policy Enterprise

Política de Gestão de Contas de Utilizador e Privilégios

Estabeleça controlos robustos de contas e privilégios com esta política abrangente para reduzir riscos de acesso, assegurar a conformidade e apoiar operações seguras.

Visão geral

Esta política impõe controlos estruturados e auditáveis para a gestão de contas de utilizador e privilégios em todos os sistemas de informação da organização, garantindo que o acesso é autorizado, monitorizado e em conformidade com as principais normas de segurança.

Princípio do privilégio mínimo aplicado

Direitos de acesso e privilégios de acesso são atribuídos estritamente com base no princípio da necessidade de conhecer, minimizando o risco de acesso não autorizado.

Âmbito abrangente

Aplica-se a todas as contas de utilizador, incluindo trabalhadores, contratados e fornecedores terceiros, em ambientes de nuvem, nas instalações e de acesso remoto.

Autenticação robusta

Impõe autenticação forte com complexidade da palavra-passe, autenticação multifator e controlos sobre sessões privilegiadas.

Ler visão geral completa
A Política de Gestão de Contas de Utilizador e Privilégios (Documento P11) fornece um quadro estruturado e obrigatório para controlar a forma como as contas de utilizador e os privilégios são geridos em todos os sistemas de informação da organização e tecnologias. O seu objetivo central é garantir que os recursos da organização são acedidos apenas por indivíduos autorizados, de acordo com funções validadas e necessidades operacionais. A política reconhece e aplica princípios-chave de segurança da informação, como o princípio do menor privilégio e a segregação de funções, e impõe processos auditáveis para o provisionamento de acessos, gestão, monitorização e revogação de acessos de contas de utilizador. Aplicável a todos os utilizadores, incluindo trabalhadores, contratados, prestadores de serviços terceiros e consultores, esta política rege qualquer sistema onde exista autenticação do utilizador. Este âmbito abrangente cobre aplicações empresariais, ambientes de nuvem e SaaS, sistemas administrativos e ferramentas de acesso remoto, bem como plataformas de Gestão de Identidades e Acessos (IAM). Tanto as contas padrão como as contas privilegiadas estão abrangidas pelos seus requisitos, com forte ênfase na identificação única de cada conta e na prevenção da utilização de credenciais partilhadas ou contas partilhadas/genéricas (exceto em cenários de emergência rigorosamente controlados). Os principais objetivos da política incluem impor contas de utilizador únicas, justificáveis e rastreáveis; implementar controlos do princípio do menor privilégio para proteger contra direitos de acesso excessivos; exigir alterações imediatas ao estado das contas após alterações de funções ou cessação; e centralizar as atividades de gestão do ciclo de vida dos acessos para consistência e auditabilidade. Estão previstas disposições para a deteção proativa de credenciais de utilizador inativas ou contas utilizadas indevidamente através de revisões regulares e da utilização de ferramentas automatizadas. A política foi explicitamente concebida para se alinhar com normas de segurança líderes (como ISO/IEC 27001:2022, 27002:2022, NIST SP 800-53 Rev.5, EU NIS2, EU DORA, GDPR e COBIT 2019) para cumprir requisitos regulamentares e de melhores práticas. As funções e responsabilidades são claramente definidas, desde o papel de supervisão e gestão de exceções do CISO até às ações técnicas dos administradores de controlo de acesso, autorizações de acesso dos chefes de departamento e integração de RH com processos de integração/desvinculação. Os procedimentos garantem que a criação, modificação e desativação de contas são rigorosamente governadas, com o acesso privilegiado sujeito a escrutínio adicional, aprovações, restrições de tempo e registo de auditoria reforçado. Os controlos de autenticação, incluindo políticas obrigatórias de palavras-passe, autenticação multifator para contas-chave, bloqueio de sessão e protocolos seguros de acesso remoto, constituem um requisito central, garantindo que a verificação de identidade não pode ser contornada. Medidas robustas de monitorização, registo de auditoria e revisão periódica ajudam a manter inventários de contas precisos e a impor o cumprimento da política. O tratamento de exceções é baseado no risco e controlado, com cenários de acesso de emergência ("break-glass") a receberem atenção procedimental específica. A conformidade obrigatória é sublinhada por um modelo de aplicação progressiva, incluindo desativação de acesso, retreino, medidas disciplinares e escalonamento jurídico-regulatório para violações. A integração com políticas organizacionais relacionadas assegura uma abordagem coerente em todos os domínios de segurança da informação, e o requisito de revisões anuais (ou acionadas por eventos) da política garante alinhamento contínuo com sistemas, modelos de negócio e panoramas regulamentares em evolução. A Política de Gestão de Contas de Utilizador e Privilégios é fundamental para a estratégia de gestão de riscos da organização, reforçando a segurança operacional e a conformidade regulamentar.

