DNP TS 4577-1 - 2021 - Maturidade Digital - Selo Digital

DNP TS DNP TS 4577-1
2021
Documento Normativo Português – Especificação Técnica
Maturidade digital – Selo digital

Parte 1: Cibersegurança
Requisitos
Maturité digitale – Sceau digitale

Partie 1: Cybersécurité
Exigences
Digital maturity – Digital stamp

Part 1: Cybersecurity
Requirements
ICS APROVAÇÃO
35.030 Termo de Aprovação nº 18/2021, de 2021-12-21
O presente documento resulta da revisão do
DNP TS 4577-1:2021
CORRESPONDÊNCIA ELABORAÇÃO
CTA 41 (IPQ)
CÓDIGO DE PREÇO 2ª EDIÇÃO

X011 2021-12-21
© IPQ reprodução proibida
Rua António Gião, 2

2829-513 CAPARICA PORTUGAL
Tel. + 351-212 948 100 Fax + 351-212 948 101

E-mail: ipq@ipq.pt Internet: www.ipq.pt
Aviso: Documento com direitos de propriedade
As normas e os documentos normativos são documentos abrangidos por direitos de Propriedade Intelectual a qual
inclui a Propriedade Industrial, Direitos de Autor e Direitos Conexos. É proibida e punida, nos termos da legislação
aplicável, a sua reprodução, utilização, distribuição ou divulgação pública, de qualquer parte deste documento, em
qualquer formato, eletrónico ou mecânico, incluindo fotocópia ou colocação na internet ou numa intranet, sem
autorização prévia escrita. A autorização deve ser requerida ao Instituto Português da Qualidade enquanto
Organismo Nacional de Normalização.
DNP TS 4577-1
2021
p. 3 de 42
Sumário Página
Preâmbulo ...................................................................................................................................................................4
Introdução ...................................................................................................................................................................6
1 Objetivo e campo de aplicação .........................................................................................................................8
2 Referências normativas ......................................................................................................................................8
3 Termos e definições..............................................................................................................................................8
4 Requisitos.................................................................................................................................................................9
4.1 Generalidades........................................................................................................................................................................ 9
4.2 Níveis de certificação .......................................................................................................................................................10
5 Esquema de certificação .................................................................................................................................. 11
5.1 Generalidades......................................................................................................................................................................11
5.2 Tipo e âmbito do esquema de certificação ..............................................................................................................12
6 Processo de certificação................................................................................................................................... 12
6.1 Atividades prévias à certificação.................................................................................................................................12
6.2 Avaliação ...............................................................................................................................................................................13
6.3 Decisão de concessão da certificação ........................................................................................................................15
6.4 Certificado de conformidade e uso da marca de certificação ..........................................................................15
6.5 Manutenção da certificação ...........................................................................................................................................16
6.6 Renovação da certificação..............................................................................................................................................17
6.7 Alteração do âmbito de certificação ..........................................................................................................................17
6.8 Sanções ..................................................................................................................................................................................17
6.9 Suspensão ou anulação voluntárias da certificação ............................................................................................18
6.10 Transferência da certificação .....................................................................................................................................18
6.11 Reclamações e recursos ...............................................................................................................................................20
6.12 Dever de comunicação ao organismo de certificação ......................................................................................20
6.13 Condições financeiras ...................................................................................................................................................21
6.14 Manutenção dos registos .............................................................................................................................................21
6.15 Segurança da informação ............................................................................................................................................21
Anexo A (normativo) Requisitos – Medidas de cibersegurança ............................................................. 22
Anexo B (normativo) Elementos a disponibilizar pela organização ao organismo de
certificação ............................................................................................................................................................... 37
Anexo C (informativo) Correspondência entre outros documentos nacionais e as medidas de
cibersegurança estabelecidas no presente documento ........................................................................... 39
Bibliografia............................................................................................................................................................... 41

DNP TS 4577-1
2021
p. 4 de 42
Preâmbulo
O presente documento é a 2ª edição do DNP TS 4577-1:2021 e anula e substitui a sua 1ª edição.
Com a implementação do presente documento pelas organizações e na sequência da realização de
auditorias pelas Equipas Auditoras foram detetados alguns pormenores que necessitavam de correção
e outros que se considerou necessitarem de alteração cujo objetivo visa especificar melhor algumas
medidas e clarificar os procedimentos de implementação respetivos. Deste modo, considerou-se
necessário proceder a uma revisão à 1ª edição, nomeadamente no Anexo A, para incluir:
− na medida com a referência O.ID-1 foi melhorada a descrição relativa às evidências a disponibilizar à
Equipa Auditora;
− na medida com a referência O.IAC foi alterada a designação da medida e melhorada a descrição relativa
às evidências a disponibilizar à Equipa Auditora na medida com a referência O.IAC-1;
− na medida com a referência T.PPI-1 foi melhorada a descrição relativa à medida;
− na medida com a referência T.CWC-2 foi corrigido, nas evidências o nível de certificação que por lapso
mencionava prata quando deve mencionar bronze;
− na medida com a referência T.CWC-3 foi corrigido, nas evidências os níveis de certificação que por
lapso mencionavam prata e ouro quando deve mencionar bronze e prata.
No quadro da Presidência Portuguesa da União Europeia foi lançado um Projeto cujo objetivo final é
fomentar o aumento da maturidade digital das organizações portuguesas.
Para tal considerou-se ser relevante a definição de um conjunto de requisitos em quatro áreas de
atuação distintas: cibersegurança, privacidade e proteção de dados, sustentabilidade e acessibilidade,
para que as organizações possam implementar e evidenciar o cumprimento das melhores práticas
nestas áreas.
O presente documento pode ser utilizado para fins de certificação como demonstração ao mercado da
atestação, por um organismo de terceira parte, do cumprimento dos requisitos especificados no
presente documento, bem como da legislação aplicável.
Pretende-se com a certificação reforçar a diferenciação, a credibilidade e a competitividade das
organizações portuguesas. A certificação representa ainda um investimento em cibersegurança propício
à prevenção de custos e à geração de potenciais retornos.
A certificação em cibersegurança assume como diretriz o quadro de referência nacional em
cibersegurança, respeitando os princípios definidos pela Comissão Europeia nesta matéria.
Para uma maior confiança na avaliação da conformidade por organismos de certificação, torna-se
necessário que esta certificação se realize por organismo de certificação acreditado para o presente
esquema de certificação.
O DNP TS 4577, Maturidade Digital - Selo digital é composto pelas seguintes partes:
Parte 1 Cibersegurança - Requisitos
Parte 2 Privacidade e proteção de dados – Requisitos
Parte 3 Sustentabilidade – Requisitos
Parte 4 Acessibilidade – Requisitos

DNP TS 4577-1
2021
p. 5 de 42
O presente documento foi elaborado pela Comissão Técnica de Normalização ad hoc CTA 041 «Selos
digitais», cuja coordenação é assegurada pelo Organismo Nacional de Normalização, Instituto Português
da Qualidade (ONN/IPQ).
A Comissão Técnica de Normalização ad hoc CTA 041 «Selos digitais» reuniu um significativo painel de
peritos no âmbito das quatro dimensões a trabalhar. Relativamente ao presente documento, destaca-se
a participação relevante do Centro Nacional de Cibersegurança (CNCS) que coordenou a definição dos
requisitos de cibersegurança constantes neste documento normativo.

DNP TS 4577-1
2021
p. 6 de 42
Introdução
A necessidade de adaptação constante dos modelos de negócio passou a fazer parte do dia-a-dia e deve
ser encarada como algo natural. Desta forma, podemos dizer que a transformação digital é uma
realidade inevitável, obrigando as organizações a entrarem no meio digital, não apenas devido à
competitividade, mas como condição essencial para permanecer no mercado. A transformação digital
está a avançar, independentemente do segmento de mercado, afetando todas as organizações de modo
transversal.
A transformação digital representa uma oportunidade para as organizações se tornarem mais
competitivas no mercado, mais eficazes e eficientes na análise de dados e mais próximas na forma como
se relacionam com o cliente.
Um dos alicerces fundamentais numa estratégia digital de sucesso de uma organização,
independentemente da sua dimensão e do seu negócio, tem de ser a cibersegurança. A transformação
digital é um assunto premente e necessário em todas as organizações, procurando chegar junto do
cliente e de todas as partes interessadas através de meios cada vez mais fáceis, mais rápidos e intuitivos
com múltiplas fontes de informação. No entanto, por detrás de todos os benefícios extraordinários que
a transformação digital oferece às organizações, existem as verdadeiras ameaças cibernéticas que
necessitam de ser bloqueadas.
As pequenas e médias empresas, na sua grande maioria, são as que maior dificuldade sentem, dado que
teoricamente são as que possuem mais baixa maturidade digital não dispondo de meios físicos e
humanos com capacidade e competência para bloquear as ameaças e acelerar as oportunidades da
transformação digital.
O presente esquema de certificação - Maturidade Digital - Selo Digital constitui um guião para o processo
de transição digital, na dimensão da cibersegurança, de todas as organizações, em especial as pequenas
e médias organizações, num mundo e tempo marcados pela cada vez maior dependência das tecnologias
de informação e comunicação (TIC) para o próprio funcionamento básico das organizações e entidades
singulares e da prestação dos serviços que proporcionam.
As medidas previstas no Selo Digital – Cibersegurança procuram mitigar um número considerável de
riscos de cibersegurança e aumentar a prevenção e proteção das redes e da informação das
organizações, tornando-as mais capazes de conduzir as suas atividades e mais resistentes a riscos de
eventuais paralisações em consequência de ataques ou de outros problemas de cibersegurança. As
medidas têm um impacto imediato e significativo na abordagem a alguns dos riscos de cibersegurança
mais comuns e prejudiciais e na melhoria da prevenção e proteção das redes e da informação das
organizações. As medidas de segurança previstas bem como os respetivos procedimentos de verificação
foram selecionados a partir dos referenciais nacionais como o Quadro Nacional de Referência para a
Cibersegurança (QNRCS), o Roteiro para as Capacidades Mínimas de Cibersegurança e o Quadro de
Avaliação de Capacidades de Cibersegurança devido à inexistência, à data, de qualquer norma europeia
ou internacional amplamente adotada e reconhecida.
O resultante aumento da segurança e confiança digitais estimulará a mudança estrutural no modo como
se desenvolvem as interações digitais, facilitando o aproveitamento das oportunidades e desafios
criados pela 4ª revolução industrial.
Para as organizações que optem pela adoção deste referencial, as vantagens específicas da obtenção de
certificação da sua Maturidade Digital (Selo Digital) na dimensão Cibersegurança são várias:
− Melhorar a cibersegurança da organização e, por inerência, torná-la mais resiliente e mais capaz de
prestar os seus serviços;

