policy Enterprise

Política de Admissão e Cessação

Assegure uma integração e desvinculação seguras e em conformidade, com acesso padronizado, controlo de ativos e requisitos de auditoria para todo o pessoal.

Visão geral

Esta política estabelece procedimentos rigorosos para integração, transferências internas e processo de cessação, aplicando controlo de acesso, recuperação de ativos e rasto de auditoria alinhados com as principais normas de segurança e privacidade.

Ciclo de vida de acesso seguro

Padroniza a integração e a desvinculação para assegurar o provisionamento de acessos e a revogação de acessos atempados e baseados no risco.

Controlo abrangente de ativos

Impõe a atribuição, o rastreio e a recuperação e validação de ativos para prevenir perdas e violação de dados durante mudanças de pessoal.

Conformidade regulamentar

Alinha-se com ISO/IEC 27001, GDPR, NIST, NIS2, DORA e COBIT para uma conformidade legal e de segurança robusta.

Ler visão geral completa
A Política de Admissão e Cessação (documento P07) fornece um quadro abrangente e padronizado para gerir o ciclo de vida completo do acesso do pessoal, desde a integração e transferências internas até ao processo de cessação ou expiração do contrato. Concebida para todos os tipos de utilizadores, incluindo trabalhadores e prestadores de serviços, consultores, fornecedores e terceiros, aplica o provisionamento de acessos e o desprovisionamento de acessos atempados e seguros de acesso físico e acesso lógico, assegurando que cada transição é tratada com a combinação adequada de confidencialidade, autoridade e responsabilização e controlo de ativos. Esta política aplica-se a toda a organização, exigindo que todos os departamentos — Recursos Humanos (RH), Operações de TI, Gestão de instalações e de ativos, Segurança, Gestão, Jurídico e Conformidade — desempenhem um papel definido nos processos de integração e desvinculação. Prescreve fluxos de trabalho detalhados: a integração inclui verificações de antecedentes, Acordo de Confidencialidade (NDA) e tomada de conhecimento da política, formação de sensibilização em segurança e atribuição de acesso segundo o princípio do privilégio mínimo, revista pelos superiores hierárquicos diretos responsáveis; para transferências internas, desencadeia revisão de acessos baseada no risco e assegura que todos os direitos anteriores nos sistemas são encerrados antes de o novo acesso ser aprovado; e o processo de cessação exige que toda a atribuição de direitos de acesso seja revogada (utilizadores com privilégios elevados no prazo de quatro horas), que os ativos sejam recolhidos, que as políticas sejam novamente reconhecidas e que toda a documentação relacionada seja mantida para auditabilidade. Os objetivos da política vão além da gestão de acessos. Visa preservar a confidencialidade, integridade e disponibilidade dos ativos da organização durante transições de pessoal, suportando rasto de auditoria e defesa jurídica ao exigir documentação completa no Sistema de Informação de Recursos Humanos (SIRH), Gestão de Identidades e Acessos (IAM) e registo de ativos. São especificados procedimentos de recuperação e validação de ativos imediatos, incluindo verificações de TI para remover dados sensíveis residuais e controlos de instalações para crachás, dispositivos e chaves. O tratamento de exceções é rigorosamente controlado: quaisquer desvios devem ser objeto de avaliação de riscos, exceções documentadas e sujeitos a revisões periódicas por gestores seniores (Diretor de Segurança da Informação (CISO) ou Diretor de Recursos Humanos), com risco residual documentado e avaliação do risco residual a cada 90 dias ou quando as situações mudarem. Alinhada com múltiplos quadros internacionais, incluindo ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, COBIT 2019, EU GDPR, NIS2 e DORA, a política assegura que as práticas da organização abordam todos os principais requisitos regulamentares. Integra disposições destas normas que abrangem competência, controlo de acesso, princípio do privilégio mínimo, verificações de antecedentes, registo de auditoria e governação operacional. Os requisitos de Auditoria interna e monitorização de processos estão incorporados, com supervisão do Gestor do SGSI e mecanismos para mecanismo de denúncia. As violações desencadeiam consequências disciplinares e legais, com escalonamento para autoridades regulatórias quando estejam envolvidos dados regulamentados ou dados pessoais. A manutenção da política é igualmente robusta: exige revisões pela gestão anuais, atualizações após alterações significativas de segurança ou de sistemas de RH, atualizações motivadas por incidentes e arquivo de versões obsoletas. Os procedimentos de controlo documental preservam o histórico de alterações e os registos de propriedade. Isto interliga a gestão de risco operacional com conformidade e responsabilização, constituindo uma parte crítica do ambiente de controlo integrado da organização através de ligações diretas a documentos de políticas relacionados (segurança, controlo de acesso, contas de utilizador, gestão de riscos, Política de Utilização Aceitável).

