Com que quadros Os Controlos Zenith se alinham?

Está mapeado para ISO/IEC 27001:2022, 27002:2022, NIST SP 800-53 Rev. 5, EU NIS2, EU DORA, GDPR, COBIT 2019 e mais.

Que áreas de segurança são abrangidas?

Os controlos abrangem governação, operações, acesso, pessoas, físico, fornecedores/externalização, nuvem, tecnológico e gestão de incidentes.

Os controlos incluem orientação de auditoria?

Sim, cada controlo inclui a metodologia de auditoria correspondente, requisitos de evidência e ligações a cláusulas de certificação.

Como é que Os Controlos Zenith aborda o risco de terceiros?

Detalha a segurança do ciclo de vida de fornecedores, obrigações contratuais, tratamento de incidentes e cláusulas de direito de auditoria com mapeamento de controlos.

Existem secções de orientação para mapeamento regulamentar?

Sim. Cada controlo inclui mapeamento de conformidade cruzada, mostrando ligações de evidência a regulamentos e normas da UE, dos EUA e internacionais.

Os Controlos Zenith

Visão geral

Os Controlos Zenith é um conjunto de referência detalhado de controlos de segurança da informação alinhado com os principais quadros globais, cobrindo domínios de governação, físicos, de pessoas, tecnológicos, de fornecedores e de desenvolvimento, com metodologia de auditoria mapeada e orientação de conformidade para apoiar uma gestão, implementação e certificação eficazes.

Biblioteca abrangente de controlos

Abrange controlos de governação, controlos de pessoas, controlos físicos e controlos tecnológicos para proteção da informação de ponta a ponta.

Mapeado para normas regulamentares

Mapeado para ISO/IEC 27001 e 27002, NIST SP 800-53 Rev. 5, EU NIS2, DORA, GDPR e COBIT 2019 para cobertura comprovada de conformidade.

Orientação de implementação operacional

Contém ligações detalhadas a outros controlos, notas de implementação e referências cruzadas a cenários de risco práticos.

Segurança de terceiros e da cadeia de abastecimento

Aborda contratos com fornecedores, nuvem e desenvolvimento externalizado com critérios de auditoria de exemplo e cláusulas de segurança.

Gestão de riscos de ponta a ponta

Liga a identificação de riscos, o tratamento de riscos, a resposta a incidentes e a melhoria contínua num quadro de segurança unificado.

Mapeamento de controlos pronto para auditoria

Cada controlo inclui requisitos de evidência de auditoria, mapeamento ISO/NIST e expectativas de metodologia para auditorias de certificação.

Privacidade e segurança integradas

Incorpora tratamento de PII, mascaramento de dados, minimização e eliminação para regulamentos de privacidade e melhores práticas de segurança.

Ler visão geral completa

Os Controlos Zenith fornece um conjunto abrangente e estruturado de controlos de segurança da informação alinhado com normas internacionalmente reconhecidas para uma governação eficaz, gestão de riscos e conformidade. Abrangendo domínios de governação, tecnológicos, físicos e de pessoas, o guia detalha controlos individuais, incluindo gestão de políticas, definição de funções, supervisão de fornecedores, inventário de ativos, gestão de acessos, gestão de vulnerabilidades, desenvolvimento seguro e resposta a incidentes, com referências cruzadas aprofundadas a quadros globais como ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev. 5, Diretiva EU NIS2, EU DORA, EU GDPR e COBIT 2019. Cada controlo no conjunto é descrito de forma meticulosa, mostrando atributos operacionais, objetivos de risco, propriedades de segurança da informação abordadas e relações com outros controlos. Os controlos não são analisados isoladamente, mas mapeados em cenários interligados de governação, tecnológicos, de fornecedores e de desenvolvimento. Notas práticas de implementação acompanham cada controlo, suportadas por expectativas resumidas de metodologia de auditoria que refletem as melhores práticas atuais, incluindo entrevistas, revisão de documentação, amostragem e testes de cenários ao vivo. De forma notável, Os Controlos Zenith aborda o ciclo de vida completo da segurança: desde a criação de políticas de segurança e responsabilidades de gestão, passando pela gestão de identidades e acessos (IAM) (em privilégios, restrição de informação e autenticação), até à entrega segura de projetos, gestão de alterações e controlos de fornecedores (incluindo nuvem e desenvolvimento externalizado). É dada atenção detalhada a domínios técnicos como gestão de vulnerabilidades, segmentação de rede, linhas de base de configuração, arquitetura segura de sistemas e ciclo de vida de desenvolvimento seguro (SDLC), até ao planeamento de cópias de segurança e redundância, registo de auditoria, monitorização e tratamento de incidentes e melhoria contínua. A proteção de dados e a interseção entre privacidade e segurança é um tema recorrente. O guia integra práticas para privacidade desde a conceção/por defeito, minimização de dados, mascaramento, controlo de informação de teste, eliminação atempada e eliminação segura de suportes de armazenamento. Quando aplicável, os controlos são ligados à conformidade regulamentar cruzada para dados pessoais, incluindo mapeamentos claros para requisitos do GDPR e ISO/IEC 27701/27018, com especial preocupação com rastos de auditoria, exercício de direitos dos utilizadores e tratamento de PII em relações com fornecedores e na nuvem. A segurança de terceiros e da cadeia de abastecimento também é tratada de forma abrangente. Os controlos detalham a devida diligência, cláusulas contratuais, direitos de auditoria, requisitos de notificação de incidentes e práticas de desenvolvimento seguro para relações externas. É fornecida orientação sobre a gestão do ciclo de vida completo de terceiros, incluindo troca de dados, responsabilidades na nuvem e garantia de que ambientes geridos por fornecedores se alinham com as necessidades de risco e conformidade da organização. Em todos os controlos, Os Controlos Zenith fornece tabelas de mapeamento de exemplo para cláusulas regulamentares, sugere evidência e KPIs para prontidão operacional e de auditoria e alinha práticas com quadros e tendências atuais da indústria, tornando-o um recurso indispensável para organizações que procuram operacionalizar a segurança de melhores práticas, cumprir necessidades de conformidade em múltiplas jurisdições e assegurar as partes interessadas quanto à sua postura de risco.

