Quadros regulamentares Sino-Europeus de segurança da informação na exploração de sistemas de informação

Abstract

A existência de quadros regulamentares na vertente da segurança da informação que orientem as empresas (designadamente, de Sistemas de Informação (SI)) na exploração da sua atividade, em jurisdições estrangeiras, torna-se de elevada pertinência e relevância, a fim de auxiliar todos os intervenientes a quem essas orientações possam servir. Dessa forma, a finalidade deste trabalho consistiu na criação guiões de orientação que facilitem a obtenção da conformidade, mais concretamente focados nas necessidades da vertente da segurança da informação, no contexto geográfico da China e da União Europeia (UE). Quanto à abordagem de investigação escolhida foi a Design Science Research, uma vez que se acredita que seja a abordagem mais adequada para o caso em estudo, atendendo aos objetivos do trabalho. Para isso, inicialmente, fez-se a identificação e revisão de literatura associada à temática e procedeu-se à recolha de informação relevante ao contexto, junto dos que intervêm neste meio. Adicionalmente, realizou-se o levantamento dos documentos legislativos, regulamentares, normativos e de outras peças relevantes que se aplicam, bem como também se procurou aclarar quanto ao tipo de regulamentação existente, aos agentes de regulamentação envolvidos e a outros requisitos, para ambas as partes. De seguida, procedeu-se à análise detalhada de diversos pontos identificados anteriormente, relativos à segurança da informação e a aspetos culturais e normativos da China, bem como se realizou a análise e respetiva comparação das diferentes peças legislativas, a fim de se caracterizar as diferentes obrigações na exploração de SI, na vertente da segurança da informação e da cibersegurança, por parte de empresas Chinesas que queiram atuar na UE, como também por parte de empresas da UE que pretendam atuar na China e à elaboração de quadros-síntese com as principais disposições, ao nível da segurança da informação, para cada região. Por fim, procedeu-se à elaboração dos diferentes guiões e ainda se submeteu o trabalho para respetiva validação, por parte de diversos intervenientes na área, por forma a recolher apreciações a seu respeito.

The existence of Regulatory Frameworks in the Information Security aspect that guide Information Systems companies (namely, of Information Systems (IS))) in the exploitation of their activity, in foreign jurisdictions, becomes of high pertinence and relevance, in order to assist not only information systems managers, as well as other actors to whom these guidelines may serve. That way, the purpose of this work was to create guidance guides that facilitate the achievement of compliance that facilitate the achievement of compliance, more specifically focused on the needs of the information security area, in the geographical context of China and of the European Union (EU). As for the research approach chosen, it was Design Science Research, once it is believed to be the most appropriate approach for the case under study, taking into account the objectives of the work. Thereunto, initially, the literature associated with the topic was identified and reviewed and information relevant to the context was collected from those who intervene in this spectrum. In addition, a survey of the legislative, regulatory, normative documents and other relevant documents that were applied was carried out, as well as seeking to clarify the type of existing regulation, the regulatory agents involved and other requirements, for both sides. Then, a detailed analysis was carried out of several points previously identified, related to information security and cultural and normative aspects of China, as well as the analysis and respective comparison of the different pieces of legislation, in order to characterize the different obligations in the exploration of IS, in the area of information security and cybersecurity, by Chinese companies wishing to operate in the EU, as well as by EU companies wishing to operate in China, and also the elaboration of summary tables with the main provisions, at the level of information security, for each region. Lastly, the different Guides were elaborated and the guides were also submitted for validation by various entities in the area, in order to collect their feedback about them.