ordem de serviÇo nº 56/2017 -...

10
HC em Notícias nº 8293 - julho/2017 10 ORDEM DE SERVIÇO Nº 56/2017 O Superintendente do Hospital das Clínicas da Faculdade de Medicina da Universidade de São Paulo – HCFMUSP, no uso de suas atribuições legais, e com aprovação do Conselho Deliberativo, ad referendum, considerando que: • Os ativos virtuais do HCFMUSP devem ser protegidos contra ações intencionais ou acidentais que impliquem perda, destruição, inserção, cópia, acesso e alteração indevidos, em conformidade com os princípios da confidencialidade, integridade e disponibilidade; • As necessidades de segurança devem ser avaliadas com relação a confidencialidade, integridade e disponibilidade; • O acesso aos sistemas de informações deve ser controlado e estar disponível apenas às pessoas devidamente autorizadas; • Os usuários devem ser permanentemente conscientizados sobre os aspectos de segurança e formas de proteção dos recursos e informações sobre sua responsabilidade, • Os termos vigentes nesta ordem de serviço devem ser seguidos pelos usuários, sejam colaboradores fixos ou temporários, terceiros ou visitantes. • Todas as regras do HCFMUSP, especialmente as aqui previstas, visam ao desenvolvimento de um comportamento eminentemente ético e profissional do uso da internet. A conexão direta e permanente da rede corporativa da instituição com a internet oferece um grande potencial de benefícios, contudo, ela abre a porta para riscos significativos para os ativos de informação. • Qualquer informação que é acessada, transmitida, recebida ou produzida na internet está sujeita a divulgação e auditoria. • O HCFMUSP, em total conformidade legal, reserva-se no direito de monitorar e registrar todos os acessos a informação. É do interesse do HCFMUSP que seus colaboradores estejam bem informados, o uso de sites de notícias ou de serviços, por exemplo, é aceitável, desde que não comprometa a banda da rede em horários estritamente comerciais, não perturbe o bom andamento dos trabalhos nem implique conflitos de interesse com os seus objetivos de negócio, resolve expedir a presente Ordem de Serviço, mediante as disposições a seguir enunciadas. I. DAS CONCEPÇÕES BÁSICAS Artigo 1º. Para os efeitos desta Ordem de Serviço entende-se por: 1. ATIVOS VIRTUAIS: todos os ativos não tangíveis, colocados à disposição dos servidores e colaboradores, e que incluem, não exclusivamente, as informações necessárias ou não ao desenvolvimento dos trabalhos e a comunicação requerida para transmiti-las, incluindo a telefonia fixa, telefone celular, VoIP, estação de trabalho, navegação por Internet, E-mails, Instant Messaging, streaming media, acesso via VPN, acesso via WI-FI e demais serviços e softwares a serem futuramente desenvolvidos pela Instituição ou por terceiros; 2. USUÁRIO: pessoa física habilitada a acessar os Sistemas Corporativos, podendo ser servidores, colaboradores ou outros autorizados envolvidos nas ações do HCFMUSP, seja na assistência, pesquisa ou administração, sendo também considerados colaboradores terceiros contratados com anuência do respectivo Dirigente, desde que o Contrato de Prestação de Serviços seja superior a 6 (seis) meses; 3. HABILITAÇÃO: procedimento que permite ao usuário cadastrado acessar Sistemas Informatizados; 4. ACESSO LÓGICO: operação de atualização e consulta de dados e informações em um Sistema; 5. PERFIL: subconjunto de transações de um Sistema que define a abrangência de atuação do usuário; 6. TRANSAÇÃO: programa executável do Sistema; 7. ACESSO IMOTIVADO: aquele realizado para fins estranhos às tarefas do usuário. 8. DISPOSITIVO MÓVEL: dispositivo móvel é qualquer equipamento eletrônico com atribuições de mobilidade de propriedade do HCFMUSP, ou aprovado e permitido por sua Gerência, como: notebooks, tablets, smartphones e pendrives. 9. CONFIDENCIALIDADE: propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação; 10. INTEGRIDADE: propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de Dispõe sobre acesso e utilização dos ativos virtuais do HCFMUSP, pelos seus servidores e colaboradores.

Upload: tranmien

Post on 19-Nov-2018

216 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: ORDEM DE SERVIÇO Nº 56/2017 - autoatendimento.hc.fm.usp.brautoatendimento.hc.fm.usp.br/autoatendimento/files/... · 10 HC em Notícias nº 8293 - julho/2017 ORDEM DE SERVIÇO Nº

HC em Notícias nº 8293 - julho/201710

ORDEM DE SERVIÇO Nº 56/2017

O Superintendente do Hospital das Clínicas da Faculdade de Medicina da Universidade de São Paulo – HCFMUSP, no uso de suas atribuições legais, e com aprovação do Conselho Deliberativo, ad referendum, considerando que:

• Os ativos virtuais do HCFMUSP devem ser protegidos contra ações intencionais ou acidentais que impliquem perda, destruição, inserção, cópia, acesso e alteração indevidos, em conformidade com os princípios da confi dencialidade, integridade e disponibilidade; • As necessidades de segurança devem ser avaliadas com relação a confi dencialidade, integridade e disponibilidade; • O acesso aos sistemas de informações deve ser controlado e estar disponível apenas às pessoas devidamente autorizadas; • Os usuários devem ser permanentemente conscientizados sobre os aspectos de segurança e formas de proteção dos recursos e informações sobre sua responsabilidade, • Os termos vigentes nesta ordem de serviço devem ser seguidos pelos usuários, sejam colaboradores fi xos ou temporários, terceiros ou visitantes.• Todas as regras do HCFMUSP, especialmente as aqui previstas, visam ao desenvolvimento de um comportamento eminentemente ético e profi ssional do uso da internet. • A conexão direta e permanente da rede corporativa da instituição com a internet oferece um grande potencial de benefícios, contudo, ela abre a porta para riscos signifi cativos para os ativos de informação. • Qualquer informação que é acessada, transmitida, recebida ou produzida na internet está sujeita a divulgação e auditoria. • O HCFMUSP, em total conformidade legal, reserva-se no direito de monitorar e registrar todos os acessos a informação.• É do interesse do HCFMUSP que seus colaboradores estejam bem informados, o uso de sites de notícias ou de serviços, por exemplo, é aceitável, desde que não comprometa a banda da rede em horários estritamente comerciais, não perturbe o bom andamento dos trabalhos nem implique confl itos de interesse com os seus objetivos de negócio,

resolve expedir a presente Ordem de Serviço, mediante as disposições a seguir enunciadas.

