policy Enterprise

Política de Utilização Aceitável

Define e aplica a utilização aceitável dos recursos informáticos, salvaguardando dados e garantindo um comportamento do utilizador seguro e responsável em todos os sistemas de informação da organização.

Visão geral

Esta Política de Utilização Aceitável define as regras para a utilização adequada dos recursos informáticos da empresa, abrangendo o comportamento do utilizador, ações proibidas, aplicação técnica, notificação e conformidade, em linha com as principais normas de segurança.

Controlos abrangentes de utilizadores

Abrange todos os tipos de utilizadores e dispositivos para minimizar o uso indevido, a negligência e o abuso de ativos de TIC corporativos.

Aplicação baseada no risco

Combina salvaguardas técnicas com obrigações claras dos utilizadores para reduzir riscos de segurança baseados no comportamento.

Sensibilização e formação integradas

Impõe a tomada de conhecimento da política e formação regular para reforçar a utilização segura e ética dos sistemas.

Alinhamento jurídico e regulamentar

Cumpre requisitos da ISO/IEC 27001, RGPD, NIS2 e outros, para conformidade pronta para auditoria.

Ler visão geral completa
A Política de Utilização Aceitável (AUP) estabelece as normas para a utilização responsável, segura e lícita dos sistemas de informação, recursos tecnológicos e ativos de dados de uma organização. O objetivo geral é definir atividades aceitáveis e proibidas ao interagir com a infraestrutura de computação da empresa, incluindo estações de trabalho, dispositivos móveis, servidores, serviços em nuvem e redes. Esta política garante que todos os utilizadores — desde trabalhadores e prestadores de serviços até fornecedores terceiros — estão cientes das suas responsabilidades na defesa da Confidencialidade, Integridade e Disponibilidade dos ativos de informação da organização. De acordo com a política, o âmbito é abrangente, abrangendo cada indivíduo e entidade a quem seja concedido acesso, bem como todas as formas de tecnologia e dados corporativos. Aplica-se de forma equivalente em escritórios corporativos, configurações de trabalho remoto e localizações no terreno. Não só os utilizadores tradicionais de TI devem cumprir, como também qualquer pessoa que opere ao abrigo de acordos de Traga o Seu Próprio Dispositivo (BYOD) ou através de ambientes híbridos. Cada utilizador é obrigado a efetuar a tomada de conhecimento da política como condição prévia para o acesso a sistemas e dados, e essa tomada de conhecimento é mantida para auditoria e conformidade. Os objetivos da política sublinham a importância de estabelecer limites claros para ações permitidas e proibidas. Impõe a prevenção de acesso não autorizado ou violação de dados através de ameaças orientadas pelo comportamento, como utilização negligente, instalação de software não autorizado ou evasão de controlos de segurança. Para salvaguardar a conformidade, são delineados papéis e responsabilidades para a Alta Direção (aprovação e supervisão da política), Equipas de TI e de Segurança da Informação (aplicação técnica, monitorização, investigação), gestores (supervisão local, tratamento de violações menores), Recursos Humanos e Jurídico (medidas disciplinares, legalidade da política) e todos os utilizadores (utilização ética, notificação de incidentes, proteção de credenciais de autenticação). As medidas de governação e aplicação são concebidas de forma estruturada. Os utilizadores devem realizar confirmações formais e formação recorrente, reforçando a sensibilização e o comportamento ético. As Equipas de TI e de Segurança da Informação implementam sistemas de filtragem Web e de correio eletrónico, segurança de endpoints e sistemas de monitorização para aplicar tecnicamente as regras, enquanto revisões periódicas asseguram que os controlos permanecem eficazes. As atividades proibidas são listadas explicitamente, abrangendo acesso não autorizado, implementação de malware, uso para proveito pessoal, utilização excessiva de recursos e tentativas de contornar mecanismos de segurança. Existe também um tratamento rigoroso da utilização de BYOD, cifragem e práticas de trabalho remoto, com requisitos técnicos e processuais para a segurança de dispositivos e dados. Os mecanismos de resposta a incidentes exigem que os utilizadores comuniquem eventos de segurança, acesso não autorizado ou perda de dispositivos de forma célere através de canais oficiais. As violações são tratadas com medidas disciplinares proporcionais — desde retreino e suspensão de acesso até cessação ou ação judicial —, tudo documentado para fins legais e de auditoria. Importa salientar que a política protege o anonimato do mecanismo de denúncia e proíbe retaliação, promovendo uma cultura de responsabilização. Alinhada com normas internacionais reconhecidas, como ISO/IEC 27001:2022 (Cláusula 5.10 e controlos selecionados do Anexo A), NIST SP 800-53, RGPD da UE, NIS2, DORA da UE e COBIT 2019, a AUP é construída para resistir ao escrutínio de conformidade, jurídico e auditoria. É regida por ciclos de revisão prescritos, controlo de versões e requisitos de gestão documental para garantir a sua relevância à medida que os riscos evoluem e o ambiente regulamentar muda. Além disso, a política estabelece ligações explícitas a políticas-chave relacionadas, como a Política de controlo de acesso, o Quadro de gestão de riscos e a Política de trabalho remoto, assegurando uma abordagem holística e em camadas à governação do risco cibernético organizacional.

