Política do Sistema Integrado de Gestão

A SIA tem como missão fornecer soluções de TI e de assinatura digital aos seus Clientes e colaborar na sua evolução. A sua Direção desenvolveu e implementou um Sistema Integrado de Gestão (SIG), submetido a um processo de melhoria contínua, de acordo com os requisitos do Sistema de Gestão da Segurança da Informação (ISO/IEC 27001), do Sistema de Gestão Ambiental (ISO/IEC 14001), do Sistema de Gestão da Qualidade (ISO/IEC 9001), do Sistema de Gestão da Continuidade do Negócio (ISO/IEC 22301), do Sistema de Gestão de Serviços de TI (ISO/IEC 20000) e da legislação aplicável pela qual se rege o Sistema Nacional de Segurança e a Proteção dos Dados Pessoais, bem como das disposições do regulamento IDeSC aplicáveis às entidades que prestam serviços de confiança no domínio da assinatura digital (Trusted Service Provider), como é o caso da SIACERT.

A presente Política foi desenvolvida com a finalidade de estabelecer um quadro de ação único que permita harmonizar cada um dos âmbitos do SIG com o compromisso da Direção de fornecer os recursos necessários para a sua implementação e melhoria contínua.

A Direção da SIA designa o Comité do Sistema Integrado de Gestão como o responsável máximo pela sua revisão, manutenção e difusão. O documento «Funções, responsabilidades e autoridade» define o quadro organizativo, a sua estrutura, os seus membros e as funções, as responsabilidades e as autoridades competentes para assegurar a conformidade, a adequação e o bom funcionamento do SIG, de acordo com a presente política, bem como o procedimento para a sua designação e renovação.

A presente Política será comunicada, difundida e adotada por todo o pessoal da Organização e demais partes interessadas (clientes, contratantes, fornecedores, etc.) que partilhem serviços com a SIA ou tratam as suas informações, e o seu cumprimento é obrigatório no âmbito da sua área de responsabilidade.

O seu incumprimento poderá implicar a aplicação das medidas disciplinares adequadas e, se for caso disso, as responsabilidades legais correspondentes.

A Política foi desenvolvida e complementada por um conjunto de normas, orientações e procedimentos que abordam aspetos específicos. Esta documentação, bem como o resto da documentação do SIG (processos, registos, relatórios, elementos de prova, programas, etc.), é conservada nas respetivas versões mais recentes aprovadas através de um sistema de gestão documental mantido na intranet da Organização, e está acessível ao pessoal e a todas as partes interessadas pertinentes de acordo com a sua classificação e a necessidade de conhecer cada pessoa singular ou coletiva. As orientações relativas à estruturação, à gestão e ao acesso a esta documentação encontram-se no documento «Controlo e gestão documental SIG».

A Direção da SIA assume como compromissos estratégicos os seguintes objetivos:

1. Implementar um sistema de gestão documentado e mensurável, garantindo a melhoria contínua dos processos, procedimentos, produtos e serviços, com o fim de prestar serviços que satisfaçam os requisitos dos clientes.
2. Atribuir as funções e responsabilidades necessárias para o correto funcionamento do SIG, com base nos procedimentos correspondentes para a sua designação. Desenvolver a gestão do pessoal e programas de formação e sensibilização destinados ao pessoal que garantam os níveis de competências, conhecimentos e participação no SIG adequados às suas funções.
3. Cumprir a legislação em vigor aplicável, em especial, a legislação relativa à prestação de serviços aos cidadãos pelas administrações públicas e ao tratamento de dados pessoais realizado na organização. No sistema de gestão documental na intranet será mantido atualizado o documento de segurança correspondente que identifica os ficheiros e os tratamentos afetados, os respetivos responsáveis e as medidas de segurança aplicáveis, que serão aplicadas e revistas de acordo com a natureza, a finalidade e o tratamento dos dados pessoais.
4. Analisar e gerir os riscos a que a Organização está exposta, através de metodologias reconhecidas internacionalmente.
5. Estabelecer as medidas, bem como a sua avaliação contínua, necessárias para manter níveis adequados de integridade, confidencialidade, disponibilidade, rastreabilidade e autenticação das próprias informações e das informações dos fornecedores e dos clientes relacionados, bem como dos sistemas e do pessoal que as tratam e conservam.
6. Prevenir os incidentes e planear uma reação eficaz e a sua análise posterior, caso ocorram, bem como garantir a continuidade das operações críticas da Organização, caso tais incidentes ocorram.
7. Orientar a atividade da Organização e a dos seus fornecedores para o Cliente, cumprindo os requisitos, explícitos e implícitos, dos termos e condições acordados.
8. Alcançar os níveis adequados dos serviços de TI que a Organização oferece aos seus clientes, e exigir o mesmo aos seus fornecedores, de modo que certifiquem e garantam a qualidade, a satisfação e a cooperação mútua.
9. Contribuir para a prevenção da contaminação e estabelecer uma gestão adequada dos resíduos ambientais, quer sejam produzidos internamente ou através dos nossos fornecedores.
10. Garantir a continuidade operacional em caso de ocorrência de incidentes perturbadores.
11. Prestar serviços de assinatura digital conformes com as normas ETSI e as disposições legais aplicáveis aos TSP.

A Política entra em vigor a partir da data da sua aprovação pela Direção da SIA, revogando a versão anterior, e será revista anualmente.