Política de Admissão e Cessação - PME

A Política de Admissão e Cessação (P07S) funciona como um controlo crítico para organizações que procuram gerir o ciclo de vida completo do acesso de utilizadores de forma segura, conforme e auditável. Esta política é especificamente adaptada para pequenas e médias empresas (PME), conforme indicado pelo “S” no seu número de documento e pela atribuição de responsabilidade a papéis como Diretor-Geral e Gestor de Escritório/RH, em vez de equipas especializadas como um Diretor de Segurança da Informação (CISO) dedicado ou um Centro de Operações de Segurança (SOC). Ainda assim, cumpre os requisitos de quadros-chave, incluindo a ISO/IEC 27001:2022. O objetivo da política é definir, padronizar e documentar processos para a integração de novos trabalhadores, contratados e prestadores de serviços terceiros, assegurando simultaneamente controlos robustos para o seu processo de cessação ou mudança de função interna. Aplica o princípio do menor privilégio ao provisionamento de acessos, utiliza listas de verificação para formalizar a verificação da emissão e devolução de ativos e exige registos documentados para alterações de contas e ativos. As atividades de cessação focam-se na revogação de acessos imediata, na recuperação de ativos corporativos e no encerramento seguro de identidades digitais para controlar o risco de acesso não autorizado ou exposição de dados. Os papéis e responsabilidades são designados para se adequarem a estruturas típicas de PME. O Diretor-Geral detém a supervisão do programa e a aprovação de acesso com privilégios elevados; o Gestor de Escritório ou RH inicia a integração/desvinculação e a manutenção das listas de verificação; e TI (fornecedor interno ou externo) gere contas e hardware. Os gestores de departamento asseguram que as notificações sobre alterações de funções são executadas, enquanto cada trabalhador ou contratado é chamado a cumprir a formação de sensibilização em segurança e os processos de devolução de ativos. Os requisitos de governação são robustos, exigindo a utilização de listas de verificação de integração e processo de cessação, a manutenção de um registo de controlo de acesso e de um inventário de ativos, e o tratamento imediato de desativações de emergência. Os procedimentos de tratamento de exceções e risco estão claramente definidos, exigindo documentação, notificação ao Diretor-Geral e controlos compensatórios se etapas padrão forem ignoradas devido a urgência operacional. A conformidade é aplicada através de monitorização regular, revisões por amostragem e consequências claras para incumprimento, como retreino direcionado ou escalonamento. Ao exigir expressamente revisões anuais, atualizações reativas a alterações de processo ou regulamentares e comunicação de alterações às políticas a todo o pessoal relevante, esta política suporta um processo de melhoria contínua. Está estruturada para ajudar PME a cumprir de forma eficiente as exigências de conformidade, integridade operacional e proteção de dados, mesmo em organizações sem estruturas de segurança complexas.