policy Enterprise

Política de Classificação e Rotulagem de Dados

Estabelece práticas rigorosas de classificação e rotulagem de dados para salvaguardar informação sensível, assegurar a conformidade e apoiar o tratamento seguro de dados.

Visão geral

Esta política define uma abordagem formal para classificar e rotular todos os ativos de informação com base na sensibilidade, risco e obrigações regulamentares, assegurando rotulagem clara e persistente e práticas de proteção padronizadas em toda a organização.

Classificação padronizada

Define um esquema claro, em toda a organização, para classificar e rotular dados por sensibilidade e risco.

Rotulagem obrigatória

Impõe rotulagem persistente para todos os ativos de informação, assegurando visibilidade e rastreabilidade.

Âmbito abrangente

Abrange formatos e ambientes de dados digitais, físicos, internos, de terceiros e todos os formatos e ambientes de dados.

Alinhamento com a conformidade

Apoia a adesão às normas ISO/IEC 27001, 27002, GDPR, NIS2, DORA, COBIT e NIST.

Ler visão geral completa
A Política de Classificação e Rotulagem de Dados é um elemento fundamental da segurança da informação organizacional. O seu objetivo principal é estabelecer um quadro robusto e padronizado para categorizar e rotular ativos de informação com base na sensibilidade, exposição ao risco e requisitos regulamentares. Esta estrutura formal assegura que todos os dados da organização, sejam digitais ou físicos, de origem interna ou externa, são devidamente identificados quanto à sua importância e necessidades de proteção. A política aplica-se universalmente a todos os tipos de ativos de informação, incluindo documentos, bases de dados, registos, e-mails, comunicações verbais e suportes físicos. O seu mandato abrange todos os ambientes em que os dados são armazenados ou tratados: infraestrutura de TI nas instalações, serviços em nuvem, dispositivos móveis e espaços de trabalho remotos. Colaboradores de todos os níveis, contratados, prestadores de serviços terceiros e parceiros terceiros que interajam com dados da empresa estão sujeitos aos princípios desta política. A política também declara o seu alcance sobre dados pessoais sujeitos a leis como o GDPR, bem como dados trocados com clientes, reguladores e parceiros de negócio. Os principais objetivos incluem o estabelecimento de um esquema de classificação uniforme para dados com base nas consequências de exposição ou comprometimento. Os Proprietários dos ativos de informação são responsáveis por atribuir e manter classificações corretas, enquanto Administradores de sistemas e as Equipas de TI e de Segurança da Informação aplicam controlos técnicos, como marcação de metadados, restrições de acesso e cifragem, correspondentes a cada nível de classificação. Os trabalhadores e prestadores de serviços são formados e responsabilizados por aplicar rótulos, seguir protocolos de tratamento e manter a exatidão ao longo do ciclo de vida da informação. A política estipula a utilização de rótulos persistentes e visíveis (através de cabeçalhos, rodapés, carimbos, marcas de água ou metadados) que se integram com fluxos de trabalho de negócio e técnicos. Os metadados de classificação são sincronizados entre o Inventário de Ativos, sistemas de gestão documental e plataformas de segurança para apoiar a prontidão para auditoria e a descoberta regulamentar. São definidos múltiplos níveis de classificação: Público, Uso interno, Confidencial e Restrito, cada um com requisitos precisos de tratamento e proteção. Por exemplo, informação Confidencial e Restrita exige cifragem, controlo de acesso, registo de auditoria e segregação física ou lógica. A política contém regras claras para reclassificação, tratamento de exceções e controlos compensatórios em situações em que os procedimentos padrão não possam ser seguidos (por exemplo, sistemas legados, divulgações de emergência). Formação, revisão periódica e monitorização contínua asseguram sensibilização e reforçam comportamentos corretos de tratamento de dados. O incumprimento está sujeito a processos disciplinares documentados, incluindo retreino ou potencial ação judicial para violações graves. Adicionalmente, todos os incidentes ou exceções são registados e escalonados de acordo com a Política de Resposta a Incidentes (P30). Concebida para cumprir um vasto conjunto de normas internacionais e requisitos de negócio, esta política é referenciada com quadros relevantes, incluindo ISO/IEC 27001, ISO/IEC 27002, NIST SP 800-53, EU GDPR, EU NIS2, EU DORA e COBIT 2019. Os mecanismos de aplicação e conformidade incluem auditorias regulares, utilização de ferramentas tecnológicas (como Prevenção de Perda de Dados (DLP) e validação de classificação), reporte executivo e o envolvimento do Comité de Direção de Segurança da Informação e do Jurídico e Conformidade na melhoria contínua. Assim, a Política de Classificação e Rotulagem de Dados constitui a base para proteger dados de negócio, clientes, parceiros e dados regulamentados, sendo um componente crítico de uma gestão abrangente da segurança da informação.

