Preços
Teste

Política de gestão de riscos e de segurança dos sistemas de informação

Neste artigo, descreveremos o requisito previsto no n.º 2, alínea a), do artigo 21.º da NIS2, que exige que a tua organização implemente políticas de gestão dos riscos e de segurança dos sistemas de informação.

Política de gestão de riscos e de segurança dos sistemas de informação

Neste artigo, descreveremos o requisito previsto no n. º 2, alínea a), do artigo 21.º da NIS2, que exige que a tua organização implemente políticas de gestão dos riscos e de segurança dos sistemas de informação.

O objetivo deste requisito é garantir que todas as organizações pensem na forma de gerir os riscos e documentem a gestão da segurança dos seus sistemas de informação através de uma política.

Política de segurança dos sistemas de informação

Uma política de segurança do sistema de informação define a abordagem da tua organização para gerir a segurança do sistema de informação e a forma como é implementada, o que inclui medidas técnicas, operacionais e organizacionais.

Requisitos

A NIS2 exige que a tua organização crie e implemente uma política de segurança do sistema de informação para a sua rede e sistemas de informação.

A política deve adotar uma abordagem baseada no risco e garantir um nível de segurança adequado ao objetivo da organização. A política deve ter em conta o contexto da organização, o estado atual da tecnologia, os custos de implementação de medidas e os riscos para a segurança dos seus sistemas que possam prejudicar a prestação dos seus serviços críticos.

A política de segurança do sistema de informação deve seguir os requisitos da Diretiva NIS2 e apoiar os objectivos comerciais da organização. Além disso, a política deve apoiar as actividades e valores fundamentais da organização e deve ter em conta os riscos mais relevantes para a organização.

Uma política de segurança do sistema de informação deve:

  • descreve a forma como a organização gere a segurança da sua rede e dos seus sistemas de informação, o quadro geral da forma como a segurança é tratada, tanto a nível estratégico como nas operações diárias
  • definir objectivos para a cibersegurança; o que a organização pretende alcançar com a sua cibersegurança
  • inclui um compromisso de cumprimento dos requisitos de cibersegurança, por exemplo, requisitos legais como o RGPD
  • inclui o compromisso de continuar a melhorar a política sempre que necessário
  • estar disponível como documentação para todas as partes interessadas relevantes

A organização pode também criar políticas específicas sobre determinados temas, se necessário, por exemplo, uma política de cópias de segurança ou uma política de controlo de acesso. Essas políticas devem ser sempre coerentes com a política global de segurança do sistema de informação.

Documentação

A política de segurança do sistema de informação deve ser actualizada anualmente e sempre que se verifiquem alterações significativas nos objectivos comerciais da organização ou no panorama de ameaças.

A política de segurança do sistema de informação deve ser aprovada pelo órgão de direção da organização para garantir a sua propriedade. Se a direção não assumir a responsabilidade pela política de segurança do sistema de informação, esta não terá qualquer efeito na organização.

As políticas relativas a matérias específicas devem ser revistas pela direção competente e o resultado dessa revisão, incluindo eventuais ajustamentos, deve ser comunicado ao órgão de direção da organização.

Política de gestão de riscos

O objetivo de uma política de gestão do risco é estabelecer regras e métodos claros para identificar, analisar, avaliar e tratar os riscos da organização. Isto deve garantir que a gestão do risco é consistente e eficaz em todas as áreas que afectam a prestação de serviços críticos.

Requisitos

A organização deve ter uma política de gestão de riscos que identifique e aborde todos os riscos relacionados com a segurança da sua rede e dos seus sistemas de informação

A organização deve efetuar e documentar avaliações de risco, estabelecer um plano de gestão de risco e certificar-se de que este plano é revisto e atualizado regularmente.

Os resultados da avaliação de risco, o tratamento de risco planeado e o nível de quaisquer riscos que permaneçam devem ser aprovados pelo proprietário do risco. Isto é especialmente importante se os riscos puderem afetar serviços críticos. Todos os resultados e decisões devem também ser comunicados ao órgão de direção da organização.

A política de gestão de riscos deve:

  • estabelece um processo claro de gestão dos riscos,
  • ser uma parte integrante da gestão global de riscos da organização,
  • abrange todos os tipos de ameaças e garante que os riscos de terceiros, como os fornecedores, também são abordados,
  • estabelece e mantém critérios claros para a avaliação dos riscos,
  • identifica os proprietários dos riscos e documenta as suas responsabilidades.

Além disso, a política deve também incluir métodos de avaliação dos riscos e pode descrever:

  • a forma como a organização identifica e documenta os riscos para a sua rede e sistemas de informação, incluindo a identificação de pontos únicos de falha,
  • como são analisados os riscos para a segurança das redes e dos sistemas de informação,
  • a forma como os riscos identificados são avaliados em função dos critérios estabelecidos,
  • a forma como a organização identifica e atribui prioridade às medidas de segurança adequadas, com base na avaliação dos riscos e na eficácia dessas medidas,
  • que é responsável por garantir que as medidas escolhidas são aplicadas atempadamente,
  • a forma como a organização documenta as medidas escolhidas e explica a aceitação de quaisquer riscos que subsistam.

Documentação

As tuas políticas de gestão do risco devem ser actualizadas regularmente e sempre que se verifiquem alterações importantes na atividade da organização, nas vulnerabilidades ou no panorama de ameaças. A política de gestão do risco deve ser escrita e aprovada pela direção.

Teste RGPD

Vê se conheces bem o RGPD.

  • Vais responder a 13 perguntas sobre o RGPD.
  • Demora apenas 1-2 minutos.
  • Normalmente, os especialistas respondem corretamente a todas as 13 perguntas.
Iniciar o teste

Teste gratuito

Entraremos em contacto contigo por e-mail o mais rapidamente possível.