Escolar Documentos
Profissional Documentos
Cultura Documentos
DNP TS 4577-1 - 2021 - Maturidade Digital - Selo Digital
DNP TS 4577-1 - 2021 - Maturidade Digital - Selo Digital
2021
ICS APROVAÇÃO
35.030 Termo de Aprovação nº 18/2021, de 2021-12-21
O presente documento resulta da revisão do
DNP TS 4577-1:2021
CORRESPONDÊNCIA ELABORAÇÃO
CTA 41 (IPQ)
p. 3 de 42
Sumário Página
Preâmbulo ...................................................................................................................................................................4
Introdução ...................................................................................................................................................................6
1 Objetivo e campo de aplicação .........................................................................................................................8
2 Referências normativas ......................................................................................................................................8
3 Termos e definições..............................................................................................................................................8
4 Requisitos.................................................................................................................................................................9
4.1 Generalidades........................................................................................................................................................................ 9
4.2 Níveis de certificação .......................................................................................................................................................10
5 Esquema de certificação .................................................................................................................................. 11
5.1 Generalidades......................................................................................................................................................................11
5.2 Tipo e âmbito do esquema de certificação ..............................................................................................................12
6 Processo de certificação................................................................................................................................... 12
6.1 Atividades prévias à certificação.................................................................................................................................12
6.2 Avaliação ...............................................................................................................................................................................13
6.3 Decisão de concessão da certificação ........................................................................................................................15
6.4 Certificado de conformidade e uso da marca de certificação ..........................................................................15
6.5 Manutenção da certificação ...........................................................................................................................................16
6.6 Renovação da certificação..............................................................................................................................................17
6.7 Alteração do âmbito de certificação ..........................................................................................................................17
6.8 Sanções ..................................................................................................................................................................................17
6.9 Suspensão ou anulação voluntárias da certificação ............................................................................................18
6.10 Transferência da certificação .....................................................................................................................................18
6.11 Reclamações e recursos ...............................................................................................................................................20
6.12 Dever de comunicação ao organismo de certificação ......................................................................................20
6.13 Condições financeiras ...................................................................................................................................................21
6.14 Manutenção dos registos .............................................................................................................................................21
6.15 Segurança da informação ............................................................................................................................................21
Anexo A (normativo) Requisitos – Medidas de cibersegurança ............................................................. 22
Anexo B (normativo) Elementos a disponibilizar pela organização ao organismo de
certificação ............................................................................................................................................................... 37
Anexo C (informativo) Correspondência entre outros documentos nacionais e as medidas de
cibersegurança estabelecidas no presente documento ........................................................................... 39
Bibliografia............................................................................................................................................................... 41
p. 4 de 42
Preâmbulo
O presente documento é a 2ª edição do DNP TS 4577-1:2021 e anula e substitui a sua 1ª edição.
Com a implementação do presente documento pelas organizações e na sequência da realização de
auditorias pelas Equipas Auditoras foram detetados alguns pormenores que necessitavam de correção
e outros que se considerou necessitarem de alteração cujo objetivo visa especificar melhor algumas
medidas e clarificar os procedimentos de implementação respetivos. Deste modo, considerou-se
necessário proceder a uma revisão à 1ª edição, nomeadamente no Anexo A, para incluir:
− na medida com a referência O.ID-1 foi melhorada a descrição relativa às evidências a disponibilizar à
Equipa Auditora;
− na medida com a referência O.IAC foi alterada a designação da medida e melhorada a descrição relativa
às evidências a disponibilizar à Equipa Auditora na medida com a referência O.IAC-1;
− na medida com a referência T.PPI-1 foi melhorada a descrição relativa à medida;
− na medida com a referência T.CWC-2 foi corrigido, nas evidências o nível de certificação que por lapso
mencionava prata quando deve mencionar bronze;
− na medida com a referência T.CWC-3 foi corrigido, nas evidências os níveis de certificação que por
lapso mencionavam prata e ouro quando deve mencionar bronze e prata.
No quadro da Presidência Portuguesa da União Europeia foi lançado um Projeto cujo objetivo final é
fomentar o aumento da maturidade digital das organizações portuguesas.
Para tal considerou-se ser relevante a definição de um conjunto de requisitos em quatro áreas de
atuação distintas: cibersegurança, privacidade e proteção de dados, sustentabilidade e acessibilidade,
para que as organizações possam implementar e evidenciar o cumprimento das melhores práticas
nestas áreas.