DNP TS 4577-1
2021
p. 7 de 42
− Reputação: uma organização vista como tendo um risco de cibersegurança aceitável é uma
organização que reforça a ligação sentida pelos seus clientes e utilizadores finais;
− Vantagem competitiva em relação a organizações não certificadas, em quatro vertentes:
− Ajudando a organização a estar conforme com a legislação existente;
− Reduz custos desnecessários e evitáveis resultantes de violações de segurança;
− Protege a marca da organização, ao prevenir o acesso de agentes maliciosos a informações de
clientes e utilizadores finais, que conduz à diminuição ou desaparecimento da sua confiança na
organização;
− Oferece uma proposta de valor para os seus clientes e utilizadores finais – estes podem não ser
capazes de acompanhar o mundo em constante evolução da cibersegurança, mas esperam que a
sua proteção seja um recurso integrado na forma como interagem com a organização. Medidas
proativas de cibersegurança tornam a interação em linha mais segura e confiável, o que poupa
tempo a clientes e utilizadores finais, otimiza as suas experiências e aporta-lhes valor real.
Os objetivos da adoção do presente documento são diversos e poderão ser:
− Organizações que pretendem verificar o seu nível atual de cibersegurança e aumentá-lo;
− Organizações que desejam obter a certificação para a evidenciar publicamente como prova de
qualidade;
− Partes interessadas que pretendam usufruir da prova apresentada pelo certificado para fazer
escolhas informadas relacionadas com a confiança na cibersegurança de uma dada organização ou
prestador de serviços como um fator importante de seleção para o estabelecimento de relações,
incluindo entidades públicas no estabelecimento de relações comerciais;
− As entidades reguladoras, Centro Nacional de Cibersegurança (CNCS) e outras entidades públicas,
que pretendam estabelecer requisitos de segurança para as organizações no âmbito das suas
regulações e diretivas.
O caminho da transformação digital assente nos quatro pilares do selo digital (sustentabilidade,
acessibilidade, privacidade e proteção de dados, cibersegurança) permitirá o caminho para a
maturidade digital das organizações com impacto direto nas suas competitividades e nos seus
resultados.

DNP TS 4577-1
2021
p. 8 de 42
1 Objetivo e campo de aplicação

O presente documento especifica os requisitos para a certificação acreditada das organizações que
pretendem demonstrar a sua conformidade no pilar da cibersegurança, bem como estabelece o
respetivo esquema de certificação.
O presente documento aplica-se a toda as organizações de todos os setores de atividade, de todas as

tipologias e dimensões, com especial enfoque nas micro, pequenas e médias empresas (PME).
2 Referências normativas
O presente documento não contém referências normativas.
3 Termos e definições
Para os fins do presente documento aplicam-se os seguintes termos e definições.
3.1 organização
Pessoa ou conjunto de pessoas que tem as suas próprias funções com responsabilidades, autoridades e
relações para atingir os seus objetivos.
NOTA 1 à secção: O conceito de organização inclui, mas não se limita a trabalhador independente, companhia, corporação,
firma, empresa, autoridade, parceria, instituição de solidariedade social ou outra, ou parte ou combinação das mesmas, dotadas
ou não de personalidade jurídica, de direito público ou privado.
3.2 local
Instalações controladas pela organização e onde são realizadas atividades de tratamento de dados.
3.3 organização multisite

Organização (3.1) com mais do que um local (3.2).
3.4 processo
Conjunto de atividades interrelacionadas ou interatuantes que transformam entradas em saídas.
3.5 procedimento
Modo especificado de realizar uma atividade ou um processo (3.6).
NOTA 1 à secção: Os procedimentos poderão ser documentados ou não.
3.6 auditoria
Processo (3.4) sistemático, independente e documentado para obter evidências de auditoria e respetiva
avaliação objetiva, com vista a determinar em que medida os critérios da auditoria são satisfeitos.
3.7 conformidade
Satisfação de um requisito (3.4).
3.8 não conformidade

Não satisfação de um requisito (3.4).
3.9 ação corretiva

Ação para eliminar a causa de uma não conformidade (3.38) para prevenir a sua recorrência.

DNP TS 4577-1
2021
p. 9 de 42
3.10 correção
Ação para eliminar uma não conformidade (3.38) detetada.
NOTA 1 à secção: Uma correção pode ser efetuada antes de, em conjunto com ou depois de uma ação corretiva (3.40).
3.11 requisito
Necessidade ou expetativa expressa, geralmente implícita ou obrigató ria.
NOTA 1 à secção: «Geralmente implícita» significa que é há bito ou prá tica comum para a organização (3.1) e para as partes
interessadas que a necessidade ou expetativa em consideraçã o esteja implícita.
NOTA 2 à secção: Um requisito especificado é um requisito que é expresso, p. ex. em informaçã o documentada.
3.12 política de utilização aceitável (PUA)

Tem como objetivo estabelecer os princípios orientadores da utilização adequada dos sistemas
informáticos e redes de telecomunicações de uma entidade.
3.13 traffic light protocol (TLP)

Protocolo de partilha de informação onde é providenciado um esquema que indica quando (proteção) e
como (disseminação) a informação pode ser partilhada com a comunidade de cibersegurança a nível
nacional e internacional. Este protocolo adota um esquema de cores (semáforo) para indicar os
diferentes níveis de sensibilidade e ações expectáveis.
3.14 centro de operações de segurança (SOC)1)

Conjunto da equipa, que frequentemente opera em turnos de 24 h/7 dias da semana, com as instalações
dedicadas e organizadas para prevenir, detetar, avaliar e responder a ameaças e incidentes de
cibersegurança, e para avaliar e cumprir com a conformidade das leis locais em vigor.
4 Requisitos
4.1 Generalidades
O presente documento define um conjunto de medidas e requisitos de segurança distribuídos por três
áreas de incidência – as áreas organizacional, humana e técnica – que a organização candidata à
certificação deve implementar, bem como os métodos e procedimentos de verificação de tal
implementação, descritos numa linguagem clara, de forma que se pretende inequívoca, que permita às
organizações intuitivamente apreender o que delas é esperado e como cumprir com os requisitos. O
presente documento pretende ainda orientar os organismos de certificação nos procedimentos a aplicar
para verificação da conformidade com os requisitos.
A organização deve implementar os requisitos do nível de certificação a que se pretende candidatar em
todos os locais e processos da organização onde há recurso a TIC. As medidas definidas para cada nível
devem ser aplicadas na íntegra na organização enquanto um todo. Implementações das medidas
definidas no esquema em partes da organização (como, por exemplo, num determinado departamento
apenas ou num único local entre vários, em que a organização faz uso de TIC para realizar ou apoiar as
suas atividades) não conduzem à obtenção do certificado.
1)https://www.gartner.com/en/newsroom/press-releases/2017-10-12-security-operations-centers-and-their-role-in-
cybersecurity

DNP TS 4577-1
2021
p. 10 de 42
4.2 Níveis de certificação

A certificação da Maturidade Digital - Selo Digital na presente dimensão (cibersegurança) é
intencionalmente generalista e inclusiva de modo a atrair o maior número de organizações dos mais
diversos setores de atividade, de diferentes tipologias e dimensões. Deste modo foi concebida por níveis
de certificação:
− nível de certificação bronze que corresponde a uma maturidade digital de nível bronze;
− nível de certificação prata que corresponde a uma maturidade digital de nível prata;
− nível de certificação ouro que corresponde a uma maturidade digital de nível ouro.
Pretende-se assim que esta certificação não exclua organizações, pela eventual dificuldade para algumas
ou sem representação de melhorias para outras, permitindo um crescimento faseado de acordo com a
maturidade em matéria de cibersegurança.
Possibilita assim que as organizações selecionem qual o nível de certificação que mais se adequa às suas
capacidades, dimensão, estrutura, missão e ambição e ir melhorando continuamente para níveis de
certificação superiores.
Os requisitos definidos nos níveis de certificação têm por base uma lógica sequencial e progressiva, que
parte do nível de certificação bronze com medidas mais simples e com maior impacto na resolução dos
problemas de cibersegurança mais comuns, para as medidas mais exigentes e que permitem a uma
organização estar preparada para proteger a organização e a sua informação de forma mais robusta,
previstas no nível de certificação ouro. As organizações que pretendem cumprir o nível de certificação
prata devem evidenciar o cumprimento dos requisitos definidos para esse nível bem como para o nível
de certificação anterior (bronze); o cumprimento do nível de certificação ouro implica o cumprimento
dos requisitos definidos para esse nível, bem como dos níveis de certificação anteriores (bronze e prata).
Os métodos de avaliação dos requisitos seguem a mesma lógica sequencial e progressiva, de
procedimentos de verificação mais simples no nível de certificação bronze para procedimentos de
verificação mais detalhados no nível de certificação ouro. Referenciais de normas, medidas e requisitos
de segurança e métodos e procedimentos de avaliação são por isso perfeitamente ajustados às
necessidades e capacidades do universo alargado de organizações que se pretende abranger.
O nível de certificação bronze destina-se às organizações mais pequenas, menos preparadas ou com
menores capacidades em termos de recursos humanos e técnicos para enfrentar os riscos de
cibersegurança, ou ainda com menores necessidades de cibersegurança, seja por as suas funções críticas
não estarem tão dependentes da cibersegurança, seja pelo facto de incidentes de cibersegurança
resultarem em impactos aceitáveis para a organização.
Os requisitos definidos para o nível de certificação bronze espelham esta realidade, tratando-se de
medidas muito elementares, de simples adoção, mas que aumentam consideravelmente a proteção da
organização perante os riscos mais comuns e prejudiciais à cibersegurança. Sendo o primeiro nível de
certificação, pode-se considerar este como o patamar basilar da certificação e apresenta medidas de
prevenção e resposta às principais ameaças à cibersegurança. Os níveis seguintes constroem-se por
referência a este, procurando então responder, progressivamente, às ameaças e riscos não
contemplados no primeiro nível de certificação.
Consequentemente, pretende-se que a verificação da implementação dos requisitos no nível de
certificação bronze possa ser atingida de forma ágil e assertiva, procurando garantir-se que os princípios
de cibersegurança básicos são conhecidos e aplicados na organização, em todos os seus domínios.

