Você está na página 1de 19

Aplicabilidade

Operacionalização do Controlo/ Revisão: 02


Objetivos de Controlo Identificação do Controlo DECLARAÇÃO DE APLICABILIDADE – SGSI Estado
Evidência
Data: 2015/06/30
Sim Não Justificação

A.5. Política de segurança

Um conjunto de políticas para a segurança da


Política do SG, implementada, coerente, consistente e
Proporcionar diretrizes e A.5.1.1. Políticas para a informação deve ser definido, aprovado pela gestão,
√ comunicada a todos, tanto a nível interno como externo Manual do SG Implementado
apoio da gestão para a segurança da informação publicado e comunicado aos colaboradores e partes
(publicada no site)
A.5.1. Diretrizes da externas relevantes
segurança da informação,
gestão para a
de acordo com os requisitos
segurança da As políticas para a segurança da informação devem ser
de negócio, leis e A.5.1.2. Revisão das
informação revistas em intervalos planeados ou quando ocorrerem Está definido. A revisão das políticas é efetuado, pelo
regulamentações políticas para a segurança √ Planeamento e revisão do SG (PG-01) Implementado
relevantes alterações significativas, de modo a assegurar a sua menos, uma vez por ano, quando da revisão pela gestão
da informação
contínua aplicabilidade, adequabilidade e eficácia

A.6. Organização de segurança da informação

Cada colaborador tem conhecimento das suas funções e


A.6.1.1. Papéis e
Todas as responsabilidades de segurança da responsabilidades, pelo conhecimento das matrizes Manual do SG; Matrizes de competências
responsabilidades de √ Em atualização
informação devem ser definidas e alocadas associadas à função. Funções genéricas estão definidas (Aplicação)
segurança da Informação
também no MQ

A estrutura organizacional assenta numa definição


coerente, clara e objetiva das competências e
responsabilidades de cada unidade orgânica, com
competências claramente definidas, com linhas de
As funções e áreas de responsabilidades conflituantes
reporte e de autoridade claras, bem como do grau e
A.6.1.2. Segregação de devem ser segregadas para reduzir oportunidades para
√ âmbito de cooperação entre as diversas unidades do
funções a modificação não autorizada ou não intencional, ou a
organigrama, contemplando uma adequada segregação
Estabelecer um modelo de utilização indevida dos ativos da organização
de funções potencialmente conflituantes. Vai ser
referência de gestão para
desenvolvido, para 2015, um documento "Diagnóstico
iniciar e controlar a de Transparência", que terá na sua gênese, o Código de
A.6.1. Organização
implementação e operação Ética da CMA.
interna
de segurança da informação
dentro da No que diz respeito à legislação e normas aplicáveis, por
organização A.6.1.3. Contacto com Devem ser mantidos contactos apropriados com as Manual do SG (Gestão e controlo da
√ consulta ao DR, assim como a sites normativos/ Implementado
autoridades competentes autoridades competentes que sejam relevantes informação documentada)
entidades certificadoras
Ainda não surgiu a oportunidade de efetuarmos este
tipo de contacto. No entanto, existem contactos com
A.6.1.4. Contacto com Devem ser mantidos contactos apropriados com grupos
fornecedores, especificamente da parte das TI, que têm
grupos de interesse de interesse especial ou outros fóruns de especialistas √
oferecido a sua ajuda prestável, na resolução/
especial de segurança e associações de profissionais
clarificação de algumas situações que têm surgido a este
nível.

A.6.1.5. Segurança da A segurança da informação deve ser endereçada na Sempre que seja iniciado/ desenvolvido um novo Conceção e desenvolvimento de novos
projeto (ou alteração de um projeto existente), são serviços (PG-02); Gestão e avaliação do
informação na gestão de gestão de projeto, independentemente do tipo de √ Implementado
seguidos os procedimentos estabelecidos ao nível da risco (PG-14); Gestão de Alterações
projeto projeto
Segurança da Informação. (PG15)
Está a ser implementada uma solução de segurança,
Deve ser adotada uma política e as respetivas medidas
A.6.2.1. Política de com a aquisição de um software KasperSky mobile Em
de segurança para gerir os riscos introduzidos pela √
dispositivos móveis security, para garantir a segurança da informação implementação
A.6.2. Dispositivos Assegurar a segurança no utilização de dispositivos móveis
acedida através de dispositivos móveis
móveis e teletrabalho e na utilização
teletrabalho de dispositivos móveis Deve ser implementada uma política e as respetivas
Estão definidas políticas de acesso remoto à informação Políticas Específicas de Segurança da
medidas de segurança para proteger a informação
A.6.2.2. Teletrabalho √ e aplicações da CMA, sob a autorização prévia do Sr. Informação - Acessos - Acesso remoto; Implementado
acedida, processada ou armazenada em locais de
Presidente da CMA. Gestão das infraestruturas (PG-06)
teletrabalho

Imp-05-32_A02 Tipo de Documento: Público Pág. 1/19


Revisão: 02
DECLARAÇÃO DE APLICABILIDADE – SGSI
Data: 2015/06/30

Aplicabilidade
Operacionalização do Controlo/
Objetivos de Controlo Identificação do Controlo Estado
Evidência
Sim Não Justificação

A.7. Segurança na gestão de recursos humanos

Devem ser realizadas verificações de credenciais e


referências de todos os candidatos a uma relação A CMA apenas tem em conta os requisitos definidos nos
contratual, de acordo com as leis, regulamentações e procedimentos concursais, não sendo exigida, salvo
Assegurar que os A.7.1.1. Verificação de códigos de ética relevantes, e de forma proporcional aos √ casos específicos, qualquer declaração ou credencial
colaboradores e credenciais e referências requisitos de negócio, à classificação da informação que comprovativa do não incumprimento de regras
prestadores de serviço será acedida e aos riscos percecionados relacionadas com a segurança da informação, por outras
A.7.1. Antes da compreendem as suas entidades onde o concursante possa ter trabalhado.
relação contratual responsabilidades, e que Os contratos celebrados com colaboradores têm na sua
são adequados para as essência a referência à obrigatoriedade de
Os acordos contratuais com os colaboradores e
funções para as quais estão A.7.1.2. Termos e cumprimento das regras, procedimentos e políticas da Gestão de recursos humanos (PG-03);
prestadores de serviço devem estabelecer as suas
a ser considerados condições da relação √ segurança da informação. Isto também se verifica para Contrato de trabalho; Acordo (estágios); Implementado
responsabilidades e as da organização relativamente à
contratual os prestadores de serviço, podendo ser efetuado por Contrato de prestação de serviços
segurança da informação
acordo entre as partes interessadas

A liderança está comprometida com a segurança da


informação e transmite este comprometimento aos Manual do SG; Políticas específicas de
A gestão deve requerer a todos os colaboradores e
seus colaboradores e prestadores de serviço, segurança de informação; Gestão de Implementado,
A.7.2.1. Responsabilidade prestadores de serviço que apliquem a segurança da
√ disponibilizando a informação relacionada com o tema, recursos humanos (PG-03); Manual de sujeito a
da gestão informação, de acordo com os procedimentos e
pela entrega do Manual de Acolhimento e o Manual do Acolhimento; Acolhimento e integração melhorias
políticas estabelecidos pela organização de novos colaboradores (IT-03-01)
SG. O superior hierárquico tem um papel importante,
Assegurar que os
na fase de acolhimento e integração na CMA
colaboradores e
prestadores de serviço Todos os colaboradores da organização e, quando Tanto na fase de integração na CMA, como no decorrer
A.7.2. Durante a
estão conscientes e relevante, os prestadores de serviço devem ser da relação contratual, são efetuados momentos de
relação contratual
cumprem as suas A.7.2.2. Consciencialização, destinatários de ações de consciencialização, educação levantamento de necessidades de formação, podendo Gestão de recursos humanos (PG-03);
Implementado,
responsabilidades de escolaridade e formação e formação apropriadas, bem como de atualizações também acontecer, de forma pontual, pela realização Levantamento de necessidades de
regulares nas políticas e procedimentos da organização
√ de novas tarefas, que obriguem à realização de
sujeito a
segurança da informação em segurança da formação (aplicação); Plano de formação
melhorias
informação que sejam relevantes para o desempenho da sua função sensibilização/ formação para a melhoria ou obtenção (Imp-03-02)
de conhecimentos específicos

Deve existir e ser comunicado um procedimento


A.7.2.3. Procedimento disciplinar formal que seja acionável em relação aos Está estabelecida e implementada uma metodologia Gestão de recursos humanos (PG-03);
√ Implementado
disciplinar colaboradores que tenham cometido uma violação de para a execução de um processo disciplinar formal para Processo disciplinar (PT-03-01)
segurança da informação os colaboradores que violem a segurança da informação

Imp-05-32_A02 Tipo de Documento: Público Pág. 2/19


Revisão: 02
DECLARAÇÃO DE APLICABILIDADE – SGSI
Data: 2015/06/30

Gestão de recursos humanos (PG-03);


Estão definidas políticas e responsabilidades Políticas específicas de segurança de
relacionadas com a saída ou mudança de funções, dos informação - Acessos - Desativação de
colaboradores da CMA, relativamente à desativação de acessos a sistemas; Alteração de acesso a
acessos a sistemas da CMA. Cabe à UT-RH comunicar a sistemas; Políticas específicas de
Devem ser definidas, comunicadas e asseguradas as sída de um colaborador à DV-AF e à DV-TI (procede à segurança de informação - Correio
Proteger os interesses da
A.7.3. Cessação e A.7.3.1. Responsabilidades responsabilidades e deveres de segurança da desativação do acesso). De igual modo, quando se eletrónico, Gestão de e-mail, Utilização da Implementado,
organização no processo de
alteração da relação na cessação ou alteração informação que permaneçam válidas após a cessação ou √ verifiquem alterações/ mudança de funções, a chefia Internet sujeito a
cessação ou alteração da
contratual da relação contratual alteração da relação contratual com os comunica à DV-TI, a necessidade de alteração de acesso melhorias
relação contratual aos sistemas da CMA. Também, quando se verificar a
colaboradores ou prestadores de serviço
saída de colaboradores da CMA, as respetivas mailboxes
serão desativadas e os e-mails destinados a esses
colaboradores reencaminhados para o superior
hierárquico ou outro designado.