O presente documento pode ser utilizado para fins de certificação como demonstração ao mercado da
atestação, por um organismo de terceira parte, do cumprimento dos requisitos especificados no
presente documento, bem como da legislação aplicável.
Pretende-se com a certificação reforçar a diferenciação, a credibilidade e a competitividade das
organizações portuguesas. A certificação representa ainda um investimento em cibersegurança propício
à prevenção de custos e à geração de potenciais retornos.
A certificação em cibersegurança assume como diretriz o quadro de referência nacional em
cibersegurança, respeitando os princípios definidos pela Comissão Europeia nesta matéria.
Para uma maior confiança na avaliação da conformidade por organismos de certificação, torna-se
necessário que esta certificação se realize por organismo de certificação acreditado para o presente
esquema de certificação.
O DNP TS 4577, Maturidade Digital - Selo digital é composto pelas seguintes partes:
Parte 1 Cibersegurança - Requisitos
Parte 2 Privacidade e proteção de dados – Requisitos
Parte 3 Sustentabilidade – Requisitos
Parte 4 Acessibilidade – Requisitos
p. 5 de 42
O presente documento foi elaborado pela Comissão Técnica de Normalização ad hoc CTA 041 «Selos
digitais», cuja coordenação é assegurada pelo Organismo Nacional de Normalização, Instituto Português
da Qualidade (ONN/IPQ).
A Comissão Técnica de Normalização ad hoc CTA 041 «Selos digitais» reuniu um significativo painel de
peritos no âmbito das quatro dimensões a trabalhar. Relativamente ao presente documento, destaca-se
a participação relevante do Centro Nacional de Cibersegurança (CNCS) que coordenou a definição dos
requisitos de cibersegurança constantes neste documento normativo.
p. 6 de 42
Introdução
A necessidade de adaptação constante dos modelos de negócio passou a fazer parte do dia-a-dia e deve
ser encarada como algo natural. Desta forma, podemos dizer que a transformação digital é uma
realidade inevitável, obrigando as organizações a entrarem no meio digital, não apenas devido à
competitividade, mas como condição essencial para permanecer no mercado. A transformação digital
está a avançar, independentemente do segmento de mercado, afetando todas as organizações de modo
transversal.
A transformação digital representa uma oportunidade para as organizações se tornarem mais
competitivas no mercado, mais eficazes e eficientes na análise de dados e mais próximas na forma como
se relacionam com o cliente.
Um dos alicerces fundamentais numa estratégia digital de sucesso de uma organização,
independentemente da sua dimensão e do seu negócio, tem de ser a cibersegurança. A transformação
digital é um assunto premente e necessário em todas as organizações, procurando chegar junto do
cliente e de todas as partes interessadas através de meios cada vez mais fáceis, mais rápidos e intuitivos
com múltiplas fontes de informação. No entanto, por detrás de todos os benefícios extraordinários que
a transformação digital oferece às organizações, existem as verdadeiras ameaças cibernéticas que
necessitam de ser bloqueadas.
As pequenas e médias empresas, na sua grande maioria, são as que maior dificuldade sentem, dado que
teoricamente são as que possuem mais baixa maturidade digital não dispondo de meios físicos e
humanos com capacidade e competência para bloquear as ameaças e acelerar as oportunidades da
transformação digital.
O presente esquema de certificação - Maturidade Digital - Selo Digital constitui um guião para o processo
de transição digital, na dimensão da cibersegurança, de todas as organizações, em especial as pequenas
e médias organizações, num mundo e tempo marcados pela cada vez maior dependência das tecnologias
de informação e comunicação (TIC) para o próprio funcionamento básico das organizações e entidades
singulares e da prestação dos serviços que proporcionam.
As medidas previstas no Selo Digital – Cibersegurança procuram mitigar um número considerável de
riscos de cibersegurança e aumentar a prevenção e proteção das redes e da informação das
organizações, tornando-as mais capazes de conduzir as suas atividades e mais resistentes a riscos de
eventuais paralisações em consequência de ataques ou de outros problemas de cibersegurança. As
medidas têm um impacto imediato e significativo na abordagem a alguns dos riscos de cibersegurança
mais comuns e prejudiciais e na melhoria da prevenção e proteção das redes e da informação das
organizações. As medidas de segurança previstas bem como os respetivos procedimentos de verificação
foram selecionados a partir dos referenciais nacionais como o Quadro Nacional de Referência para a
Cibersegurança (QNRCS), o Roteiro para as Capacidades Mínimas de Cibersegurança e o Quadro de
Avaliação de Capacidades de Cibersegurança devido à inexistência, à data, de qualquer norma europeia
ou internacional amplamente adotada e reconhecida.