Diagrama da Política

Diagrama da Política de Admissão e Cessação que ilustra o ciclo de vida passo a passo: aprovações de integração, provisionamento de acessos, revisões de alterações de funções, ações imediatas de cessação, recuperação de ativos e documentação de auditoria.

Clique no diagrama para visualizar em tamanho completo

Conteúdo

Âmbito e regras de envolvimento

Fluxos de trabalho de Integração e Desvinculação

Recuperação e Validação de Ativos

Requisitos de Revogação imediata de acesso

Processo de Gestão de Exceções e Tratamento de riscos

Rasto de auditoria e Documentação

Conformidade com frameworks

🛡️ Padrões e frameworks suportados

Este produto está alinhado com os seguintes frameworks de conformidade, com mapeamentos detalhados de cláusulas e controles.

Framework Cláusulas / Controles cobertos
ISO/IEC 27001:2022
Clause 7.2Clause 6.2Annex A Control 6.5Annex A Control 5.9Annex A Control 6.2
ISO/IEC 27002:2022
Control 6.2Control 6.5Control 5.9
NIST SP 800-53 Rev.5
PS-4PS-5AC-2AC-6IA-4IA-5CM-5AU-2AU-6
EU GDPR
Article 5(1)(f)Article 25Article 32Recital 39
EU NIS2
Article 21(2)(b)Article 21(2)(c)Article 21(2)(d)
EU DORA
Article 5Article 8Article 9
COBIT 2019
APO07BAI08DSS05MEA03

Políticas relacionadas

Política de segurança da informação

Estabelece os objetivos de segurança da organização, incluindo governação de acessos do pessoal.

Política de controlo de acesso

Fornece requisitos operacionais para atribuir e revogar acesso a sistemas e acesso físico com base em desencadeadores de integração e processo de cessação.

Política de Utilização Aceitável

Exige tomada de conhecimento da política durante a integração e suporta a aplicação após o processo de cessação.

Política de Gestão de Riscos

Assegura que os riscos de acesso do utilizador e de transição são avaliados e mitigados em linha com os princípios do Sistema de Gestão de Segurança da Informação (SGSI).

Política de Gestão de Contas de Utilizador e Privilégios

Governa os controlos tecnológicos para provisionamento de acessos e desprovisionamento de acessos em suporte desta política.

Sobre as Políticas Clarysec - Política de Admissão e Cessação

Uma governação de segurança eficaz exige mais do que palavras; exige clareza, responsabilização e uma estrutura que escale com a sua organização. Modelos genéricos falham frequentemente, criando ambiguidade com parágrafos longos e funções indefinidas. Esta política foi concebida para ser a espinha dorsal operacional do seu programa de segurança. Atribuímos responsabilidades às funções específicas encontradas numa empresa moderna, incluindo o Diretor de Segurança da Informação (CISO), as Equipas de TI e de Segurança da Informação e comités relevantes, assegurando responsabilização clara. Cada requisito é uma cláusula numerada de forma única (por exemplo, 5.1.1, 5.1.2). Esta estrutura atómica torna a política fácil de implementar, de auditar face a controlos específicos e de adaptar com segurança sem afetar a integridade do documento, transformando-a de um documento estático num quadro dinâmico e acionável.

Integração de Gestão de Identidades e Acessos (IAM) para fluxos de trabalho automatizados

Impõe a utilização de plataformas de gestão de identidades e acessos para provisionamento de acessos, revogação de acessos e rasto de auditoria, reduzindo erros e suportando integração/desvinculação automatizadas.

Revogação imediata orientada pelo risco

Exige a desativação de contas privilegiadas e de alto risco no prazo de quatro horas, minimizando a exposição associada a funções críticas e saídas.

Perguntas frequentes

Criado para Líderes, por Líderes

Esta política foi elaborada por um líder de segurança com mais de 25 anos de experiência na implementação e auditoria de frameworks ISMS em organizações globais. Foi concebida não apenas como um documento, mas como um framework defensável que resiste ao escrutínio de auditores.

Elaborado por um especialista com as seguintes qualificações:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Cobertura e tópicos

🏢 Departamentos alvo

TI Segurança Recursos Humanos Conformidade Auditoria

🏷️ Cobertura temática

Governação Segurança de Recursos Humanos Controlo de acesso Gestão de Incidentes
€49

Compra única

Download instantâneo
Atualizações vitalícias

Esta política é 1 de 37 no Pacote Enterprise completo

Poupe 67%

Obtenha todas as 37 políticas Enterprise por €599, em vez de €1.813 individualmente.

Ver Pacote Enterprise completo →
Onboarding and Termination Policy

Detalhes do produto

Tipo: policy
Categoria: Enterprise
Padrões: 7