desenvolvimento de todas as

atividades da Assembleia da República, sendo assim fundamental garantir a sua adequada proteção, nas

vertentes de integridade, autenticidade, disponibilidade e confidencialidade;

b) Sujeição à lei – tanto a política como as tarefas executadas no seu âmbito estão sujeitas à legislação

aplicável, bem como às normas e regulamentos internos aprovados pelas entidades competentes;

c) Necessidade de acesso – o acesso à informação deve restringir-se, exclusivamente, às pessoas que

tenham necessidade de a conhecer para cumprimento das suas funções e tarefas;

d) Transparência – deve assegurar-se a transparência, conjugando o dever de informar com a fixação, de

forma clara, das regras e procedimentos a adotar para a segurança da informação sob a responsabilidade deste

órgão de soberania;

e) Proporcionalidade – as atividades impostas pela segurança da informação devem ser proporcionais aos

riscos a mitigar e limitadas ao necessário, minimizando a entropia no regular funcionamento da Assembleia da

República;

f) Obrigatoriedade de cumprimento – as políticas e procedimentos de segurança definidos devem ser

integrados nos processos de trabalho e a execução das tarefas diárias deve ser pautada pelo seu cumprimento;

g) Responsabilidades – as responsabilidades e o papel das entidades intervenientes na segurança da

informação devem ser definidas de forma clara e ser alvo de monitorização e auditoria periódicas;

h) Informação – todas as políticas e procedimentos específicos devem ser publicitados e comunicados a

todos os utilizadores que deles necessitem para o desempenho das suas funções e tarefas;

i) Formação – deve ser planeado, aprovado e executado um plano de formação e de divulgação que incida

sobre o domínio da segurança da informação e sobre as políticas e procedimentos específicos adotados neste

âmbito;

j) Avaliação do risco – deve ponderar-se a necessidade de proteção da informação em função da sua

relevância e das ameaças que sobre ela incidem. A avaliação do risco deve identificar, controlar e eliminar os

diversos tipos de ameaças a que a informação se encontra sujeita. Os níveis de segurança, custo, medidas,

práticas e procedimentos devem ser apropriados e proporcionais ao valor e ao nível de confiança da informação;

k) Comunicação, registo e ponto de contacto único – todos os incidentes de segurança, bem como as

fragilidades, têm de ser objeto de comunicação imediata e registo de forma a proporcionar uma resposta célere

aos problemas. O processo de registo deve prever a identificação de um ponto único de contacto para onde

devem ser canalizados todos os relatos;

l) Sanções – a não observância das disposições de segurança da informação que se encontrem em vigor,

será considerada como infração às normas e regulamentos internos e, como tal, será sujeita a medidas

corretivas apropriadas de acordo com a legislação e normativos aplicáveis, ou que para o efeito venham a ser

estabelecidos.

Artigo 6.º

Atribuição de responsabilidades

1- Todos os utilizadores estão obrigados a cumprir e a fazer cumprir a presente política de segurança da

informação e têm o dever de zelar pela sua proteção e de proceder à comunicação de qualquer evento que

provoque, ou possa provocar, uma quebra de segurança da informação.

2- O Presidente da Assembleia da República é o primeiro responsável pela implementação e controlo do

Sistema de Gestão da Segurança da Informação da Assembleia da República, competindo-lhe aprovar os

documentos “Política de classificação da informação”, “Política de proteção de dados pessoais” e outras Políticas