Política de Funções e Responsabilidades de Governação

A Política de Funções e Responsabilidades de Governação fornece uma base abrangente para estabelecer, gerir e melhorar continuamente a governação da segurança da informação no Sistema de Gestão de Segurança da Informação (SGSI) da organização. O seu objetivo central é definir o modelo através do qual as funções, responsabilidades e autoridade organizacionais são atribuídas e documentadas, permitindo a operação eficaz do SGSI em total alinhamento com os objetivos estratégicos do negócio, requisitos regulamentares e normas internacionais como a ISO/IEC 27001:2022 e a ISO/IEC 27002:2022. A política assegura linhas claras de responsabilização e autoridade de tomada de decisão ao exigir a definição formal, atribuição e documentação de todas as funções de governação relacionadas com a segurança. A Alta Direção, o Comité de Direção de Segurança da Informação, o Diretor de Segurança da Informação (CISO)/Gestor do SGSI, proprietários dos controlos, proprietários de processos e o Proprietário do Ativo, delegados de segurança, pessoal de Auditoria e Conformidade e todo o pessoal têm responsabilidades designadas. Esta estrutura foi concebida para reforçar uma forte segregação de funções, processos de escalonamento transparentes e rastreabilidade das decisões, que em conjunto sustentam uma propriedade do risco eficaz e a conformidade regulamentar. No núcleo da implementação operacional está o Registo de Funções e Responsabilidades, um registo obrigatório e dinâmico que regista títulos de funções, descrições, indivíduos ou grupos atribuídos, níveis de autoridade, interdependências e vias de escalonamento. Todas as atribuições exigem tomada de conhecimento formal e estão sujeitas a revisão anual ou a atualizações desencadeadas por alterações organizacionais ou funcionais. A política também detalha como as funções de segurança podem ser delegadas, as condições de delegação e os requisitos de documentação para garantir que a responsabilização permanece clara e não comprometida. A integração com outras disciplinas, incluindo gestão de riscos, jurídico, Operações de TI, Recursos Humanos (RH), aquisição e Gestão de Projetos, é explicitamente exigida para incorporar as responsabilidades de segurança da informação no tecido organizacional e apoiar a resiliência de toda a organização. Os requisitos-chave de governação especificam procedimentos de escalonamento estruturados, tanto de escalonamento operacional como de escalonamento estratégico, e definem linhas de escalonamento jurídico-regulatório para incidentes ou violações. A governação deve manter-se adaptável: todas as exceções, desvios ou alterações temporárias de funções devem ser justificadas, documentadas, sujeitas a avaliação de riscos e formalmente aprovadas. A conformidade e a aplicação são enfatizadas através de atividades obrigatórias de auditoria e validação de funções. A política exige revisões regulares tanto pelo Comité de Direção de Segurança da Informação como pela Auditoria Interna, incluindo verificação de atribuições de funções, segregação de funções e eficácia dos controlos. Os registos de escalonamento e os registos de exceções às políticas são analisados, apoiando a identificação e correção atempadas de lacunas de governação. As medidas disciplinares são claramente articuladas para quaisquer violações ou falhas nas responsabilidades de governação atribuídas, e o mecanismo de denúncia é incluído para assegurar a notificação de falhas de governação sem receio de retaliação. O ciclo robusto de revisão e atualização da política exige revalidação anual, ou mais cedo se surgirem alterações organizacionais significativas, atualizações regulamentares ou constatações de auditoria. A gestão de alterações, identificação de riscos e tratamento de riscos, e a gestão do ciclo de vida das políticas de todas as funções são geridos através de registos associados. Ligações explícitas a políticas relacionadas, como as que abrangem a Política de Segurança da Informação, a Gestão de Alterações, o Quadro de Gestão de Riscos, o ciclo de vida do pessoal e a Monitorização Contínua da Conformidade de Auditoria e Conformidade, garantem uma estrutura de governação do SGSI unificada e defensável. Este documento é indispensável para organizações que procuram demonstrar uma governação forte e auditável e cumprir as exigências de rastreabilidade e responsabilização de quadros regulamentares e de certificação.