Política de Admissão e Cessação

A Política de Admissão e Cessação (documento P07) fornece um quadro abrangente e padronizado para gerir o ciclo de vida completo do acesso do pessoal, desde a integração e transferências internas até ao processo de cessação ou expiração do contrato. Concebida para todos os tipos de utilizadores, incluindo trabalhadores e prestadores de serviços, consultores, fornecedores e terceiros, aplica o provisionamento de acessos e o desprovisionamento de acessos atempados e seguros de acesso físico e acesso lógico, assegurando que cada transição é tratada com a combinação adequada de confidencialidade, autoridade e responsabilização e controlo de ativos. Esta política aplica-se a toda a organização, exigindo que todos os departamentos — Recursos Humanos (RH), Operações de TI, Gestão de instalações e de ativos, Segurança, Gestão, Jurídico e Conformidade — desempenhem um papel definido nos processos de integração e desvinculação. Prescreve fluxos de trabalho detalhados: a integração inclui verificações de antecedentes, Acordo de Confidencialidade (NDA) e tomada de conhecimento da política, formação de sensibilização em segurança e atribuição de acesso segundo o princípio do privilégio mínimo, revista pelos superiores hierárquicos diretos responsáveis; para transferências internas, desencadeia revisão de acessos baseada no risco e assegura que todos os direitos anteriores nos sistemas são encerrados antes de o novo acesso ser aprovado; e o processo de cessação exige que toda a atribuição de direitos de acesso seja revogada (utilizadores com privilégios elevados no prazo de quatro horas), que os ativos sejam recolhidos, que as políticas sejam novamente reconhecidas e que toda a documentação relacionada seja mantida para auditabilidade. Os objetivos da política vão além da gestão de acessos. Visa preservar a confidencialidade, integridade e disponibilidade dos ativos da organização durante transições de pessoal, suportando rasto de auditoria e defesa jurídica ao exigir documentação completa no Sistema de Informação de Recursos Humanos (SIRH), Gestão de Identidades e Acessos (IAM) e registo de ativos. São especificados procedimentos de recuperação e validação de ativos imediatos, incluindo verificações de TI para remover dados sensíveis residuais e controlos de instalações para crachás, dispositivos e chaves. O tratamento de exceções é rigorosamente controlado: quaisquer desvios devem ser objeto de avaliação de riscos, exceções documentadas e sujeitos a revisões periódicas por gestores seniores (Diretor de Segurança da Informação (CISO) ou Diretor de Recursos Humanos), com risco residual documentado e avaliação do risco residual a cada 90 dias ou quando as situações mudarem. Alinhada com múltiplos quadros internacionais, incluindo ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, COBIT 2019, EU GDPR, NIS2 e DORA, a política assegura que as práticas da organização abordam todos os principais requisitos regulamentares. Integra disposições destas normas que abrangem competência, controlo de acesso, princípio do privilégio mínimo, verificações de antecedentes, registo de auditoria e governação operacional. Os requisitos de Auditoria interna e monitorização de processos estão incorporados, com supervisão do Gestor do SGSI e mecanismos para mecanismo de denúncia. As violações desencadeiam consequências disciplinares e legais, com escalonamento para autoridades regulatórias quando estejam envolvidos dados regulamentados ou dados pessoais. A manutenção da política é igualmente robusta: exige revisões pela gestão anuais, atualizações após alterações significativas de segurança ou de sistemas de RH, atualizações motivadas por incidentes e arquivo de versões obsoletas. Os procedimentos de controlo documental preservam o histórico de alterações e os registos de propriedade. Isto interliga a gestão de risco operacional com conformidade e responsabilização, constituindo uma parte crítica do ambiente de controlo integrado da organização através de ligações diretas a documentos de políticas relacionados (segurança, controlo de acesso, contas de utilizador, gestão de riscos, Política de Utilização Aceitável).