I. DAS CONCEPÇÕES BÁSICAS

Artigo 1º. Para os efeitos desta Ordem de Serviço entende-se por:

1. ATIVOS VIRTUAIS: todos os ativos não tangíveis, colocados à disposição dos servidores e colaboradores, e que incluem, não exclusivamente, as informações necessárias ou não ao desenvolvimento dos trabalhos e a comunicação requerida para transmiti-las, incluindo a telefonia fi xa, telefone celular, VoIP, estação de trabalho, navegação por Internet, E-mails, Instant Messaging, streaming media, acesso via VPN, acesso via WI-FI e demais serviços e softwares a serem futuramente desenvolvidos pela Instituição ou por terceiros;2. USUÁRIO: pessoa física habilitada a acessar os Sistemas Corporativos, podendo ser servidores, colaboradores ou outros autorizados envolvidos nas ações do HCFMUSP, seja na assistência, pesquisa ou administração, sendo também considerados colaboradores terceiros contratados com anuência do respectivo Dirigente, desde que o Contrato de Prestação de Serviços seja superior a 6 (seis) meses;3. HABILITAÇÃO: procedimento que permite ao usuário cadastrado acessar Sistemas Informatizados;4. ACESSO LÓGICO: operação de atualização e consulta de dados e informações em um Sistema;5. PERFIL: subconjunto de transações de um Sistema que defi ne a abrangência de atuação do usuário;6. TRANSAÇÃO: programa executável do Sistema;7. ACESSO IMOTIVADO: aquele realizado para fi ns estranhos às tarefas do usuário.8. DISPOSITIVO MÓVEL: dispositivo móvel é qualquer equipamento eletrônico com atribuições de mobilidade de propriedade do HCFMUSP, ou aprovado e permitido por sua Gerência, como: notebooks, tablets, smartphones e pendrives.9. CONFIDENCIALIDADE: propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação;10. INTEGRIDADE: propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de

Dispõe sobre acesso e utilização dos ativos virtuais do HCFMUSP, pelos seus servidores e colaboradores.

Page 2: ORDEM DE SERVIÇO Nº 56/2017 - autoatendimento.hc.fm.usp.brautoatendimento.hc.fm.usp.br/autoatendimento/files/... · 10 HC em Notícias nº 8293 - julho/2017 ORDEM DE SERVIÇO Nº

HC em Notícias 11nº 8293 - julho/2017

vida (nascimento, manutenção e destruição);11. DISPONIBILIDADE: propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação;12. AUTENTICIDADE: propriedade que garante que a informação é proveniente da fonte anunciada e que não foi alvo de mutações ao longo de um processo;13. IRRETRATABILIDADE: propriedade que garante a impossibilidade de negar a autoria em relação a uma transação anteriormente feita;14. CONFORMIDADE: propriedade que garante que o sistema deve seguir as leis e regulamentos associados a este tipo de processo.15. CLASSIFICAÇÃO DA INFORMAÇÃO:Informação pública – é o tipo de informação que pode vir a público sem maiores consequências danosas ao funcionamento da instituição, e cuja integridade não é vital. O descarte da mesma pode ser realizado de forma simples, sem o uso de recursos e/ou procedimentos;Informação interna – é o tipo de informação que deve ter seu acesso evitado, sua integridade é importante, mesmo que não seja vital. O seu descarte deve ser realizado após uma análise e se necessário descartar junto com as informações confi denciais;Informação confi dencial – é o tipo de informação restrita aos limites da instituição, cuja divulgação ou perda pode levar a um desequilíbrio operacional, e eventualmente perdas fi nanceiras ou de confi abilidade, além de permitir vantagem expressiva ao concorrente. O descarte dessa informação deve ser realizado através de um procedimento e/ou ferramenta que destrua a informação por completo.

II. DO ACESSO AOS ATIVOS VIRTUAIS

Artigo 2º. O uso dos dispositivos e/ou senhas de identifi cação de outra pessoa constitui crime tipifi cado no Código Penal Brasileiro (art. 307 – falsa identidade).

Artigo 3º. Todo e qualquer dispositivo de identifi cação utilizado no HCFMUSP têm de estar associado a uma pessoa física e atrelado inequivocamente aos seus documentos ofi ciais reconhecidos pela legislação brasileira. §1.º O usuário, vinculado a tais dispositivos identifi cadores, será responsável pelo seu uso correto perante a instituição e a legislação (cível e criminal).§ 2.º Todo e qualquer dispositivo de identifi cação pessoal não poderá ser compartilhado com outras pessoas.

Artigo 4º. A Gerência de Serviços e Datacenter responde pela criação da identidade lógica dos colaboradores na instituição, nos termos do Procedimento para Gerenciamento de Contas de Grupos e Usuários que devem ser distintamente identifi cados como visitantes, estagiários, empregados temporários, empregados regulares e prestadores de serviços, sejam eles pessoas físicas e/ou jurídicas.

Artigo 5º. Ao realizar o primeiro acesso ao ambiente de rede local, o usuário deverá trocar imediatamente a sua senha conforme as orientações apresentadas.

Artigo 6º. Os usuários que não possuem perfi l de administrador deverão ter senha de tamanho variável, possuindo no mínimo 6 (seis) caracteres alfanuméricos, utilizando caracteres especiais (@ # $%) e variação entre caixa-alta e caixa-baixa (maiúsculo e minúsculo) sempre que possível.