O resultante aumento da segurança e confiança digitais estimulará a mudança estrutural no modo como
se desenvolvem as interações digitais, facilitando o aproveitamento das oportunidades e desafios
criados pela 4ª revolução industrial.
Para as organizações que optem pela adoção deste referencial, as vantagens específicas da obtenção de
certificação da sua Maturidade Digital (Selo Digital) na dimensão Cibersegurança são várias:
− Melhorar a cibersegurança da organização e, por inerência, torná-la mais resiliente e mais capaz de
prestar os seus serviços;
p. 7 de 42
− Reputação: uma organização vista como tendo um risco de cibersegurança aceitável é uma
organização que reforça a ligação sentida pelos seus clientes e utilizadores finais;
− Vantagem competitiva em relação a organizações não certificadas, em quatro vertentes:
− Ajudando a organização a estar conforme com a legislação existente;
− Reduz custos desnecessários e evitáveis resultantes de violações de segurança;
− Protege a marca da organização, ao prevenir o acesso de agentes maliciosos a informações de
clientes e utilizadores finais, que conduz à diminuição ou desaparecimento da sua confiança na
organização;
− Oferece uma proposta de valor para os seus clientes e utilizadores finais – estes podem não ser
capazes de acompanhar o mundo em constante evolução da cibersegurança, mas esperam que a
sua proteção seja um recurso integrado na forma como interagem com a organização. Medidas
proativas de cibersegurança tornam a interação em linha mais segura e confiável, o que poupa
tempo a clientes e utilizadores finais, otimiza as suas experiências e aporta-lhes valor real.
Os objetivos da adoção do presente documento são diversos e poderão ser:
− Organizações que pretendem verificar o seu nível atual de cibersegurança e aumentá-lo;
− Organizações que desejam obter a certificação para a evidenciar publicamente como prova de
qualidade;
− Partes interessadas que pretendam usufruir da prova apresentada pelo certificado para fazer
escolhas informadas relacionadas com a confiança na cibersegurança de uma dada organização ou
prestador de serviços como um fator importante de seleção para o estabelecimento de relações,
incluindo entidades públicas no estabelecimento de relações comerciais;
− As entidades reguladoras, Centro Nacional de Cibersegurança (CNCS) e outras entidades públicas,
que pretendam estabelecer requisitos de segurança para as organizações no âmbito das suas
regulações e diretivas.
O caminho da transformação digital assente nos quatro pilares do selo digital (sustentabilidade,
acessibilidade, privacidade e proteção de dados, cibersegurança) permitirá o caminho para a
maturidade digital das organizações com impacto direto nas suas competitividades e nos seus
resultados.
p. 8 de 42
2 Referências normativas
O presente documento não contém referências normativas.
3 Termos e definições
Para os fins do presente documento aplicam-se os seguintes termos e definições.
3.1 organização
Pessoa ou conjunto de pessoas que tem as suas próprias funções com responsabilidades, autoridades e
relações para atingir os seus objetivos.
NOTA 1 à secção: O conceito de organização inclui, mas não se limita a trabalhador independente, companhia, corporação,
firma, empresa, autoridade, parceria, instituição de solidariedade social ou outra, ou parte ou combinação das mesmas, dotadas
ou não de personalidade jurídica, de direito público ou privado.
3.2 local
Instalações controladas pela organização e onde são realizadas atividades de tratamento de dados.
3.4 processo
Conjunto de atividades interrelacionadas ou interatuantes que transformam entradas em saídas.
3.5 procedimento
Modo especificado de realizar uma atividade ou um processo (3.6).
NOTA 1 à secção: Os procedimentos poderão ser documentados ou não.
3.6 auditoria
Processo (3.4) sistemático, independente e documentado para obter evidências de auditoria e respetiva
avaliação objetiva, com vista a determinar em que medida os critérios da auditoria são satisfeitos.