Diagrama da Política

Diagrama da Política de Classificação e Rotulagem de Dados mostrando categorização de ativos, rotulagem, aplicação técnica, revisão do ciclo de vida, gestão de exceções e etapas de auditoria.

Clique no diagrama para visualizar em tamanho completo

Conteúdo

Âmbito e regras de interação

Responsabilidades baseadas em funções

Níveis e critérios de classificação

Aplicação e aplicação técnica de rótulos

Tratamento de exceções e risco

Requisitos de formação e revisão

Conformidade com frameworks

🛡️ Padrões e frameworks suportados

Este produto está alinhado com os seguintes frameworks de conformidade, com mapeamentos detalhados de cláusulas e controles.

Framework Cláusulas / Controles cobertos
ISO/IEC 27001:2022
4.26.1.37.27.37.58.19.110.1
ISO/IEC 27002:2022
5.95.105.115.125.135.148.118.12
NIST SP 800-53 Rev.5
PL-2AC-16MP-3MP-5
EU GDPR
Article 5Article 32
EU NIS2
Article 21(2)(a)Article 21(3)
EU DORA
Article 5Article 9
COBIT 2019
DSS05.02MEA03

Políticas relacionadas

Política de controlo de acesso

O acesso à informação é governado por níveis de classificação; dados mais sensíveis exigem controlo de acesso e mecanismos de autorização mais rigorosos.

Política de Gestão de Contas de Utilizador e Privilégios

Reforça a alocação de privilégios com base no princípio da necessidade de conhecer, que é informado pelos níveis de classificação.

Política de Gestão de Ativos

Assegura que cada ativo no Inventário de Ativos inclui a sua classificação e rótulo, apoiando rastreabilidade e responsabilização.

Política de Retenção de Dados e Eliminação

As regras de eliminação e retenção são determinadas pelo nível de classificação dos dados e por mandatos regulamentares de retenção.

Política de Controlos Criptográficos

Aplica normas de cifragem adequadas com base na classificação do ativo de informação.

Política de Registo e Monitorização

Permite a monitorização do acesso e do movimento de informação classificada, assegurando auditabilidade e deteção de rotulagem incorreta ou uso indevido.

Sobre as Políticas Clarysec - Política de Classificação e Rotulagem de Dados

Uma governação de segurança eficaz exige mais do que palavras; exige clareza, responsabilização e uma estrutura que escale com a sua organização. Modelos genéricos falham frequentemente, criando ambiguidade com parágrafos longos e funções indefinidas. Esta política foi concebida para ser a base operacional do seu programa de segurança. Atribuímos responsabilidades às funções específicas encontradas numa empresa moderna, incluindo o Diretor de Segurança da Informação (CISO), as Equipas de TI e de Segurança da Informação e comités relevantes, assegurando responsabilização clara. Cada requisito é uma cláusula numerada de forma única (por exemplo, 5.1.1, 5.1.2). Esta estrutura atómica torna a política fácil de implementar, auditar face a controlos específicos e personalizar com segurança sem afetar a integridade do documento, transformando-a de um documento estático num quadro dinâmico e acionável.

Responsabilização baseada em funções

As responsabilidades são atribuídas com precisão ao Diretor de Segurança da Informação (CISO), Proprietários dos ativos de informação, TI e comités, assegurando aplicação rastreável entre equipas.

Suporte à aplicação automatizada

Integrada com Prevenção de Perda de Dados (DLP), SIEM e ferramentas de acesso para validação automática, reporte e bloqueio de dados mal classificados ou sem rótulo.

Quadro de tratamento de exceções

Inclui pedido formal, avaliação de riscos, controlos compensatórios e processo de revisão para gerir exceções à política de forma segura.

Perguntas frequentes

Criado para Líderes, por Líderes

Esta política foi elaborada por um líder de segurança com mais de 25 anos de experiência na implementação e auditoria de frameworks ISMS em organizações globais. Foi concebida não apenas como um documento, mas como um framework defensável que resiste ao escrutínio de auditores.

Elaborado por um especialista com as seguintes qualificações:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Cobertura e tópicos

🏢 Departamentos alvo

Operações de TI Segurança Auditoria e Conformidade Jurídico e Conformidade

🏷️ Cobertura temática

Classificação de dados Tratamento de dados Conformidade legal Gestão do ciclo de vida das políticas
€49

Compra única

Download instantâneo
Atualizações vitalícias

Esta política é 1 de 37 no Pacote Enterprise completo

Poupe 67%

Obtenha todas as 37 políticas Enterprise por €599, em vez de €1.813 individualmente.

Ver Pacote Enterprise completo →
Data Classification and Labeling Policy

Detalhes do produto

Tipo: policy
Categoria: Enterprise
Padrões: 7