Aplicabilidade
Operacionalização do Controlo/
Objetivos de Controlo Identificação do Controlo Estado
Evidência
Sim Não Justificação

A.8. Gestão de ativos

Devem ser identificados os ativos associados com a Está definido o procedimento a seguir para gerir, manter
A.8.1.1. Inventário de informação e os recursos de processamento de e controlar os riscos da segurança de informação, no
√ Gestão do risco (PG-14) - Pontos 1 e 2 Implementado
ativos informação e deve ser criado e mantido um inventário que diz respeito à identificação dos ativos e respetivos
destes ativos cenários de risco da CMA, assim como os processos
associados e respetivos responsáveis.

Está definido o procedimento a seguir para gerir, manter


A.8.1.2. Responsabilidade Os ativos registados no inventário devem ter um e controlar os riscos da segurança de informação, no
√ Gestão do risco (PG-14) - Pontos 1 e 2 Implementado
pelos ativos responsável que diz respeito à identificação dos ativos e respetivos
cenários de risco da CMA, assim como os processos
Identificar os ativos da associados e respetivos responsáveis.
A.8.1. Está definido o procedimento a seguir para gerir, manter
organização e definir
Responsabilidade e controlar os riscos da segurança de informação, no
responsabilidades de Devem ser identificadas, documentadas e
pelos ativos que diz respeito aos ativos e cenários de risco
proteção apropriadas A.8.1.3. Utilização implementadas regras para a utilização aceitável da
√ associados, pela aplicação de controlos para evitar, Gestão do risco (PG-14) Implementado
aceitável dos ativos informação, dos ativos associados com a informação e
mitigar ou transferir o risco, de forma a diminuit o nível
dos recursos de processamento de informação
de risco associado.

Está definido o procedimento a seguir para gerir, manter Implementado,


e controlar os riscos da segurança de informação, no sujeito a
Todos os colaboradores e utilizadores de entidades que diz respeito à identificação dos ativos e respetivos melhorias
Gestão de recursos humanos (PG-03);
A.8.1.4. Devolução de externas devem devolver os ativos da organização que cenários de risco da CMA. são geridos, mantidos e
√ Políticas específicas de segurança de (colocação da
ativos estejam na sua posse no momento da cessação da controlados, no que diz respeito à identificação, obrigatoriedade
informação
relação contratual ou acordo avaliação, tratamento, gestão, monitorização e revisão de devolução no
"acordo"/

Assegurar que a informação Está definido e documentado um procedimento, onde "contrato")


A informação deve ser classificada com base nos está definida a forma de classificação dos ativos de Implementado
A.8.2. Classificação recebe um nível adequado A.8.2.1. Classificação da
requisitos legais, valor, importância e sensibilidade em √ informação, tendo em conta os graus de acesso à Gestão do risco (PG-14) - pontos 3 e 4
da informação de proteção, de acordo com informação
caso de divulgação ou modificação não autorizada mesma, com as seguintes categorias: Uso Restrito; Uso
a sua importância para Interno e Público

Imp-05-32_A02 Tipo de Documento: Público Pág. 3/19


Revisão: 02
DECLARAÇÃO DE APLICABILIDADE – SGSI
Data: 2015/06/30

a organização Está definido e documentado um procedimento, onde


Deve ser desenvolvido e implementado um conjunto de
está definida a forma de classificação dos ativos de
A.8.2.2. Etiquetagem da procedimentos apropriados para a etiquetagem da
√ informação, tendo em conta os graus de acesso à Gestão do risco (PG-14) - pontos 3 e 4 Implementado
informação informação, de acordo com o esquema de classificação
mesma, com as seguintes categorias: Uso Restrito; Uso
da informação adotado pela organização
Interno e Público
Está definido e documentado um procedimento, onde
Devem ser desenvolvidos e implementados está definida a forma de movimentação/ utilização dos
A.8.2.3. Manuseamento de procedimentos para o manuseamento de ativos, de ativos de informação, tendo em conta os graus de
√ acesso à mesma, com as seguintes categorias: Grupo Gestão do risco (PG-14) - pontos 3 e 4 Implementado
ativos acordo com o esquema de classificação da informação
adotado pela organização limitado de utilizadores definidos caso a caso; Toda a
CMA; e Todos os stakeholders da CMA

Aplicabilidade
Operacionalização do Controlo/
Objetivos de Controlo Identificação do Controlo Estado
Evidência
Sim Não Justificação

Está definida uma política para a utilização de suportes


de informação amovíveis externos (pen drive, CD,
discos externos, …) nos equipamentos incluídos no Gestão das infraestruturas (PG-06);
A.8.3.1. Gestão de Devem ser implementados procedimentos para a
âmbito de proteção. Excetuam-se aqueles provenientes Políticas específicas de segurança de
suportes de dados gestão de suportes de dados amovíveis, de acordo com √ Implementado
informação - Utilização de suportes
amovíveis o esquema de classificação adotado pela organização dos munícipes para descarregar os processos de
amovíveis
Licenciamento de Obras Particulares, sendo da
responsabilidade dos colaboradores da CMA
Prevenir a divulgação não
autorizada, modificação, Estão definidas as instruções necessárias para executar Gestão das infraestruturas (PG-06);
A.8.3.
Os suportes de dados devem ser eliminados de forma Abate/ Limpeza de suportes de
Manuseamento de remoção ou eliminação da A.8.3.2. Eliminação de as tarefas de limpeza permanente de dados e
segura, quando deixarem de ser necessários, através da √ informação amovíveis (IT-06-10); Implementado
suporte de dados informação armazenada suportes de dados destruição/ abate de suportes de informação amovíveis
utilização de procedimentos formais Políticas específicas de segurança de
em suportes de dados (discos rígidos, pens, CD, discos USB, etc.). informação
Estão estabelecidas regras de movimentação "física" de
processos em suporte papel, a partir do arquivo e para
Os suportes de dados devem ser protegidos contra o arquivo, sendo efetuada devidamente acondicionada Acessibilidade e Comunicabilidade -
A.8.3.3. Transporte de
acessos não autorizados, utilização indevida ou √ (em caixas, pastas), de forma a garantir que tais Utilizadores externos (PT-05-04) - Implementado
suportes de dados
corrupção durante o seu transporte suportes são transportados nas devidas condições de Consulta presencial
segurança.

A.9. Controlo de acesso

à Estão definidas políticas de acesso a zonas seguras da


CMA, que contém informação considerada sensível,
Limitar o acesso como é o caso do Datacenter, da Sala dos Técnicos da
A.9.1. Requisitos de informação e aos recursos de Deve ser estabelecida, documentada e revista uma DV-TI, da Sala de Servidores da BMMA, e o Arquivo. Políticas específicas de segurança de
A.9.1.1. Política de
negócio para política de controlo de acesso, tendo como base os √ Estão definidos quais os colaboradores que podem informação - Acessos - Acesso a zonas Implementado
processamento de controlo de acesso
controlo de acesso requisitos de negócio e de segurança da informação aceder a estas áreas e de que forma o fazem. Também seguras; Ficha de Controlo (Imp-06-94)
informação estão definidas as regras para o acesso a pessoas
externas à CMA.

Imp-05-32_A02 Tipo de Documento: Público Pág. 4/19


Revisão: 02
DECLARAÇÃO DE APLICABILIDADE – SGSI
Data: 2015/06/30

Estão definidas políticas de administração de acessos


aos utilizadores, mediante prévia autorização do Sr.
Presidente da CMA, nomeadamente no que diz Gestão das infraestruturas (PG-06) Ponto
Aos utilizadores apenas deve ser atribuído acesso à rede respeito à criação, alteração e desativação de acessos a A1 - Configuração, Instalação e Acesso;
A.9.1.2. Acesso a redes e a
e a serviços de rede para os quais tenham sido √ sistemas. Estão definidas as regras de configuração e Políticas específicas de segurança de Implementado
serviços de rede
especificamente autorizados a utilizar instalação de equipamentos, tendo em conta as informação - Acessos - Política de
práticas de instalação, configuração, autenticação e administração de acessos
atribuição de privilégios existentes; Ativar o acesso
interno e remoto de utilizadores à rede da CMA

Estão definidas políticas de administração de acessos


aos utilizadores, mediante prévia autorização do Sr.
Presidente da CMA, nomeadamente no que diz Gestão das infraestruturas (PG-06) Ponto
respeito à criação e desativação de acessos a sistemas.
Deve ser implementado um processo formal de registo A1 - Configuração, Instalação e Acesso;
A.9.2.1. Registo e Estão definidas as regras de configuração e instalação
e cancelamento de utilizadores para assegurar a √ de equipamentos, tendo em conta as práticas de
Políticas específicas de segurança de Implementado
cancelamento de utilizador
atribuição de direitos de acesso instalação, configuração, autenticação e atribuição de informação - Acessos - Política de
privilégios existentes; Desativação do acesso interno de administração de acessos
utilizadores à rede da CMA

Aplicabilidade
Operacionalização do Controlo/
Objetivos de Controlo Identificação do Controlo Estado
Evidência
Sim Não Justificação

A.9.2. Gestão de Assegurar o acesso de


acesso de utilizadores autorizados e Estão definidas políticas de administração de acessos
utilizadores prevenir o acesso não aos utilizadores, mediante prévia autorização do Sr.
autorizado asistemas e Presidente da CMA, nomeadamente no que diz Gestão das infraestruturas (PG-06) Ponto
Deve ser implementado um processo formal de A1 - Configuração, Instalação e Acesso;
serviços respeito à criação e desativação de acessos a sistemas.
A.9.2.2. Disponibilização disponibilização de acesso aos utilizadores para atribuir
√ Estão definidas as regras de configuração e instalação Políticas específicas de segurança de Implementado
de acesso aos utilizadores ou revogar os direitos de acesso para todos os tipos de
de equipamentos, tendo em conta as práticas de informação - Acessos - Política de
utilizadores em todos os sistemas e serviços
instalação, configuração, autenticação e atribuição de administração de acessos
privilégios existentes; Ativar o acesso interno e remoto
de utilizadores à rede da CMA