Artigo 7º. Os usuários que possuem perfi l de administrador ou acesso privilegiado deverão utilizar uma senha de no mínimo 10 (dez) caracteres, alfanumérica, utilizando caracteres especiais (@ # $%) e variação de caixa-alta e caixa-baixa (maiúsculo e minúsculo) obrigatoriamente.

Artigo 8º. É de responsabilidade de cada usuário a memorização de sua própria senha, bem como a proteção e a guarda dos dispositivos de identifi cação que lhe forem designados.§1º- Após 3 (três) tentativas de acesso infrutíferas a conta do usuário será bloqueada. §2º- Para o desbloqueio é necessário que o usuário requisite a alteração/reset pela ferramenta de chamados ou telefone pertinente à equipe de Tecnologia da Informação de seu Instituto. §3º- Os usuários podem alterar a própria senha, e devem ser orientados a fazê-lo caso suspeitem que terceiros obtiveram acesso indevido ao seu login/senha.§4º- A periodicidade máxima para troca das senhas é 45 (quarenta e cinco) dias, não podendo ser repetidas as 3 (três) últimas senhas.

Artigo 9º. Os sistemas críticos e sensíveis para a instituição e os logins com privilégios administrativos devem exigir a troca de senhas a cada 30 dias.

Artigo 10. O uso de chaves RSA (Rivest-Shamir-Adleman) para sistemas que permitam acesso SSH (Secure Shell) por parte de administradores é fortemente recomendado, em vez de troca de senhas.Artigo 11. Todos os acessos devem ser imediatamente bloqueados quando se tornarem desnecessários.

Page 3: ORDEM DE SERVIÇO Nº 56/2017 - autoatendimento.hc.fm.usp.brautoatendimento.hc.fm.usp.br/autoatendimento/files/... · 10 HC em Notícias nº 8293 - julho/2017 ORDEM DE SERVIÇO Nº

HC em Notícias nº 8293 - julho/201712

§1º- Quando um usuário for demitido ou solicitar demissão, o Departamento de Recursos Humanos junto com a Chefi a imediata deverão imediatamente comunicar tal fato ao Departamento de Tecnologia da Informação, a fi m de que essa providência seja tomada. §2º- A mesma conduta se aplica aos usuários cujo contrato ou prestação de serviços tenha se encerrado, bem como aos usuários de testes e outras situações similares.

III. DAS RESPONSABILIDADES INSTITUCIONAIS E FUNCIONAIS

Artigo 12. Para a uniformidade da informação, a POLÍTICA DE SEGURANÇA DA INFORMAÇÃO deverá ser comunicada a todos os colaboradores do HCFMUSP a fi m de que seja cumprida dentro e fora do complexo.

Artigo 13. Com relação aos novos colaboradores, a responsabilidade em relação à segurança da informação será informada na fase de contratação, momento em que assinarão um Termo de Responsabilidade do qual tomarão ciência da POLÍTICA DE SEGURANÇA DA INFORMAÇÃO.

Artigo 14. Constituem responsabilidades dos usuários cuidar da integridade, confi dencialidade e disponibilidade dos dados, informações e Sistemas, devendo comunicar por escrito à Chefi a imediata quaisquer irregularidades, desvios ou falhas identifi cadas. §1º - O acesso à informação não garante qualquer direito sobre ela nem confere autoridade para liberar seu acesso a outras pessoas. §2º - Os usuários e os cadastradores devem manter sigilo sobre suas senhas de acesso, não podendo deixar qualquer Sistema em condições de ser acessado por terceiros.

Artigo 15. A gestão de segurança de informação não é atributo de uma única pessoa, mas de uma rede de colaboradores, onde, cada qual em seu setor, se responsabiliza pela divulgação das boas práticas de segurança.

Artigo 16. Qualquer incidente de segurança subtende-se como alguém agindo contra a ética e os bons costumes regidos pelo HCFMUSP.

Artigo 17. Todo incidente que afete a segurança da informação deverá ser comunicado inicialmente à Gerência de Conectividade e Segurança e esta, uma vez julgando necessário, encaminhará a comunicação ao Comitê de Segurança da Informação para análise.

Artigo 18. É de responsabilidade da Chefi a Imediata iniciar ação corretiva apropriada para corrigir os desvios com relação às normas desta Ordem de Serviço ou procedimentos de segurança dentro de sua área de atuação, comunicando o fato ao Diretor Executivo ou de Departamento e ao NETI.

Artigo 19. O não cumprimento dos requisitos previstos nesta POLÍTICA DE SEGURANÇA DA INFORMAÇÃO e das Normas de Segurança da Informação acarretará violação às regras internas da instituição e sujeitará o usuário às medidas administrativas e legais cabíveis.

Artigo 20. O descumprimento das disposições desta Ordem de Serviço caracterizará infração funcional, a ser apurada em procedimento disciplinar, sem prejuízo da responsabilidade penal e civil.

Artigo 21. O acesso imotivado do usuário aos Ativos Virtuais do HCFMUSP constitui, sem prejuízo da responsabilidade civil e penal, infração funcional de falta de zelo e dedicação às atribuições do cargo ou função-atividade e descumprimento de normas legais ou regulamentares.

Artigo 22. Ressalvadas as hipóteses de requisições legalmente autorizadas, constitui infração funcional a revelação de segredo do qual se apropriou em razão do cargo ou função-atividade, e crime tipifi cado no Código Penal, a divulgação, a terceiros, de informações dos Sistemas Informatizados protegidas pelo sigilo, sujeitando o infrator à penalidade de demissão por justa causa.

Artigo 23. O HCFMUSP, através do NETI, se reserva o direito de auditar, sempre que julgar necessário, o cumprimento das normas/procedimentos citados nesta ORDEM DE SERVIÇO.

