Política de Gestão de Ativos

A Política de Gestão de Ativos (P12) estabelece os requisitos organizacionais para identificar, classificar, gerir e proteger todos os ativos de informação ao longo do seu ciclo de vida. O documento visa proporcionar supervisão e governação a nível empresarial, suportando hardware, software, dados, nuvem, ambientes móveis, remotos e geridos por terceiros. A sua intenção central é assegurar que a organização obtém visibilidade total sobre o seu portefólio de ativos, o que, por sua vez, permite controlos de segurança eficazes, atribuição de Proprietário do ativo, Conformidade regulamentar e procedimentos responsáveis de descomissionamento. Os ativos abrangidos por esta política incluem uma ampla variedade: portáteis, desktops, dispositivos móveis, armazenamento removível, impressoras, equipamento de rede, software, bases de dados, dados de cópia de segurança, chaves de cifragem, dados estruturados e dados não estruturados, relatórios, correio eletrónico, propriedade intelectual, recursos de nuvem, máquinas virtuais, contas de utilizador, Linha de base de controlos, licenças e mais. Todo o pessoal, Contratados, Prestadores de serviços terceiros e fornecedores que utilizem, gerem ou acedam a ativos de informação detidos ou controlados pela organização estão abrangidos pela política. Esta abrangência estende-se também a ativos em ambientes remotos, Ambientes híbridos ou Serviços Externalizados, assegurando que a segurança e a rastreabilidade dos ativos não são comprometidas pela localização. Um objetivo fundamental é a manutenção de um registo centralizado, exato e atualizado do Inventário de Ativos, gerido pelo Gestor de Ativos de TI e, sempre que possível, integrado com outros sistemas de Gestão da configuração. Cada ativo registado neste inventário deve incluir metadados obrigatórios, como o seu identificador único, propriedade, Classificação de ativos, localização e estado do ciclo de vida. É designado um Proprietário do ativo para cada ativo, responsável por assegurar a sua classificação adequada, proteção e validação periódica dos registos. O processo de classificação sustenta toda a política, garantindo que os ativos são rotulados e geridos de acordo com a sensibilidade, criticidade e quaisquer requisitos regulamentares relevantes. Os procedimentos de rotulagem são aplicados tanto a ativos digitais como físicos, e os requisitos de manuseamento — por exemplo, Cifragem, armazenamento trancado ou Controlo de acesso restrito — devem corresponder aos níveis de classificação. A política detalha controlos de segurança em todas as fases do ciclo de vida do ativo: Integração, reafetação, manuseamento, utilização, devolução segura durante a Desvinculação e eliminação segura. Estipula que a utilização de ativos deve cumprir a Utilização aceitável de ativos corporativos e proíbe especificamente a reutilização de ativos para uso pessoal, a instalação de Software não autorizado ou a evasão de controlos como Antivírus e Cifragem. As regras para utilização remota de ativos exigem o uso de Rede Privada Virtual (VPN) ou Túnel de transporte seguro e podem implicar soluções de gestão de dispositivos móveis e segurança de endpoints. As práticas de descomissionamento e destruição seguras são claramente abordadas, exigindo apagamentos criptográficos ou destruição física com confirmação e manutenção de registos. Para suportar a conformidade contínua e a Gestão de riscos, a Política de Gestão de Ativos integra-se com o Registo de riscos da organização e suporta Avaliação de riscos, Gestão de Exceções e processos de auditoria. Violações, como ativos não registados ou não autorizados, eliminação inadequada ou desativação de controlos, são motivo para escalonamento e podem resultar em medidas disciplinares, penalizações a fornecedores ou até processos judiciais. As revisões periódicas da política envolvem múltiplos grupos de partes interessadas e são desencadeadas por alterações regulamentares, Constatações de auditoria, Incidentes de segurança ou alterações operacionais substanciais. O documento termina com referência a políticas relacionadas, incluindo Política de controlo de acesso, Política de Classificação e Tratamento da Informação, Política de Retenção de Dados, Política de Registo e Monitorização e Política de Resposta a Incidentes (P30), assegurando que a gestão de ativos constitui um pilar central da estrutura de governação mais ampla da organização. Esta política não está especificamente rotulada como uma política para PME. Foi concebida para organizações com equipas designadas, como TI, Diretor de Segurança da Informação (CISO), Gestor de Ativos e várias partes interessadas de conformidade e operações, cumprindo os requisitos abrangentes da ISO/IEC 27001:2022 e quadros de suporte.