3.7 conformidade
Satisfação de um requisito (3.4).
p. 9 de 42
3.10 correção
Ação para eliminar uma não conformidade (3.38) detetada.
NOTA 1 à secção: Uma correção pode ser efetuada antes de, em conjunto com ou depois de uma ação corretiva (3.40).
3.11 requisito
Necessidade ou expetativa expressa, geralmente implícita ou obrigató ria.
NOTA 1 à secção: «Geralmente implícita» significa que é há bito ou prá tica comum para a organização (3.1) e para as partes
interessadas que a necessidade ou expetativa em consideraçã o esteja implícita.
NOTA 2 à secção: Um requisito especificado é um requisito que é expresso, p. ex. em informaçã o documentada.
4 Requisitos
4.1 Generalidades
O presente documento define um conjunto de medidas e requisitos de segurança distribuídos por três
áreas de incidência – as áreas organizacional, humana e técnica – que a organização candidata à
certificação deve implementar, bem como os métodos e procedimentos de verificação de tal
implementação, descritos numa linguagem clara, de forma que se pretende inequívoca, que permita às
organizações intuitivamente apreender o que delas é esperado e como cumprir com os requisitos. O
presente documento pretende ainda orientar os organismos de certificação nos procedimentos a aplicar
para verificação da conformidade com os requisitos.
A organização deve implementar os requisitos do nível de certificação a que se pretende candidatar em
todos os locais e processos da organização onde há recurso a TIC. As medidas definidas para cada nível
devem ser aplicadas na íntegra na organização enquanto um todo. Implementações das medidas
definidas no esquema em partes da organização (como, por exemplo, num determinado departamento
apenas ou num único local entre vários, em que a organização faz uso de TIC para realizar ou apoiar as
suas atividades) não conduzem à obtenção do certificado.
1)https://www.gartner.com/en/newsroom/press-releases/2017-10-12-security-operations-centers-and-their-role-in-
cybersecurity
p. 10 de 42
p. 11 de 42
O nível de certificação prata destina-se a organizações com capacidades de cibersegurança para além
das elementares, com média dimensão, ou com mais necessidades de cibersegurança, em virtude de uma
maior dependência desta para o sucesso da sua atividade.
Os requisitos definidos para este nível correspondem a este perfil, intensificando o grau de
comprometimento e de exigência da organização para com a cibersegurança, preparando-a para uma
abordagem mais proativa e dedicada, espelhada na inclusão da cultura da cibersegurança na gestão de
topo e em diversas instâncias da vida quotidiana da organização.
De acordo com o princípio geral previamente definido, os métodos e procedimentos de verificação de
cumprimento dos requisitos deste nível são mais rigorosos e detalhados, obrigando a maior intervenção
por parte da organização, dada a natureza dos requisitos previstos neste nível.
O nível de certificação ouro destina-se a um conjunto mais específico de organizações, mais capacitadas
em cibersegurança e em recursos técnicos e humanos para a implementar, com necessidades prementes
de proteção das redes e da sua informação ou para as quais a cibersegurança é essencial para assegurar
as suas funções e atividades críticas, ou ainda aquelas cujo impacto de um incidente de cibersegurança
pode fazer perigar até a própria existência da organização.
Os requisitos definidos para este nível espelham a integral imersão da organização numa cultura de
cibersegurança, demonstrando estar ciente dos riscos associados à utilização das TIC e estabelecendo
um conjunto de medidas para gerir esse risco, preventivamente e proativamente, em situação de
prevenção e resposta a incidentes e na limitação de impactos e recuperação das funções críticas da
organização durante e após um incidente. Numa organização capacitada para um nível de certificação
ouro, qualquer um dos seus elementos conhece os princípios e adota as práticas mais adequadas de
cibersegurança.
Mantendo a coerência com o princípio referido, os métodos e procedimentos de verificação de
cumprimento dos requisitos deste nível são ainda mais rigorosos e detalhados, solicitando da parte da
organização e do organismo de certificação, a efetivação de diligências mais exigentes para a
demonstração do cumprimento dos requisitos.
No Anexo A constam os requisitos por nível de certificação.
