Mini Bundle: Pacote Inicial do SGSI - ENT

O Mini Bundle: Pacote Inicial do SGSI - ENT fornece um conjunto de políticas base para qualquer organização que esteja a estabelecer ou a maturar o seu Sistema de Gestão de Segurança da Informação (SGSI) em linha com ISO/IEC 27001:2022 e regulamentação relacionada. Este bundle inclui seis políticas essenciais — P01 Política de Segurança da Informação, Governação: Registo de Funções e Responsabilidades, Política de controlo de acesso, P05 Política de Gestão de Mudanças, Política de Gestão de Riscos e Backup e Restauro — cada uma mapeada diretamente para as mais recentes normas internacionais, incluindo ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53, COBIT 2019, EU GDPR, Diretiva NIS2 e DORA. A P01 Política de Segurança da Informação define a estratégia global da organização para gerir todos os aspetos de Confidencialidade, Integridade e Disponibilidade. Fornece direção estratégica, expressa o compromisso da gestão com a segurança, suporta objetivos mensuráveis, estabelece o modelo de Governação da segurança da informação e atua como ponto de referência autoritativo para toda a documentação subordinada. O seu âmbito é amplo, cobrindo todas as pessoas, tecnologias, processos e o ciclo de vida completo dos dados. Requisitos rigorosos asseguram que os papéis são claros, que ações contínuas baseadas no risco são aplicadas, que as atualizações de políticas são geridas e que a auditabilidade é mantida. A política de Governação: Registo de Funções e Responsabilidades clarifica ainda mais a responsabilização no SGSI, garantindo que cada participante — desde a Alta direção e o Gestor do SGSI até aos Prestadores de serviços terceiros — compreende a sua função e as vias de escalonamento. Ao manter um Registo de Funções e Responsabilidades e ao aplicar a Segregação de funções, esta política garante que todas as atividades do SGSI são formalmente atribuídas, totalmente rastreáveis e periodicamente revistas para fins de auditoria. A integração interfuncional com TI, Jurídico e Conformidade e Recursos Humanos (RH) é explicitamente exigida, e a política descreve tanto as estruturas de governação internas como as externalizadas. A Política de controlo de acesso estabelece princípios obrigatórios para o acesso de utilizadores e sistemas em todos os ambientes, destacando controlo de acesso baseado em funções (RBAC), gestão do ciclo de vida dos acessos, fluxos de trabalho de aprovação, proteção de contas privilegiadas e autenticação, tudo suportado por revisão de acessos trimestral. Esta política está fortemente integrada com Integração e Desvinculação de RH e de fornecedores, cadeias de aprovação robustas e controlos automatizados sempre que possível. Cumpre não só os requisitos da ISO/IEC 27001 e do NIST, como também deveres legais abrangentes ao abrigo do GDPR e de quadros setoriais. Inclui Aplicação e Conformidade rigorosas, manutenção de registos orientada para auditoria e um mecanismo de denúncia para violações. A resiliência empresarial é assegurada pela P05 Política de Gestão de Mudanças. Aplica controlos disciplinados e informados pelo risco a todas as alterações tecnológicas e de processos: alteração padrão, mudança normal ou mudança de emergência. O processo exige documentação detalhada de pedido de alteração, revisão obrigatória pelo Conselho Consultivo de Alterações para mudanças normais e principais, testes pré-implementação, planos de reversão documentados e revisão pós-implementação. Controlos rigorosos previnem alterações não autorizadas ou não programadas, aplicam sistemas de controlo de versões e asseguram que todas as etapas — iniciação, aprovação e execução — estão segregadas. Esta abordagem sistemática reduz o risco de indisponibilidades não planeadas, modificações não autorizadas ou violações de conformidade, ao mesmo tempo que suporta um rasto de auditoria robusto. A Gestão de Riscos é operacionalizada com um processo repetível e metódico para Identificação de riscos, análise de riscos, Tratamento de riscos e monitorização de riscos, em linha com a ISO/IEC 27001, Cláusula 6.1, ISO/IEC 27005 e ISO 31000. Todas as atividades de gestão de riscos são documentadas num Registo de riscos centralizado e referenciadas de forma cruzada com a Declaração de Aplicabilidade (SoA) para rastreabilidade clara para controlos e ações de tratamento. Esta abordagem assegura que o Apetite pelo risco da organização é estabelecido ao nível da Alta direção e que todos os riscos significativos são devidamente escalonados, tratados ou aceites com documentação completa e revisão periódica. A política especifica ainda a integração com Constatações de auditoria, Resposta a incidentes e decisões estratégicas da organização. Por fim, a política de Backup e Restauro garante continuidade e resiliência dos dados, exigindo cópias de segurança cifradas baseadas em calendário, testes de restauro, redundância fora do local/nuvem e tratamento seguro de suportes, tudo em conformidade com requisitos regulamentares e de impacto no negócio. Os Objetivos de Tempo de Recuperação e de Ponto de Recuperação (RTO/RPO) são documentados por sistema. Os testes de restauro são realizados regularmente, as falhas de cópia de segurança são registadas e escalonadas, e as exceções são avaliadas quanto ao risco e rigorosamente controladas. A política estende-se também a prestadores de serviços terceiros de cópias de segurança, exigindo salvaguardas contratuais, técnicas e de conformidade. É exigida retenção de evidência para auditoria e investigação, e a ligação a planos mais amplos de Resposta a incidentes é descrita de forma expressa. Em conjunto, estas políticas formam um “kit inicial de SGSI” abrangente e pronto para ambientes empresariais, adequado para organizações que procuram certificação, conformidade regulamentar e resiliência operacional. Cada documento tem controlo de versões, ciclos de revisão e inclui cláusulas de Aplicação e Conformidade e de Escalonamento para incumprimento por terceiros e interno, suportando prontidão para auditoria integrada ao longo do ciclo de vida do SGSI.