DNP TS 4577-1
2021
p. 11 de 42
O nível de certificação prata destina-se a organizações com capacidades de cibersegurança para além
das elementares, com média dimensão, ou com mais necessidades de cibersegurança, em virtude de uma
maior dependência desta para o sucesso da sua atividade.
Os requisitos definidos para este nível correspondem a este perfil, intensificando o grau de
comprometimento e de exigência da organização para com a cibersegurança, preparando-a para uma
abordagem mais proativa e dedicada, espelhada na inclusão da cultura da cibersegurança na gestão de
topo e em diversas instâncias da vida quotidiana da organização.
De acordo com o princípio geral previamente definido, os métodos e procedimentos de verificação de
cumprimento dos requisitos deste nível são mais rigorosos e detalhados, obrigando a maior intervenção
por parte da organização, dada a natureza dos requisitos previstos neste nível.
O nível de certificação ouro destina-se a um conjunto mais específico de organizações, mais capacitadas
em cibersegurança e em recursos técnicos e humanos para a implementar, com necessidades prementes
de proteção das redes e da sua informação ou para as quais a cibersegurança é essencial para assegurar
as suas funções e atividades críticas, ou ainda aquelas cujo impacto de um incidente de cibersegurança
pode fazer perigar até a própria existência da organização.
Os requisitos definidos para este nível espelham a integral imersão da organização numa cultura de
cibersegurança, demonstrando estar ciente dos riscos associados à utilização das TIC e estabelecendo
um conjunto de medidas para gerir esse risco, preventivamente e proativamente, em situação de
prevenção e resposta a incidentes e na limitação de impactos e recuperação das funções críticas da
organização durante e após um incidente. Numa organização capacitada para um nível de certificação
ouro, qualquer um dos seus elementos conhece os princípios e adota as práticas mais adequadas de
cibersegurança.
Mantendo a coerência com o princípio referido, os métodos e procedimentos de verificação de
cumprimento dos requisitos deste nível são ainda mais rigorosos e detalhados, solicitando da parte da
organização e do organismo de certificação, a efetivação de diligências mais exigentes para a
demonstração do cumprimento dos requisitos.
No Anexo A constam os requisitos por nível de certificação.
5 Esquema de certificação
5.1 Generalidades
Este esquema de certificação especifica os requisitos aplicáveis aos organismos de certificação que
auditam e certificam de acordo com este referencial. O cumprimento destes requisitos, dos requisitos
definidos na NP EN ISO/IEC 17065, bem como outros requisitos eventualmente a definir pela
Autoridade Nacional de Cibersegurança e/ou pelo Instituto Português de Acreditação (IPAC), destinam-
-se a assegurar que os organismos de certificação gerem a certificação com competência, de uma forma
coerente e imparcial, facilitando desta forma o reconhecimento destes organismos e a aceitação das suas
certificações tanto a nível nacional como internacional.
A responsabilidade pela gestão da marca de certificação do presente esquema de certificação é da
Imprensa Nacional Casa da Moeda (INCM).
A responsabilidade pela gestão dos requisitos técnicos do presente esquema de certificação é do Centro
Nacional de Cibersegurança (CNCS).
A responsabilidade pela gestão do processo normativo do presente esquema de certificação é do
Instituto Português da Qualidade (IPQ).

DNP TS 4577-1
2021
p. 12 de 42
5.2 Tipo e âmbito do esquema de certificação

O presente esquema de certificação define regras e procedimentos específicos para este tipo de
certificação.
Podem apresentar candidatura a esta certificação todas as organizações nacionais com atividade em
território português, independentemente do setor de atividade que cumpram os requisitos legais
aplicáveis e os requisitos do presente documento.
Para efeitos de certificação, a organização corresponde a uma entidade legal, não sendo permitido que
a certificação seja solicitada para uma organização que combine diferentes entidades legais.
No âmbito das auditorias realizadas para o presente esquema de certificação está o conjunto de recursos
documentais, processuais e tecnológicos que definem os sistemas e tecnologias de informação da
organização com relação direta ou indireta com a cibersegurança e segurança da informação,
independentemente da sua localização física ou lógica. Por exemplo, mas não limitado a: postos de
trabalho e dispositivos móveis corporativos, servidores e serviços de suporte à infraestrutura,
equipamentos de proteção perimetral, equipamentos ativos de rede, políticas em vigor na organização,
inventários de recursos tecnológicos relevantes, etc.
6 Processo de certificação
O processo de certificação tem um ciclo de 3 anos de auditoria e compreende, as seguintes fases:
− Atividades prévias à certificação;
− Avaliação;
− Decisão de certificação;
− Manutenção da certificação;
− Renovação da Certificação.
6.1 Atividades prévias à certificação
6.1.1 Candidatura
A organização candidata deve requerer a certificação, de acordo com o presente documento, ao
organismo de certificação através do envio2) de um conjunto de informações. As informações a serem
remetidas estão definidas no Anexo B.
6.1.2 Análise da Candidatura

O organismo de certificação deve proceder a uma análise da candidatura e da informação suplementar
enviada para garantir que:
a) existe documento contratual;
b) os pressupostos considerados em fase de elaboração de proposta comercial se mantêm válidos;
2)Todas as notificações, comunicações, fundamentações e argumentações referidas são efetuadas, preferencialmente, por via
eletrónica.

DNP TS 4577-1
2021
p. 13 de 42
c) a informação sobre a organização candidata e o âmbito de certificação é suficiente para conduzir o

processo de certificação;
d) estão resolvidas quaisquer divergências de entendimento identificadas entre o organismo de
certificação e a organização candidata;
e) o organismo de certificação tem a competência e capacidade para desempenhar a atividade de
certificação;
f) são tidos em conta o âmbito de certificação pretendido, o(s) local(ais) onde a organização candidata
tem atividades, o tempo requerido para completar as auditorias e quaisquer outros pontos que
influenciem a atividade de certificação (idioma, condições de segurança, ameaças à imparcialidade,
etc.).
Na sequência da análise da candidatura, e caso não estejam reunidas as condições, o organismo de
certificação deve notificar a organização candidata, no prazo de 10 dias úteis, solicitando documentação
adicional ou esclarecimentos para que seja possível prosseguir com a candidatura.
O organismo de certificação notifica a organização candidata sobre a aceitação ou rejeição da
candidatura no prazo de 10 dias após a entrega pela organização candidata de toda a documentação por
este solicitada.
As razões para recusar a candidatura devem ser documentadas e apresentadas de forma clara ao cliente.
O organismo de certificação pode proceder ao encerramento da candidatura, notificando a organização
candidata, caso a mesma não responda às suas solicitações após um período de 3 meses. A candidatura
pode igualmente ser encerrada por solicitação da organização.
6.2 Avaliação
Para cada organização candidata o organismo de certificação deve determinar o tempo necessário para
planear e realizar uma auditoria de concessão de acordo com os objetivos e critérios de auditoria.
No caso de organizações multisite, na avaliação de concessão todos os locais onde há recurso a TIC
devem ser auditados.
O organismo de certificação deve ter um processo para selecionar e nomear a equipa auditora, de acordo
com os requisitos de competência estabelecidos pelo esquema de acreditação. O organismo de
certificação deverá comunicar no prazo de 15 dias após a notificação da aceitação da candidatura, a
constituição da equipa auditora nomeada, solicitando a sua aceitação à organização candidata. A equipa
auditora pode ser constituída por um ou mais elementos sendo que, pelo menos um deles deve estar
qualificado como auditor coordenador e assegurar as responsabilidades inerentes a essa função. A
organização candidata pode manifestar a sua discordância relativamente à constituição da equipa
auditora devendo fundamentar até 5 dias úteis após a receção da comunicação. O organismo de
certificação deverá no prazo de 10 dias:
− proceder à nomeação de outro(s) auditor(es), caso aceite a fundamentação apresentada, e notificar
a organização candidata sobre a constituição da nova equipa;
− informar a organização candidata da não aceitação dos fundamentos apresentados e consequente
manutenção da proposta original de constituição da equipa auditora.
A organização candidata dispõe de um prazo de 5 dias para se pronunciar sobre a aceitação ou rejeição
da proposta do organismo de certificação.

DNP TS 4577-1
2021
p. 14 de 42
Se, após reiterada rejeição pela organização candidata das equipas auditoras propostas, for inviabilizada
a constituição da equipa auditora com pessoal qualificado, o organismo de certificação poderá encerrar
o processo de certificação por não ser possível o seu seguimento.
Após acordo da constituição da equipa auditora e da data da auditoria, a equipa auditora procede à
realização da auditoria.
A duração da auditoria deve ser igual ao total das durações parciais de cada elemento da equipa
auditora. A participação dos peritos não é contabilizada na duração efetiva da auditoria.
A organização deve permitir o acesso a documentos, registos, pessoal, equipamentos, instalações e
outros que sejam considerados relevantes para os objetivos e âmbito da auditoria.
A auditoria de concessão tem como objetivo:
− Determinar a conformidade do processo de gestão da cibersegurança com os critérios de auditoria;
− Determinar a capacidade do processo de gestão da cibersegurança em assegurar o cumprimento dos
requisitos estatutários, regulamentares e contratuais aplicáveis e os resultados esperados;
− Identificar, quando aplicável, áreas potenciais de melhoria do processo de gestão da cibersegurança.
Os critérios de auditoria de concessão são:
− A totalidade dos requisitos do presente documento aplicáveis ao nível de certificação para o qual a
organização se candidata (Anexo A);
− Requisitos do esquema de certificação;
− Requisitos legais e estatutários e outros requisitos aplicáveis;
− Atividades de tratamento e informação documentada que suportam a implementação do presente
documento.
A equipa auditora procede à elaboração do relatório da auditoria, o qual deve registar as não
conformidades detetadas no decurso da auditoria. O relatório da auditoria deve ser apresentado na
reunião final da auditoria e entregue pela equipa auditora à organização.
A organização deve elaborar e remeter ao organismo de certificação até 15 dias após a entrega do
relatório da auditoria, um plano de ações corretivas identificando, para cada não conformidade
registada, as causas, as correções e/ou as ações corretivas e o prazo de implementação.
O auditor coordenador deve analisar o plano de ações corretivas proposto e informar a organização
candidata da sua aceitação ou rejeição dentro de um prazo de 10 dias. Caso se verifique que o mesmo
não é adequado, a organização candidata deve proceder à sua reformulação e entrega no prazo de 5 dias
úteis após ser informada da rejeição do plano. O auditor coordenador deve voltar a analisar a
adequabilidade do plano de ações corretivas reformulado e pronunciar-se sobre a sua aceitação dentro
de um prazo de 10 dias.
O prazo máximo de implementação das correções e/ ou ações corretivas, incluindo o envio das
respetivas evidências, é de 2 meses desde a data de entrega do relatório da auditoria.
A organização pode, caso discorde das não conformidades apresentadas, contestá-las fundamentando
objetivamente quais os respetivos motivos. Nos casos em que não houver acordo, o auditor coordenador
deve assegurar que tomou todas as ações para promover o correto entendimento das constatações bem
como da fundamentação apresentada pela organização.

