{"id":24912,"date":"2025-09-03T14:44:58","date_gmt":"2025-09-03T14:44:58","guid":{"rendered":"https:\/\/rgpd.com\/politica-de-gestao-de-riscos-e-de-seguranca-dos-sistemas-de-informacao\/"},"modified":"2025-09-23T13:20:25","modified_gmt":"2025-09-23T13:20:25","slug":"politica-de-gestao-de-riscos-e-de-seguranca-dos-sistemas-de-informacao","status":"publish","type":"page","link":"https:\/\/rgpd.com\/pt-pt\/requisitos-do-nis2-lista-de-verificacao\/politica-de-gestao-de-riscos-e-de-seguranca-dos-sistemas-de-informacao\/","title":{"rendered":"Pol\u00edtica de gest\u00e3o de riscos e de seguran\u00e7a dos sistemas de informa\u00e7\u00e3o"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Neste artigo, descreveremos o requisito previsto no n. <a href=\"https:\/\/rgpd.com\/pt-pt\/nis2\/capitulo-4-medidas-de-gestao-dos-riscos-de-ciberseguranca-e-obrigacoes-de-notificacao\/artigo-21-medidas-de-gestao-dos-riscos-de-ciberseguranca\/\" data-type=\"page\" data-id=\"22033\">\u00ba 2, al\u00ednea a), do artigo 21.\u00ba da NIS2<\/a>, que exige que a tua organiza\u00e7\u00e3o implemente<a href=\"https:\/\/www.sans.org\/white-papers\/1331\" target=\"_blank\" rel=\"noreferrer noopener\"> pol\u00edticas de gest\u00e3o dos riscos e de seguran\u00e7a dos sistemas de informa\u00e7\u00e3o<\/a>.<\/p>\n\n<p class=\"wp-block-paragraph\">O objetivo deste requisito \u00e9 garantir que todas as organiza\u00e7\u00f5es pensem na forma de gerir os riscos e documentem a gest\u00e3o da seguran\u00e7a dos seus sistemas de informa\u00e7\u00e3o atrav\u00e9s de uma pol\u00edtica.<\/p>\n\n<h2 class=\"wp-block-heading\">Pol\u00edtica de seguran\u00e7a dos sistemas de informa\u00e7\u00e3o<\/h2>\n\n<p class=\"wp-block-paragraph\">Uma pol\u00edtica de seguran\u00e7a do sistema de informa\u00e7\u00e3o define a abordagem da tua organiza\u00e7\u00e3o para gerir a seguran\u00e7a do sistema de informa\u00e7\u00e3o e a forma como \u00e9 implementada, o que inclui medidas t\u00e9cnicas, operacionais e organizacionais.<\/p>\n\n<h3 class=\"wp-block-heading\">Requisitos<\/h3>\n\n<p class=\"wp-block-paragraph\">A NIS2 exige que a tua organiza\u00e7\u00e3o crie e implemente uma pol\u00edtica de seguran\u00e7a do sistema de informa\u00e7\u00e3o para a sua rede e sistemas de informa\u00e7\u00e3o.<\/p>\n\n<p class=\"wp-block-paragraph\">A pol\u00edtica deve adotar uma <a href=\"https:\/\/www.mckinsey.com\/capabilities\/risk-and-resilience\/our-insights\/the-risk-based-approach-to-cybersecurity\" target=\"_blank\" rel=\"noreferrer noopener\">abordagem baseada no risco<\/a> e garantir um n\u00edvel de seguran\u00e7a adequado ao objetivo da organiza\u00e7\u00e3o. A pol\u00edtica deve ter em conta o contexto da organiza\u00e7\u00e3o, o estado atual da tecnologia, os custos de implementa\u00e7\u00e3o de medidas e os riscos para a seguran\u00e7a dos seus sistemas que possam prejudicar a presta\u00e7\u00e3o dos seus servi\u00e7os cr\u00edticos. <\/p>\n\n<p class=\"wp-block-paragraph\">A pol\u00edtica de seguran\u00e7a do sistema de informa\u00e7\u00e3o deve seguir os <a href=\"https:\/\/rgpd.com\/pt-pt\/requisitos-do-nis2-lista-de-verificacao\/\" data-type=\"page\" data-id=\"24292\">requisitos da Diretiva NIS2 <\/a>e apoiar os objectivos comerciais da organiza\u00e7\u00e3o. Al\u00e9m disso, a pol\u00edtica deve apoiar as actividades e valores fundamentais da organiza\u00e7\u00e3o e deve ter em conta os riscos mais relevantes para a organiza\u00e7\u00e3o. <\/p>\n\n<p class=\"wp-block-paragraph\">Uma pol\u00edtica de seguran\u00e7a do sistema de informa\u00e7\u00e3o deve:<\/p>\n\n<ul class=\"wp-block-list\">\n<li>descreve a forma como a organiza\u00e7\u00e3o gere a seguran\u00e7a da sua rede e dos seus sistemas de