Artigo 24. Os arquivos compartilhados devem garantir a integridade e confi dencialidade dos dados.§1º - Recomenda-se compartilhar documentos ou diretórios somente com quem de fato pode ter acesso a algum arquivo que o colaborador tenha produzido.§2º - Recomenda-se jamais compartilhar arquivos sem a real necessidade.§3º - Não se deve compartilhar arquivos com pessoas que não fazem parte do quadro de colaboradores.

Artigo 25. Todas as máquinas de trabalho dos colaboradores devem ter o aplicativo de antivírus instalado e atualizado.

Artigo 26. Toda instalação de software deve ser realizada por uma equipe responsável, jamais instale softwares sem autorização.

Page 4: ORDEM DE SERVIÇO Nº 56/2017 - autoatendimento.hc.fm.usp.brautoatendimento.hc.fm.usp.br/autoatendimento/files/... · 10 HC em Notícias nº 8293 - julho/2017 ORDEM DE SERVIÇO Nº

HC em Notícias 13nº 8293 - julho/2017

Artigo 27. É de responsabilidade do Gestor de Segurança da Informação manter os colaboradores informados sobre possíveis ameaças, realizar campanhas de conscientização e divulgar a política de segurança da informação sempre que houver atualização.

IV. DAS RESPONSABILIDADES ESPECÍFICAS

SEÇÃO IDos Colaboradores em Geral

Artigo 28. Entende-se por colaborador toda e qualquer pessoa física, contratada e regida por meio da Consolidação das Leis do Trabalho (CLT), ou prestadora de serviço por intermédio de pessoa jurídica ou não, que exerça alguma atividade dentro ou fora da instituição.Parágrafo único: Será de inteira responsabilidade de cada colaborador todo prejuízo ou dano que vier a sofrer ou causar ao HCFMUSP e/ou a terceiros, em decorrência da não obediência às diretrizes e normas aqui referidas.

SEÇÃO IIDos Colaboradores Temporários

Artigo 29. Todos os Colaboradores Temporários deverão estar cientes dos riscos associados à sua condição especial e cumprir rigorosamente o que está previsto nesta POLÍTICA DE SEGURANÇA DA INFORMAÇÃO e normas de segurança da informação.

SEÇÃO IIIDa Chefi a de Pessoas

Artigo 30. As diversas Chefi as, Áreas e Setores possuem algumas atribuições em relação ao cumprimento da POLÍTICA DE SEGURANÇA DA INFORMAÇÃO.

Artigo 31. Ter postura exemplar em relação à segurança da informação, servindo como modelo de conduta para os colaboradores sob a sua gestão.

Artigo 32. Atribuir aos colaboradores, na fase de contratação e de formalização dos contratos individuais de trabalho, de prestação de serviços ou de parceria, a responsabilidade do cumprimento da Política de Segurança da Informação do HCFMUSP.

Artigo 33. Exigir dos colaboradores a assinatura do Termo de Compromisso e Ciência, assumindo o dever de seguir as normas estabelecidas, bem como se comprometendo a manter sigilo e confi dencialidade, mesmo quando desligado, sobre todos os ativos de informações do HCFMUSP.

Artigo 34. Adaptar as normas, os processos, procedimentos e sistemas sob sua responsabilidade para atender a esta Política de Segurança da Informação.

SEÇÃO IVDa Área de Tecnologia da Informação

Artigo 35. São responsabilidades dos gestores da Tecnologia de Informação:I. Analisar e viabilizar recursos e procedimentos de segurança de acordo com a POLÍTICA DE SEGURANÇA DA INFORMAÇÃO;II. Testar a efi cácia dos controles utilizados e informar aos colaboradores os riscos residuais;III. Confi gurar os equipamentos, ferramentas e sistemas concedidos aos colaboradores com todos os controles necessários para cumprir os requerimentos de segurança estabelecidos por esta política de segurança da informação;IV. Gerar e manter as trilhas/logs para auditoria com nível de detalhe sufi ciente para rastrear possíveis falhas e fraudes;V. Garantir, quando ocorrer movimentação interna dos ativos da área de Tecnologia da Informação, que as informações de um usuário não sejam removidas de forma irrecuperável antes de disponibilizar o ativo para outro usuário; VI. Planejar, implantar, fornecer e monitorar a capacidade de armazenagem, processamento e transmissão necessários para garantir a segurança requerida pelas diversas áreas do complexo hospitalar;VII. Proteger continuamente todos os ativos de informação do HCFMUSP contra código malicioso, e garantir que todos os novos ativos só entrem para o ambiente de produção após estarem livres de código malicioso e/ou indesejado;VIII. Garantir que não sejam introduzidas vulnerabilidades ou fragilidades no ambiente de produção do HCFMUSP em processos de mudança, sendo ideal a auditoria de código e a proteção contratual para controle e responsabilização no caso de uso de terceiros;

Page 5: ORDEM DE SERVIÇO Nº 56/2017 - autoatendimento.hc.fm.usp.brautoatendimento.hc.fm.usp.br/autoatendimento/files/... · 10 HC em Notícias nº 8293 - julho/2017 ORDEM DE SERVIÇO Nº

HC em Notícias nº 8293 - julho/201714

IX. Defi nir as regras formais para instalação de software e hardware no ambiente de trabalho do HCFMUSP;X. Planejar e realizar auditorias periódicas de confi gurações técnicas e análise de riscos;XI. Garantir, da forma mais rápida possível, com solicitação formal, o bloqueio de acesso de usuários por motivo de desligamento, incidente, investigação ou outra situação que exija medida restritiva para fi ns de salvaguardar os ativos do HCFMUSP;XII. Garantir que todos os servidores, estações e demais dispositivos com acesso à rede do HCFMUSP operem com o relógio sincronizado com os servidores de tempo ofi ciais do Núcleo de Informação e Coordenação do Ponto BR (NIC.Br);XIII. Monitorar o ambiente de informática, gerando indicadores e históricos de: tempo de resposta no acesso à internet e aos sistemas críticos; períodos de indisponibilidade no acesso à internet e aos sistemas críticos do HCFMUSP; incidentes de segurança (vírus, trojans, furtos, acessos indevidos, e assim por diante).§1º- Os administradores e operadores dos sistemas computacionais podem, pela característica de seus privilégios como usuários, acessar os arquivos e dados de outros usuários. §2º- No que se refere ao parágrafo anterior, só será permitido quando for necessário para a execução de atividades operacionais sob sua responsabilidade como, por exemplo, a manutenção de computadores, a realização de cópias de segurança, auditorias ou testes no ambiente.