DNP TS 4577-1
2021
p. 15 de 42
Quando o relatório não regista não conformidades não é necessária resposta ao relatório da auditoria
pela organização.
6.3 Decisão de concessão da certificação

O organismo de certificação deve, após receção de todas as evidências de implementação das correções
e/ou ações corretivas consideradas adequadas e até um máximo de 2 meses, reunir toda a
documentação relativa ao pedido de certificação rececionada e proceder à sua análise e respetiva
decisão de certificação.
A decisão de certificação pode ser positiva ou negativa.
No caso de decisão de certificação negativa, o organismo de certificação deve fundamentar, por escrito,
a sua decisão. O organismo de certificação propõe a realização de uma auditoria de seguimento para
avaliar, no local, a adequabilidade e eficácia da implementação e comprovar o fecho das não
conformidades correspondentes. A auditoria de seguimento deve ser realizada, no prazo máximo de 6
meses, após a realização da auditoria de concessão. Uma tomada de decisão negativa na sequência de
uma auditoria de seguimento, inviabiliza a continuação do processo de certificação, pelo que o
organismo de certificação deve proceder ao encerramento da candidatura. A organização, se assim o
entender, formaliza uma nova candidatura à certificação.
O organismo de certificação informa a organização, por escrito, da decisão de certificação.
6.4 Certificado de conformidade e uso da marca de certificação

Na sequência da decisão positiva de certificação, é emitido o certificado de conformidade, o qual deve
pelo menos conter:
− referência ao presente documento e nível para o qual a organização obteve a certificação;
− referência ao esquema Selo Digital – Cibersegurança;
− identificação do organismo de certificação (nome e morada);
− identificação da organização (nome, morada e caso exista, uma hiperligação para o sítio web);
− âmbito da certificação;
− data de emissão;
− validade da certificação.
A certificação concedida só é válida para a organização indicada no certificado de conformidade, não
podendo a organização certificada transmitir, delegar ou passar a mesma para outros. A referência ou
declaração relativamente à certificação não deve causar qualquer entendimento enganador, tal como a
certificação se aplicar a atividades e locais fora do âmbito para o qual está certificado.
A validade dos certificados de conformidade é de 3 anos.
A decisão positiva de certificação confere à organização o direito ao uso da marca de certificação cujas
regras de utilização são definidas e disponibilizadas pela Imprensa Nacional Casa da Moeda, S. A.
(INCM).

DNP TS 4577-1
2021
p. 16 de 42
No decurso das auditorias de acompanhamento e de renovação é avaliada a utilização da marca de

certificação e do certificado de conformidade, dando lugar ao registo de não conformidades, caso se
detete a utilização indevida ou abusiva ou incumprimento das regras estabelecidas.
A suspensão, anulação ou não renovação da certificação implica o término imediato do direito de
utilização do certificado de conformidade e do uso da marca de certificação pela organização.
6.5 Manutenção da certificação

Após a concessão da certificação, inicia-se o ciclo de certificação com duas auditorias de
acompanhamento (1º ano e 2º ano) e uma auditoria de renovação (3º ano).
A periodicidade das auditorias de acompanhamento é anual. A 1ª auditoria de acompanhamento após a
concessão da certificação deve ocorrer até 12 meses após o término da auditoria de concessão, ou de
seguimento, quando aplicável, e a 2.ª auditoria de acompanhamento deve ocorrer até 24 meses após
aquela data. No caso de não poder ser cumprido este prazo por responsabilidade da organização
certificada, o organismo de certificação pode decidir suspender temporariamente a certificação.
As auditorias de acompanhamento têm como objetivo confirmar o cumprimento continuado dos
requisitos estabelecidos no presente documento. Nas duas auditorias de acompanhamento devem ser
avaliados todos os requisitos previstos para o nível de certificação obtido pela organização certificada,
de acordo com um planeamento definido pelo organismo de certificação.
No somatório das duas auditorias de acompanhamento previstas para o ciclo de certificação devem ser
auditados todos os locais incluídos no âmbito, cabendo ao organismo de certificação a definição do
respetivo planeamento.
A equipa auditora procede à elaboração do relatório da auditoria, o qual deve registar as não
conformidades detetadas no decurso da auditoria. O relatório da auditoria deve ser apresentado na
reunião final da auditoria e entregue pela equipa auditora à organização.
A organização, em resposta ao relatório da auditoria, deve elaborar e remeter ao organismo de
certificação até 15 dias após a conclusão da auditoria, um plano de ações corretivas, tal como definido
em 6.2.
O prazo máximo de implementação de ações corretivas, na sequência do registo de não conformidades
é de 2 meses desde o último dia da auditoria.
Caso a organização certificada não apresente resposta ao relatório de auditoria no prazo de 30 dias e/ou
não evidencie a implementação das ações corretivas para as não conformidades registadas no prazo de
2 meses, pode o organismo de certificação tomar a decisão de suspensão da certificação no prazo
máximo de 5 dias após o término dos prazos indicados.
Pode ser decidida, na sequência da realização da auditoria de acompanhamento, a realização de uma
auditoria de seguimento. Esta deve ocorrer num prazo máximo de 30 dias após a conclusão do prazo de
implementação das ações corretivas, não substituindo as auditorias previstas no ciclo de certificação.
Quando o relatório não regista não conformidades não é necessária resposta ao relatório da auditoria
pela organização.
A decisão de manutenção da certificação, positiva ou negativa, deve ser comunicada por escrito à
organização certificada.

DNP TS 4577-1
2021
p. 17 de 42
6.6 Renovação da certificação

A auditoria de renovação é realizada preferencialmente pelo menos com 3 meses de antecedência
relativamente à data de validade do certificado de conformidade, de modo a assegurar que a tomada de
decisão de renovação se realiza antes desta data.
A auditoria de renovação tem como objetivo avaliar o cumprimento de todos os requisitos estabelecidos
no presente documento.
No caso de organizações multisite, todos os locais onde é desenvolvida atividade com tratamento de
dados devem ser auditados.
Se a decisão de certificação não se puder realizar até à data de validade do certificado de conformidade
por responsabilidade da organização certificada, o certificado caduca o que impossibilita que a
organização faça qualquer referência ao estatuto de organização certificada.
A metodologia de resposta pela organização certificada segue o descrito em 6.5.
6.7 Alteração do âmbito de certificação

Qualquer organização já certificada para o presente esquema de certificação, pode solicitar uma
alteração do âmbito de certificação, isto é, para um diferente nível no esquema de certificação, para uma
alteração de atividades ou locais.
A avaliação do pedido de alteração do âmbito é feita através de uma auditoria de extensão que pode ser
realizada durante uma auditoria de acompanhamento ou de renovação, podendo ser necessário ajustar
a duração dessa auditoria ou realizada numa auditoria extraordinária. Os pedidos de alteração do
âmbito de certificação devem ser formalizados ao organismo de certificação e devem ser tratados como
um novo pedido de certificação.
A decisão de certificação pode resultar numa redução do âmbito relativamente ao nível de certificação.
6.8 Sanções
6.8.1 Suspensão da certificação

O organismo de certificação pode tomar a decisão de suspensão da certificação quando:
− não seja possível a realização das auditorias previstas por responsabilidade da organização
certificada;
− a organização certificada não dá resposta aos relatórios das auditorias e/ou não evidencia a
implementação das ações desencadeadas na sequência das auditorias nos prazos previstos e/ou
solicitados pelo organismo de certificação;
− o relatório da auditoria evidencia não estarem reunidas as condições para a manutenção da
certificação;
− a organização certificada não dá resposta às solicitações do organismo de certificação;
− seja detetado qualquer incumprimento relativo à utilização do certificado de conformidade e/ou da
marca de certificação;
− sejam evidenciados atos que sejam lesivos para a imagem do organismo de certificação e/ou do
proprietário da marca de certificação;

DNP TS 4577-1
2021
p. 18 de 42
− ocorram incumprimentos de obrigações contratuais para com o organismo de certificação por parte
da organização certificada.
A suspensão da certificação pode ter uma duração máxima de 12 meses.
A suspensão da certificação deve ser levantada quando se demonstrar que a causa que esteve na origem
da suspensão da certificação já não existe. O levantamento da suspensão do certificado de conformidade
implica a realização de auditoria que avalia o cumprimento de todos os requisitos estabelecidos no
presente documento, não substituindo as auditorias previstas no ciclo de certificação.
Durante o período de suspensão da certificação, a organização não pode fazer qualquer referência ao
estatuto de entidade certificada e fica impossibilitada de utilizar a marca de certificação.
A decisão relativa à suspensão da certificação, positiva ou negativa, é comunicada por escrito, pelo
organismo de certificação à organização certificada.
Após o levantamento da suspensão, o ciclo de certificação é retomado, mantendo-se a data de validade
do certificado de conformidade.
6.8.2 Anulação da certificação

Quando não seja possível proceder ao levantamento da suspensão da certificação, o organismo de
certificação deve proceder à anulação da certificação.
A decisão relativa à anulação da certificação é comunicada por escrito, pelo organismo de certificação à
organização certificada.
A organização não pode fazer qualquer referência ao estatuto de entidade certificada, bem como não
pode fazer qualquer utilização do certificado de conformidade e da marca de certificação, devendo
ainda, se aplicável, retirar de toda a sua documentação a referência de entidade certificada.
6.9 Suspensão ou anulação voluntárias da certificação

A organização certificada pode solicitar a suspensão temporária ou a anulação do certificado de
conformidade.
O período de suspensão voluntária é acordado entre a organização certificada e o organismo de
certificação, não devendo exceder 12 meses.
O levantamento da suspensão implica a realização de uma auditoria que avalie o cumprimento de todos
os requisitos estabelecidos, não substituindo, contudo, as auditorias previstas no ciclo de certificação.
Durante o período de suspensão da certificação, a organização certificada não pode fazer qualquer
referência ao estatuto de entidade certificada e fica impossibilitada de utilizar a marca de certificação.
Logo que o organismo de certificação proceda à anulação da certificação, a organização deixa de poder
fazer qualquer referência ao estatuto de entidade certificada, bem como deixa de poder fazer qualquer
utilização do certificado de conformidade e da marca de certificação, devendo ainda, se aplicável, retirar
de toda a sua documentação a referência de entidade certificada.
6.10 Transferência da certificação

A transferência de uma certificação apenas pode ocorrer quando o seu certificado se encontra válido.
Uma certificação que se encontra suspensa não pode ser aceite para transferência.

DNP TS 4577-1
2021
p. 19 de 42
Nos casos em que a certificação tenha sido concedida por um organismo de certificação que tenha
cessado a sua atividade ou cuja acreditação foi suspensa ou anulada, a organização certificada deverá
contactar outro organismo de certificação acreditado para o presente esquema de certificação para
solicitar a transferência da certificação. A transferência deve ser concluída no prazo de 6 meses ou no
termo do prazo de 12 meses desde a última auditoria realizada, o que ocorrer mais cedo.
A organização certificada pode, por sua vontade, solicitar a transferência da certificação para outro
organismo de certificação acreditado para o presente esquema de certificação. O organismo de
certificação recetor do pedido de transferência deve dispor de um procedimento para obter toda a
documentação e informação necessárias para a tomada de decisão relativa ao pedido de transferência
da certificação. O organismo de certificação recetor deve reunir a informação e documentação
necessárias para avaliar os seguintes aspetos:
− confirmação de que a certificação da organização certificada está no seu âmbito de acreditação;

− razões para o pedido de transferência da certificação;
− confirmação de que o(s) certificado(s) de conformidade está(ão) válido(s);
− relatórios da auditoria de concessão ou da última auditoria de renovação e o relatório da última
auditoria de acompanhamento; avaliar a situação das não conformidades decorrentes dos
mesmos e eventualmente de outra documentação disponível relativamente ao processo de
certificação. Se estes relatórios de auditoria não forem disponibilizados e/ou se a última
auditoria prevista do ciclo de certificação não tiver sido concluída, o organismo de certificação
recetor do pedido de transferência deve tratar a organização que realizou o pedido de
transferência da certificação como um novo cliente e realizar uma auditoria de concessão ou
renovação, conforme resultado da análise da documentação e emitir um certificado com
validade a partir da data da respetiva decisão de concessão ou renovação, conforme aplicável;
− confirmação de possibilidade de programação e realização da próxima auditoria prevista no
ciclo de certificação no prazo de 12 meses após a última auditoria realizada;
− eventuais reclamações recebidas e respetivo tratamento;
− outras questões consideradas relevantes pelo organismo de certificação recetor do pedido de
transferência da certificação.
O resultado desta análise deve ser documentado.
Quando o resultado da análise identificar questões que impeçam a conclusão da transferência, o
organismo de certificação deve tratar a organização que realizou o pedido de transferência da
certificação como um novo cliente. A justificação para esta tomada de decisão deve ser dada a conhecer
à organização que solicitou o pedido de transferência da certificação. O organismo de certificação deve
manter estes registos.
Caso o resultado da análise da informação e da documentação seja favorável, o organismo de certificação
deve tomar a decisão de aceitação do pedido de transferência da certificação e informar a organização
que solicitou o pedido de transferência da certificação e estabelecer o programa para o restante ciclo de
certificação dando continuidade ao anterior ciclo de certificação. As auditorias de acompanhamento ou
de renovação, conforme aplicável, devem ser realizadas apenas depois de tomada a decisão de aceitação
do pedido de transferência da certificação.