Estão definidas as regras de configuração e instalação


de equipamentos, tendo em conta as práticas de
A.9.2.3. Gestão de direitos A atribuição e utilização de direitos de acesso instalação, configuração, autenticação e atribuição de Gestão das infraestruturas (PG-06) Ponto
√ privilégios existentes; Ativar o acesso interno e remoto A1 - Configuração, Instalação e Acesso
Implementado
de acesso privilegiado privilegiado devem ser restritas e controladas
de utilizadores à rede da CMA

Políticas específicas de segurança de


A.9.2.4. Gestão da
A atribuição da informação secreta para autenticação Estão definidas políticas de gestão de usernames e informação - Logs, Usernames e
informação secreta para
deve ser controlada através de um processo formal de √ password, controladas, para autenticação dos Passwords - Política de gestão de Implementado
autenticação de
gestão utilizadores usernames; Política de gestão de
utilizadores
passwords
Estão definidas as regras de revisão dos acessos pelos Gestão das infraestruturas (PG-06) Ponto
A.9.2.5. Revisão de direitos Os responsáveis pelos ativos devem rever os direitos de A1 - Configuração, Instalação e Acesso
√ utilizadores, que recebem uma mensagem para Implementado
de acesso de utilizadores acesso dos utilizadores em intervalos regulares
alteração da sua passwird (60 dias)

Imp-05-32_A02 Tipo de Documento: Público Pág. 5/19


Revisão: 02
DECLARAÇÃO DE APLICABILIDADE – SGSI
Data: 2015/06/30

Estão definidas políticas de administração de acessos


aos utilizadores, nomeadamente no que diz respeito à
Os direitos de acesso à informação e aos recursos de Gestão das infraestruturas (PG-06) Ponto
alteração e desativação de acessos a sistemas. Estão
processamento de informação, de todos os A1 - Configuração, Instalação e Acesso;
definidas as regras de configuração e instalação de
A.9.2.6. Remoção ou ajuste colaboradores e utilizadores de entidades externas,
√ equipamentos, tendo em conta as práticas de Políticas específicas de segurança de Implementado
de direitos de acesso devem ser removidos após a cessação de relação
instalação, configuração, autenticação e atribuição de informação - Acessos - Política de
contratual ou acordo, ou ajustados em caso de
privilégios existentes; Desativação do acesso interno de administração de acessos
alteração destes
utilizadores à rede da CMA

Tornar os utilizadores Políticas específicas de segurança de


A.9.3. A.9.3.1. Utilização da Deve ser exigido aos utilizadores o cumprimento das Estão definidas políticas de gestão de usernames e informação - Logs, Usernames e
responsáveis pela proteção
Responsabilidades informação secreta para práticas da organização na utilização da informação √ password, controladas, para autenticação dos Passwords - Política de gestão de Implementado
da sua informação de
dos utilizadores autenticação secreta para autenticação utilizadores usernames; Política de gestão de
autenticação passwords
Estão definidas políticas de administração de acessos
aos utilizadores. Estão definidas as regras de Gestão das infraestruturas (PG-06) Ponto
configuração e instalação de equipamentos, tendo em
O acesso à informação e funções de sistema das A1 - Configuração, Instalação e Acesso;
A.9.4.1. Restrição de conta as práticas de instalação, configuração,
aplicações deve ser limitado de acordo com a política √ autenticação e atribuição de privilégios existentes;
Políticas específicas de segurança de Implementado
acesso à informação
de controlo de acesso informação - Acessos - Política de
Ativação e desativação do acesso interno de
utilizadores à rede da CMA administração de acessos

Estão definidas políticas de administração de


autenticação dos utilizadores, por password criada com Gestão das infraestruturas (PG-06) Ponto
determinadas regras. Estão definidas as regras de A1 - Configuração, Instalação e Acesso;
A.9.4.2. Procedimentos O acesso aos sistemas operativos deve ser controlado
√ configuração e instalação de equipamentos, tendo em Políticas específicas de segurança de Implementado
seguros de início de sessão por um procedimento seguro de autenticação
conta as práticas de instalação, configuração, informação - Acessos - Política de
autenticação e atribuição de privilégios existentes administração de acessos
A.9.4. Controlo de Prevenir o acesso não
acesso a sistemas e autorizado a sistemas e

Aplicabilidade
Operacionalização do Controlo/
Objetivos de Controlo Identificação do Controlo Estado
Evidência
Sim Não Justificação

acesso a sistemas e autorizado a sistemas e A política de complexidade da palavra-chave dos


aplicações aplicações utilizadores obriga a um mínimo de seis caracteres de Gestão das infraestruturas (PG-06) Ponto
tipos diferentes (maiúsculas, minúsculas, números A1 - Configuração, Instalação e Acesso;
A.9.4.3. Sistema de gestão Os sistemas para gestão de senhas devem ser
√ e/ou carateres especiais), sendo válida por 60 dias e Políticas específicas de segurança de Implementado
de senhas interativos e assegurar senhas de qualidade
não pode ser igual a nenhuma das últimas duas informação - Acessos - Política de
palavraschave utilizadas administração de acessos

A instalação de outro software , não incluído nos


A.9.4.4. Utilização de A utilização de programas utilitários que se possam
diferentes perfis definidos, deve ser solicitada à DV-TI Gestão das infraestruturas (PG-06) Ponto
programas utilitários sobrepor aos controlos dos sistemas e aplicações deve √ Implementado
e previamente autorizada pelo Presidente da CMA e A1 - Configuração, Instalação e Acesso
privilegiados ser restringida e controlada de forma rígida
pelo responsável do respetivo serviço
Gestão das infraestruturas (PG-06) Ponto
A.9.4.5. Controlo de acesso
O acesso ao código fonte de programas deve ser O acesso a esta informação está restrita aos técnicos A1 - Configuração, Instalação e Acesso -
ao código fonte de √ Implementado
restrito da DV-TI 7. Acessos ao código fonte das aplicações
programas
MEDIDATA

A.10. Criptografia

Imp-05-32_A02 Tipo de Documento: Público Pág. 6/19


Revisão: 02
DECLARAÇÃO DE APLICABILIDADE – SGSI
Data: 2015/06/30

Assegurar utilização Estão definidas as instruções necessárias para


adequada eficaz de encriptar os e-mails, por recurso à assinatura digital
proteger a
criptografia com Cartão de Cidadão, de forma a assegurar as
a e/ou
confidencialidade, A.10.1.1. Política sobre a Deve ser desenvolvida e implementada uma política medidas necessárias que visem garantir a integridade
autenticidade
e utilização de controlos sobre a utilização de controlos criptográficos para √ e confidencialidade da informação, quando se Encriptação de e-mails (IT-06-11)
para criptográficos proteção da informação considerar necessário, em mensagens de correio
A.10.1. Controlos eletrónico, contendo o envio de informação
criptográficos considerada crítica/ importante para a CMA
integridade da
informação Está instalado um software/ serviço "Entidade
Deve ser desenvolvida e implementada uma política
Certificadora", que permite a emissão de um Gestão das infraestruturas (PG-06) Ponto
A.10.1.2. Gestão de chaves sobre a utilização, proteção e vida útil das chaves √ Implementado
certificado por estação de trabalho/ servidores e A1 - Configuração, Instalação e Acesso -
criptográficas ao longo de todo o seu ciclo de vida
utilizador, para autenticação na Active Directory 1. Instalar e configurar equipamentos

A.11. Segurança física e ambiental

Estão definidas políticas de acesso a zonas seguras da


CMA, que contém informação considerada sensível,
Devem ser definidos e utilizados perímetros de como é o caso do Datacenter, da Sala dos Técnicos da
DV-TI, da Sala de Servidores da BMMA, e o Arquivo. Políticas específicas de segurança de
A.11.1.1. Perímetro de segurança para proteger as áreas que contenham
√ Estão definidos quais os colaboradores que podem informação - Acessos - Acesso a zonas Implementado
segurança física informação sensível ou crítica e recursos de aceder a estas áreas e de que forma o fazem. Também seguras; Ficha de Controlo (Imp-06-94)
processamento de informação estão definidas as regras para o acesso a pessoas
externas à CMA.

Estão definidas políticas de acesso a zonas seguras da


CMA, que contém informação considerada sensível,
como é o caso do Datacenter, da Sala dos Técnicos da
As áreas seguras devem ser protegidas através de DV-TI, da Sala de Servidores da BMMA, e o Arquivo. Políticas específicas de segurança de
A.11.1.2. Controlos de
controlos de entrada apropriados que assegurem que √ Estão definidos quais os colaboradores que podem informação - Acessos - Acesso a zonas Implementado
entrada física
apenas é permitido o acesso a pessoas autorizadas aceder a estas áreas e de que forma o fazem. Também seguras; Ficha de Controlo (Imp-06-94)
estão definidas as regras para o acesso a pessoas
externas à CMA.

Aplicabilidade
Operacionalização do Controlo/
Objetivos de Controlo Identificação do Controlo Estado
Evidência
Sim Não Justificação

A.11.1. Áreas Prevenir o acesso físico não Estão definidas políticas de acesso a zonas seguras da
seguras autorizado, os danos e as CMA, que contém informação considerada sensível,
interferências na como é o caso do Datacenter, da Sala dos Técnicos da
informação e nos recursos A.11.1.3. Segurança em DV-TI, da Sala de Servidores da BMMA, e o Arquivo. Políticas específicas de segurança de
Devem ser concebidas e aplicadas medidas de
escritórios, salas e √ Estão definidos quais os colaboradores que podem informação - Acessos - Acesso a zonas Implementado
de processamento de segurança física para escritórios, salas e instalações
instalações aceder a estas áreas e de que forma o fazem. Também seguras; Ficha de Controlo (Imp-06-94)
informação da organização estão definidas as regras para o acesso a pessoas
externas à CMA.