SEÇÃO VDa Área de Segurança da Informação

Artigo 36. São prerrogativas da Área de Segurança da Informação: I. Propor as metodologias e os processos específi cos para a segurança da informação, como avaliação de risco e sistema de classifi cação da informação, bem como propor e apoiar iniciativas que visem à segurança dos ativos de informação do HCFMUSP.II. Publicar e promover as versões da Política de Segurança da Informação e as Normas de Segurança da Informação aprovadas pelo Comitê de Segurança da Informação. III. Promover a conscientização dos colaboradores em relação à relevância da segurança da informação para o negócio do HCFMUSP mediante campanhas, palestras, treinamentos e outros meios de marketing. IV. Apoiar a avaliação e a adequação de controles específi cos de segurança da informação para novos sistemas ou serviços. V. Analisar criticamente incidentes em conjunto com o Comitê de Segurança da Informação, bem como apresentar as atas e os resumos das reuniões do Comitê de Segurança da Informação, destacando os assuntos que exijam intervenção do próprio comitê ou de outros membros da diretoria. VI. Sempre buscar alinhamento com as diretrizes corporativas do HCFMUSP.

SEÇÃO VIDo Comitê de Segurança da Informação

Artigo 37. Deverá haver um Comitê Multidisciplinar responsável pela gestão da segurança da informação, doravante designado como Comitê de Segurança da Informação (CSI).

Artigo 38. O Comitê de Segurança da Informação deve ser formalmente constituído por colaboradores com nível hierárquico mínimo gerencial, nomeados para participar do grupo pelo período de um ano. §1º- A composição mínima deve incluir um colaborador de cada uma das áreas: Gerência de Governança de TI, Gerência de Sistemas, Gerência de Serviços e Datacenter, Gerência de Conectividade e Segurança.§2º- Deverá o Comitê de Segurança da Informação reunir-se formalmente pelo menos uma vez a cada quatro meses, onde um ou mais representantes da área de Segurança da Informação participarão como consultoria técnica. Reuniões adicionais devem ser realizadas sempre que for necessário deliberar sobre algum incidente grave ou defi nição relevante para o HCFMUSP. §3º- Cabe ao Comitê de Segurança da Informação:I. Propor investimentos relacionados à segurança da informação com o objetivo de reduzir os riscos;II. Propor alterações nas versões da Política de Segurança da Informação e a inclusão, eliminação ou mudança de normas complementares;III. Avaliar os incidentes de segurança e propor ações corretivas;IV. Defi nir as medidas cabíveis nos casos de descumprimento da Política de Segurança da Informação e/ou das Normas de Segurança da Informação complementares.

V. DA UTILIZAÇÃO DO CORREIO ELETRÔNICO (E-MAIL)

SEÇÃO IDo Acesso

Artigo 39. Os usuários previstos no artigo 1º, item 1, terão acesso à utilização do correio eletrônico, mediante o acesso à página do Autoatendimento (http://autoatendimento.hc.fm.usp.br) e cadastro do e-mail corporativo.

Page 6: ORDEM DE SERVIÇO Nº 56/2017 - autoatendimento.hc.fm.usp.brautoatendimento.hc.fm.usp.br/autoatendimento/files/... · 10 HC em Notícias nº 8293 - julho/2017 ORDEM DE SERVIÇO Nº

HC em Notícias 15nº 8293 - julho/2017

Artigo 40. O colaborador declarará ciência a esta ORDEM DE SERVIÇO, através do aceite eletrônico que deverá ser realizado após a fi nalização da criação do e-mail.

SEÇÃO IIDas Vedações

Artigo 41. Fica vedado:I. Enviar mensagens não solicitadas para múltiplos destinatários, exceto se relacionadas a uso legítimo da instituição;II. Enviar mensagem por correio eletrônico pelo endereço de seu departamento ou usando o nome de usuário de outra pessoa ou endereço de correio eletrônico que não esteja autorizado a utilizar;III. Enviar qualquer mensagem por meios eletrônicos que torne seu remetente e/ou o HCFMUSP ou suas unidades vulneráveis a ações civis ou criminais;IV. Divulgar informações não autorizadas ou imagens de tela, sistemas, documentos e afi ns sem autorização expressa e formal concedida pelo proprietário desse ativo de informação;V. Falsifi car informações de endereçamento, adulterar cabeçalhos para esconder a identidade de remetentes e/ou destinatários, com o objetivo de evitar as punições previstas;VI. Produzir, transmitir ou divulgar mensagem que:

a) Contenha qualquer ato ou forneça orientação que confl ite ou contrarie os interesses do HCFMUSP;b) Contenha ameaças eletrônicas, como: spam, mail bombing, vírus de computador;c) Contenha arquivos com código executável (.exe, .com, .bat, .pif, .js, .vbs, .hta, .src, .cpl, .reg, .dll, .inf) ou qualquer outra extensão que represente um risco à segurança;d) Vise obter acesso não autorizado a outro computador, servidor ou rede;e) Vise interromper um serviço, servidores ou rede de computadores por meio de qualquer método ilícito ou não autorizado;f) Vise burlar qualquer sistema de segurança;g) Vise vigiar secretamente ou assediar outro usuário;h) Vise acessar informações confi denciais sem explícita autorização do proprietário;i) Vise acessar indevidamente informações que possam causar prejuízos a qualquer pessoa;j) Tenha conteúdo considerado impróprio, obsceno ou ilegal;k) Seja de caráter calunioso, difamatório, degradante, infame, ofensivo, violento, ameaçador, pornográfi co, entre outros;l) Contenha perseguição preconceituosa baseada em sexo, raça, incapacidade física ou mental, entre outras;m) Tenha fi ns políticos locais ou do país (propaganda política);n) Inclua material protegido por direitos autorais sem a permissão do detentor dos direitos.

