policy Enterprise

Política de Controlos Criptográficos

Assegure a confidencialidade, integridade e disponibilidade (CID) e a autenticidade de dados sensíveis com controlos criptográficos robustos, alinhados com a ISO/IEC 27001, NIST, GDPR e outros.

Visão geral

Esta política estabelece requisitos para a utilização segura e em conformidade de controlos criptográficos em toda a organização, detalhando governação, aprovação de algoritmos, gestão de chaves, aplicação e processos de auditoria, em alinhamento com normas e regulamentos de referência.

Política de Cifragem Abrangente

Define a utilização obrigatória de criptografia para proteger dados regulamentados e dados sensíveis em repouso, em trânsito e durante o tratamento.

Governação e Gestão de Chaves

Normaliza o ciclo de vida das chaves, aprova métodos criptográficos e aplica segregação de funções e custódia.

Conformidade Regulamentar

Alinha-se com ISO/IEC 27001, NIST SP 800-53, GDPR, NIS2, DORA e COBIT para prontidão jurídica e de auditoria abrangente.

Revisão e Monitorização Contínuas

Impõe revisões anuais, monitorização da saúde criptográfica e resposta proativa a vulnerabilidades e incumprimento.

Ler visão geral completa
A Política de Controlos Criptográficos (P18) estabelece os controlos obrigatórios que regem a utilização de mecanismos criptográficos em toda a organização para assegurar a Confidencialidade, Integridade e Disponibilidade (CID) e a autenticidade de toda a informação sensível e dados regulamentados. Reconhecendo que a criptografia é fundamental para comunicações seguras, conformidade regulamentar e proteção de dados, esta política descreve requisitos detalhados alinhados com normas globais de referência e mandatos regulamentares em evolução. O objetivo principal é garantir que métodos criptográficos adequados são aplicados de forma consistente sempre que dados sensíveis são transmitidos, tratados ou armazenados, reforçando a confiança organizacional e suportando operações seguras em todos os domínios de negócio. A política aplica-se a toda a organização, abrangendo todas as funções de negócio, todo o pessoal e prestadores de serviços terceiros relevantes envolvidos em operações criptográficas. A cobertura estende-se por ambientes de produção, desenvolvimento, staging, sistemas de cópia de segurança e ambiente de recuperação em caso de desastre, com referência explícita a sistemas que tratam dados Confidencial, Altamente Confidencial ou dados regulamentados. Os casos de utilização criptográfica incluem cifragem simétrica e assimétrica, assinaturas digitais, hashing seguro e cifragem ao nível de Interfaces de Programação de Aplicações, bem como geração, distribuição e destruição robustas de chaves, incluindo tecnologias como Hardware Security Modules (HSMs), Trusted Platform Modules (TPMs) e Key Management Systems (KMS). É estabelecido um quadro de governação robusto, liderado pelo Gestor de Segurança da Informação ou CISO, que detém a política e assegura a sua conformidade com a ISO/IEC 27001:2022 Anexo A Controlo 8.24, entre outros. O Líder de Operações Criptográficas mantém a Lista de Métodos Criptográficos Aprovados (ACML) e o Registo de Gestão de Chaves, liderando a revisão e integração de novas tecnologias. Superiores hierárquicos diretos, administradores de sistemas, Proprietário do ativo, desenvolvedores e prestadores terceiros recebem responsabilidades claras para aprovação, configuração, aplicação e revisão de controlos criptográficos nas suas áreas. São impostas revisões anuais e Revisões de Conceção Criptográfica (CDRs) para todas as implementações novas ou modificadas, assegurando alinhamento com ameaças atuais e requisitos regulamentares. Os requisitos de implementação da política são abrangentes. Apenas algoritmos e protocolos aprovados pela organização, incluindo AES-256 para cifragem simétrica, RSA 2048+/ECC para assimétrica, SHA-256/SHA-3 para hashing e TLS 1.2+ para transporte, podem ser utilizados. É definido um processo formal e centralmente gerido de gestão de chaves, cobrindo geração, armazenamento, utilização, rotação, revogação, destruição e renovação de certificados, com documentação num registo central. A segregação de funções e a custódia dupla para operações sensíveis asseguram responsabilização e reduzem o risco interno, enquanto a monitorização contínua identifica expiração de certificados, utilização de cifras obsoletas e acesso não autorizado a chaves. O tratamento de risco, exceções e aplicação é rigoroso. O desvio de algoritmos padrão requer um processo de aprovação documentado, incluindo avaliação de riscos e controlos compensatórios. Auditoria anual de controlos criptográficos, escalonamento rigoroso para incumprimento ou comprometimento de chaves e medidas disciplinares ou remédios contratuais formais são procedimentos padrão. A política é revista e atualizada regularmente em resposta a novas vulnerabilidades criptográficas, alteração regulamentar, auditorias operacionais ou atualizações significativas de ferramentas, com comunicação centralizada e controlo de versões através do Registo de Controlo de Documentos do SGSI.