Imp-05-32_A02 Tipo de Documento: Público Pág. 7/19


Revisão: 02
DECLARAÇÃO DE APLICABILIDADE – SGSI
Data: 2015/06/30

Estão definidas políticas de acesso a zonas seguras da


CMA, que contém informação considerada sensível,
como é o caso do Datacenter, da Sala dos Técnicos da Políticas específicas de segurança de
A.11.1.4. Proteção contra Devem ser concebidas e aplicadas medidas de proteção Parcialmente
DV-TI, da Sala de Servidores da BMMA, e o Arquivo, informação; Plano de continuidade de
ameaças externas e física contra desastres naturais, ataques maliciosos ou √ implementado/
contendo portas e chaves de acesso restrito. Quanto a negócio (Imp-05-33); Ficha de controlo
ambientais acidentes aplicado
desastres naturais, não existe quaisquer proteção, (Imp-06-94)
assumindo-se a eventualidade de acontecerem. Está
definido um plano de continuidade de negócio.

Estão definidas políticas de acesso a zonas seguras da


CMA, que contém informação considerada sensível,
como é o caso do Datacenter, da Sala dos Técnicos da
DV-TI, da Sala de Servidores da BMMA, e o Arquivo. Políticas específicas de segurança de
A.11.1.5. Trabalhar em Devem ser concebidos e aplicados procedimentos para
√ Estão definidos quais os colaboradores que podem informação - Acessos - Acesso a zonas Implementado
áreas seguras trabalhar em áreas seguras
aceder a estas áreas e de que forma o fazem. Também seguras; Ficha de Controlo (Imp-06-94)
estão definidas as regras para o acesso a pessoas
externas à CMA.

Estão definidas políticas de acesso a zonas seguras da


CMA, que contém informação considerada sensível,
Os pontos de acesso, tais como as áreas de carga e como é o caso do Datacenter, da Sala dos Técnicos da
descarga e outros pontos onde pessoas não autorizadas DV-TI, da Sala de Servidores da BMMA, e o Arquivo. Políticas específicas de segurança de
A.11.1.6. Áreas de carga e
possam entrar nas instalações, devem ser controlados e, √ Estão definidos quais os colaboradores que podem informação - Acessos - Acesso a zonas Implementado
descarga
se possível, isolados dos recursos de processamento de aceder a estas áreas e de que forma o fazem. Também seguras; Ficha de Controlo (Imp-06-94)
informação para evitar o acesso não autorizado estão definidas as regras para o acesso a pessoas
externas à CMA.

Estão definidas políticas de acesso apenas a zonas


seguras da CMA, que contém informação considerada
Os equipamentos devem ser colocados e protegidos de sensível. Relativamente ao acesso "geral" ao edifício e
A.11.2.1. Colocação e forma a reduzir os riscos de ameaças e perigos às salas de trabalho dos colaboradores, não estão
√ definidas quaisquer regras, existindo apenas um
proteção de equipamentos ambientais, e as oportunidades para acesso não
autorizado porteiro na garagem do edifício, podendo os munícipes
circular livremente pelo edifício.

Os serviços básicos de suporte apenas estão instalados


no Datacenter, onde existem UPS para suporte a falhas
de energia elétrica, no prazo de 30 minutos. Gestão das infraestruturas (PG-06);
Os equipamentos devem ser protegidos contra Parcialmente
A.11.2.2. Serviços básicos Relativamente aos restantes equipamentos, não existe Políticas específicas de segurança de
interrupções de energia elétrica e outras falhas √ qualquer medida de proteção a interrupções elétricas, implementado/
de suporte informação; Plano de continuidade de
causadas pelos serviços básicos de suporte sendo uma opção de aceitação do risco, assumindo-se a aplicado
negócio (Imp-05-33)
eventualidade de acontecerem, estando definido um
plano de continuidade de negócio.

Imp-05-32_A02 Tipo de Documento: Público Pág. 8/19


Aplicabilidade
Operacionalização do Controlo/ Revisão: 02
Objetivos de Controlo Identificação do Controlo DECLARAÇÃO DE APLICABILIDADE – SGSI Estado
Evidência
Data: 2015/06/30
Sim Não Justificação

A.11.2. dano,
Prevenir a perda, furto ou A cablagem é distribuída em calhas técnicas,
Equipamento comprometimento periodicamente verificadas, com pontos de rede
interrupção
de ativos e a das A cablagem elétrica e de telecomunicações que numerados com correspondência no painel de ligação
da A.11.2.3. Segurança da transporta dados ou que suporta os serviços de Gestão das infraestruturas (PG-06) - A2 -
operações √ que está alojada no Datacenter, que é de acesso restrito Implementado
cablagem informação deve ser protegida contra interceção, Segurança Física e de Dados
organização interferência ou dano aos funcionários autorizados, que estão registados na
aplicação de controlo de acessos da
Innux.
Estão estabelecidos critérios/ requisitos para a Gestão das infraestruturas (PG-06) - A3
Os equipamentos devem ser mantidos de forma correta Implementado,
A.11.2.4. Manutenção dos realização de ações de manutenção dos equipamentos, Manutenção; Gestão da manutenção
para assegurar a sua contínua disponibilidade e √ sujeito a
equipamentos com o objetivo de manter a infraestrutura íntegra e preventiva na DV-TI (IT-06-02) e Escolas
integridade melhorias
disponível (IT-06-03)
Estão definidas as regras para remoção de
equipamentos, informação ou software para utilização
fora das instalações da CMA, assim como a forma de os
A.11.2.5. Remoção de Os equipamentos, informação ou software não devem requisitar e de assegurar a sua integridade. Os Gestão das infraestruturas (PG-06) - A2 -
√ equipamentos são requisitados pela Intranet, sendo a Segurança Física e de Dados
Implementado
ativos ser retirados das instalações sem autorização prévia
DV-TI a proceder ao controlo de entrega e receção dos
mesmos

Estão definidas as regras de gestão da segurança de


Devem ser aplicadas medidas de segurança para os equipamentos para utilização fora das instalações da
A.11.2.6. Segurança de CMA, assim como a forma de os requisitar e de
equipamentos que operem fora das instalações, tendo Gestão das infraestruturas (PG-06) - A2 -
equipamentos e ativos √ assegurar a sua integridade. Os equipamentos são Implementado
em conta os diferentes riscos decorrentes do trabalho Segurança Física e de Dados
fora das instalações requisitados pela Intranet, sendo a DV-TI a proceder ao
fora das instalações da organização controlo de entrega e receção dos mesmos

Todos os itens de equipamentos contendo suporte de


dados devem ser verificados, antes da sua eliminação Estão definidas as instruções necessárias para executar
A.11.2.7. Eliminação e
ou reutilização para assegurar que qualquer dado as tarefas de limpeza permanente de dados e Abate/ Limpeza de suportes de
reutilização seguras de
sensível e software licenciado é removido ou eliminado
√ Implementado
destruição/ abate de suportes de informação amovíveis informação amovíveis (IT-06-10)
equipamentos
através de reescrita segura (discos rígidos, pens, CD, discos USB, etc.).

Estão definidas medidas que não permitem que Políticas específicas de segurança de
A.11.2.8. Equipamento de Os utilizadores devem assegurar que os equipamentos utilizadores não autorizados acedam aos equipamentos informação - Logs, Usernames e
√ Implementado
utilizador não vigiado não vigiados têm uma proteção adequada (acesso mediante login/password) Passwords
Está definida uma política referente à acessibilidade
física a informação restrita, existente nos gabinetes/
Deve ser adotada uma política de secretária limpa de postos de trabalho. Também está definida uma regra de Políticas específicas de segurança de
A.11.2.9. Política de Implementado,
papéis e suportes de dados removíveis e uma política bloqueio automático das estações de trabalho, assim informação - Gestão de privilégios/
secretária limpa e ecrã √ como, um procedimento de bloqueio da estação de
sujeito a
de ecrã limpo para os recursos de processamento de acessos à informação - Controlo de
limpo melhorias
informação trabalho pelo utilizador, sempre que o mesmo se acesso à informação
ausente deste.

A.12. Segurança de operações

Existem circuitos pre-definidos, com especificação


A.12.1.1. Procedimentos Os procedimentos de operação devem ser
relativamente às tarefas, tempos e responsáveis, para
de operação documentados e disponibilizados a todos os √ Circuitos de obras particulares Implementado
cada procedimento de licenciamento de obras
documentados utilizadores que deles necessitem particulares.
As alterações na organização, processos de negócio,
Existem procedimentos a efetuar aquando da
A.12.1.2. Gestão de recursos de processamento de informação e nos
√ necessidade de alterações que, consoante a sua Gestão de alterações (PG-15) Implementado
alterações sistemas que afetem a segurança da informação devem
importância, podem ou não ser aplicadas.
A.12.1. Assegurar a operação
ser controladas

Imp-05-32_A02 Tipo de Documento: Público Pág. 9/19


Revisão: 02
DECLARAÇÃO DE APLICABILIDADE – SGSI
Data: 2015/06/30

Aplicabilidade
Operacionalização do Controlo/
Objetivos de Controlo Identificação do Controlo Estado
Evidência
Sim Não Justificação

Procedimentos e correta e segura dos O Plano de Capacidade é revisto anualmente, para


responsabilidades recursos de processamento A utilização dos recursos deve ser monitorizada e verificar o nível de capacidade atual, adequando o
operacionais de informação A.12.1.3. Gestão da ajustada e devem ser elaboradas projeções para os mesmo à realidade da CMA. Semestralmente, o nível de
√ capacidade é monitorizado, garantindo o cumprimento
Gestão da capacidade (PG-16) Implementado
capacidade requisitos de capacidade futura, de modo a assegurar o
desempenho dos sistemas das necessidades dos serviços.