informa\u00e7\u00e3o, o quadro geral da forma como a seguran\u00e7a \u00e9 tratada, tanto a n\u00edvel estrat\u00e9gico como nas opera\u00e7\u00f5es di\u00e1rias<\/li>\n\n\n\n<li>definir objectivos para a ciberseguran\u00e7a; o que a organiza\u00e7\u00e3o pretende alcan\u00e7ar com a sua ciberseguran\u00e7a<\/li>\n\n\n\n<li>inclui um compromisso de cumprimento dos requisitos de ciberseguran\u00e7a, por exemplo, requisitos legais como o <a href=\"https:\/\/rgpd.com\/pt-pt\/visao-geral\/\" data-type=\"page\" data-id=\"2630\">RGPD<\/a><\/li>\n\n\n\n<li>inclui o compromisso de continuar a melhorar a pol\u00edtica sempre que necess\u00e1rio<\/li>\n\n\n\n<li>estar dispon\u00edvel como documenta\u00e7\u00e3o para todas as partes interessadas relevantes<\/li>\n<\/ul>\n\n<p class=\"wp-block-paragraph\">A organiza\u00e7\u00e3o pode tamb\u00e9m criar pol\u00edticas espec\u00edficas sobre determinados temas, se necess\u00e1rio, por exemplo, uma pol\u00edtica de c\u00f3pias de seguran\u00e7a ou uma pol\u00edtica de controlo de acesso. Essas pol\u00edticas devem ser sempre coerentes com a pol\u00edtica global de seguran\u00e7a do sistema de informa\u00e7\u00e3o. <\/p>\n\n<h3 class=\"wp-block-heading\">Documenta\u00e7\u00e3o<\/h3>\n\n<p class=\"wp-block-paragraph\">A pol\u00edtica de seguran\u00e7a do sistema de informa\u00e7\u00e3o deve ser actualizada anualmente e sempre que se verifiquem altera\u00e7\u00f5es significativas nos objectivos comerciais da organiza\u00e7\u00e3o ou no panorama de amea\u00e7as.<\/p>\n\n<p class=\"wp-block-paragraph\">A pol\u00edtica de seguran\u00e7a do sistema de informa\u00e7\u00e3o deve ser aprovada pelo \u00f3rg\u00e3o de dire\u00e7\u00e3o da organiza\u00e7\u00e3o para garantir a sua propriedade. Se a dire\u00e7\u00e3o n\u00e3o assumir a responsabilidade pela pol\u00edtica de seguran\u00e7a do sistema de informa\u00e7\u00e3o, esta n\u00e3o ter\u00e1 qualquer efeito na organiza\u00e7\u00e3o. <\/p>\n\n<p class=\"wp-block-paragraph\">As pol\u00edticas relativas a mat\u00e9rias espec\u00edficas devem ser revistas pela dire\u00e7\u00e3o competente e o resultado dessa revis\u00e3o, incluindo eventuais ajustamentos, deve ser comunicado ao \u00f3rg\u00e3o de dire\u00e7\u00e3o da organiza\u00e7\u00e3o.<\/p>\n\n<h2 class=\"wp-block-heading\">Pol\u00edtica de gest\u00e3o de riscos<\/h2>\n\n<p class=\"wp-block-paragraph\">O objetivo de uma <a href=\"https:\/\/www.iso.org\/standard\/65694.html\" target=\"_blank\" rel=\"noreferrer noopener\">pol\u00edtica de gest\u00e3o do risco <\/a>\u00e9 estabelecer regras e m\u00e9todos claros para identificar, analisar, avaliar e tratar os riscos da organiza\u00e7\u00e3o. Isto deve garantir que a gest\u00e3o do risco \u00e9 consistente e eficaz em todas as \u00e1reas que afectam a presta\u00e7\u00e3o de servi\u00e7os cr\u00edticos. <\/p>\n\n<h3 class=\"wp-block-heading\">Requisitos<\/h3>\n\n<p class=\"wp-block-paragraph\">A organiza\u00e7\u00e3o deve ter uma pol\u00edtica de gest\u00e3o de riscos que identifique e aborde todos os riscos relacionados com a seguran\u00e7a da sua rede e dos seus sistemas de informa\u00e7\u00e3o<\/p>\n\n<p class=\"wp-block-paragraph\">A organiza\u00e7\u00e3o deve efetuar e documentar avalia\u00e7\u00f5es de risco, estabelecer um plano de gest\u00e3o de risco e certificar-se de que este plano \u00e9 revisto e atualizado regularmente.<\/p>\n\n<p class=\"wp-block-paragraph\">Os resultados da avalia\u00e7\u00e3o de risco, o tratamento de risco planeado e o n\u00edvel de quaisquer riscos que permane\u00e7am devem ser aprovados pelo propriet\u00e1rio do risco. Isto \u00e9 especialmente importante se os riscos puderem afetar servi\u00e7os cr\u00edticos. Todos os resultados e decis\u00f5es devem tamb\u00e9m ser comunicados ao \u00f3rg\u00e3o de dire\u00e7\u00e3o da organiza\u00e7\u00e3o.  <\/p>\n\n<p class=\"wp-block-paragraph\">A pol\u00edtica de gest\u00e3o de riscos deve:<\/p>\n\n<ul class=\"wp-block-list\">\n<li>estabelece um processo claro de gest\u00e3o dos riscos,<\/li>\n\n\n\n<li>ser uma parte integrante da gest\u00e3o global de riscos da organiza\u00e7\u00e3o,<\/li>\n\n\n\n<li>abrange todos os tipos de amea\u00e7as e garante que os riscos de terceiros, como os fornecedores, tamb\u00e9m s\u00e3o abordados,<\/li>\n\n\n\n<li>estabelece e mant\u00e9m crit\u00e9rios claros para a avalia\u00e7\u00e3o dos riscos,<\/li>\n\n\n\n<li>identifica os propriet\u00e1rios dos riscos e documenta as suas responsabilidades.<\/li>\n<\/ul>\n\n<p class=\"wp-block-paragraph\">Al\u00e9m disso, a pol\u00edtica deve tamb\u00e9m incluir m\u00e9todos de avalia\u00e7\u00e3o dos riscos e pode descrever:<\/p>\n\n<ul class=\"wp-block-list\">\n<li>a forma como a organiza\u00e7\u00e3o identifica e documenta os riscos para a sua rede e sistemas de informa\u00e7\u00e3o, incluindo a identifica\u00e7\u00e3o de <a href=\"https:\/\/en.wikipedia.org\/wiki\/Single_point_of_failure\" target=\"_blank\" rel=\"noreferrer noopener\">pontos \u00fanicos de falha<\/a>,<\/li>\n\n\n\n<li>como s\u00e3o analisados os riscos para a seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o,<\/li>\n\n\n\n<li>a forma como os riscos identificados s\u00e3o avaliados em fun\u00e7\u00e3o dos crit\u00e9rios estabelecidos,<\/li>\n\n\n\n<li>a forma como a organiza\u00e7\u00e3o identifica e atribui prioridade \u00e0s medidas de seguran\u00e7a adequadas, com base na avalia\u00e7\u00e3o dos riscos e na efic\u00e1cia dessas medidas,<\/li>\n\n\n\n<li>que \u00e9 respons\u00e1vel por garantir que as medidas escolhidas s\u00e3o aplicadas atempadamente,<\/li>\n\n\n\n<li>a forma como a organiza\u00e7\u00e3o documenta as medidas escolhidas e explica a aceita\u00e7\u00e3o de quaisquer riscos que subsistam.<\/li>\n<\/ul>\n\n<h3 class=\"wp-block-heading\">Documenta\u00e7\u00e3o<\/h3>\n\n<p class=\"wp-block-paragraph\">As tuas pol\u00edticas de gest\u00e3o do risco devem ser actualizadas regularmente e sempre que se verifiquem altera\u00e7\u00f5es importantes na atividade da organiza\u00e7\u00e3o, nas vulnerabilidades ou no panorama de amea\u00e7as. A pol\u00edtica de gest\u00e3o do risco deve ser escrita e aprovada pela dire\u00e7\u00e3o. <\/p>\n\n<p class=\"wp-block-paragraph\"><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Neste artigo, descreveremos o requisito previsto no n.\u00ba 2, al\u00ednea a), do artigo 21.\u00ba da NIS2, que exige que a tua organiza\u00e7\u00e3o implemente pol\u00edticas de gest\u00e3o dos riscos e de seguran\u00e7a dos sistemas de informa\u00e7\u00e3o.<\/p>\n","protected":false},"author":1,"featured_media":0,"parent":24933,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"class_list":["post-24912","page","type-page","status-publish","hentry"],"_links":{"self":[{"href":"https:\/\/rgpd.com\/pt-pt\/wp-json\/wp\/v2\/pages\/24912","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/rgpd.com\/pt-pt\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/rgpd.com\/pt-pt\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/rgpd.com\/pt-pt\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/rgpd.com\/pt-pt\/wp-json\/wp\/v2\/comments?post=24912"}],"version-history":[{"count":0,"href":"https:\/\/rgpd.com\/pt-pt\/wp-json\/wp\/v2\/pages\/24912\/revisions"}],"up":[{"embeddable":true,"href":"https:\/\/rgpd.com\/pt-pt\/wp-json\/wp\/v2\/pages\/24933"}],"wp:attachment":[{"href":"https:\/\/rgpd.com\/pt-pt\/wp-json\/wp\/v2\/media?parent=24912"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}