policy Enterprise

Política de Gestão de Riscos

Política abrangente que assegura uma gestão de riscos eficaz e repetível para a segurança da informação, alinhada com a ISO 27001, 27005, NIST, legislação da UE e DORA.

Visão geral

A Política de Gestão de Riscos (P06) estabelece uma estrutura unificada e formal para identificar, analisar, avaliar e mitigar riscos de segurança da informação em todas as unidades organizacionais, em total alinhamento com a ISO/IEC 27001, 27005, ISO 31000 e quadros regulamentares. Define papéis claros de governação, centraliza o registo de riscos e o plano de tratamento de riscos e aplica requisitos rigorosos de conformidade, assegurando que os riscos são geridos de forma proativa e escalonados de acordo com o apetite pelo risco da empresa e as obrigações legais.

Quadro de gestão de riscos unificado

Estabelece processos consistentes para identificar, analisar e tratar riscos de segurança da informação em toda a organização.

Alinhamento regulamentar

Mapeada para ISO 27001, ISO 31000, NIST, GDPR, NIS2 e DORA para uma conformidade robusta e melhores práticas globais.

Registo de riscos centralizado

Mantém um registo de riscos atualizado e com controlo de versões, acompanhando riscos, controlos, proprietários e medidas de mitigação.

Funções e responsabilização definidas

Especifica governação, propriedade e escalonamento desde o Proprietário do ativo até à Alta Direção para uma supervisão eficaz.

Ler visão geral completa
A Política de Gestão de Riscos (P06) fornece um quadro rigoroso, em toda a organização, para a identificação, análise, avaliação e tratamento de riscos de segurança da informação. O seu objetivo é operacionalizar princípios baseados no risco para proteger a confidencialidade, integridade e disponibilidade dos ativos de informação e incorporar a gestão de riscos de segurança da informação em todos os níveis de tomada de decisão. A política assegura que tanto os objetivos estratégicos internos como os requisitos regulamentares externos são cumpridos, tornando-se um componente fundamental do Sistema de Gestão de Segurança da Informação (SGSI). Em particular, a política cumpre os requisitos da ISO/IEC 27001:2022, Cláusula 6.1, os princípios da ISO 31000:2018 e corresponde às metodologias detalhadas da ISO/IEC 27005. O âmbito da política é abrangente, aplicando-se a todas as unidades de negócio, processos, pessoal, sistemas de informação (físicos, digitais e sistemas alojados na nuvem) e terceiros envolvidos com ativos de informação. Todas as fases em que o risco possa ser introduzido, como novos projetos, implementações de sistemas, alterações na arquitetura, integração de fornecedores, resposta a incidentes e revisões regulares, enquadram-se no domínio desta política. Esta abordagem unificada garante que nenhum risco de segurança da informação é negligenciado, quer surja de alterações de negócio, atualizações tecnológicas ou parcerias externas. As responsabilidades são claramente delineadas. A Alta Direção define o apetite pelo risco e aprova tratamentos de risco para risco residual acima dos limiares de tolerância ao risco. Os Gestores do SGSI ou o Responsável pelo Risco detêm o quadro, assegurando o alinhamento da política, liderando a avaliação de riscos e mantendo o registo de riscos central e o plano de tratamento de riscos. O Proprietário do risco e a Equipa de Segurança da Informação identificam, avaliam e tratam riscos para ativos ou processos específicos. A Equipa de Auditoria Interna e as Equipas de Conformidade validam a eficácia e a rastreabilidade das atividades de gestão de riscos, desencadeando ações corretivas para lacunas ou violações. Esta estrutura clara de governação assegura supervisão rigorosa e escalonamento eficaz de riscos inaceitáveis. Os requisitos de governação determinam a manutenção de um registo de riscos central que documenta todos os riscos conhecidos, os seus proprietários, pontuações, planos de tratamento e ligações a controlos. As avaliações de riscos devem seguir metodologias documentadas, incluindo classificação de ativos, mapeamento de ameaças e vulnerabilidades e avaliação de controlos. A Declaração de Aplicabilidade é mantida atualizada para rastrear decisões de tratamento e o estado dos controlos. As opções de tratamento de riscos (evitar, transferir, aceitar, reduzir) são formalmente documentadas, e as exceções aos procedimentos são estritamente controladas, exigindo aprovações de nível superior com justificação e prazos. A monitorização regular, indicadores-chave de risco e o painel de riscos suportam o reporte eficaz à Alta Direção. A aplicação e conformidade é uma característica central: o incumprimento está sujeito a medidas disciplinares, e o Gestor do SGSI, juntamente com a Auditoria, revê regularmente a completude, rastreabilidade e pontualidade das atividades de gestão de riscos. A política é revista pelo menos anualmente, ou após incidentes significativos ou alterações organizacionais, assegurando que se mantém atualizada face à evolução das necessidades do negócio e dos enquadramentos regulamentares. Esta abordagem estruturada suporta diretamente a responsabilização, transparência e melhoria contínua na gestão de riscos de segurança da informação, tornando-a parte integrante da resiliência organizacional global.