5 Esquema de certificação
5.1 Generalidades
Este esquema de certificação especifica os requisitos aplicáveis aos organismos de certificação que
auditam e certificam de acordo com este referencial. O cumprimento destes requisitos, dos requisitos
definidos na NP EN ISO/IEC 17065, bem como outros requisitos eventualmente a definir pela
Autoridade Nacional de Cibersegurança e/ou pelo Instituto Português de Acreditação (IPAC), destinam-
-se a assegurar que os organismos de certificação gerem a certificação com competência, de uma forma
coerente e imparcial, facilitando desta forma o reconhecimento destes organismos e a aceitação das suas
certificações tanto a nível nacional como internacional.
A responsabilidade pela gestão da marca de certificação do presente esquema de certificação é da
Imprensa Nacional Casa da Moeda (INCM).
A responsabilidade pela gestão dos requisitos técnicos do presente esquema de certificação é do Centro
Nacional de Cibersegurança (CNCS).
A responsabilidade pela gestão do processo normativo do presente esquema de certificação é do
Instituto Português da Qualidade (IPQ).
p. 12 de 42
6 Processo de certificação
O processo de certificação tem um ciclo de 3 anos de auditoria e compreende, as seguintes fases:
− Atividades prévias à certificação;
− Avaliação;
− Decisão de certificação;
− Manutenção da certificação;
− Renovação da Certificação.
6.1.1 Candidatura
A organização candidata deve requerer a certificação, de acordo com o presente documento, ao
organismo de certificação através do envio2) de um conjunto de informações. As informações a serem
remetidas estão definidas no Anexo B.
2)Todas as notificações, comunicações, fundamentações e argumentações referidas são efetuadas, preferencialmente, por via
eletrónica.
p. 13 de 42
6.2 Avaliação
Para cada organização candidata o organismo de certificação deve determinar o tempo necessário para
planear e realizar uma auditoria de concessão de acordo com os objetivos e critérios de auditoria.
No caso de organizações multisite, na avaliação de concessão todos os locais onde há recurso a TIC
devem ser auditados.
O organismo de certificação deve ter um processo para selecionar e nomear a equipa auditora, de acordo
com os requisitos de competência estabelecidos pelo esquema de acreditação. O organismo de
certificação deverá comunicar no prazo de 15 dias após a notificação da aceitação da candidatura, a
constituição da equipa auditora nomeada, solicitando a sua aceitação à organização candidata. A equipa
auditora pode ser constituída por um ou mais elementos sendo que, pelo menos um deles deve estar
qualificado como auditor coordenador e assegurar as responsabilidades inerentes a essa função. A
organização candidata pode manifestar a sua discordância relativamente à constituição da equipa
auditora devendo fundamentar até 5 dias úteis após a receção da comunicação. O organismo de
certificação deverá no prazo de 10 dias:
− proceder à nomeação de outro(s) auditor(es), caso aceite a fundamentação apresentada, e notificar
a organização candidata sobre a constituição da nova equipa;
− informar a organização candidata da não aceitação dos fundamentos apresentados e consequente
manutenção da proposta original de constituição da equipa auditora.
A organização candidata dispõe de um prazo de 5 dias para se pronunciar sobre a aceitação ou rejeição
da proposta do organismo de certificação.
p. 14 de 42
Se, após reiterada rejeição pela organização candidata das equipas auditoras propostas, for inviabilizada
a constituição da equipa auditora com pessoal qualificado, o organismo de certificação poderá encerrar
o processo de certificação por não ser possível o seu seguimento.
Após acordo da constituição da equipa auditora e da data da auditoria, a equipa auditora procede à
realização da auditoria.
A duração da auditoria deve ser igual ao total das durações parciais de cada elemento da equipa
auditora. A participação dos peritos não é contabilizada na duração efetiva da auditoria.
A organização deve permitir o acesso a documentos, registos, pessoal, equipamentos, instalações e
outros que sejam considerados relevantes para os objetivos e âmbito da auditoria.
A auditoria de concessão tem como objetivo:
− Determinar a conformidade do processo de gestão da cibersegurança com os critérios de auditoria;
− Determinar a capacidade do processo de gestão da cibersegurança em assegurar o cumprimento dos
requisitos estatutários, regulamentares e contratuais aplicáveis e os resultados esperados;
− Identificar, quando aplicável, áreas potenciais de melhoria do processo de gestão da cibersegurança.
Os critérios de auditoria de concessão são:
− A totalidade dos requisitos do presente documento aplicáveis ao nível de certificação para o qual a
organização se candidata (Anexo A);
− Requisitos do esquema de certificação;
− Requisitos legais e estatutários e outros requisitos aplicáveis;
− Atividades de tratamento e informação documentada que suportam a implementação do presente
documento.