Diagrama da Política

Diagrama da Política de Utilização Aceitável que ilustra a tomada de conhecimento na integração de utilizadores, a aplicação de controlos técnicos, a notificação de incidentes, a governação de exceções e o escalonamento disciplinar com múltiplos papéis.

Clique no diagrama para visualizar em tamanho completo

Conteúdo

Âmbito e regras de interação

Comportamento do utilizador e regras de acesso

Lista de atividades proibidas

Requisitos de BYOD e utilização remota

Resposta a incidentes e notificação

Processo de exceção à política e processo disciplinar

Conformidade com frameworks

🛡️ Padrões e frameworks suportados

Este produto está alinhado com os seguintes frameworks de conformidade, com mapeamentos detalhados de cláusulas e controles.

Framework Cláusulas / Controles cobertos
ISO/IEC 27001:2022
5.10Annex A 6.1Annex A 6.2Annex A 8.1Annex A 8.12
ISO/IEC 27002:2022
6.16.28.18.12
NIST SP 800-53 Rev.5
AC-19AC-20PL-4AT-2AU-2AU-12
EU GDPR
Article 5(1)(f)Article 32Recital 39
EU NIS2
Article 21(2)(a)Article 21(2)(b)Article 21(2)(c)Article 21(2)(d)
EU DORA
Article 5
COBIT 2019
APO07BAI05DSS05MEA01

Políticas relacionadas

P01 Política de Segurança da Informação

Estabelece as expectativas comportamentais fundamentais e o compromisso da Alta Direção com a utilização aceitável.

Política de controlo de acesso

Define permissões e direitos associados a utilizadores, sistemas e acesso a dados, aplicando diretamente limites de utilização aceitável.

Quadro de gestão de riscos

Aborda riscos relacionados com o comportamento e suporta atividades de monitorização e tratamento associadas a ameaças orientadas pelo utilizador.

Política de Admissão e Cessação

Garante que os termos de utilização aceitável são reconhecidos na entrada e revogados na saída.

Política de trabalho remoto

Estende as disposições de utilização aceitável a ambientes de trabalho remoto e híbrido.

Sobre as Políticas Clarysec - Política de Utilização Aceitável

Uma governação de segurança eficaz exige mais do que palavras; exige clareza, responsabilização e uma estrutura que escale com a sua organização. Modelos genéricos falham frequentemente, criando ambiguidade com parágrafos longos e papéis indefinidos. Esta política foi concebida para ser a base operacional do seu programa de segurança. Atribuímos responsabilidades a papéis específicos encontrados numa empresa moderna, incluindo o Diretor de Segurança da Informação (CISO), as Equipas de TI e de Segurança da Informação e comités relevantes, garantindo responsabilização clara. Cada requisito é uma cláusula numerada de forma única (por exemplo, 5.1.1, 5.1.2). Esta estrutura atómica torna a política fácil de implementar, auditar face a controlos específicos e personalizar com segurança sem afetar a integridade do documento, transformando-a de um documento estático num quadro dinâmico e acionável.

Responsabilização de papéis em múltiplas camadas

Atribui aplicação, escalonamento e revisão de conformidade a equipas distintas: gestão, TI, Recursos Humanos, jurídico e utilizadores finais.

Fluxo de trabalho de exceções incorporado

Define etapas granulares de tratamento de exceções com aprovação, controlos, auditoria e revisão periódica para uma utilização não padrão segura.

Monitorização e resposta automatizadas

Permite deteção em tempo real de violações da política, registo de auditoria e início de Gestão de Incidentes para contenção rápida e recolha de evidências.

Perguntas frequentes

Criado para Líderes, por Líderes

Esta política foi elaborada por um líder de segurança com mais de 25 anos de experiência na implementação e auditoria de frameworks ISMS em organizações globais. Foi concebida não apenas como um documento, mas como um framework defensável que resiste ao escrutínio de auditores.

Elaborado por um especialista com as seguintes qualificações:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Cobertura e tópicos

🏢 Departamentos alvo

TI Segurança Conformidade Jurídico Recursos Humanos (RH)

🏷️ Cobertura temática

Formação de sensibilização em segurança Gestão de conformidade Controlo de acesso Gestão do ciclo de vida das políticas Comunicação e notificação das partes interessadas
€49

Compra única

Download instantâneo
Atualizações vitalícias
Acceptable Use Policy

Detalhes do produto

Tipo: policy
Categoria: Enterprise
Padrões: 7