Esta política aplica-se e deve ser seguida por todas as pessoas atuando nos processos gerenciados pela organização no escopo do Sistema de Gestão da Segurança da Informação, incluindo colaboradores, contratados, sócios e partes interessadas atuando sob a gestão da organização.
É dever de todos, de acordo com seus papéis, autoridades e responsabilidades atribuídas:
Atuar de forma transparente e responsável para garantir a confidencialidade, integridade e disponibilidade das informações tratadas pela organização, bem como dos recursos (ativos de informação) utilizados para este fim.
Atuar para identificar, analisar, avaliar e tratar os riscos e oportunidades relacionadas à Segurança da Informação.
Atuar para proteger os dados pessoais identificáveis e identificar, analisar, avaliar e tratar os riscos e oportunidades para os titulares de dados pessoais.
Atuar para definir, a partir da análise do contexto e dos riscos, os objetivos de segurança da informação e gerenciar os processos visando atingir os objetivos de Segurança da Informação definidos.
Comprometer-se com os requisitos aplicáveis, incluindo requisitos legais, regulamentares, estatutários, contratuais e dos processos e práticas adotadas pela organização.
Comprometer-se com a melhoria contínua da Segurança da Informação e do SGSI.