Diagrama da Política

Diagrama que ilustra a gestão do ciclo de vida das contas de utilizador, mostrando provisionamento de acessos, atribuição de privilégios, monitorização, revisão periódica, tratamento de exceções e desprovisionamento de acessos.

Clique no diagrama para visualizar em tamanho completo

Conteúdo

Âmbito e regras de participação

Atribuição e gestão de privilégios

Controlos de autenticação e sessão

Procedimentos de acesso de terceiros e fornecedores

Revisões periódicas de acesso

Processos de exceção e tratamento de riscos

Conformidade com frameworks

🛡️ Padrões e frameworks suportados

Este produto está alinhado com os seguintes frameworks de conformidade, com mapeamentos detalhados de cláusulas e controles.

Framework Cláusulas / Controles cobertos
ISO/IEC 27001:2022
6.1.38.1
ISO/IEC 27002:2022
5.155.165.175.18
NIST SP 800-53 Rev.5
AC-1AC-2AC-5AC-6IA-2IA-3IA-4IA-5AU-2AU-12
EU GDPR
5(1)(f)32Recital 39
EU NIS2
21(2)(a)21(2)(d)21(3)
EU DORA
59
COBIT 2019
DSS01DSS05APO13

Políticas relacionadas

Política de controlo de acesso

Estabelece os princípios e mecanismos globais de controlo de acesso, incluindo controlos baseados em regras e controlos de acesso baseados em funções.

Política de Admissão e Cessação

Fornece passos procedimentais para iniciar e terminar o acesso de utilizadores alinhado com ações de Recursos Humanos (RH).

Política de sensibilização e formação em segurança da informação

Reforça as responsabilidades dos utilizadores relativamente à segurança das contas e à salvaguarda de credenciais de autenticação.

Política de Classificação e Rotulagem de Dados

Orienta os níveis de acesso com base na classificação de dados, assegurando que os limites de privilégios se alinham com níveis de sensibilidade.

Política de Registo e Monitorização

Assegura que o rasto de auditoria é recolhido para todas as atividades relacionadas com contas e revisto para detetar anomalias ou utilização não autorizada.

Política de Resposta a Incidentes (P30)

Governa o escalonamento, contenção e ações de revisão pós-incidente em casos de utilização indevida de privilégios ou atividade não autorizada de contas.

Sobre as Políticas Clarysec - Política de Gestão de Contas de Utilizador e Privilégios

Uma governação de segurança eficaz exige mais do que palavras; exige clareza, responsabilização e uma estrutura que escala com a sua organização. Modelos genéricos falham frequentemente, criando ambiguidade com parágrafos longos e funções indefinidas. Esta política foi concebida para ser a espinha dorsal operacional do seu programa de segurança. Atribuímos responsabilidades às funções específicas encontradas numa empresa moderna, incluindo o Diretor de Segurança da Informação (CISO), equipas de TI e de Segurança da Informação e comités relevantes, assegurando responsabilização clara. Cada requisito é uma cláusula numerada de forma única (por exemplo, 5.1.1, 5.1.2). Esta estrutura atómica torna a política fácil de implementar, auditar face a controlos específicos e personalizar com segurança sem afetar a integridade do documento, transformando-a de um documento estático num quadro dinâmico e acionável.

Responsabilização clara por função

Especifica responsabilidades granulares para CISO, administradores de TI, RH, gestores e fornecedores, clarificando cadeias de aprovação e auditoria.

Integração e Desvinculação automatizadas

Exige integração de Gestão de Identidades e Acessos (IAM) com Sistema de Informação de Recursos Humanos (SIRH) para provisionamento de acessos e desativação atempados e automatizados de contas de utilizador.

Gestão de exceções rastreável

Processo formal e baseado no risco para exceções, garantindo que todos os desvios são documentados, aprovados e auditáveis.

Perguntas frequentes

Criado para Líderes, por Líderes

Esta política foi elaborada por um líder de segurança com mais de 25 anos de experiência na implementação e auditoria de frameworks ISMS em organizações globais. Foi concebida não apenas como um documento, mas como um framework defensável que resiste ao escrutínio de auditores.

Elaborado por um especialista com as seguintes qualificações:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Cobertura e tópicos

🏢 Departamentos alvo

TI Segurança Conformidade

🏷️ Cobertura temática

Controlo de acesso Gestão de identidades Gestão de Acessos Privilegiados (PAM) Gestão de Exceções
€49

Compra única

Download instantâneo
Atualizações vitalícias
User Account and Privilege Management Policy

Detalhes do produto

Tipo: policy
Categoria: Enterprise
Padrões: 7