A.12.1.4. Separação entre


Os ambientes de desenvolvimento, teste e de produção Foi criado um ambiente de testes configurado, sendo Em fase de
ambientes de
devem ser separados para reduzir os riscos de acesso √ que, neste momento, encontra-se em fase de testes/ testes/
desenvolvimento, teste e
não autorizado ou alterações no ambiente de produção implementação. implementação
de produção
Assegurar que a informação
e os recursos de Devem ser implementados controlos de deteção, Estão criadas instruções de trabalho, onde está definido
A.12.2. Proteção processamento de o controlo de antivírus e anti-spyware das aplicações
A.12.2.1. Controlos contra prevenção e recuperação para proteger contra código
contra código informação estão √ informáticas e infraestruturas tecnológicas. Existe uma Antivírus e backups (IT-05-02) Implementado
código malicioso malicioso, em conjugação com ações apropriadas de
malicioso protegidos contra código consola de gestão centralizada, gerida pela DV-TI que é
malicioso consciencialização dos utilizadores monitorizada mensalmente.

Antivírus e backups (IT-05-02); Gestão das


infraestruturas (PG-06) - A2Segurança
Devem ser efetuadas e testadas, de forma regular, as Estão criadas instruções de trabalho, onde está definido
Física e de Dados - 4. Gestão de Antivírus
A.12.3. Salvaguarda Proteger contra a perda de A.12.3.1. Salvaguarda de cópias de salvaguarda de informação, softwares e o plano de backups, bem como a periodicidade dos
√ e Anti-spyware; 5. Realização de Cópias de Implementado
de dados dados informação imagens de sistemas, conforme a política de testes aos mesmos. Os backups são efetuados numa
Segurança; 6. Reposições de dados desde
salvaguarda de informação localização remota.
as cópias de segurança

Devem ser produzidos, mantidos e revistos de forma Os eventos são registados com base no sistema de
A.12.4.1 Registos de regular os registos de eventos que contenham Gestão das infraestruturas (PG-06) - A4-
√ monitorização do Windows, utilizando o software Implementado
eventos informação sobre as atividades dos utilizadores, Monitorização e Controlo
exceções, falhas e eventos de segurança da informação SpiceWorks e o sistema de monitorização (em testes)

Os recursos de registo e as informações registadas Os eventos são registados com base no sistema de
A.12.4.2 Proteção da Gestão das infraestruturas (PG-06) - A4-
devem ser protegidas contra a adulteração e acesso não √ monitorização do Windows, utilizando o software Implementado
A.12.4 Registos de informação registada Monitorização e Controlo
Registar eventos e gerar autorizado SpiceWorks
eventos e
evidências As atividades dos administradoes e dos operadores de Os eventos são registados com base no sistema de
monitorização A.12.4.3 Registos de Gestão das infraestruturas (PG-06) - A4-
sistema devem ser protegidas contra a adulteração e √ monitorização do Windows, utilizando o software Implementado
administrador e operador Monitorização e Controlo
acesso não autorizado SpiceWorks

Os relógios de todos os sistemas relevantes de Estão definidas instruções para a sincronização do


Gestão das infraestruturas (PG-06) -
A.12.4.4 Sincronização de processamento de informação numa organização ou relógio de forma automática entre todos os servidores e
√ A1Configuração, Instalação e Acesso - 2. Implementado
relógio num dominio de segurança devem ser sincronizados, de posteriormente das estações de trabalho através de
Sincronizar relógio dos equipamentos
acordo com uma única referência horária uma única referência horária.

A.12.5 Controlo de
A.12.5.1 Instalação de Devem ser implementados procedimentos para Foi criado um ambiente de testes configurado, sendo Em fase de
software em Assegurar a integridade dos
software nos sistemas de controlar a instalação de software nos sistemas de √ que, neste momento, encontra-se em fase de testes/ testes/
sistemas de sistemas de produção
produção produção implementação. implementação
produção
A informação sobre as vulnerabilidades técnicas dos A DV-TI mantém um registo atualizada as
sistemas de informação em utilização deve ser obtida de infraestruturas existente que é monitorizada
forma atempada, a exposição da organização a estas periodicamente. Esta monitorização permite identificar Implementado,
A.12.6.1. Gestão de Gestão das infraestruturas (PG-06);
vulnerabilidades deve ser avaliada, e ser tomadas √ vulnerabilidades para posterior tratamento. Também, sujeito a
vulnerabilidades técnicas Gestão do risco (PG-14)
medidas apropriadas para endereçar os riscos na gestão e avaliaçõ de risco, as vulnerabilidades, em melhorias
associados relação à segurança da informação, são tidas em conta.
A.12.6. Gestão de
Imp-05-32_A02 Tipo de Documento: Público Pág. 10/19
Revisão: 02
DECLARAÇÃO DE APLICABILIDADE – SGSI
Data: 2015/06/30

Aplicabilidade
Operacionalização do Controlo/
Objetivos de Controlo Identificação do Controlo Estado
Evidência
Sim Não Justificação

vulnerabilidades Prevenir a exploração de Existem regras definidas, onde estão claramente


técnicas vulnerabilidades técnicas especificados quais os papéis que podem ser atribuidos
aos utilizadores. O utilizador comum não tem
Gestão das infraestruturas (PG-06) -
A.12.6.2. Restrições sobre Devem ser estabelecidas e implementadas regras sobre permissões de instalação. A instalação de outro
√ software, não incluído nos diferentes perfis definidos,
A1Configuração, Instalação e Acesso - 1. Implementado
a instalação de software a instalação de software pelos utilizadores
Instalar e configurar equipamentos
deve ser solicitada à DV-TI e previamente autorizada
pelo Presidente da CMA e pelo responsável do

A.12.7. Os requisitos e atividades de auditoria que envolvam respetivo serviço.


Considerações para Minimizar o impacto das A.12.7.1. Controlos de Existem acordos/ contratos com os fornecedores, que
verificações nos sistemas de produção devem ser Contratos com fornecedores; Cadernos de
auditorias a atividades de auditoria nos auditoria nos sistemas de √ incluem informação relativamente a este controlo. Implementado
planeados de forma cuidada e acordados para Encargos de fornecimento
sistemas de sistemas de produção informação Normalmente, estas atividades são realizadas em
informação minimizar as interrupções nos processos de negócio períodos fora do horário normal de trabalho.

A.13. Segurança de comunicações

Existem procedimentos/ regras definidos para garantir a


As redes devem ser geridas e controladas para proteger confidencialidade, integridade, disponibilidade dos Gestão das infraestruturas (PG-06) - A2-
A.13.1.1. Controlos da rede √ Implementado
a informação nos sistemas e nas aplicações dados e segurança física e dos equipamentos Segurança Física e de Dados
associados.
Assegurar a proteção da Os mecanismos de segurança, níveis de serviço e
informação nas redes e nos requisitos de gestão para todos os serviços de rede Gestão das infraestruturas (PG-06) - A1-
Os requisitos relacionados com este controlo
A.13.1. Gestão da A.13.1.2. Segurança de devem ser identificados e incluídos nos acordos para Configuração, Instalação e Acesso,
seus recursos de
serviços de rede, independentemente desses serviços
√ encontram-se definidos, garantindo a definição de Implementado
segurança da rede serviços de rede A2Segurança Física e de Dados; Políticas
processamento de mecanismos de segurança e gestão de rede.
prestados serem internos ou externos específicas de segurança de informação
informação
Existem politicas de gestão de rede onde estão definidos
Gestão das infraestruturas (PG-06);
A.13.1.3. Segregação das Os grupos de serviços de informação, utilizadores e os diferentes mecanismos de segurança utilizados. Os
√ Políticas específicas de segurança de Implementado
redes sistemas de informação devem ser segregados em redes utilizadores podem ter diferentes perfis definidos
informação
superiormente.
Gestão das infraestruturas (PG-06) - A1-
A.13.2.1. Políticas e Devem existir políticas, procedimentos e controlos
Estão definidos e implementodas mecanismos, políticas Configuração, Instalação e Acesso,
procedimentos de formais para proteger a transferência da informação
√ e regras que mantêm a rede segura contra ataques A2Segurança Física e de Dados; Políticas Implementado
transferência de através da utilização de qualquer tipo de meio de
maliciosos, sejam eles internos ou externos, através de específicas de segurança de informação
informação comunicação
firewall SonicWall, que filtra e protege as comunicações. Acessos
Existem acordos/ contratos com os fornecedores, que
A.13.2.2. Acordos sobre Os acordos devem endereçar a transferência segura de
Manter a segurança da incluem informação relativamente a este controlo, de Contratos com fornecedores; Cadernos de
transferência de informação de negócio entre a organização e entidades √ Implementado
informação transferida forma a assegurar que a transferência da informação é Encargos de fornecimento
A.13.2. informação externas
realizada de forma a mantê-la segura e íntegra
Transferência de dentro da organização e
informação para qualquer entidade Estão definidas as instruções necessárias para encriptar
externa os e-mails, por recurso à assinatura digital com Cartão
de Cidadão, de forma a assegurar as medidas
necessárias que visem garantir a integridade e
A.13.2.3. Mensagens A informação contida nas mensagens eletrónicas deve
√ confidencialidade da informação, quando se considerar Encriptação de e-mails (IT-06-11) Implementado
eletrónicas ser protegida de forma apropriada
necessário, em mensagens de correio eletrónico,
contendo o envio de informação considerada crítica/
importante para a CMA

Imp-05-32_A02 Tipo de Documento: Público Pág. 11/19


Revisão: 02
DECLARAÇÃO DE APLICABILIDADE – SGSI
Data: 2015/06/30

Devem ser identificados, revistos regularmente e


Existem acordos/ contratos com os fornecedores, que
A.13.2.4. Acordos de documentados os requisitos para acordos de
incluem informação relativamente a este controlo, de Contratos com fornecedores; Cadernos de
confidencialidade ou de confidencialidade ou de não divulgação que reflitam as √ Implementado
forma a assegurar que a confidencialidade (ou não Encargos de fornecimento
não divulgação necessidades da organização para proteção da
divulgação) da informação da CMA.
Prevenir a exploração de informação

