Política de Auditoria e Monitorização da Conformidade

A Política de Auditoria e Monitorização da Conformidade serve como o documento fundamental para estabelecer e governar o programa de auditoria estruturada e monitorização da conformidade de uma organização no seu Sistema de Gestão de Segurança da Informação (SGSI). O objetivo central da política é validar a eficácia dos controlos de segurança e privacidade, assegurar o alinhamento com múltiplas normas aplicáveis e quadros legais, detetar e tratar lacunas de conformidade e promover a melhoria contínua rumo à certificação e à prontidão regulamentar. A política aplica-se de forma abrangente a todas as unidades de negócio internas, ambientes físicos e sistemas alojados na nuvem, aplicações, ativos de dados e prestadores de serviços terceiros com obrigações de conformidade ou auditoria. Abrange todas as formas de auditorias, incluindo auditorias internas, certificação externa, avaliações técnicas de conformidade e avaliações de fornecedores terceiros, bem como os processos de ações corretivas e preventivas (CAPA), reporte de métricas e controlo de evidências de auditoria. A governação é um foco crítico. A política exige um Programa de Auditoria e Monitorização da Conformidade integrado no SGSI, abrangendo Planos de Auditoria anuais baseados no risco, ciclos de auditoria regulares adequados à criticidade dos ativos e práticas rigorosas de documentação. Deve ser mantido um registo de auditoria, acompanhando constatações de auditoria, partes responsáveis e o estado de CAPA, com toda a evidência armazenada de forma segura. Os requisitos procedimentais asseguram imparcialidade e objetividade consistentes com as principais normas de auditoria, e as revisões externas devem ser coordenadas formalmente pelas funções de Conformidade e pelo Diretor de Segurança da Informação (CISO) para garantia regulamentar. A política detalha responsabilidades para um conjunto diversificado de partes interessadas, incluindo líderes de auditoria interna, gestão, equipas de TI e de Segurança da Informação, Chefes de Departamento e coordenadores de aquisição/terceiros, cada um com deveres definidos relativamente à cooperação em auditorias, disponibilização de evidências, remediação e supervisão de terceiros. Também prescreve a utilização de ferramentas de automatização para conformidade técnica e monitorização de vulnerabilidades e delimita o tratamento de exceções, protocolos de tratamento de riscos e o processo de escalonamento para não conformidade. Esta política está explicitamente mapeada para normas globais, incluindo ISO/IEC 27001:2022 (com cobertura específica de auditoria interna, revisão pela gestão e requisitos de CAPA), ISO/IEC 27002:2022 (controlos para revisão e registo de auditoria), NIST SP 800-53 (avaliações e monitorização de controlos), GDPR (mandatos de evidência e rasto de auditoria), NIS2 e DORA (diretivas da UE para indústrias regulamentadas) e COBIT 2019 (monitorização e conformidade). Políticas de suporte para gestão de riscos, retenção de evidências, gestão de alterações, controlos criptográficos, supervisão de fornecedores, resposta a incidentes e continuidade de negócio são diretamente referenciadas, garantindo que o programa de auditoria reforça objetivos mais amplos de governação e conformidade regulamentar em toda a organização.