Conteúdo

Lista completa de controlos 5.x–8.x (governação, pessoas, físico, tecnológico)

Referências cruzadas detalhadas: ISO/IEC 27001, 27002, NIST SP 800-53, EU NIS2, DORA, GDPR, COBIT

Metodologia de auditoria e critérios de evidência específicos por controlo

Requisitos de testes e aceitação para ambientes DevOps, de fornecedores e de nuvem

Práticas de proteção de dados, privacidade e eliminação

Integração de melhoria contínua e resposta a incidentes

Framework	Cláusulas / Controles cobertos
ISO/IEC 27001:2022	Clause 5.1, 5.2, 5.3; 6.1.3, 8.1, 9.1, 9.2, 9.3; 10.1 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34
ISO/IEC 27002:2022	5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34
NIST SP 800-53 Rev.5	PL-1, PL-2, PL-4, PM-1, PM-2, PM-9, PM-23, CA-2, CA-3, CA-7, CA-9, AU-2, AU-6, AU-8, AU-9, SI-3, SI-4, IR-1, IR-4, IR-6, IR-8, RA-5, SI-5, SC-2, SC-7, SC-8, SC-11, SC-12, SC-13, SC-17, SC-18, SC-28, AC-1–AC-20, PS-2, PS-3, PS-4, PS-5, PS-6, PS-7, MP-2–MP-7, CM-2, CM-3, CM-4, CM-5, CM-6, CM-8, PE-3, PE-4, PE-6, PE-8, PE-9, PE-11–PE-16, MA-1–MA-3, CP-2, CP-4, CP-7, CP-8, CP-9, CP-10, SI-12, DM-2, UL-4, AR-4, PT-3
EU NIS2	Articles 21, 23, 24, Annex I, Annex II Article 21(2)(a)–(k), 21(5)
EU DORA	Articles 5, 6, 8, 10, 11, 12, 13, 15, 16, 17, 18, 21, 23, 25, 28, 29, 30, Annex I Section A
EU GDPR	Articles 5(1)(c),(f), 5(2), 6, 17, 24, 25, 28, 30, 32, 33, 34, 39, 47, Recital 39, 49, 83, 85, 87, 88
COBIT 2019	EDM01.02, EDM03, EDM03.02, APO01.01, APO01.06, APO07.02, APO07.06, APO08.03, APO10.02, APO10.03, APO13.01, APO13.02, APO12.01, APO12.03, APO12.04, BAI03.04, BAI03.05, BAI03.06, BAI06.05, BAI08.03, BAI09.01, BAI09.02, BAI09.05, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS04.03, DSS04.04, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06

Framework

Cláusulas / Controles cobertos

ISO/IEC 27001:2022

Clause 5.1, 5.2, 5.3; 6.1.3, 8.1, 9.1, 9.2, 9.3; 10.1 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34