A equipa auditora procede à elaboração do relatório da auditoria, o qual deve registar as não
conformidades detetadas no decurso da auditoria. O relatório da auditoria deve ser apresentado na
reunião final da auditoria e entregue pela equipa auditora à organização.
A organização deve elaborar e remeter ao organismo de certificação até 15 dias após a entrega do
relatório da auditoria, um plano de ações corretivas identificando, para cada não conformidade
registada, as causas, as correções e/ou as ações corretivas e o prazo de implementação.
O auditor coordenador deve analisar o plano de ações corretivas proposto e informar a organização
candidata da sua aceitação ou rejeição dentro de um prazo de 10 dias. Caso se verifique que o mesmo
não é adequado, a organização candidata deve proceder à sua reformulação e entrega no prazo de 5 dias
úteis após ser informada da rejeição do plano. O auditor coordenador deve voltar a analisar a
adequabilidade do plano de ações corretivas reformulado e pronunciar-se sobre a sua aceitação dentro
de um prazo de 10 dias.
O prazo máximo de implementação das correções e/ ou ações corretivas, incluindo o envio das
respetivas evidências, é de 2 meses desde a data de entrega do relatório da auditoria.
A organização pode, caso discorde das não conformidades apresentadas, contestá-las fundamentando
objetivamente quais os respetivos motivos. Nos casos em que não houver acordo, o auditor coordenador
deve assegurar que tomou todas as ações para promover o correto entendimento das constatações bem
como da fundamentação apresentada pela organização.
p. 15 de 42
Quando o relatório não regista não conformidades não é necessária resposta ao relatório da auditoria
pela organização.
p. 16 de 42
p. 17 de 42
6.8 Sanções
− não seja possível a realização das auditorias previstas por responsabilidade da organização
certificada;
− a organização certificada não dá resposta aos relatórios das auditorias e/ou não evidencia a
implementação das ações desencadeadas na sequência das auditorias nos prazos previstos e/ou
solicitados pelo organismo de certificação;
− o relatório da auditoria evidencia não estarem reunidas as condições para a manutenção da
certificação;
− a organização certificada não dá resposta às solicitações do organismo de certificação;
− seja detetado qualquer incumprimento relativo à utilização do certificado de conformidade e/ou da
marca de certificação;
− sejam evidenciados atos que sejam lesivos para a imagem do organismo de certificação e/ou do
proprietário da marca de certificação;
p. 18 de 42
− ocorram incumprimentos de obrigações contratuais para com o organismo de certificação por parte
da organização certificada.
A suspensão da certificação pode ter uma duração máxima de 12 meses.
A suspensão da certificação deve ser levantada quando se demonstrar que a causa que esteve na origem
da suspensão da certificação já não existe. O levantamento da suspensão do certificado de conformidade
implica a realização de auditoria que avalia o cumprimento de todos os requisitos estabelecidos no
presente documento, não substituindo as auditorias previstas no ciclo de certificação.
Durante o período de suspensão da certificação, a organização não pode fazer qualquer referência ao
estatuto de entidade certificada e fica impossibilitada de utilizar a marca de certificação.
A decisão relativa à suspensão da certificação, positiva ou negativa, é comunicada por escrito, pelo
organismo de certificação à organização certificada.
Após o levantamento da suspensão, o ciclo de certificação é retomado, mantendo-se a data de validade
do certificado de conformidade.
p. 19 de 42
Nos casos em que a certificação tenha sido concedida por um organismo de certificação que tenha
cessado a sua atividade ou cuja acreditação foi suspensa ou anulada, a organização certificada deverá
contactar outro organismo de certificação acreditado para o presente esquema de certificação para
solicitar a transferência da certificação. A transferência deve ser concluída no prazo de 6 meses ou no
termo do prazo de 12 meses desde a última auditoria realizada, o que ocorrer mais cedo.
