Anexo 1 Lista de Critrios de Auditoria PDF

ESQUEMA DE CERTIFICAÇÃO QNRCS
LISTA DE CRITÉRIOS DE AUDITORIA

Esquema de Certificação QNRCS
Índice
1. Âmbito de aplicação para a lista de critérios de auditoria .................................................3

2. Critérios de conformidade para a auditoria EC QNRCS .....................................................3
2.1. Objetivo: IDENTIFICAR ............................................................................................................4
2.2. Objetivo: PROTEGER............................................................................................................. 17
2.3. Objetivo: DETETAR ................................................................................................................ 38
2.4. Objetivo: RESPONDER .......................................................................................................... 50
2.5. Objetivo: RECUPERAR .......................................................................................................... 59
3. Critérios para a declaração de certificação EC QNRCS.................................................... 63
4. Documentos de referência .................................................................................................... 63
5. Classificação da informação ................................................................................................ 63
6. Divulgação e publicação ....................................................................................................... 63
7. Revisão e atualização ............................................................................................................ 63
8. Histórico de revisões ............................................................................................................. 64
Centro Nacional de Cibersegurança

Rua da Junqueira, 69, 1300-342 Lisboa | Tel (+351) 21 049 74 00 | Fax (+351) 21 049 73 98 | cncs@cncs.gov.pt
Página 2
1. Âmbito de aplicação para a lista de critérios de auditoria

O Quadro Nacional de Referência para a Cibersegurança (QNRCS) define medidas de segurança por cada
objetivo de segurança, indicando para cada subcategoria um conjunto de recomendações para a respetiva
implementação técnica e implementação processual.
Em complemento são apresentadas evidências que a organização deve assegurar ao longo da execução de tais
implementações, para que possam apresentadas em auditoria.
Por sua vez, o Quadro de Avaliação de Capacidades de Cibersegurança (QACC) agrega estas medidas de
segurança em níveis de capacidade. O presente anexo inspira-se nas medidas constantes do QACC,
aperfeiçoando-as e definindo os 3 níveis de garantia, a serem validados em curso de auditoria de certificação, a
que as organizações se podem candidatar.
A presente lista tem como objetivo orientar estas determinações para o esquema de certificação da conformidade
com o QNRCS (EC QNRCS), sendo constituída desta forma a lista de critérios de auditoria de certificação que
os organismos de certificação (OC) utilizarão para sustentação das constatações de conformidade ou não
conformidade.
2. Critérios de conformidade para a auditoria EC QNRCS

Para cada objetivo de segurança definido pelo QNRCS, os quadros seguintes apresentam a identificação das
subcategorias consideradas obrigatórias para os objetivos do EC QNRCS, assim como o conjunto de evidências
obrigatórias para suporte das auditorias de certificação.
Será de recordar que a organização candidata poderá, através da sua “Declaração de Aplicabilidade”, tomar a
decisão de não aplicar as subcategorias consideradas passíveis de exclusão, o que significa que alguns dos
requisitos identificados em cada nível de garantia podem ser excecionados como resultado da análise do risco
da organização
Como resultado, teremos uma lista de medidas de segurança e respetivas evidências a que a organização
candidata se obriga, passando desta forma a constituírem-se como requisitos para obtenção da certificação a
que se candidata.
Para o OC que realiza a auditoria de certificação, esta lista passa a identificar os critérios de auditoria segundo
os quais o OC produz as constatações de conformidade em função das evidências recolhidas.

