Política de Auditoria e Monitorização da Conformidade - PME

A Política de Auditoria e Monitorização da Conformidade (Documento P33S) fornece um quadro abrangente para auditorias internas estruturadas, verificações de controlos de segurança e monitorização contínua da conformidade, especificamente adaptado para pequenas e médias empresas (PME). Reconhecendo que as PME frequentemente não dispõem de pessoal de conformidade dedicado, esta política delega papéis e responsabilidades essenciais ao Diretor-Geral, ao prestador de serviços de TI ou administrador, a líderes de equipa e, quando necessário, a auditores externos ou consultores. O seu objetivo central é detetar falhas de controlo, prevenir a não conformidade e demonstrar continuamente a devida diligência em linha com os requisitos da ISO/IEC 27001, do RGPD e de normas da indústria relacionadas. O âmbito desta política é amplo, cobrindo todos os departamentos internos, prestadores de serviços externos envolvidos com sistemas de TI, tratamento de dados pessoais e quaisquer serviços críticos para o negócio. Exige revisão regular e estruturada de todos os controlos e sistemas no Sistema de Gestão de Segurança da Informação (SGSI). As auditorias podem ser desencadeadas internamente ou a pedido de clientes, reguladores ou para exercícios de certificação e recertificação. A política estipula que a recolha de evidências e o reporte devem ser bem organizados para satisfazer as exigências de auditorias ISO/IEC 27001, auditorias RGPD, devida diligência de clientes e requisitos regulamentares ou legais em evolução (como a NIS2 e a DORA). Os principais requisitos de governação incluem a aprovação, pelo Diretor-Geral, de um plano anual de auditoria, com identificação clara de sistemas, controlos (por exemplo, controlos do Anexo A da ISO/IEC 27001), processos específicos do RGPD, serviços externalizados e atividades críticas de negócio sujeitas a revisão anual ou ad hoc. As auditorias internas devem ocorrer pelo menos anualmente, com maior frequência para domínios críticos ou de alto risco. Toda a atividade de auditoria deve basear-se em listas de verificação estruturadas, incluindo estado das políticas, validação de controlos tecnológicos, conformidade dos utilizadores e registo de auditoria apropriado. As constatações são classificadas por risco e acompanhadas até à remediação, com correções revistas e confirmadas pelo Diretor-Geral. Apoiando as realidades das PME, a política institucionaliza listas de verificação de auditoria simples e repetíveis, armazenamento centralizado de evidências (com metadados e requisitos de retenção) e um processo direto de gestão de exceções e de gestão de riscos. Todos os papéis, desde o Diretor-Geral até ao prestador de serviços de TI e utilizadores-chave, recebem responsabilidades claras e acionáveis, facilitando a conformidade sem necessidade de um departamento de conformidade dedicado. Os resultados de auditoria são integrados nas Revisões pela Gestão do SGSI em curso, com avaliação anual da política e atualizações exigidas em resposta a alterações em regulamentos, certificações ou incidentes graves. Esta política é explicitamente identificada como uma política para PME (assinalada pelo número do documento P33S e pela abordagem direta ao Diretor-Geral, em vez de responsáveis especializados de conformidade ou segurança). Foi concebida para garantir que as organizações conseguem manter a prontidão para auditoria e o controlo operacional, mesmo com recursos internos limitados, e para satisfazer os requisitos de múltiplos quadros globais através de processos práticos e realistas para o negócio.