DNP TS 4577-1
2021
p. 20 de 42
O certificado de conformidade a emitir pelo organismo de certificação recetor do pedido de

transferência da certificação deve manter a validade do anterior certificado; o organismo de certificação
pode fazer referência no certificado de conformidade a uma anterior certificação antes de uma
determinada data.
A cooperação entre os organismos de certificação (denominamos organismo de certificação emissor e
organismo de certificação recetor) é essencial para o processo eficaz de transferência e para a
integridade da certificação. Quando solicitado, o organismo de certificação emissor deve fornecer ao
organismo de certificação recetor todos os documentos e informações requeridos pelo presente
documento. Onde não tenha sido possível comunicar com o organismo de certificação emissor, o
organismo de certificação recetor do pedido de transferência da certificação deve registar as razões e
fazer todos os esforços para obter as informações necessárias por outros meios.
A organização certificada requerente do pedido de transferência da certificação deve autorizar que o
organismo de certificação emissor forneça a informação solicitada pelo organismo de certificação
recetor. O organismo de certificação emissor não deve suspender ou anular a certificação da organização
certificada após a notificação que a organização está a transferir para o organismo de certificação
recetor, se o cliente continua a satisfazer os requisitos de certificação.
6.11 Reclamações e recursos

Eventuais recursos sobre a decisão de certificação pelo organismo de certificação e reclamações
relativas ao organismo de certificação devem ser endereçados ao organismo de certificação.
As reclamações e recursos recebidos na INCM relativos aos clientes dos organismos de certificação, são
remetidos para o organismo de certificação respetivo que deve analisar e tratar com o seu cliente.
Os clientes dos organismos de certificação que não concordem com o tratamento dado à sua reclamação,
podem apresentar reclamação ao IPAC, de acordo com o estabelecido nos procedimentos de acreditação,
podendo o IPAC solicitar o apoio do CNCS sempre que considerar necessário para o tratamento das
reclamações no âmbito deste esquema.
6.12 Dever de comunicação ao organismo de certificação

A organização certificada deve comunicar ao organismo de certificação, através do preenchimento do
template modelo apresentado no Anexo B, qualquer alteração relevante relativa ao âmbito de
certificação, incluindo, mas não se limitando a:
− alterações de estatuto legal, jurídico, organizacional ou de propriedade, incluindo alterações de

designação legal;
− alterações das pessoas chave e relacionadas com o âmbito de certificação;
− alterações no âmbito da certificação;
− qualquer incidente de segurança do qual tenha dado conhecimento ao CNCS;
− alterações na estrutura e processos organizativos com impacto no âmbito da certificação;
− alterações das infraestruturas com impacto no âmbito da certificação;

DNP TS 4577-1
2021
p. 21 de 42
− alterações do elemento de contacto designado para o contacto com o organismo de certificação e/ou
da forma de contacto;
− alterações de localização da sede e de outros locais que estejam incluídos no âmbito da certificação;
O organismo de certificação decide da necessidade de realização de uma auditoria extraordinária para
avaliar as alterações indicadas. As auditorias extraordinárias não substituem as auditorias previstas no
ciclo de certificação.
6.13 Condições financeiras

As condições financeiras devem ser definidas pelo organismo de certificação e dadas a conhecer à
organização quando solicitado.
6.14 Manutenção dos registos

As organizações certificadas devem manter armazenados, de forma segura, os registos das informações
disponibilizadas ao organismo de certificação para o processo de certificação e disponibilizar, mediante
solicitação, ao organismo de certificação até cinco (5) anos após o término da data de validade do
certificado. Esses registos devem incluir toda a documentação e evidências disponibilizadas ao
organismo de certificação durante a certificação, incluindo aquelas que foram disponibilizadas apenas
de forma restrita, por tempo limitado ou apenas nas instalações da organização certificada.
6.15 Segurança da informação

Salvo disposição em contrário neste esquema e sem prejuízo das disposições vigentes em matéria de
confidencialidade, todas as partes envolvidas na aplicação do presente esquema devem respeitar a
confidencialidade das informações e dos dados obtidos no desempenho das suas tarefas, a fim de
proteger:
a) dados pessoais, de acordo com o Regulamento Geral sobre a Proteção de Dados (RGPD);
b) informações comerciais confidenciais e segredos comerciais de qualquer pessoa singular ou
coletiva, incluindo direitos de propriedade intelectual, durante o ciclo da certificação e até ao final
do período de retenção indicado para todas as informações de certificação, exceto se a divulgação
for necessária por motivo de interesse público, ou por ter sido ordenada judicialmente;
c) informações necessárias para a implementação eficaz deste esquema, em particular para efeitos de
colaboração eficaz entre as autoridades e organismos envolvidos e o tratamento das reclamações.

DNP TS 4577-1
2021
p. 22 de 42
Anexo A
(normativo)
Requisitos – Medidas de cibersegurança

O presente anexo define as medidas de cibersegurança em cada uma das áreas de incidência na
organização (organizacional, técnica e humana) para cada um dos níveis de certificação (bronze, prata
e ouro). A coluna “Evidências” descreve os procedimentos que a organização deve efetuar perante o
organismo de certificação no momento da auditoria. Para além de servir como uma orientação clara
para a organização sobre o que é dela esperado, os procedimentos descritos orientam o organismo de
certificação quanto ao que deve solicitar à organização.
Quadro A.1 – Medidas de cibersegurança por nível de certificação
Nível de certificação: Bronze
Área: Organizacional
O.ID – Identificação de funções ou atividades críticas

A organização deve identificar as funções ou atividades críticas e as dependências existentes das TIC.
Referência Descrição Evidências
O.ID-1 Garantir uma identificação completa e Disponibilizar à Equipa Auditora

atualizada de funções ou atividades críticas, durante a realização da auditoria a
e respetiva dependência das TIC. documentação contendo a
identificação de funções ou
atividades críticas, dos ativos que as
suportam e da relação e/ou
dependência que entre eles se
estabelece.
O.IAC – Inventariação dos ativos e documentação da arquitetura de comunicações de dados

A organização deve inventariar todos os seus ativos, documentar a sua arquitetura de comunicações
de dados e atualizar esta informação sempre que necessário.
O.IAC-1 Inventariação completa dos ativos Disponibilizar o inventário dos ativos

(hardware e software) e elaboração de um e o diagrama de rede da organização.
mapa com a arquitetura de rede e
informação relevante associada. Garantir a
atualização regular desta informação.
(continua)

DNP TS 4577-1
2021
p. 23 de 42
Quadro A.1 – Medidas de cibersegurança por nível de certificação (continuação)

O.PUA – Política(s) de utilização aceitável dos recursos TIC
A organização deve definir e disponibilizar junto de todos os utilizadores a política de utilização
aceitável dos recursos TIC.
O.PUA-1 Definir uma Política (ou conjunto de Apresentar a PUA da organização.

políticas) de Utilização Aceitável (PUA) dos
recursos da organização. Neste documento
devem estar vertidas as linhas de orientação
para a boa utilização dos recursos TIC, para
que esta seja feita de forma segura por todos
os colaboradores com acesso aos mesmos.
O.RSI – Identificação de responsável pela função de Segurança da Informação

A organização deve ter um ponto de contacto do ponto de vista técnico/operacional que deve ser
capaz de responder a eventuais solicitações externas, sendo esperada disponibilidade para contactos
de emergência fora do horário de expediente.
O.RSI-1 Identificar um responsável pela função de Disponibilizar a identificação do

Segurança de Informação, o qual deve ser o responsável pela função de
ponto de contato da organização na segurança da informação.
perspetiva técnico/operacional e deve ser
capaz de responder a eventuais solicitações
externas (por exemplo, por parte do
CERT.PT). Esta função pressupõe um
conhecimento aprofundado da organização,
quer da secção de vista técnico como do
negócio.
(continua)

DNP TS 4577-1
2021
p. 24 de 42

Área: Técnica
T.CS – Cópias de segurança

A organização deve implementar uma política de cópias de segurança e garantir que as cópias de
segurança podem ser utilizadas, caso seja necessário.
Deve ainda garantir que as cópias de segurança são testadas e validadas regularmente, através da
execução de planos de testes de restabelecimento.
T.CS-1 Assegurar que os dados da organização são Exibir a plataforma existente e

salvaguardados automática e regularmente demonstrar o processo de cópia de
através de uma plataforma de cópias de segurança.
segurança (ex.: unidade de armazenamento
portátil) e/ou para a nuvem.
T.AS – Atualizações de segurança

A organização deve garantir a aplicação automática de atualizações de segurança dos sistemas
operativos e componentes de software a todos os seus postos de trabalho.
T.AS-1 Configurar e garantir a atualização Demonstrar, através de acesso

automática dos sistemas operativos e aleatório aos terminais, que se
componentes de software (produtividade, encontra implementada a
leitores de PDF, browsers, etc.) atualização automática dos sistemas
operativos e componentes.
T.PPT – Proteção de postos de trabalho

A organização deve garantir que se encontra instalado um antivírus nos seus postos de trabalho e
dispositivos móveis.
T.PPT-1 Garantir a existência de proteção contra Facultar o acesso, de forma aleatória,

ameaças (vírus/código malicioso) em todos a postos de trabalho e a dispositivos
os postos de trabalho e dispositivos móveis móveis para atestar que se
da organização. encontram protegidos contra
ameaças.
NOTA: o número de postos de trabalho/equipamentos a serem auditados depende da dimensão da organização. A amostra
a auditar deve ser determinada pela raiz quadrada (arredondada para o número inteiro seguinte) do conjunto em causa.
(continua)

