Mini Bundle: Pacote de Arranque do SGSI - PME

O Mini Bundle: Pacote de Arranque do SGSI - PME oferece um conjunto prático, de ponta a ponta, de políticas de cibersegurança concebidas para pequenas e médias empresas que procuram alinhamento com a ISO/IEC 27001:2022. Reconhecendo que as PMEs frequentemente não dispõem de equipas internas dedicadas de TI, segurança ou conformidade, cada política neste bundle atribui explicitamente responsabilidade e responsabilização a funções de negócio como o Diretor Executivo, gestores de departamento e, quando existam, colaboradores designados ou prestadores de serviços terceiros de TI. Todas as políticas referenciam uma segregação de funções simplificada; a delegação pelo Diretor Executivo é suportada, mas a auditabilidade e a supervisão são preservadas em permanência para cumprir a cláusula 5.3 da ISO/IEC 27001. Incluídas neste pacote inicial focado em PMEs estão: a P01 Política de Segurança da Informação, a política de Governação de Funções e Responsabilidades, a Política de Controlo de Acesso, a P05 Política de Gestão de Mudanças, a política de Gestão de Riscos e a política de Cópia de Segurança e Restauro. Cada documento cobre controlos operacionais e tecnológicos essenciais ao longo do ciclo de vida da informação, desde o provisionamento de acessos de utilizadores e avaliação de riscos até autorizações de alterações e continuidade do negócio. Requisitos comuns incluem manter registos centrais (para acessos e riscos), documentar todas as alterações e delegações, assegurar revisões periódicas das políticas e aplicar o cumprimento da política com consequências claras para violações ou omissões. De particular nota é a abordagem consistente ao longo do conjunto: cada política exige revisão periódica obrigatória (anualmente ou após alterações significativas), aprovação documentada de exceções ou incidentes pelo Diretor Executivo e aplicabilidade simples tanto a colaboradores internos como a prestadores de serviços terceiros, tornando-as aplicáveis independentemente da dimensão da empresa. Atividades como sistemas de cópia de segurança, testes de restauro, monitorização de riscos, cumprimento da política e gestão de acessos de utilizadores são prescritas de forma compatível com capacidade interna limitada. Por exemplo, regimes de cópia de segurança e testes de restauro são governados por uma única pessoa responsável (Diretor Executivo ou designado), e a identificação de riscos pode ser realizada usando listas de verificação simples em vez de ferramentas avançadas. Todas as políticas neste bundle estão mapeadas para os principais quadros e regulamentação globais, incluindo ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, UE NIS2, UE DORA, COBIT 2019 e UE RGPD. O mapeamento inclui cláusulas como 5.1–5.3, 6.1, 8.1 para a ISO/IEC 27001, controlos relevantes para a ISO/IEC 27002 (por exemplo, controlos 5.2, 5.15, 8.13) e artigos específicos ao abrigo do RGPD e da DORA. Estes mapeamentos, juntamente com controlos em linguagem simples e processos específicos por função, asseguram não só que a conformidade para PMEs é alcançável, mas também demonstrável a clientes, auditores e reguladores. As políticas são todas referenciadas entre si; cada uma liga a documentos relacionados dentro do bundle para uma implementação integrada do SGSI em organizações de menor dimensão.