Política de Gestão de Riscos

A Política de Gestão de Riscos (P06) fornece um quadro rigoroso, em toda a organização, para a identificação, análise, avaliação e tratamento de riscos de segurança da informação. O seu objetivo é operacionalizar princípios baseados no risco para proteger a confidencialidade, integridade e disponibilidade dos ativos de informação e incorporar a gestão de riscos de segurança da informação em todos os níveis de tomada de decisão. A política assegura que tanto os objetivos estratégicos internos como os requisitos regulamentares externos são cumpridos, tornando-se um componente fundamental do Sistema de Gestão de Segurança da Informação (SGSI). Em particular, a política cumpre os requisitos da ISO/IEC 27001:2022, Cláusula 6.1, os princípios da ISO 31000:2018 e corresponde às metodologias detalhadas da ISO/IEC 27005. O âmbito da política é abrangente, aplicando-se a todas as unidades de negócio, processos, pessoal, sistemas de informação (físicos, digitais e sistemas alojados na nuvem) e terceiros envolvidos com ativos de informação. Todas as fases em que o risco possa ser introduzido, como novos projetos, implementações de sistemas, alterações na arquitetura, integração de fornecedores, resposta a incidentes e revisões regulares, enquadram-se no domínio desta política. Esta abordagem unificada garante que nenhum risco de segurança da informação é negligenciado, quer surja de alterações de negócio, atualizações tecnológicas ou parcerias externas. As responsabilidades são claramente delineadas. A Alta Direção define o apetite pelo risco e aprova tratamentos de risco para risco residual acima dos limiares de tolerância ao risco. Os Gestores do SGSI ou o Responsável pelo Risco detêm o quadro, assegurando o alinhamento da política, liderando a avaliação de riscos e mantendo o registo de riscos central e o plano de tratamento de riscos. O Proprietário do risco e a Equipa de Segurança da Informação identificam, avaliam e tratam riscos para ativos ou processos específicos. A Equipa de Auditoria Interna e as Equipas de Conformidade validam a eficácia e a rastreabilidade das atividades de gestão de riscos, desencadeando ações corretivas para lacunas ou violações. Esta estrutura clara de governação assegura supervisão rigorosa e escalonamento eficaz de riscos inaceitáveis. Os requisitos de governação determinam a manutenção de um registo de riscos central que documenta todos os riscos conhecidos, os seus proprietários, pontuações, planos de tratamento e ligações a controlos. As avaliações de riscos devem seguir metodologias documentadas, incluindo classificação de ativos, mapeamento de ameaças e vulnerabilidades e avaliação de controlos. A Declaração de Aplicabilidade é mantida atualizada para rastrear decisões de tratamento e o estado dos controlos. As opções de tratamento de riscos (evitar, transferir, aceitar, reduzir) são formalmente documentadas, e as exceções aos procedimentos são estritamente controladas, exigindo aprovações de nível superior com justificação e prazos. A monitorização regular, indicadores-chave de risco e o painel de riscos suportam o reporte eficaz à Alta Direção. A aplicação e conformidade é uma característica central: o incumprimento está sujeito a medidas disciplinares, e o Gestor do SGSI, juntamente com a Auditoria, revê regularmente a completude, rastreabilidade e pontualidade das atividades de gestão de riscos. A política é revista pelo menos anualmente, ou após incidentes significativos ou alterações organizacionais, assegurando que se mantém atualizada face à evolução das necessidades do negócio e dos enquadramentos regulamentares. Esta abordagem estruturada suporta diretamente a responsabilização, transparência e melhoria contínua na gestão de riscos de segurança da informação, tornando-a parte integrante da resiliência organizacional global.