Aplicabilidade
Operacionalização do Controlo/
Objetivos de Controlo Identificação do Controlo Estado
Evidência
Sim Não Justificação

A.14. Aquisição, desenvolvimento e manutenção de sistemas

Quando procedemos à realização de aquisições de


Os requisitos relacionados com a segurança da
A.14.1.1. Especificação e equipamentos, temos sempre em conta que as
informação devem ser incluídos nos requisitos para Aquisição de bens e serviços/ Armazéns e
análise de requisitos de √ características dos mesmos respondam a requisitos de Implementado
novos sistemas de informação ou para melhorias nos materiais (PG-04); Caderno de Encargos
segurança da informação segurança atuais, mesmo quando se trate de melhorias
sistemas de informação existentes
aos já existentes
Estão implementados mecanismos de SSL, ou seja, o
acesso aos serviços é efetuado mediante um protocolo
Assegurar que a segurança
de segurança que garante a proteção de toda a
da informação é uma parte A.14.1.2. Proteger serviços A informação envolvida em serviços aplicacionais Gestão das infraestruturas (PG-06) - A2
informação que neles circula, evitando assim atividades
integrante dos sistemas de transmitida nas redes públicas deve ser protegida contra Segurança Física e de Dados - 10.
aplicacionais nas redes √ fraudulentas, etc.. Este mecanismo está implementado Implementado
A.14.1. Requisitos informações ao longo de atividades fraudulentas, disputas contratuais e Mecanismo/ Protocolo de segurança na
públicas internamente para o acesso às aplicações MEDIDATA via
de segurança de todo o seu ciclo de vida. Isto divulgação e modificação não autorizadas publicação de sites da CMA
web (SagaWeb e SigmaDocWeb), serviços online e site
sistemas de inclui também os requisitos
municipal.
informação para sistemas de
informação que prestam
serviços através de redes Estão implementados mecanismos de SSL, ou seja, o
públicas acesso aos serviços é efetuado mediante um protocolo
A informação envolvida nas transações de serviços de segurança que garante a proteção de toda a
Gestão das infraestruturas (PG-06) - A2
A.14.1.3. Proteger aplicacionais deve ser protegida para prevenir a informação que neles circula, evitando assim atividades
Segurança Física e de Dados - 10.
transações de serviços transmissão incompleta, encaminhamento incorreto, √ fraudulentas, etc.. Este mecanismo está implementado Implementado
Mecanismo/ Protocolo de segurança na
aplicacionais alteração não autorizada, divulgação não autorizada, internamente para o acesso às aplicações MEDIDATA via
publicação de sites da CMA
duplicação ou repetição não autorizada da mensagem web (SagaWeb e SigmaDocWeb), serviços online e site
municipal.

Devem ser estabelecidas regras para o desenvolvimento Foi criado um ambiente de testes configurado, sendo Em fase de
A.14.2.1. Política de
de software e de sistemas e aplicadas ao √ que, neste momento, encontra-se em fase de testes/ testes/
desenvolvimento seguro
desenvolvimento realizado na organização implementação. implementação

Está definido o procedimento a seguir para gerir todas


as alterações, através de um processo global de controlo
e aprovação, de forma a assegurar que os ambientes de
As alterações aos sistemas no ciclo de vida do TI permanecem alinhados com os requisitos do serviço,
A.14.2.2. Procedimentos Implementado,
desenvolvimento devem ser controladas através da minimizando o impacto dos incidentes relacionados
de controlo de alterações √ com alterações não autorizadas ou coordenadas sobre a
Gestão de alterações (PG-15) sujeito a
utilização de procedimentos formais de controlo de
aos sistemas melhorias
alterações qualidade do serviço e, consequentemente, melhorar as
operações diárias da CMA.

Imp-05-32_A02 Tipo de Documento: Público Pág. 12/19


Revisão: 02
DECLARAÇÃO DE APLICABILIDADE – SGSI
Data: 2015/06/30

Está definido o procedimento a seguir para gerir todas


as alterações, através de um processo global de controlo
e aprovação, de forma a assegurar que os ambientes de
Quando as plataformas de produção são alteradas, as
A.14.2.3. Revisão técnica TI permanecem alinhados com os requisitos do serviço,
aplicações críticas de negócios devem ser revistas e Implementado,
das aplicações após minimizando o impacto dos incidentes relacionados
testadas para assegurar que não há nenhum impacto √ com alterações não autorizadas ou coordenadas sobre a
Gestão de alterações (PG-15) sujeito a
alterações na plataforma
adverso sobre as operações ou segurança da melhorias
de produção qualidade do serviço e, consequentemente, melhorar as
organização
operações diárias da CMA.

Aplicabilidade
Operacionalização do Controlo/
Objetivos de Controlo Identificação do Controlo Estado
Evidência
Sim Não Justificação

A.14.2. Segurança Assegurar que a segurança Está definido o procedimento a seguir para gerir todas
no desenvolvimento da informação é concebida as alterações, através de um processo global de controlo
e nos processos de e implementada no âmbito e aprovação, de forma a assegurar que os ambientes de
suporte do ciclo de vida do A.14.2.4. Restrições sobre As alterações nos pacotes de software devem ser TI permanecem alinhados com os requisitos do serviço,
Implementado,
minimizando o impacto dos incidentes relacionados
desenvolvimento de alterações em pacotes de desencorajadas, limitadas às mudanças necessárias e √ com alterações não autorizadas ou coordenadas sobre a
Gestão de alterações (PG-15) sujeito a
sistemas de informação software todas as alterações devem ser estritamente controladas melhorias
qualidade do serviço e, consequentemente, melhorar as
operações diárias da CMA.

Está definido o procedimento a seguir para gerir todas


as alterações, através de um processo global de controlo
e aprovação, de forma a assegurar que os ambientes de
TI permanecem alinhados com os requisitos do serviço,
Devem ser estabelecidos, documentados, mantidos e
A.14.2.5. Princípios de minimizando o impacto dos incidentes relacionados Implementado,
aplicados princípios de engenharia de sistemas seguros
engenharia de sistemas √ com alterações não autorizadas ou coordenadas sobre a Gestão de alterações (PG-15) sujeito a
para todas as iniciativas de implementação de sistemas
seguros qualidade do serviço e, consequentemente, melhorar as melhorias
de informação
operações diárias da CMA. Estas alterações/
atualizações são registadas na aplicação de suporte à
DV-TI.

As organizações devem estabelecer e proteger, de


forma apropriada, ambientes de desenvolvimento Foi criado um ambiente de testes configurado, sendo Em fase de
A.14.2.6. Ambiente de seguro para as iniciativas de desenvolvimento e
√ que, neste momento, encontra-se em fase de testes/ testes/
desenvolvimento seguro integração de sistemas, que abranjam todo o ciclo de
implementação. implementação
vida do desenvolvimento de sistemas

Todos os fornecedores têm um contrato com a CMA,


que determina os requisitos a seguir/ cumprir, neste
A organização deve supervisionar e monitorizar a caso, para o desenvolvimento de sistemas. Este
A.14.2.7. Desenvolvimento Contratos com fornecedores; Cadernos de
atividade subcontratada de desenvolvimento de √ desenvolvimento é acompanhado pela DV-TI, pelo Implementado
subcontratado Encargos de fornecimento
sistemas acompanhamento do cumprimento do contrato e
caderno de encargos específico para o serviço
subcontratado
Foi criado um ambiente de testes configurado, sendo Em fase de
A.14.2.8. Testes de Devem ser realizados testes das funcionalidades de
√ que, neste momento, encontra-se em fase de testes/ testes/
segurança de sistemas segurança durante o desenvolvimento
implementação. implementação

Imp-05-32_A02 Tipo de Documento: Público Pág. 13/19


Revisão: 02
DECLARAÇÃO DE APLICABILIDADE – SGSI
Data: 2015/06/30

Devem ser estabelecidos programas de testes de Foi criado um ambiente de testes configurado, sendo Em fase de
A.14.2.9. Testes de
aceitação e respetivos critérios de aceitação para novos √ que, neste momento, encontra-se em fase de testes/ testes/
aceitação de sistemas
sistemas de informação, atualizações e novas versões implementação. implementação

Existem instruções que definem o manuseamento dos


dados de teste, por forma a manter a sua integridade
bem com a integridade dos dados originais. Os testes
Em fase de
A.14.3. Dados de Assegurar a proteção dos A.14.3.1. Proteção de Os dados de teste devem ser selecionados efetuados aos dados ficam registados na aplicação de
√ suporte à DV-TI. Foi criado um ambiente de testes
testes/
teste dados usados para testes dados de teste cuidadosamente, protegidos e controlados
configurado, sendo que, neste momento, encontra-se implementação
em fase de testes/ implementação.