SEÇÃO IIIDas Boas Práticas

Artigo 42. Para garantir o uso correto do e-mail corporativo, devem ser observadas as seguintes práticas:I. Não use termos coloquiais, mas sim tratamento formal; II. Não utilize a titulação profi ssional precedendo o nome (Doutor, Professor etc), detendo-se apenas no cargo/função; III. Use o tratamento de Senhor (Sr.) ou Senhora (Sra.), e não “você”, independente do cargo, sendo feito uso da primeira pessoa do plural, visto que a comunicação é em nome da Instituição; IV. Evite o uso de expressões como “beijos” ao fi nal da mensagem, sendo o correto enviar “saudações”, “abraços” ou mesmo “atenciosamente”; V. Trate de assuntos gerais de modo discreto e bem-educado, evitando assuntos muito íntimos que possam gerar algum tipo de constrangimento; VI. Evite o uso de elogios que possam gerar duplo sentido; VII. Evite convites a subordinados hierárquicos que possam gerar algum tipo de constrangimento e dar a entender eventual assédio moral; VIII. Evite comentários sobre a Instituição e/ou de pessoas do trabalho, lembrando-se que o ambiente corporativo é monitorado, e como está escrito, não há como alegar que “não era bem isso o que queria dizer”; IX. Não use e-mail e internet corporativa para divulgar currículo; X. Não use ferramentas da Instituição como smartphone ou pendrive para armazenar conteúdo particular ou fotos mais íntimas;XI. As mensagens de correio eletrônico sempre deverão incluir assinatura com o seguinte formato:

a) Nome do colaboradorb) Gerência ou departamento

Page 7: ORDEM DE SERVIÇO Nº 56/2017 - autoatendimento.hc.fm.usp.brautoatendimento.hc.fm.usp.br/autoatendimento/files/... · 10 HC em Notícias nº 8293 - julho/2017 ORDEM DE SERVIÇO Nº

HC em Notícias nº 8293 - julho/201716

c) Nome da instituiçãod) Telefone(s)

VI. DA UTILIZAÇÃO DA VPN

Artigo 43. O uso de um canal de Virtual Private Network (VPN) é permitido aos colaboradores do HCFMUSP ou terceiros, desde que haja necessidade de acesso remoto para apoio ou suporte aos sistemas hospitalares internos e autorização expressa do gestor do sistema ou Chefi a imediata.

Artigo 44. Os Colaboradores que têm atividades de pesquisa acadêmicas também podem usufruir de um canal de VPN, mediante autorização expressa do responsável dos dados e arquivos ou do pesquisador principal.

Artigo 45. Todos os usuários de VPN possuem prazo limitado de uso, renováveis pelo mesmo período, desde que haja a anuência expressa da sua Chefi a imediata.

Artigo 46. A análise da requisição de VPN, feita por formulário apropriado, e a liberação do uso do VPN são feitas pela área de Segurança de Informação.

VII. DA UTILIZAÇÃO AO VNC

Artigo 47. A utilização deste software, VNC (Virtual Network Computing), só deve ser permitida por colaboradores que prestam apoio ao usuário fi nal, ou computadores específi cos que necessitam de acompanhamento;§1º - A utilização do software só deve ser realizada com a permissão do usuário fi nal;§2º - Recomenda-se alterar a senha de acesso a cada 3 (três) meses.

Artigo 48. O acesso remoto a computadores do HCFMUSP, seja pelo VNC ou por qualquer outro software, deverá ser feito apenas durante a jornada de trabalho do colaborador. Se o acesso for efetuado fora da sua jornada de trabalho estabelecida sem a devida autorização da sua Chefi a imediata, não serão consideradas como horas extras.

VIII. DA UTILIZAÇÃO AO DATACENTER

Artigo 49. O acesso ao Datacenter somente deverá ser feito por sistema forte de autenticação, sendo que todo acesso deverá ser registrado mediante software próprio. §1º- Semanalmente ou em outro período regular, deve ser feita uma auditoria nos acessos ao Datacenter por meio do relatório do sistema de registro.

§2º- O acesso de visitantes ou terceiros somente poderá ser realizado com acompanhamento de um colaborador autorizado, que deverá preencher a solicitação de acesso prevista no Procedimento de Controle de Acesso ao Datacenter, bem como assinar o Termo de Responsabilidade.

§3º - Situações excepcionais, como são os casos de incêndios, inundações, comprometimento e abalo na estrutura predial ou mal funcionamento do sistema de autenticação forte, justifi cam o relaxamento no uso do mesmo.

§4º- Caso haja necessidade do acesso não emergencial, a área requisitante deve solicitar autorização com antecedência a qualquer colaborador responsável pela administração de liberação de acesso, conforme lista salva em Procedimento de Controle de Acesso ao Datacenter.

Artigo 50. Não é permitida a entrada de nenhum tipo de alimento, bebida, produto fumígeno ou infl amável.

Artigo 51. O Datacenter deverá ser mantido limpo e organizado, sendo que qualquer procedimento que gere lixo ou sujeira nesse ambiente somente poderá ser realizado com a colaboração do Departamento de Serviços Gerais.

Artigo 52. A entrada ou retirada de quaisquer equipamentos do Datacenter somente se dará com o preenchimento da solicitação de liberação pelo colaborador solicitante e a autorização formal desse instrumento pelo responsável do Datacenter, de acordo com os termos do Procedimento de Controle e Transferência de Equipamentos.

Artigo 53. No caso de desligamento de colaboradores que possuam acesso ao Datacenter, imediatamente deverá ser providenciada a sua exclusão do sistema de autenticação forte e da lista de colaboradores autorizados, de acordo com o processo defi nido no Procedimento de Controle de Acesso ao Datacenter.