Diagrama da Política

Diagrama que ilustra o processo empresarial de controlos criptográficos: propriedade da política, revisão de conceção criptográfica, registo de gestão de chaves, monitorização contínua da saúde, tratamento de exceções e atualizações anuais de normas.

Clique no diagrama para visualizar em tamanho completo

Conteúdo

Âmbito e Regras de Envolvimento

Funções e Responsabilidades

Algoritmos e Protocolos Aprovados

Ciclo de Vida de Gestão de Chaves

Tratamento de exceções e processo

Procedimentos de Auditoria e Incumprimento

Conformidade com frameworks

🛡️ Padrões e frameworks suportados

Este produto está alinhado com os seguintes frameworks de conformidade, com mapeamentos detalhados de cláusulas e controles.

Framework Cláusulas / Controles cobertos
ISO/IEC 27001:2022
8.1Annex A 8.24
ISO/IEC 27002:2022
8.248.25
NIST SP 800-53 Rev.5
SC-12SC-13SC-17SC-28SC-28(1)SC-12(3)
EU GDPR
Article 32Articles 33–34Recital 83
EU NIS2
Article 21(2)(d)
EU DORA
Article 6(2)(d)Article 11(1)(c)
COBIT 2019
DSS05.01DSS06.06MEA03

Políticas relacionadas

P01 Política de Segurança da Informação

Fornece a governação fundamental para todas as medidas de segurança, incluindo aplicação de controlos criptográficos, proteção de ativos e comunicações seguras.

Política de controlo de acesso

Assegura que o acesso lógico a material criptográfico e a sistemas de gestão de cifragem é estritamente limitado com base no princípio do menor privilégio e segregação de funções.

Quadro de gestão de riscos

Suporta a avaliação de riscos de controlos criptográficos e documenta a estratégia de tratamento de riscos para exceções, obsolescência de algoritmos ou cenários de comprometimento de chaves.

Política de Gestão de Ativos

Impõe classificação de ativos de dados sensíveis e ativos de hardware, o que determina diretamente requisitos criptográficos e obrigações de custódia de chaves.

Política de Classificação e Rotulagem de Dados

Define os níveis de classificação (por exemplo, Confidencial, dados regulamentados) que desencadeiam requisitos específicos de cifragem em trânsito e em repouso.

Política de Retenção de Dados

Especifica procedimentos para eliminação segura de suportes de armazenamento cifrados e material de chaves criptográficas em fim de vida útil.

Política de Resposta a Incidentes (P30)

Define a estratégia de resposta da organização para comprometimento de chaves, uso indevido de certificados ou suspeita de vulnerabilidades algorítmicas, incluindo revogação rápida e notificação de incidentes.

Sobre as Políticas Clarysec - Política de Controlos Criptográficos

Uma governação de segurança eficaz exige mais do que palavras; exige clareza, responsabilização e uma estrutura que escala com a sua organização. Modelos genéricos falham frequentemente, criando ambiguidade com parágrafos longos e funções indefinidas. Esta política foi concebida para ser a espinha dorsal operacional do seu programa de segurança. Atribuímos responsabilidades às funções específicas encontradas numa empresa moderna, incluindo o Diretor de Segurança da Informação (CISO), equipas de TI e de Segurança da Informação e comités relevantes, assegurando responsabilização clara. Cada requisito é uma cláusula numerada de forma única (por exemplo, 5.1.1, 5.1.2). Esta estrutura atómica torna a política fácil de implementar, auditar face a controlos específicos e personalizar com segurança sem afetar a integridade do documento, transformando-a de um documento estático num quadro dinâmico e acionável.

Supervisão Criptográfica Baseada em Funções

Atribui e aplica responsabilidades claras para controlos criptográficos entre o CISO, TI, proprietários dos controlos e prestadores terceiros.

Registo Centralizado de Gestão de Chaves

Implementa um registo unificado que acompanha todas as chaves criptográficas, estado do ciclo de vida, custodiante e contexto de conformidade.

Tratamento de exceções rigoroso

Formaliza pedidos de exceção, revisão de risco e controlos compensatórios para cifragem não padrão, documentados e auditáveis.

Perguntas frequentes

Criado para Líderes, por Líderes

Esta política foi elaborada por um líder de segurança com mais de 25 anos de experiência na implementação e auditoria de frameworks ISMS em organizações globais. Foi concebida não apenas como um documento, mas como um framework defensável que resiste ao escrutínio de auditores.

Elaborado por um especialista com as seguintes qualificações:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Cobertura e tópicos

🏢 Departamentos alvo

Operações de TI Segurança Conformidade

🏷️ Cobertura temática

Criptografia Gestão de Chaves Gestão de Conformidade Proteção de dados Comunicação segura
€49

Compra única

Download instantâneo
Atualizações vitalícias
Cryptographic Controls Policy

Detalhes do produto

Tipo: policy
Categoria: Enterprise
Padrões: 7