DNP TS 4577-1
2021
p. 25 de 42

T.PPI – Proteção perimetral e da infraestrutura
A organização deve garantir tanto a proteção perimetral de infraestrutura como também a proteção
física dos principais componentes da infraestrutura.
T.PPI-1 Garantir a proteção perimetral da Exibir a implementação das medidas
infraestrutura, através de um dispositivo com de segurança lógicas e físicas ao nível
mecanismos de firewall, e a aplicação de boas dos equipamentos e espaços afetos à
práticas na sua configuração (p. ex. infraestrutura.
segmentação de redes). Ativar, em todos os
dispositivos, a proteção por palavra-passe e
alterar a que se encontra definida por omissão
em todos os equipamentos que se encontrem
expostos na internet. A segurança física dos
principais componentes da infraestrutura
deve ser igualmente assegurada.
T.CWC – Conformidade Webcheck
A organização tem de garantir que estão a ser aplicadas as melhores práticas a nível de segurança de
correio eletrónico e páginas de Internet.
T.CWC-1 Implementar as melhores práticas associadas A organização deve assegurar a
à segurança do correio eletrónico e acesso a conformidade do seu domínio
páginas de internet. principal com, pelo menos, as
seguintes validações da plataforma
Webcheck - nível Inicial: Ligação
HTTP/S, Certificado Digital, SPF.
T.AM – Autenticação multifator
A organização deve ativar a autenticação multifator nas suas aplicações críticas sempre que esta
opção se encontrar disponível.
T.AM-1 Ativar, sempre que esta opção se encontre Identificar as aplicações críticas que
disponível, a autenticação multifator em todas se encontrem a utilizar a
as aplicações críticas para a organização. autenticação multifator, com base no
levantamento de serviços críticos, e
privilegiando as aplicações com
autenticação e que se encontrem
expostas ao exterior (p. ex. webmail).
Caso não se encontre implementado
por fatores tecnológicos, justificar
devidamente as causas para essa não
conformidade.
(continua)

DNP TS 4577-1
2021
p. 26 de 42

Área: Humana
H-PF – Plano de formação
A organização deve estabelecer um plano de ações de formação em segurança da informação e
cibersegurança, bem como definir os processos e procedimentos necessários para garantir a sua
correta implementação.
H.PF-1 Definir e executar um plano de formação Entrevistas aleatórias a membros da
sobre as políticas de segurança aprovadas e organização.
implementadas pela organização.
NOTA: o número de membros da organização a serem entrevistados depende da dimensão desta. A amostra a auditar deve
ser determinada pela raiz quadrada (arredondada para o número inteiro seguinte) da população em causa.
aplicável a todos os colaboradores da organização.
organização, visando a obtenção de
conhecimentos fundamentais de
ciberhigiene e sobre as principais ameaças
que se colocam às organizações (por
exemplo, através do phishing) e respetivos
canais de reporte das mesmas. Este plano
poderá englobar ações presenciais e/ou
online (p. ex. curso online Cidadão
Ciberseguro, providenciado pelo CNCS). A
assiduidade e cumprimento de requisitos de
avaliação deverão ser monitorizadas.
H.FIC – Fontes de informação e canais de comunicação
A organização deve garantir que existe consulta regular de fontes de informação e o acesso a canais
de comunicação fidedignos.
H.FIC-1 Definir um plano de comunicação para Partilhar o plano de comunicação
garantir a consulta regular de fontes de onde se inclui a pesquisa e
informação e o acesso a canais de disseminação de informação sobre
comunicação fidedignos (por exemplo, os ameaças de segurança de
alertas de segurança emitidos pelo CNCS) de informação.
modo a acompanhar o aparecimento e
evolução de eventos que se possam vir a
constituir como ameaças à segurança de
informação.
(continua)

DNP TS 4577-1
2021
p. 27 de 42

Nível de certificação: Prata
O.PP – Política de palavra-passe
O.PP-1 Definir uma política de palavra-passe que Apresentar o documento que
contenha, entre outras definições, os estabelece a política de palavra-
requisitos mínimos de dimensão e passe
complexidade, o prazo para alteração regular
e os mecanismos técnicos a implementar de
modo a garantir a sua execução.
O.PAP – Política de acessos e permissões
O.PAP-1 Segmentar numa base de need-to-know e Apresentar a documentação de
least privilege e documentar os níveis de suporte ao processo de gestão de
acesso aos principais sistemas e aplicações. acessos e a matriz de segregação de
funções por acessos e respetivas
atribuições
O.GMO – Gestão da mudança organizacional

A organização deve efetuar as devidas atualizações ao nível de procedimentos TIC, aquando da
entrada, alteração e saída de colaboradores.
O.GMO-1 Definir uma política que acautele a mudança Partilhar o documento que contém as
organizacional ao nível das TIC, com especial políticas de mudança organizacional,
incidência nas ações que devem ser nomeadamente as ações a executar
executadas após a saída de um colaborador quando existe a saída ou mudança de
ou da mudança das funções que lhe estão funções de um colaborador.
associadas.
O.PRI – Plano de reação a incidentes de Cibersegurança

Criar um plano de reação a incidentes de cibersegurança que inclua, no mínimo as funções e
responsabilidades; quem e quando contactar; como reagir a eventos críticos, para garantir que a
organização se encontra preparada para responder a situações de incidentes de cibersegurança.
O.PRI-1 Definir um plano de reação a incidentes de Apresentar o plano de reação a
cibersegurança que inclua, no mínimo: as incidentes de cibersegurança.
funções e responsabilidades; quem e quando
contactar; como reagir a eventos críticos
(ex.: ataques de negação de serviço,
ransomware).
(continua)

DNP TS 4577-1
2021
p. 28 de 42

Área: Técnica
T.CWC-2 Implementar as melhores práticas Para além das que se encontram
associadas à segurança do correio eletrónico indicadas no nível de certificação
e acesso a páginas de internet. bronze, a organização deve
assegurar a conformidade do seu
domínio principal com, pelo menos,
as seguintes validações da
plataforma Webcheck - nível
Intermédio: HSTS, Cabeçalhos de
segurança, DKIM.
T.GP – Gestão da palavra-passe

A organização deve definir mecanismos de autenticação e estes devem ser mantidos de acordo com
as características dos sistemas e dos perfis de acessos. Deve também garantir que as palavras passe
se encontram armazenadas através de uma solução para a gestão de palavras-passe.
T.GP-1 Garantir que as palavras-passe associadas à Mostrar a solução que se encontra a
gestão da infraestrutura são armazenadas ser utilizada para a gestão das
através de uma solução para a gestão de palavras-passe.
palavras-passe, preferencialmente offline. Para além disso, deve ser
No caso de se optar por uma solução online, demonstrada a aplicação prática da
escolher criteriosamente a mesma. política de palavra-passe existente e
Assegurar a implementação da política de verificada a coerência da mesma com
palavra-passe. a solução implementada.
T.PAD – Privilégios de acesso diferenciados

A organização deve garantir que os acessos e permissões são concedidos de acordo com os princípios
do menor privilégio e da segregação de funções.
T.PAD-1 Garantir que qualquer tipo de acesso Disponibilizar à Equipa Auditora
atribuído bem como as permissões de durante a realização da auditoria os
administração dos sistemas, aplicações e registos da identificação de acessos a
infraestrutura são concedidas numa base de sistemas e aplicações por perfil
need-to-know e least privilege, e de acordo funcional.
com a política definida. Assegurar a conformidade dos
mesmos com a política definida.
(continua)

DNP TS 4577-1
2021
p. 29 de 42

T.SC – Securização (hardening) de configurações
A organização deve garantir que se encontram a ser praticadas as melhores práticas de segurança ao
nível do posto de trabalho, das configurações do sistema operativo e principais aplicações utilizadas.
T.SC-1 Aplicar as melhores práticas de segurança e Exibir, nos postos de trabalho, a
privacidade ao nível do posto de trabalho implementação das melhores
(e.g. disponibilização de TPM 2.0; garantir práticas de segurança em matéria de
secureBoot UEFI; assegurar a proteção da securização de hardware e
BIOS), das configurações do sistema configurações.
operativo e principais aplicações utilizadas
(soluções de produtividade, browsers, etc.).
T.CA – Controlo aplicacional
A organização deve garantir que não é permitida a instalação de aplicações não autorizadas por parte
dos utilizadores.
T.CA-1 Aplicar mecanismos que previnam a Conceder acesso a equipamentos de
instalação de aplicações não autorizadas por forma aleatória para ser possível
parte dos utilizadores. testar a instalação de uma aplicação
não autorizada.
Nota: o número de postos de trabalho/equipamentos a serem auditados depende da dimensão da organização.
A amostra a auditar deve ser determinada pela raiz quadrada (arredondada para o número inteiro seguinte) do
conjunto em causa.
T.RAR – Recolha e armazenamento de registos
A organização deve garantir a salvaguarda dos registos dos sistemas operativos e das aplicações de
suporte à atividade.
T.RAR-1 Os registos produzidos pelos sistemas Permitir a visualização do
operativos e pelas aplicações de suporte à repositório central de registos (logs)
atividade são o principal instrumento de ou, em alternativa, demonstrar a
análise e investigação de um incidente de salvaguarda dos registos dos
cibersegurança. Neste contexto é essencial sistemas identificados como críticos.
que a organização possua um repositório
central para estes registos com um período
mínimo de armazenamento de 1 (um) ano.
Em complemento, é importante que cada
servidor tenha a capacidade de armazenar os
seus próprios registos por um período
mínimo de um mês.
(continua)

DNP TS 4577-1
2021
p. 30 de 42

Área: Humana
H-PF – Plano de formação
A organização deve estabelecer um plano de ações de formação em segurança da informação e
cibersegurança, bem como definir os processos e procedimentos necessários para garantir a sua
correta implementação.
aplicável aos colaboradores com perfis organização com perfis técnicos e
técnicos, visando a obtenção de partilhar a documentação contendo a
conhecimentos mais avançados sobre assiduidade e avaliação.
cibersegurança. Este plano poderá englobar
ações presenciais e/ou online. A assiduidade
e cumprimento de requisitos de avaliação
deverão ser monitorizadas.
(continua)

DNP TS 4577-1
2021
p. 31 de 42

Nível de certificação: Ouro
O.AGR – Análise e gestão do risco
A organização deve definir uma metodologia de gestão do risco que seja adequada para a realidade
da organização.
O.AGR-1 Deve ser realizada uma análise do risco que Partilhar a documentação contendo:
consiste em:
1 - Procedimentos que descrevem as
(i) identificar as vulnerabilidades associadas
metodologias de análise dos riscos;
a estes serviços e as ameaças a que se
encontram expostos; 2 - Catálogo das ameaças e
vulnerabilidades identificadas na
(ii) calcular a probabilidade de concretização
estrutura da organização;
da ameaça e o impacto daí esperado;
3 - Categorização dos ativos quanto à
(iii) avaliar a criticidade de cada um dos
sua relevância para a organização.
ativos baseada no impacto decorrente de
uma eventual falha de segurança (nível de 4 - Relatórios de avaliação
risco). quantitativa dos riscos;
Seguidamente, deve ser efetuada a 5 - Sistema de suporte à avaliação dos
correspondente gestão do risco, consistindo riscos.
na tomada de decisão quanto ao processo de
tratamento de cada um dos riscos
identificados. Esta decisão pode passar por
mitigar, transferir, evitar ou aceitar o risco.
Deve ainda ser assegurada a revisão
periódica desta análise.
(continua)