IX. DA UTILIZAÇÃO DO BACKUP

Artigo 54. Todos os backups devem ser automatizados por sistemas de agendamento para que sejam preferencialmente executados fora do horário comercial, nas chamadas “janelas de backup” – períodos em que não há nenhum ou pouco acesso de usuários ou processos automatizados nos sistemas de informática.

Page 8: ORDEM DE SERVIÇO Nº 56/2017 - autoatendimento.hc.fm.usp.brautoatendimento.hc.fm.usp.br/autoatendimento/files/... · 10 HC em Notícias nº 8293 - julho/2017 ORDEM DE SERVIÇO Nº

HC em Notícias 17nº 8293 - julho/2017

Artigo 55. Os colaboradores responsáveis pela gestão dos sistemas de backup deverão realizar pesquisas frequentes para identifi car atualizações de correção, novas versões do produto, ciclo de vida (quando o software não terá mais garantia do fabricante), sugestões de melhorias, entre outros.

Artigo 56. As mídias de backup (como DAT, DLT, LTO, DVD, CD e outros) devem ser acondicionadas em local seco, climatizado, seguro (de preferência em cofres corta-fogo segundo as normas da ABNT) e distantes o máximo possível do Datacenter.

Artigo 57. As mídias de backup devem ser identifi cadas, inclusive quando for necessário efetuar alterações de nome, e de preferência com etiquetas não manuscritas, dando uma conotação mais organizada e profi ssional.

Artigo 58. O tempo de vida e uso das mídias de backup deve ser monitorado e controlado pelos responsáveis, com o objetivo de excluir mídias que possam apresentar riscos de gravação ou de restauração decorrentes do uso prolongado além do prazo recomendado pelo fabricante.

Artigo 59. É necessária a previsão, em orçamento anual, da renovação das mídias em razão de seu desgaste natural, bem como deverá ser mantido um estoque constante das mídias para qualquer uso emergencial, e as mídias que apresentarem erros deverão ser primeiramente formatadas e testadas, caso o erro persista, deverão ser inutilizadas.

Artigo 60. As mídias de backups históricos ou especiais deverão ser armazenadas em instalações seguras, preferencialmente com estrutura de sala-cofre, distante no mínimo 10 quilômetros do Datacenter.

Artigo 61. Testes de restauração (restore) de backup devem ser executados por seus responsáveis, nos termos dos procedimentos específi cos, aproximadamente a cada 30 ou 60 dias, de acordo com a criticidade do backup, por se tratar de uma simulação, o executor deve restaurar os arquivos em local diferente do original, para que assim não sobreponha os arquivos válidos.

Artigo 62. Para formalizar o controle de execução de backups e restores, deverá haver um formulário de controle rígido de execução dessas rotinas, o qual deverá ser preenchido pelos responsáveis e auditado pelo Coordenador de Serviços, nos termos do Procedimento de Controle de Backup e Restore.

X. DA INSTALAÇÃO DE SOFTWARE NA REDE

Artigo 63. Cabe a área de Segurança da Informação disponibilizar para todos os colaboradores do HCFMUSP a lista de softwares homologados, ou seja, os softwares que podem ser instalados nos computadores.

Artigo 64. Toda e qualquer solicitação de instalação de software em qualquer computador do HCFMUSP, deve ser validada com a lista de softwares homologados, caso o software não constar na lista, deve ser encaminhado um e-mail para a área de Segurança da Informação para que a equipe possa realizar ou não a homologação do software.

XI. DO ACESSO À INTERNET

Artigo 65. O acesso à internet deve ser restrito ao que compete seu trabalho, portanto é vedado(a):I. O uso de redes sociais, salvo os casos quando se é necessário para executar o trabalho do colaborador. II. O uso de softwares de aplicações de mensagens que não estejam homologados pelo HCFMUSP.III. A utilização de softwares peer-to-peer (P2P), tais como torrents, Kazaa, Morpheus e afi ns.IV. Utilizar os recursos do HCFMUSP para fazer download ou distribuição de software ou dados não legalizados.V. Utilizar os recursos computacionais do hospital para disponibilizar software e arquivos não legalizados aos usuários internos e externos sem o consentimento da Gerência de Serviços.VI. A divulgação de informações confi denciais do HCFMUSP em grupos de discussão, listas ou bate-papo, não importando se a divulgação foi deliberada ou inadvertida, fi cando aquele que assim proceder, sujeito às penalidades previstas nas políticas e procedimentos internos e/ou na forma da lei.

Artigo 66. Os usuários da área técnica, que por força de suas funções e conhecimento técnico devidamente autorizados, se reservem no direito de efetuar suas próprias instalações, bem como, permanecem com a guarda e o uso oportuno das credenciais de administrador, somente poderão efetuar download de softwares necessários à execução de suas atribuições, com autorização prévia da Chefi a imediata, devendo providenciar, quando for o caso, a regularização da licença e o registro desses de forma a evitar possíveis penalidades ao HCFMUSP.

Artigo 67. Caso o HCFMUSP julgue necessário, haverá bloqueio de acesso a arquivos e sites não autorizados

Page 9: ORDEM DE SERVIÇO Nº 56/2017 - autoatendimento.hc.fm.usp.brautoatendimento.hc.fm.usp.br/autoatendimento/files/... · 10 HC em Notícias nº 8293 - julho/2017 ORDEM DE SERVIÇO Nº

HC em Notícias nº 8293 - julho/201718

que comprometam o uso de banda da rede, o desempenho e produtividade das atividades do empregado, bem como, que exponham a rede a riscos de segurança.

Artigo 68. O HCFMUSP deve possuir um sistema de whitelist e blacklist (permissão e proibição) para bloquear sites e arquivos de caráter duvidoso quanto à moral, à segurança (entrada de malware, por exemplo) e ao uso indevido da banda de rede.