A.15. Relações com fornecedores

Imp-05-32_A02 Tipo de Documento: Público Pág. 14/19


Revisão: 02
DECLARAÇÃO DE APLICABILIDADE – SGSI
Data: 2015/06/30

Aplicabilidade
Operacionalização do Controlo/
Objetivos de Controlo Identificação do Controlo Estado
Evidência
Sim Não Justificação

Existem acordos/ contratos e cadernos de encargo com


A.15.1.1. Política de Os requisitos de segurança da informação para a os fornecedores, que incluem informação relativamente Aquisição de bens e serviços/ Armazéns e
segurança da informação mitigação dos riscos associados ao acesso de aos requisitos de segurança da informação. Também materiais (PG-04); Contratos; Caderno de
√ existem políticas no que diz respeito ao acesso à
Implementado
para as relações com fornecedores aos ativos da organização devem ser Encargos; Políticas específicas de
fornecedores acordados com os fornecedores e documentados informação e a locais seguros. segurança de informação - Acessos

Todos os requisitos de segurança da informação Existem acordos/ contratos e cadernos de encargo com
A.15.1. Segurança Assegurar a proteção dos relevantes devem ser estabelecidos e acordados com os fornecedores, que incluem informação relativamente Aquisição de bens e serviços/ Armazéns e
A.15.1.2. Endereçar a
da informação nas ativos da organização que aos requisitos de segurança da informação. Também materiais (PG-04); Contratos; Caderno de
segurança nos acordos com cada fornecedor que possa aceder, processar, √ Implementado
relações com os estão acessíveis aos armazenar, comunicar ou fornecer componentes de existem políticas no que diz respeito ao acesso à Encargos; Políticas específicas de
os fornecedores
fornecedores fornecedores informação e a locais seguros. segurança de informação - Acessos
infraestrutura de TI para a informação da organização

Os acordos com os fornecedores devem incluir Existem acordos/ contratos e cadernos de encargo com
A.15.1.3. Cadeia de requisitos para endereçar os riscos de segurança da os fornecedores, que incluem informação relativamente Aquisição de bens e serviços/ Armazéns e
fornecimento de informação associados aos serviços de tecnologias da aos requisitos de segurança da informação. Também materiais (PG-04); Contratos; Caderno de
informação e comunicação e à cadeia de fornecimento
√ existem políticas no que diz respeito ao acesso à
Implementado
tecnologias de informação Encargos; Políticas específicas de
e comunicação de produtos informação e a locais seguros. segurança de informação - Acessos

Existem a prática de verificação/ monitorização dos


serviços prestados pelos nossos fornecedores, quer seja
A.15.2.1. Monitorizar e As organizações devem, de forma regular, monitorizar, no momento da entrega, como no decurso do serviço. É
Aquisição de bens e serviços/ Armazéns e
rever serviços de rever e auditar a disponibilização de serviços pelos √ também efetuada uma avaliação dos fornecedores, Implementado
materiais (PG-04)
fornecedores fornecedores tendo em conta o cumprimento dos requisitos
estabelecidos inicialmente.
Manter o nível acordado de
A.15.2. Gestão da segurança da informação e Existe um procedimento documentado para gerir todas
entrega de serviços de disponibilização de As alterações ao fornecimento dos serviços pelos as alterações, através de um processo global de controlo
pelos fornecedores serviços, alinhado com os e aprovação, de forma a assegurar que os ambientes de
fornecedores, incluindo a manutenção e melhoria das
acordos com fornecedores TI permanecem alinhados com os requisitos do serviço,
A.15.2.2. Gerir alterações políticas de segurança da informação, dos Implementado,
minimizando o impacto dos incidentes relacionados
aos serviços de procedimentos e controlos existentes, devem ser √ com alterações não autorizadas ou coordenadas sobre a
Gestão de alterações (PG-15) sujeito a
fornecedores geridas, tendo em consideração a criticidade da melhorias
qualidade do serviço e, consequentemente, melhorar as
informação, dos sistemas e dos processos de negócio operações diárias da CMA.
envolvidos e a reavaliação dos riscos

A.16. Gestão de incidentes de segurança da informação

Devem ser estabelecidos procedimentos e


A.16.1.1. Está definido um procedimento para assegurar a gestão Manual do SG (3.4. NC/ Evento/
responsabilidades de gestão para assegurar uma
Responsabilidades e √ (registo e tratamento) dos incidentes de segurança da Incidentes e melhoria contínua); Gestão Implementado
resposta célere, eficaz e ordenada aos incidentes de
procedimentos informação, e respetivas responsabilidades. de problemas (PG-18)
segurança da informação
Existe uma aplicação GLPI, onde ficam registados todos
os eventos e incidentes de segurança da informação. A Manual do SG (3.4. NC/ Evento/
A.16.1.2. Reportar eventos Os eventos de segurança da informação devem ser
forma como os utilizadores podem reportá-los é por Incidentes e melhoria contínua); Registo
de segurança da reportados através dos canais de gestão apropriados, o √ mail (para suporte.informático), ou pelo preenchimento
Implementado
de Incidente (Imp-08-02); Gestão de
informação mais rapidamente possível
do Registo de Incidente, existente para problemas (PG-18)

o efeito.

Operacionalização do Controlo/
Objetivos de Controlo Identificação do Controlo Aplicabilidade Estado
Evidência
Imp-05-32_A02 Tipo de Documento: Público Pág. 15/19
Revisão: 02
DECLARAÇÃO DE APLICABILIDADE – SGSI
Data: 2015/06/30

Sim Não Justificação

A.16.1. Gestão de Assegurar uma abordagem


incidentes de consistente e eficaz à Existe uma aplicação GLPI, onde ficam registados todos
segurança da gestão de incidentes de os eventos e incidentes de segurança da informação. A
segurança da informação, Os colaboradores e os prestadores de serviço que forma como os utilizadores podem reportá-los é por
informação e Manual do SG (3.4. NC/ Evento/
melhorias incluindo a comunicação de A.16.1.3. Reportar pontos utilizam os serviços e os sistemas de informação da mail (para suporte.informático), ou pelo preenchimento Incidentes e melhoria contínua); Registo
eventos e pontos fracos de fracos de segurança da organização devem ser instruídos a detetar e reportar √ do Registo de Incidente, existente para o efeito. Todos Implementado
segurança de Incidente (Imp-08-02); Intranet;
informação qualquer ponto fraco de segurança da informação, os colaboradores têm conhecimento sobre este
sprocedimentos, tendo sido informados da sua criação, Gestão de problemas (PG-18)
observado ou suspeito, nos sistemas ou serviços
assim como, a respetiva divulgação/ acessibilidade
através da Intranet da CMA.

Está definido um procedimento para assegurar a gestão


Os eventos de segurança da informação devem ser (registo e tratamento) dos incidentes de segurança da
A.16.1.4. Avaliação e Manual do SG (3.4. NC/ Evento/
avaliados e deve ser decidido se os mesmos serão informação, e respetivas responsabilidades, onde está
decisão sobre eventos de √ definida a forma de classificação dos eventos como
Incidentes e melhoria contínua); Gestão Implementado
classificados como incidentes de segurança da
segurança da informação de problemas (PG-18)
informação incidentes efetivos.

Está definido um procedimento para assegurar a gestão Manual do SG (3.4. NC/ Evento/
A.16.1.5. Resposta a Os incidentes de segurança da informação devem ser
(registo e tratamento) dos incidentes de segurança da Incidentes e melhoria contínua); Registo
incidentes de segurança da respondidos de acordo com os procedimentos √ Implementado
informação, e respetivas responsabilidades, incluindo a de Incidente (Imp-08-02); Gestão de
informação documentados
resposta aos incidentes detetados/ registados. problemas (PG-18)

Os incidentes de segurança que se verificaram, servem


O conhecimento obtido através da análise e resolução de conhecimento para situações futuras, porque,
Manual do SG (3.4. NC/ Evento/
A.16.1.6. Aprender com os quando se verificarem novos incidentes de segurança,
de incidentes de segurança da informação deve ser Incidentes e melhoria contínua); Registo
incidentes de segurança da √ proceder-se-á à consulta dos registos de incidentes de Implementado
empregue de forma a reduzir a probabilidade ou o de Incidente (Imp-08-02); Gestão de
informação segurança anteriores, de forma a perceber de imediato
impacto de futuros incidentes problemas (PG-18)
qual a solução que foi tomada anteriormente.

A organização deve definir e aplicar procedimentos para Está definido um procedimento para assegurar a gestão Manual do SG (3.4. NC/ Evento/
A.16.1.7. Recolha de (registo e tratamento) dos incidentes de segurança da Incidentes e melhoria contínua); Registo
identificação, recolha e preservação da √ Implementado
evidências informação, e respetivas responsabilidades, incluindo a de Incidente (Imp-08-02); Gestão de
informação, que possa servir como evidência resposta aos incidentes detetados/ registados. problemas (PG-18)

A.17. Aspetos de segurança da informação na gestão da continuidade do negócio

Está definido um procedimento para garantir que a


infraestrutura de Tecnologias de Informação e os
serviços da CMA são recuperados dentro dos períodos
de tempo acordados, quando se verificar a perda/ Gestão da continuidade (PG-19) - Ponto 1;
A.17.1.1. Planeamento da A organização deve determinar os seus requisitos de Plano de Continuidade de Negócio (Imp- Implementado,
interrupção de serviço, onde são planeadas/ definidas
continuidade de negócio segurança da informação e a continuidade da gestão de
√ as fases do plano de continuidade de negócio. A análise 05-33); Plano de Recuperação de sujeito a
de segurança da segurança da informação em situações adversas, por
dos cenários de risco, na avaliação do risco, permitem Desastres (DRP) (Imp-05-33); Gestão e melhorias
informação exemplo durante uma crise ou um desastre
definir controlos para os mesmos, ao mesmo tempo que avaliação do risco (PG-14)
pode identificar cenários que poderão representar um
potencial desastre.

Operacionalização do Controlo/
Objetivos de Controlo Identificação do Controlo Aplicabilidade Estado
Evidência

Imp-05-32_A02 Tipo de Documento: Público Pág. 16/19


Revisão: 02
DECLARAÇÃO DE APLICABILIDADE – SGSI
Data: 2015/06/30

Sim Não Justificação

A.17.1. A continuidade de Está definido um Plano de Continuidade e respetivo


Continuidade de segurança da informação Plano de Recuperação (testado). Está definido um
segurança da deve ser contemplada nos procedimento para garantir que a infraestrutura de
informação sistemas de gestão da Tecnologias de Informação e os serviços da CMA são
continuidade do negócio da A organização deve estabelecer, documentar, recuperados dentro dos períodos de tempo acordados, Gestão da continuidade (PG-19) - Ponto 1;
organização A.17.1.2. Implementação implementar e manter processos, procedimentos e quando se verificar a perda/ interrupção de serviço, Plano de Continuidade de Negócio (Imp- Implementado,
da continuidade de controlos para assegurar o nível requerido de √ onde são planeadas/ definidas as fases do plano de 05-33); Plano de Recuperação de sujeito a
segurança da informação continuidade para a segurança da informação durante continuidade de negócio. A análise dos cenários de Desastres (DRP) (Imp-05-33); Gestão e melhorias
uma situação adversa risco, na avaliação do risco, permitem definir controlos avaliação do risco (PG-14)
para os mesmos, ao mesmo tempo que pode identificar
cenários que poderão representar um potencial
desastre.