DNP TS 4577-1
2021
p. 32 de 42

O.SOC – Centro de Operações de Segurança (SOC)
A organização deve operacionalizar a função de SOC.
O.SOC-1 Operacionalizar a função de SOC na Apresentar a documentação de
organização, de modo a criar as capacidades criação do SOC, contendo, pelo
necessárias para prevenir, detetar, avaliar e menos, as responsabilidades que lhe
responder a ameaças e incidentes de estão acometidas, os recursos
cibersegurança, e para avaliar e cumprir com humanos e técnicos de que dispõe e o
a conformidade das leis locais em vigor. seu enquadramento no seio da
Existem diversos modelos de SOC que vão organização candidata.
desde o virtual, com recursos alocados a
Apresentar como é feita a recolha,
tempo parcial e sem exclusividade, até ao
tratamento e análise dos eventos de
modelo multifunções onde as equipas
segurança (por exemplo, através de
realizam não só as tarefas de segurança, mas
uma plataforma de SIEM); sustentar
também tarefas de operação e monitorização
como é criado e tratado um incidente
das redes e sistemas de informação.
de segurança (por exemplo, através
de uma plataforma de suporte);
apresentar evidências de eventuais
ações de sensibilização no âmbito do
SOC, etc.
O.PCN – Plano de continuidade do negócio
Criar um plano da continuidade do negócio que defina o propósito, âmbito, papéis, responsabilidades,
comprometimento da gestão de topo e coordenação com partes interessadas externas, que identifique
as funções essenciais ao bom funcionamento da organização e requisitos de contingência das mesmas,
que defina prioridades de recuperação, objetivos e métricas e que enderece a recuperação total das
funções essenciais.
O.PCN-1 Definir um Plano de continuidade do negócio Disponibilizar à Equipa Auditora
contendo os elementos essenciais que durante a realização da auditoria o
permitam à organização continuar em plano de continuidade do negócio.
operação perante um qualquer desastre ou Este deve conter os elementos acima
incidente que cause (ou tenha potencial para identificados.
causar) uma disrupção significativa ou até
total na atividade.
(continua)

DNP TS 4577-1
2021
p. 33 de 42

Área: Técnica
T.CS – Cópias de segurança
A organização deve implementar uma política de cópias de segurança e garantir que as cópias de
segurança podem ser utilizadas, caso seja necessário.
Deve ainda garantir que as cópias de segurança são testadas e validadas regularmente, através da
execução de planos de testes de restabelecimento.
T.CS-2 Implementar mecanismos de proteção Apresentar o PCN nesta vertente e
adicionais ao nível das cópias de segurança, verificar a conformidade do mesmo
devidamente enquadrados através de um com a solução implementada.
Plano para a continuidade de negócio, e Apresentar evidências dos
nomeadamente ao nível da segurança física, mecanismos de proteção adicionais
da cifra de informação armazenada e da implementados, quer ao nível da
salvaguarda de cópias offline. segurança física como lógica.
T.PPT – Proteção de postos de trabalho
A organização deve garantir que se encontra instalado um antivírus nos seus postos de trabalho e
dispositivos móveis.
T.PPT-2 Assegurar a gestão centralizada e proteção Conceder o acesso à plataforma onde
contra ameaças (vírus/código malicioso) em se encontra a ser feita a gestão
todos os postos de trabalho e dispositivos centralizada da proteção contra as
móveis da organização. ameaças.
Nota: o número de postos de trabalho/equipamentos a serem auditados depende da dimensão da organização.
A amostra a auditar deve ser determinada pela raiz quadrada (arredondada para o número inteiro seguinte) do
conjunto em causa.
T.CWC-3 Implementar as melhores práticas Para além das que se encontram
associadas à segurança do correio eletrónico indicadas nos níveis de certificação
e acesso a páginas de internet. bronze e prata, a organização deve
assegurar a conformidade do seu
domínio principal com as seguintes
validações da plataforma Webcheck -
nível Avançado: DNSSEC, TLS,
DMARC, STARTTLS.
(continua)

DNP TS 4577-1
2021
p. 34 de 42

T.RSC – Redundância de sistemas críticos
A organização deve efetuar a identificação e o registo dos ativos que suportam os seus serviços
críticos e garantir que existe redundância em caso de falha.
T.RSC-1 Garantir a existência de redundância ao nível Documentar e justificar a existência
dos sistemas mais críticos para o suporte ao de redundância ao nível dos sistemas
funcionamento da organização (por exemplo que suportam os serviços críticos da
controladores de domínio, partilha de organização.
ficheiros, etc.)
T.CEC – Cifra dos equipamentos corporativos
A organização deve garantir a configuração de cifra ao nível do disco de todos os equipamentos da
organização.
T.CEC-1 Configurar a cifra ao nível do disco de todos Permitir o acesso a equipamentos da
os equipamentos da organização. organização, de forma aleatória, para
comprovar a aplicação do controlo.
NOTA: o número de postos de trabalho/equipamentos a serem auditados depende da dimensão da organização. A amostra
a auditar deve ser determinada pela raiz quadrada (arredondada para o número inteiro seguinte) do conjunto em causa.
T.TSA – Testes de segurança e de aceitação de serviços

A organização deve adotar práticas que implementem o princípio de segurança na conceção e por
defeito (security by design and by default) e, como complemento, submeter a testes os serviços da
organização que se encontrem assentes em recursos TIC.
T.TSA-1 Os serviços disponibilizados pela Disponibilizar relatório dos testes
organização, assentes em recursos TIC, realizados por equipas
devem ser submetidos a testes de segurança especializadas em segurança
antes de passarem a produção, e os serviços ofensiva.
que já se encontrem em produção devem ser
avaliados numa base regular. Estes testes
devem ser conduzidos por equipas
especializadas em segurança ofensiva, e não
devem ser confundidos com testes
funcionais. Os objetivos são o de submeter as
aplicações, serviços e sistemas a ataques de
vários tipos e intensidades, analisar o
respetivo comportamento perante esses
ataques e propor ações para remediar
eventuais problemas detetados.
(continua)

DNP TS 4577-1
2021
p. 35 de 42

T.TRI – Testes de resposta a incidentes de segurança
A organização deve garantir que os planos de resposta e de recuperação de incidentes e da
continuidade do negócio da organização são testados, para que se possa determinar a eficácia dos
mesmos e identificar possíveis pontos de falha.
T.TRI-1 Assegurar que o Plano de reação a incidentes Dar acesso aos registos de exercícios
de cibersegurança é exercitado com alguma realizados pela organização.
regularidade (mínimo de duas vezes por
ano), de modo a avaliar os procedimentos e
funções definidas, testar as capacidades e
melhorar a articulação interna e externa com
as partes interessadas. Para tal, poderá ser
aproveitada a participação em exercícios de
cibersegurança, sejam os mesmos de âmbito
nacional ou internacional.
(continua)

DNP TS 4577-1
2021
p. 36 de 42
Quadro A.1 – Medidas de cibersegurança por nível de certificação (conclusão)

Área: Humana
H.EC – Realização de exercícios de avaliação de Cibersegurança
A organização deve garantir a realização periódica de exercícios e simulacros que permitam avaliar o
seu grau de preparação e reação a incidentes de cibersegurança.
H.EC-1 Realização de um simulacro de phishing, com Quer para o simulacro de phishing
uma periodicidade mínima anual, a todos os como para o exercício de
colaboradores. Produção do respetivo cibersegurança, partilhar o respetivo
relatório de avaliação da ação e divulgação relatório de avaliação assim como a
dos resultados do mesmo a toda a identificação de lições aprendidas e
organização. Direcionar ações de ações desencadeadas nesse âmbito
sensibilização específicas aos utilizadores (por exemplo ações de sensibilização
identificados. Adicionalmente, e de modo a junto de utilizadores identificados).
testar os procedimentos para resposta a
incidentes e melhorar a articulação interna e
externa com as partes interessadas, a
organização deve participar num exercício
de cibersegurança, de âmbito nacional ou
internacional, pelo menos uma vez por ano.

DNP TS 4577-1
2021
p. 37 de 42
Anexo B
(normativo)
Elementos a disponibilizar pela organização ao organismo de certificação

A organização deve requerer a certificação ao organismo de certificação através do envio das
informações seguintes.
Quadro B.1 – Elementos a fornecer ao organismo de certificação
Campos obrigatórios Notas
Secção 1: Identificação da organização candidata
Esta secção deve incluir toda a informação relevante da organização.
Nome pelo qual a organização é publicamente conhecida, nome ou
marca comercial
Nome legal da organização
Identificação da organização
Número de identificação fiscal da organização
(Identificação da organização que se
encontra a solicitar a avaliação) Morada da organização (e da sede, quando diferente)
Contactos do representante legal da organização
Identificação e contacto da pessoa da organização que irá ser
responsável pelo processo de certificação
O contacto a partilhar com o organismo de avaliação de
Contacto da organização conformidade deverá ser um contacto direto. Poderá ser o contacto
(Identificação e contacto da pessoa da de uma pessoa individual ou o nome de um grupo de trabalho que
organização que irá ser responsável se encontra afeto ao projeto de certificação. Esta informação deve
pelo processo de certificação) incluir pelo menos, o nome do departamento responsável e os dados
de contacto (número de telefone e endereço de correio eletrónico).
Indicação da natureza da organização. Por exemplo, empresa,
autarquia, ONG, IPSS, entre outras
Descrição da organização Número total de colaboradores da organização
candidata Moradas ou locais físicos da organização
(Indicação da natureza da Número de colaboradores afetos a cada local
organização, número de
Atividades desenvolvidas em cada local
colaboradores da organização,
descrição dos locais físicos da Número de postos de trabalho e dispositivos que constituam o
organização) parque informático da organização, incluindo os que configurem a
sua rede e/ou com acesso ao ciberespaço
Se notificação de alterações: Descrição das alterações (apenas) na
(Aquando da notificação de
alterações) Descrição das alterações
organização certificada e na sua caracterização quanto aos
às informações previamente elementos acima indicados. Adicionalmente, devem ser descritas
facultadas que dizem respeito à alterações não acima listadas mas que podem ter impacto no
caracterização da organização certificado como: alteração dos sistemas de informação que
certificada) suportam as atividades críticas da organização, ou a própria
alteração da caracterização das atividades críticas para a
organização.
(continua)

DNP TS 4577-1
2021
p. 38 de 42
Quadro B.1 – Elementos a fornecer ao organismo de certificação (conclusão)

Campos obrigatórios Notas
Secção 1: Identificação da organização candidata
Esta secção deve incluir toda a informação relevante da organização.
Nível de certificação a que se Nível de certificação para a qual a organização se pretende
candidata candidatar: bronze, prata ou ouro
Candidatura para concessão da certificação
Tipo de comunicação ou
Notificação de alterações na organização certificada
Secção 2: Declaração de compromisso
Esta secção contém uma declaração pelo responsável pela organização que confirma que a
informação constante no presente template descreve corretamente a organização candidata.
Deverá ser datada e assinada e deve pelo menos confirmar:
− Que a documentação para a certificação se encontra completa;
− Que a documentação se encontra conforme e atualizada;
− Que a documentação cumpre os requisitos de certificação do selo digital;
− Que a documentação reflete os processos, procedimentos e sistemas que se encontram em vigor
na organização;
− Que a organização e o seu responsável se comprometem a cumprir todas as obrigações durante a
certificação e, após a obtenção da certificação, durante todo o ciclo de vida do certificado;
− O responsável pela organização declara que é responsável pelos pontos acima mencionados.
Secção 3A: Descrição da implementação do esquema na organização
Esta secção contém uma descrição sobre o modo como a organização implementou medidas de
cibersegurança, efetuando o mapeamento para os objetivos e as medidas de segurança previstas no
nível de certificação a que se candidata no âmbito do esquema Selo Digital - Cibersegurança.
Deve descrever as medidas de cibersegurança implementadas pela organização e o modo como a
organização as implementou, descrevendo como as medidas definidas e implementadas pela
organização cumprem os requisitos de segurança definidos no esquema do selo digital.
Secção 3B: Descrição da implementação das medidas de segurança previstas no esquema para
lidar com as alterações entretanto ocorridas na organização certificada e manter o nível de
certificação obtido
Se notificação de alterações: Deve descrever a atualização de medidas previamente implementadas,
ou se necessário as novas medidas implementadas, para que a organização mantenha o nível de
segurança e de certificação que obteve, para responder às alterações que entretanto ocorreram.