Artigo 69. É proibida a utilização de meios para burlar as políticas de bloqueios automaticamente aplicadas no proxy do HCFMUSP. Tais meios envolvem web-proxy e tunelamentos criptografados. Apenas em casos restritos, com a devida autorização da Chefi a imediata e quando se fi zer necessário para execução de suas atividades, é que o usuário poderá se utilizar de tais recursos.

Artigo 70. A utilização de serviços de redes sociais, além de streaming de áudio e/ou vídeo será controlada quanto ao seu uso e excessos, ressalvando-se aqueles serviços pertinentes às atividades do HCFMUSP.

XII. DA UTILIZAÇÃO DE DISPOSITIVOS MÓVEIS

Artigo 71. O HCFMUSP, na qualidade de proprietário dos equipamentos fornecidos, reserva-se no direito de inspecioná-los a qualquer tempo, caso seja necessário realizar uma manutenção de segurança. Parágrafo único: O colaborador assume o compromisso de não utilizar, revelar ou divulgar a terceiros, de modo algum, direta ou indiretamente, em proveito próprio ou de terceiros, qualquer informação, confi dencial ou não, que tenha ou venha a ter conhecimento em razão de suas funções no HCFMUSP, mesmo depois de terminado o vínculo contratual mantido com a instituição.

Artigo 72. Todo colaborador deverá realizar periodicamente cópia de segurança (backup) dos dados de seu dispositivo móvel. Deverá, também, manter estes backups separados de seu dispositivo móvel, ou seja, não carregá-los juntos.

Artigo 73. O suporte técnico aos dispositivos móveis de propriedade do HCFMUSP e aos seus usuários deverá seguir o mesmo fl uxo de suporte da instituição. Parágrafo único: Todo colaborador deverá utilizar senhas de bloqueio automático para seu dispositivo móvel.

Artigo 74. O colaborador se compromete a não utilizar ou manter quaisquer programas e/ou aplicativos que não tenham sido instalados ou autorizados por um técnico da Gerência de Serviços do HCFMUSP. Parágrafo único: A reprodução não autorizada dos softwares instalados nos dispositivos móveis fornecidos pela instituição constituirá uso indevido do equipamento e infração legal aos direitos autorais do fabricante.

Artigo 75. É responsabilidade do colaborador, no caso de furto ou roubo de um dispositivo móvel fornecido pelo HCFMUSP, notifi car imediatamente sua Chefi a imediata e a Gerência de Serviços. O colaborador também deverá procurar a ajuda das autoridades policiais registrando, assim que possível, um boletim de ocorrência (BO).

Artigo 76. O colaborador que deseje utilizar equipamentos portáteis particulares ou adquirir acessórios e posteriormente conectá-los à rede do HCFMUSP, em esquema de BYOD (Bring Your Own Device), deve submeter previamente tais equipamentos ao processo de autorização da Gerência de Serviços; não há suporte a hardware ou a sistema operacional instalado, apenas aos softwares ou aplicações, desde que sejam pertinentes à rotina de trabalho.

Artigo 77. Sistemas de “hotspots” ou antenas particulares não são permitidos na rede do HCFMUSP.

XIII. DISPOSIÇÕES FINAIS

Artigo 78. Esta POLÍTICA DE SEGURANÇA DA INFORMAÇÃO será implementada no HCFMUSP por meio de procedimentos específi cos, obrigatórios para todos os colaboradores, independentemente do nível hierárquico ou função no complexo, bem como de vínculo empregatício ou prestação de serviço.

Artigo 79. Os contratos de prestação de serviços relacionados aos sistemas informatizados no HCFMUSP devem conter cláusulas que viabilizem a adoção e manutenção das normas de segurança.

Artigo 80. Cabe ao NETI gerenciar a aplicação das normas desta ORDEM DE SERVIÇO, expedir instruções complementares, bem como realizar periodicamente auditoria de segurança nos ambientes operacionais e nos Sistemas do HCFMUSP.

Page 10: ORDEM DE SERVIÇO Nº 56/2017 - autoatendimento.hc.fm.usp.brautoatendimento.hc.fm.usp.br/autoatendimento/files/... · 10 HC em Notícias nº 8293 - julho/2017 ORDEM DE SERVIÇO Nº

HC em Notícias 19nº 8293 - julho/2017

Hospital das Clínicas da Faculdade de Medicina da FMUSPHC em Notícias é uma publicação do Núcleo de Comunicação Institucional da Chefi a de Gabinete da Superintendência do HCFMUSP

Presidente do Conselho Deliberativo: Prof. Dr. José Otávio Costa Auler Junior Diretora Clínica: Profa. Dra. Eloisa Silva Dutra de Oliveira Bonfá - Superintendente: Eng° Antonio José Rodrigues Pereira

Conselho Editorial: NCI e CCIs - Jornalistas responsáveis: Ana Cláudia O. Ananias Mtb 43448/SP e Fernando Zamith Mtb 11286/SP Diagramação: Rita de Cássia da S. Rocha - Revisão: Elizabeth de Faria, Massayuki Yamamoto e Solange Cirelo - Tiragem: 600 exemplares

Endereço: Prédio da Administração - 3º andar -Telefone: 2661-6818 - Fax: 2661-7036Disponível na intranet: www.phcnet.usp.br - Site: www.hc.fm.usp.br - Twitter: twitter.com/hospitalHCFMUSP - e-mail: [email protected]

EXPEDIENTE

Artigo 81. Os ambientes de produção devem ser segregados e rigidamente controlados, garantindo o isolamento necessário em relação aos ambientes de desenvolvimento, treinamento e homologação.

Artigo 82. Esta ORDEM DE SERVIÇO entra em vigor na data de sua publicação, revogando-se as disposições em contrário, em especial à ORDEM CONJUNTA DE SERVIÇO nº 06/98.

São Paulo, 10 de julho de 2017

ENGENHEIRO ANTONIO JOSÉ RODRIGUES PEREIRA Superintendente do HCFMUSP

Aprovado ad referendum pelo Conselho Deliberativo do HCFMUSP