A organização certificada pode, por sua vontade, solicitar a transferência da certificação para outro
organismo de certificação acreditado para o presente esquema de certificação. O organismo de
certificação recetor do pedido de transferência deve dispor de um procedimento para obter toda a
documentação e informação necessárias para a tomada de decisão relativa ao pedido de transferência
da certificação. O organismo de certificação recetor deve reunir a informação e documentação
necessárias para avaliar os seguintes aspetos:
p. 20 de 42
p. 21 de 42
− alterações do elemento de contacto designado para o contacto com o organismo de certificação e/ou
da forma de contacto;
− alterações de localização da sede e de outros locais que estejam incluídos no âmbito da certificação;
O organismo de certificação decide da necessidade de realização de uma auditoria extraordinária para
avaliar as alterações indicadas. As auditorias extraordinárias não substituem as auditorias previstas no
ciclo de certificação.
p. 22 de 42
Anexo A
(normativo)
Área: Organizacional
(continua)
p. 23 de 42
(continua)
p. 24 de 42
Área: Técnica
p. 25 de 42
p. 26 de 42
p. 27 de 42
(continua)
p. 28 de 42
p. 29 de 42
p. 30 de 42
(continua)
p. 31 de 42
p. 32 de 42
p. 33 de 42
p. 34 de 42
p. 35 de 42
p. 36 de 42
p. 37 de 42
Anexo B
(normativo)
p. 38 de 42
Secção 3B: Descrição da implementação das medidas de segurança previstas no esquema para
lidar com as alterações entretanto ocorridas na organização certificada e manter o nível de
certificação obtido
Se notificação de alterações: Deve descrever a atualização de medidas previamente implementadas,
ou se necessário as novas medidas implementadas, para que a organização mantenha o nível de
segurança e de certificação que obteve, para responder às alterações que entretanto ocorreram.
p. 39 de 42
Anexo C
(informativo)
p. 40 de 42
p. 41 de 42
Bibliografia
[1] Quadro Nacional de Referência para a Cibersegurança, Centro Nacional de Cibersegurança,
Versão 1.0 de outubro de 2019
[2] Quadro de Avaliação de Capacidades de Cibersegurança, Centro Nacional de Cibersegurança,
Versão 1.0 de janeiro de 2020
[3] Roteiro para Capacidades Mínimas de Cibersegurança, Centro Nacional de Cibersegurança,
Versão 1.0 de outubro de 2020
[4] REGULAMENTO (UE) 2019/881 DO PARLAMENTO EUROPEU E DO CONSELHO de 17 de abril de
2019 relativo à ENISA (Agência da União Europeia para a Cibersegurança) e à certificação da
cibersegurança das tecnologias da informação e comunicação e que revoga o Regulamento (UE)
nº 526/2013 (Regulamento Cibersegurança)
[5] EUCC – European Cybersecurity Certification Scheme, version 1.1 dated 20th September 2020
[6] EUCS – Cloud Services Scheme, a candidate cybersecurity certification scheme for cloud services,
December 2020
[7] ISO Guide 73:2009 Risk management – Vocabulary
[8] ISO 9000:2015 Quality management systems – Fundamentals and Vocabulary
[9] ISO/IEC 15408- Information technology – Security techniques – Evaluation criteria for
3:2008 IT security – Part 3: Security assurance components
p. 42 de 42
[18] ISO/IEC 20000- Information technology – Service management – Part10: Concepts and
10:2019 Vocabulary
[19] ISO/IEC/IEEE Systems and software engineering – Vocabulary
24765:2017
[20] ISO/IEC 27000:2018 Information technology – Security techniques – Information security
management systems – Overview and Vocabulary
[21] ISO/IEC 27001:2013 Information technology – Security techniques – Information security
management systems – Requirements
[22] ISO/IEC 27002:2013 Information technology – Security techniques – Code of practice for
information security controls
[23] ISO/IEC 27005:2018 Information technology – Security techniques – Information security
risk management
[24] ISO/IEC 27006:2015 Information technology – Security techniques – Requirements for
bodies providing audit and certification of information security
management systems
[25] ISO/IEC 27007:2020 Information security, cybersecurity and privacy protection – Guidelines
for information security management systems auditing
[26] ISO/IEC 27017:2015 Information technology – Security techniques – Code of practice for
information security controls based on ISO/IEC 27002 for cloud services
[27] ISO/IEC 27032:2012 Information technology – Security techniques – Guidelines for
cybersecurity
[28] ISO/IEC 29147:2018 Information technology – Security techniques – Vulnerability disclosure
[29] ISO/IEC 30111:2019 Information technology – Security techniques – Vulnerability handling
processes