Estão definidaa as regras para a realização da revisão da


continuidade, sendo que o plano de continuidade é
revisto quando não estiver alinhado com os objetivos da
A organização deve verificar os controlos de CMA, pelo menos, uma vez por ano, de forma a garantir
que todos os requisitos cumprem o acordado em todas
A.17.1.3. Verificar, rever e continuidade de segurança da informação estabelecidos Implementado,
as circunstâncias, inclusive numa grande perda de
avaliar a continuidade de e implementados em intervalos regulares, para √ serviço. O plano é testado, com uma periodicidade
Gestão da continuidade (PG-19) sujeito a
segurança da informação assegurar que estes são válidos e melhorias
específica (pelo menos, anual), seguindo um
eficazes em situações adversas cronograma de ações, definido no próprio plano, tendo
em conta as ações a realizar para cada situação
potencial.

Assegurar a disponibilidade A.17.2.1. Disponibilidade Existe redundância a nível dos servidores (tanto a nível
Os recursos de processamento da informação devem
A.17.2. dos recursos de dos recursos de do equipamento, como a nível dos serviços existentes
ser implementados com a redundância necessária para √ Gestão da disponibilidade (PG-17) Implementado
Redundâncias processamento da processamento da nos servidores), de forma a garantir a disponibilidade do
cumprir os requisitos de disponibilidade
informação informação serviço

A.18. Conformidade

A CMA assegura o controlo da legislação, regulamentos


e normas aplicáveis à sua atividade. Em relação à
legislação e, tendo em conta os sumários do Diário da
Todos os requisitos legais, estatutários, regulamentares, República eletrónico, o DV-AF informa os
contratuais relevantes, bem como a abordagem da colaboradores, por e-mail, das novas/ alterações
Manual do SG - 3.2.Gestão e controlo da
A.18.1.1. Identificação da legislações aplicáveis aos serviços. Cada colaborador
organização para cumprir esses requisitos devem ser informação documentada - Pontos 11 e
legislação aplicável e de √ poderá também informar quando da entrada em Implementado
identificados explicitamente, documentados e mantidos 12; Lista de legislação, regulamentação e
requisitos contratuais vigor/revogação de legislação aplicável, sendo o GSG a
atualizados, para cada normas aplicáveis (Imp-05-16)
atualizar a lista de legislação.
sistema de informação e para a organização
Toda a documentação externa, relacionada com
legislação, normas e regulamentos ou outros
documentos aplicáveis aos serviços, é arquivada pelo
DV-AF/ serviço respetivo.

Aplicabilidade
Operacionalização do Controlo/
Objetivos de Controlo Identificação do Controlo Estado
Evidência
Sim Não Justificação

Imp-05-32_A02 Tipo de Documento: Público Pág. 17/19


Revisão: 02
DECLARAÇÃO DE APLICABILIDADE – SGSI
Data: 2015/06/30

A.18.1. Evitar violações de


Conformidade com Ao efetuar o controlo da legislação, regulamentos e
obrigações legais,
requisitos legais e normas aplicáveis à sua atividade, a CMA está a garantir
estatutárias,
contratuais que é do conhecimento de todos, a informação
regulamentares ou
contratuais relacionadas relacionada com a legislação nova/ alterações aplicáveis
Devem ser implementados procedimentos apropriados
com a segurança da aos serviços, em qualquer nível. Cada colaborador Manual do SG - 3.2.Gestão e controlo da
para assegurar a conformidade com os requisitos legais,
informação e de quaisquer A.18.1.2. Direitos de poderá também informar quando da entrada em informação documentada - Pontos 11 e
regulamentares e contratuais relativos aos direitos de √ Implementado
requisitos de segurança propriedade intelectual vigor/revogação de legislação aplicável, sendo o GSG a 12; Lista de legislação, regulamentação e
propriedade intelectual e à utilização de produtos de
atualizar a lista de legislação. normas aplicáveis (Imp-05-16)
software proprietário
Toda a documentação externa, relacionada com
legislação, normas e regulamentos ou outros
documentos aplicáveis aos serviços, é arquivada pelo
DV-AF/ serviço respetivo.

A CMA assegura a proteção dos registos produzidos,


existindo um procedimento de controlo dos mesmos.
Compete aos responsáveis pela emissão dos registos do
SG, mantê-los em adequado estado de identificação,
Manual do SG - 3.2.Gestão e controlo da
indexação e conservação, sendo da responsabilidade do
informação documentada - Pontos 8 e 9;
Os registos devem ser protegidos contra a perda, Arquivo o controlo dos registos após o prazo de Mapa de registos (Imp-05-05); Controlo de
A.18.1.3. Proteção de eliminação, falsificação, acesso não autorizado e conservação administrativa.
√ Anti-Virus e Backup's (T-05-02); Avaliação, Implementado
registos divulgação não autorizada, de acordo com os requisitos
Os registos sujeitos a controlo, prazo de conservação seleção e eliminação de documentos (IT-
legais, regulamentares, contratuais e de negócio
administrativa, prazo e método de eliminação, estão 05-04); Remessa de documentos para o
definidos na legislação do regulamento arquivístico para Arquivo Municipal (IT05-05)
as Autarquias. Os registos que existem apenas em
suporte digital, mantêm-se em arquivo digital
(informação residente no SI) e sujeitos a backups. Os
restantes estão resumidos no Mapa de Registos.

A CMA assegura a proteção e privacidade dos dados


pessoas, conforme estabelecido na legislação e
regulamentação aplicável, seguindo o definido no Manual do SG - 3.2.Gestão e controlo da
A.18.1.4. Privacidade e A privacidade e a proteção de dados pessoais devem ser procedimento implementado de controlo da legislação informação documentada - Pontos 11 e
proteção de dados asseguradas conforme estabelecido pela legislação e √ aplicável/ alterações.
Implementado
12; Lista de legislação, regulamentação e
pessoais regulamentação relevante, onde aplicável
Os processos individuais dos colaboradores são normas aplicáveis (Imp-05-16)
mantidos seguros, com controlo de acessos, por se
considerarem confidenciais, à luz da legislação em
vigor.
Estão definidas as instruções necessárias para encriptar Parcialmente
os e-mails, por recurso à assinatura digital com Cartão implementado/
Os controlos criptográficos devem ser utilizados em de Cidadão, de forma a assegurar as medidas aplicado apenas
A.18.1.5. Regulamentação
conformidade com todos os acordos, leis e √ necessárias que visem garantir a integridade e Encriptação de e-mails (IT-06-11) alguns
de controlos criptográficos
regulamentos relevantes confidencialidade da informação, quando se considerar colaboradores
necessário, em mensagens de correio eletrónico, ainda aplicaram
contendo o envio de informação considerada crítica/ este controlo)
importante para a CMA

Imp-05-32_A02 Tipo de Documento: Público Pág. 18/19


Revisão: 02
DECLARAÇÃO DE APLICABILIDADE – SGSI
Data: 2015/06/30

Aplicabilidade
Operacionalização do Controlo/
Objetivos de Controlo Identificação do Controlo Estado
Evidência
Sim Não Justificação

Está definido um procedimento de revisão do SG, de


forma a assegurar que a legislação aplicável às
A abordagem da organização para gerir a segurança da atividades da CMA, bem como as orientações dos
informação e a sua implementação (ou seja, objetivos Planeamento e revisão do SG (PG-01);
órgãos municipais, são analisadas garantindo a
A.18.2.1. Revisão de controlo, controlos, políticas, processos e Gestão e avaliação do risco (PG-14);
satisfação das disposições legais aplicáveis e as
independente de procedimentos de segurança da informação) devem ser √ Gestão da capacidade (PG-16); Gestão da Implementado
necessidades e expectativas dos munícipes. De igual
segurança da informação revistos de forma independente, em intervalos disponibilidade (PG-17); Gestão da
planeados ou quando ocorrerem alterações modo, está identificada uma revisão da análise e gestão
continuidade (PG-19)
significativas de riscos, com uma periodicidade anual, assim como os
planos do SGSI (Disponibilidade, Capacidade,
Assegurar que a segurança Continuidade)
da informação é Está definido um procedimento que descreve o modo de
A.18.2. Revisões de efetuar o planeamento e realização de auditorias
implementada e operada de Os gestores devem rever regularmente a conformidade
segurança da internas ao SG, assim como a tomada de decisão face
acordo com as políticas e A.18.2.2. Conformidade do processamento da informação e dos procedimentos Implementado,
informação aos resultados, de modo a verificar a sua
procedimentos com as políticas e normas dentro da sua área de responsabilidade com as políticas √ adequabilidade, grau de implementação e eficácia,
Manual do SG - 3.3.Auditoria Interna sujeito a
organizacionais de segurança de segurança, normas e quaisquer outros requisitos de melhorias
identificar e planear as ações necessárias e,
segurança apropriados
posteriormente, verificar a realização e eficácia das

mesmas.
Está definido um procedimento que descreve o modo de
Os sistemas de informação devem ser revistos efetuar o planeamento e realização de auditorias
Implementado,
A.18.2.3. Revisão da regularmente quanto à sua conformidade com as internas ao SG, assim como a tomada de decisão face
√ aos resultados, de modo a verificar a sua
Manual do SG - 3.3.Auditoria Interna sujeito a
conformidade técnica políticas e normas de segurança da informação da
melhorias
organização adequabilidade, grau de implementação e eficácia,
identificar e planear as ações necessárias e,
posteriormente, verificar a realização e eficácia das
mesmas
.

Imp-05-32_A02 Tipo de Documento: Público Pág. 19/19