ISO/IEC 27002:2022

5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34

NIST SP 800-53 Rev.5

PL-1, PL-2, PL-4, PM-1, PM-2, PM-9, PM-23, CA-2, CA-3, CA-7, CA-9, AU-2, AU-6, AU-8, AU-9, SI-3, SI-4, IR-1, IR-4, IR-6, IR-8, RA-5, SI-5, SC-2, SC-7, SC-8, SC-11, SC-12, SC-13, SC-17, SC-18, SC-28, AC-1–AC-20, PS-2, PS-3, PS-4, PS-5, PS-6, PS-7, MP-2–MP-7, CM-2, CM-3, CM-4, CM-5, CM-6, CM-8, PE-3, PE-4, PE-6, PE-8, PE-9, PE-11–PE-16, MA-1–MA-3, CP-2, CP-4, CP-7, CP-8, CP-9, CP-10, SI-12, DM-2, UL-4, AR-4, PT-3

EU NIS2

Articles 21, 23, 24, Annex I, Annex II Article 21(2)(a)–(k), 21(5)

EU DORA

Articles 5, 6, 8, 10, 11, 12, 13, 15, 16, 17, 18, 21, 23, 25, 28, 29, 30, Annex I Section A

EU GDPR

Articles 5(1)(c),(f), 5(2), 6, 17, 24, 25, 28, 30, 32, 33, 34, 39, 47, Recital 39, 49, 83, 85, 87, 88

COBIT 2019

EDM01.02, EDM03, EDM03.02, APO01.01, APO01.06, APO07.02, APO07.06, APO08.03, APO10.02, APO10.03, APO13.01, APO13.02, APO12.01, APO12.03, APO12.04, BAI03.04, BAI03.05, BAI03.06, BAI06.05, BAI08.03, BAI09.01, BAI09.02, BAI09.05, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS04.03, DSS04.04, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06

Políticas relacionadas

Política de segurança da informação

Estabelece políticas organizacionais de segurança da informação como base para a governação.

Política de Papéis e Responsabilidades de Governação

Define a responsabilização pelo desenvolvimento, aprovação e aplicação de controlos de segurança da informação.

Política de Responsabilidades da Gestão

Atribui o dever da alta direção para supervisão do SGSI, implementação de políticas e garantia de conformidade.

Política de Contacto com Autoridades

Garante que as organizações mantêm relações e protocolos para envolvimento atempado com autoridades externas.

Política de Contacto com Grupos de Interesse Especial

Promove a participação em comunidades de segurança para beneficiar de conhecimento partilhado, benchmarking e inteligência de ameaças.

Sobre as Políticas Clarysec - Os Controlos Zenith

Este livro é um manual testado no terreno para auditores, Diretores de Segurança da Informação (CISO) e responsáveis de conformidade que pretendem controlo operacional, e não listas de verificação teóricas. Cada controlo é decomposto para mapeamento direto para ISO 27001:2022, NIS2, DORA, GDPR e NIST, mostrando exatamente o que os auditores irão esperar e que evidência realmente importa. Obtém referências cruzadas acionáveis, atribuições função a função e decomposições ao nível de cláusula concebidas para implementação prática do Sistema de Gestão de Segurança da Informação (SGSI), preparação de auditoria e melhoria contínua. Sem conteúdo supérfluo, sem ambiguidade — apenas a orientação e as ferramentas essenciais de que necessita para fechar lacunas de conformidade e defender o seu negócio.

Orientação rica de auditoria e evidência

Fornece metodologia de auditoria explícita e evidência de exemplo para cada controlo, suportando auditorias internas, externas e de certificação.

Inter-relações detalhadas entre controlos

Mapeia relações práticas entre controlos, permitindo às organizações compreender dependências de segurança entre governação, tecnologia e operações.

Mapeamentos regulamentares atualizados

Oferece o mais recente mapeamento de conformidade cruzada para todos os principais quadros, facilitando certificação, autoavaliação e reporte regulamentar.

Cobertura de segurança de fornecedores e externalização

Aborda de forma abrangente requisitos contratuais, de monitorização e de auditoria para gestão do risco de segurança de fornecedores e externalização.

Perguntas frequentes

Criado para Líderes, por Líderes

Esta política foi elaborada por um líder de segurança com mais de 25 anos de experiência na implementação e auditoria de frameworks ISMS em organizações globais. Foi concebida não apenas como um documento, mas como um framework defensável que resiste ao escrutínio de auditores.

Elaborado por um especialista com as seguintes qualificações:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Cobertura e tópicos

🏢 Departamentos alvo

TI Segurança Conformidade Auditoria Governação

🏷️ Cobertura temática

Controlo de acesso Gestão de identidades Gestão de Autenticação Gestão de Acessos Privilegiados (PAM)