Diagrama da Política

Diagrama da Política de Gestão de Riscos mostrando o ciclo de vida passo a passo: identificação, análise, avaliação, planeamento de tratamento, atualizações do registo, supervisão, exceções e processo de escalonamento.

Clique no diagrama para visualizar em tamanho completo

Conteúdo

Âmbito e regras de envolvimento

Registo de riscos central e plano de tratamento de riscos

Metodologia de avaliação de riscos (ISO 27005, 31000, NIST 800-30)

Atualizações da Declaração de Aplicabilidade (SoA)

Procedimentos de exceção e escalonamento

Requisitos de conformidade, revisão e auditoria

Conformidade com frameworks

🛡️ Padrões e frameworks suportados

Este produto está alinhado com os seguintes frameworks de conformidade, com mapeamentos detalhados de cláusulas e controles.

Framework Cláusulas / Controles cobertos
ISO/IEC 27001:2022
6.18.3210
ISO/IEC 27005:2024
Full risk lifecycle methodology
ISO 31000:2018
Risk management principles and framework
NIST SP 800-30 Rev.1
Risk Assessment Steps
NIST SP 800-39
Organizational risk governance
EU GDPR
242532
EU NIS2
21(2)(a–d)
EU DORA
56
COBIT 2019
APO12MEA01

Políticas relacionadas

Política de Funções e Responsabilidades de Governação

Define proprietários responsáveis e níveis de governação referenciados na matriz de escalonamento de risco.

Política de Monitorização de Auditoria e Conformidade

Valida a adesão à política, incluindo a completude do registo de riscos e evidência de auditoria dos tratamentos.

P01 Política de Segurança da Informação

Define o modelo global de governação da segurança no qual esta política de risco opera.

P05 Política de Gestão de Mudanças

Desencadeia a reavaliação de riscos para alterações na infraestrutura de TI e alterações organizacionais.

Política de Classificação e Rotulagem de Dados

Suporta a avaliação de impacto durante a identificação de riscos.

Sobre as Políticas Clarysec - Política de Gestão de Riscos

Uma governação de segurança eficaz exige mais do que palavras; exige clareza, responsabilização e uma estrutura que escale com a sua organização. Modelos genéricos falham frequentemente, criando ambiguidade com parágrafos longos e funções indefinidas. Esta política foi concebida para ser a espinha dorsal operacional do seu programa de segurança. Atribuímos responsabilidades às funções específicas encontradas numa empresa moderna, incluindo o Diretor de Segurança da Informação (CISO), as Equipas de TI e Segurança da Informação e comités relevantes, assegurando responsabilização clara. Cada requisito é uma cláusula numerada de forma única (por exemplo, 5.1.1, 5.1.2). Esta estrutura atómica torna a política fácil de implementar, auditar face a controlos específicos e personalizar com segurança sem afetar a integridade do documento, transformando-a de um documento estático num quadro dinâmico e acionável.

Rastreabilidade pronta para auditoria

O registo com controlo de versões e a Declaração de Aplicabilidade garantem que cada decisão de risco, controlo e exceção é totalmente rastreável para auditorias e reporte de conformidade.

Matriz de escalonamento proativa

O acompanhamento integrado de indicadores-chave de risco e limiares formais de escalonamento permitem resposta rápida a riscos emergentes e validação pela Alta Direção quando necessário.

Controlo do ciclo de vida de exceções

Desvios temporários são sujeitos a avaliação de riscos, justificados, agendados para revisão e devem ser aprovados, reduzindo riscos não geridos decorrentes de contornos de processo.

Perguntas frequentes

Criado para Líderes, por Líderes

Esta política foi elaborada por um líder de segurança com mais de 25 anos de experiência na implementação e auditoria de frameworks ISMS em organizações globais. Foi concebida não apenas como um documento, mas como um framework defensável que resiste ao escrutínio de auditores.

Elaborado por um especialista com as seguintes qualificações:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Cobertura e tópicos

🏢 Departamentos alvo

TI Segurança Conformidade Governação

🏷️ Cobertura temática

Gestão de riscos Gestão de conformidade Governação Melhoria contínua
€79

Compra única

Download instantâneo
Atualizações vitalícias

Esta política é 1 de 37 no Pacote Enterprise completo

Poupe 67%

Obtenha todas as 37 políticas Enterprise por €599, em vez de €1.813 individualmente.

Ver Pacote Enterprise completo →
Risk Management Policy

Detalhes do produto

Tipo: policy
Categoria: Enterprise
Padrões: 9