DNP TS 4577-1
2021
p. 39 de 42
Anexo C
(informativo)
Correspondência entre outros documentos nacionais e as medidas de

cibersegurança estabelecidas no presente documento
Quadro C.1 – Relação com outros referenciais nacionais
Selo digital – Cibersegurança Referenciais Nacionais
Referência: Medida de cibersegurança
Referência:
O - Organizacional
O.ID Identificação de funções ou atividades críticas QNRCS 3.5.4 e 4.3.1
Roteiro A 1.3
O.IAC Inventariação dos ativos críticos QNRCS 4.3.1
QNRCS - ID.GA-5
O.PUA Política(s) de utilização aceitável dos recursos Roteiro A 2.9
TIC
O.PP Política de palavra-passe
O.PAP Política de acessos e permissões QNRCS - PR.GA-4
O.RSI Identificação de responsável pela função de Roteiro A 1.2
Segurança da Informação
O.GMO Gestão da mudança organizacional
O.AGR Análise e gestão do risco QNRCS 3.5 e 4.3.4
Roteiro A 1.6 e A 4.3
ID.AR-4
ID.GR-3
O.SOC Centro de Operações de Segurança (SOC) QNRCS 5.3
Roteiro A 3.8
O.PRI - Plano de reação a incidentes de Cibersegurança Roteiro A 4.5
QNRCS – 4.4.4
QNRCS - PR.PI-9
O.PCN Plano de continuidade do negócio QNRCS 4.4.4
QNRCS - PR.PI-9
Roteiro A 3.9
(continua)

DNP TS 4577-1
2021
p. 40 de 42
Quadro C.1 – Relação com outros referenciais nacionais (conclusão)

Referência:
T - Técnica
T.CS Cópias de segurança Roteiro A 2.10
T.AS Atualizações de segurança Roteiro A 4.9
T.PPT Proteção de postos de trabalho Roteiro A 3.5
T.PPI Proteção perimetral e da infraestrutura: Roteiro A 2.1
T.CWC Conformidade Webcheck Recomendação Técnica CNCS
01/2019 e 01/2020
T.AM Autenticação multifator
T.GP Gestão da palavra-passe
T.PAD Privilégios de acesso diferenciados
T.SC Securização (hardening) de configurações Roteiro A 3.7
T.CA Controlo aplicacional:
T.RAR Recolha e armazenamento de registos Roteiro A 2.5
T.RSC Redundância de sistemas críticos:
T.CEC Cifra dos equipamentos corporativos
T.TSA Testes de segurança e de aceitação de serviços Roteiro A 3.3 e A 4.7
T.TRI Testes de resposta a incidentes de segurança QNRCS 4.4.4
QNRCS - PR.PI-10
Roteiro A 5.9
Referência:
H - Humana
H.PF Plano de formação Roteiro A.2.11 e A 2.12
QNRCS - PR.FC-1
Roteiro A.2.11 e A 3.10
QNRCS - PR.FC-1
H.FIC Fontes de informação e canais de comunicação
H.EC Realização de exercícios de avaliação de Roteiro A 4.4 e A 5.9
Cibersegurança

DNP TS 4577-1
2021
p. 41 de 42
Bibliografia
[1] Quadro Nacional de Referência para a Cibersegurança, Centro Nacional de Cibersegurança,
Versão 1.0 de outubro de 2019
[2] Quadro de Avaliação de Capacidades de Cibersegurança, Centro Nacional de Cibersegurança,
Versão 1.0 de janeiro de 2020
[3] Roteiro para Capacidades Mínimas de Cibersegurança, Centro Nacional de Cibersegurança,
Versão 1.0 de outubro de 2020
[4] REGULAMENTO (UE) 2019/881 DO PARLAMENTO EUROPEU E DO CONSELHO de 17 de abril de
2019 relativo à ENISA (Agência da União Europeia para a Cibersegurança) e à certificação da
cibersegurança das tecnologias da informação e comunicação e que revoga o Regulamento (UE)
nº 526/2013 (Regulamento Cibersegurança)
[5] EUCC – European Cybersecurity Certification Scheme, version 1.1 dated 20th September 2020
[6] EUCS – Cloud Services Scheme, a candidate cybersecurity certification scheme for cloud services,
December 2020
[7] ISO Guide 73:2009 Risk management – Vocabulary
[8] ISO 9000:2015 Quality management systems – Fundamentals and Vocabulary
[9] ISO/IEC 15408- Information technology – Security techniques – Evaluation criteria for
3:2008 IT security – Part 3: Security assurance components
[10] ISO/IEC 17000:2020 Conformity assessment – Vocabulary and general principles

[11] ISO/IEC 17021- Conformity assessment – Requirements for bodies providing audit and
1:2015 certification of management systems – Part 1: Requirements
[12] ISO/IEC 17025:2017 General requirements for the competence of testing and calibration
laboratories
[13] ISO/IEC 17029:2019 Conformity assessment – General principles and requirements for
validation and verification bodies
[14] ISO/IEC 17065:2012 Conformity assessment – Requirements for bodies certifying products,
processes and services
[15] ISO/IEC 17067:2013 Conformity assessment – Fundamentals of product certification and
guidelines for product certification schemes
[16] ISO/IEC 17788:2014 Information technology – Cloud computing – Overview and Vocabulary
[17] ISO 19011:2018 Guidelines for auditing management systems

DNP TS 4577-1
2021
p. 42 de 42
[18] ISO/IEC 20000- Information technology – Service management – Part10: Concepts and
10:2019 Vocabulary
[19] ISO/IEC/IEEE Systems and software engineering – Vocabulary
24765:2017
[20] ISO/IEC 27000:2018 Information technology – Security techniques – Information security
management systems – Overview and Vocabulary
management systems – Requirements
[22] ISO/IEC 27002:2013 Information technology – Security techniques – Code of practice for
information security controls
risk management
[24] ISO/IEC 27006:2015 Information technology – Security techniques – Requirements for
bodies providing audit and certification of information security
management systems
[25] ISO/IEC 27007:2020 Information security, cybersecurity and privacy protection – Guidelines
for information security management systems auditing
[26] ISO/IEC 27017:2015 Information technology – Security techniques – Code of practice for
information security controls based on ISO/IEC 27002 for cloud services
[27] ISO/IEC 27032:2012 Information technology – Security techniques – Guidelines for
cybersecurity
[28] ISO/IEC 29147:2018 Information technology – Security techniques – Vulnerability disclosure
[29] ISO/IEC 30111:2019 Information technology – Security techniques – Vulnerability handling
processes

DNP TS 4577-1 - 2021 - Maturidade Digital - Selo Digital

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

DNP TS 4577-1 - 2021 - Maturidade Digital - Selo Digital

Enviado por

Direitos autorais:

Formatos disponíveis

DNP TS DNP TS 4577-1

Documento Normativo Português – Especificação Técnica

Maturidade digital – Selo digital

Maturité digitale – Sceau digitale

Digital maturity – Digital stamp

CÓDIGO DE PREÇO 2ª EDIÇÃO

© IPQ reprodução proibida

Rua António Gião, 2

Tel. + 351-212 948 100 Fax + 351-212 948 101

© IPQ reprodução proibida

© IPQ reprodução proibida

© IPQ reprodução proibida

© IPQ reprodução proibida

© IPQ reprodução proibida

1 Objetivo e campo de aplicação

O presente documento aplica-se a toda as organizações de todos os setores de atividade, de todas as

3.3 organização multisite

3.8 não conformidade

3.9 ação corretiva

© IPQ reprodução proibida

3.12 política de utilização aceitável (PUA)

3.13 traffic light protocol (TLP)

3.14 centro de operações de segurança (SOC)1)

© IPQ reprodução proibida

4.2 Níveis de certificação

© IPQ reprodução proibida

© IPQ reprodução proibida

5.2 Tipo e âmbito do esquema de certificação

6.1 Atividades prévias à certificação

6.1.2 Análise da Candidatura

© IPQ reprodução proibida

c) a informação sobre a organização candidata e o âmbito de certificação é suficiente para conduzir o

© IPQ reprodução proibida

© IPQ reprodução proibida

6.3 Decisão de concessão da certificação

6.4 Certificado de conformidade e uso da marca de certificação

© IPQ reprodução proibida

No decurso das auditorias de acompanhamento e de renovação é avaliada a utilização da marca de

6.5 Manutenção da certificação

© IPQ reprodução proibida

6.6 Renovação da certificação

6.7 Alteração do âmbito de certificação

6.8.1 Suspensão da certificação

© IPQ reprodução proibida

6.8.2 Anulação da certificação

6.9 Suspensão ou anulação voluntárias da certificação

6.10 Transferência da certificação

© IPQ reprodução proibida

− confirmação de que a certificação da organização certificada está no seu âmbito de acreditação;

© IPQ reprodução proibida

O certificado de conformidade a emitir pelo organismo de certificação recetor do pedido de

6.11 Reclamações e recursos

6.12 Dever de comunicação ao organismo de certificação

− alterações de estatuto legal, jurídico, organizacional ou de propriedade, incluindo alterações de

© IPQ reprodução proibida

6.13 Condições financeiras

6.14 Manutenção dos registos

6.15 Segurança da informação

© IPQ reprodução proibida

Requisitos – Medidas de cibersegurança

O.ID – Identificação de funções ou atividades críticas

O.ID-1 Garantir uma identificação completa e Disponibilizar à Equipa Auditora

O.IAC – Inventariação dos ativos e documentação da arquitetura de comunicações de dados