Página 3
2.1. Objetivo: IDENTIFICAR

Requisitos de implementação incrementais Evidências incrementais obrigatórias
Categoria
Categoria
Medidas de por níveis de garantia: por níveis de garantia:

Sub
Classificação
segurança
Básico Substancial Elevado Básico Substancial Elevado
• Inventário manual em • Inventário criado e gerido em • Inventário criado e gerido • Lista de inventário • Evidência documental de • Consulta da
ficheiro digital 1 ferramenta informática1 em ferramenta • Evidência documental atualização semanal do ferramenta informática
• Lista que identifica a • Criticidade dos ativos informática com recolha de atualização mensal inventário • Evidência por consulta
criticidade dos ativos associada ao inventário e semiautomática1 do inventário • Política de Classificação de da ferramenta da
• Ativos 10 considerados aprovada pela gestão da • Processo de gestão de • Lista com os critérios Ativos de Informação ou atualização do
críticos motivam organização 2 alterações para definição da similar inventário em tempo
Inventário de alteração imediata do • Política de Classificação de criticidade • Desenho de arquitetura real
ID.GA-1 Obrigatória de sistemas servidores e •
Hardware inventário Ativos de Informação ou Documentação do
similar de armazenamento processo de gestão de
• Aprovação pela gestão dos • Evidências documental alterações, assim como
responsáveis pelos ativos da aprovação pela evidências da sua
• Desenho de arquitetura de gestão execução
sistemas servidores e de
IG.GA armazenamento
• Inventário manual em • Inventário criado e gerido em • Inventário criado e gerido • Lista de inventário • Política de Classificação • Consulta da
ficheiro digital1 ferramenta informática1 em aplicação com recolha • Evidência documental de Ativos de Informação ferramenta informática
• Lista que identifica a • Aprovação pela gestão da semiautomática1 de atualização mensal ou similar • Evidência por consulta
criticidade das atribuição dos responsáveis • Processo de gestão de do inventário • Desenho de arquitetura da ferramenta da
aplicações pelas aplicações alterações deve incluir a • Lista com os critérios aplicacional 8 atualização do
• Identificação da origem • Desenho de arquitetura colocação de aplicações para definição da • Evidências documental inventário em tempo
Inventário de
ID.GA-2 Obrigatória das aplicações aplicacional ambiente de produção criticidade da aprovação pela real
Software
• Ativos considerados gestão da atribuição dos • Documentação do
críticos motivam responsáveis pelas processo de gestão de
alteração imediata do aplicações alterações, assim como
inventário evidências da sua
execução

Página 4

Categoria
Categoria Medidas de por níveis de garantia: por níveis de garantia:

Sub
Classificação
segurança
• Inventário manual em • Inventário criado e gerido em • Inventário criado e gerido • Lista de inventário • Desenho de arquitetura • Consulta da
ficheiro digital 1 ferramenta informática1 em ferramenta • Evidência documental aplicacional 8 ferramenta informática
• Desenho de arquitetura • Identificação documentada informática com recolha da atualização mensal • Evidência por consulta
de redes e segurança dos fluxos de informação semiautomática1 do inventário da ferramenta da
• Ativos 10 considerados crítica internos à organização •Processo de gestão de • Desenho de arquitetura atualização do
críticos motivam alterações aplicacional 8 inventário em tempo
alteração imediata do •Desenho de arquitetura real
Inventário de inventário de fluxos de informação • Evidência da
internos e com as operacionalização do
ID.GA-3 redes e Obrigatória
partes interessadas processo de gestão de
informação
• Definição aprovada alterações
pela gestão dos níveis • Evidências da
de serviço de operacionalização dos
comunicações e controlos de segurança
métricas associadas para as comunicações
• Política de Segurança e fluxos de dados
das Comunicações críticos
• Inventário manual em • Inventário criado e gerido em • Inventário criado e gerido • Lista de inventário • Evidências da • Consulta da
ficheiro digital 1 ferramenta informática1 em ferramenta • Evidências documental operacionalização de ferramenta informática
• Identificação de • Política de uso aceitável de informática com recolha da atualização mensal controlos de segurança • Evidência por consulta
componentes/ativos redes externas e serviços semiautomática1 do inventário para Cloud Services 3 da ferramenta da
utilizados em redes Cloud ou similar • Desenho de arquitetura atualização do
externas • Implementação de controlos aplicacional 8 inventário em tempo
Inventário de • Desenho de arquitetura de segurança de real
ID.GA-4 componentes Obrigatória de redes, sistemas e comunicações para redes • Monitorização em
externas segurança externas e Cloud Services 3 tempo real dos
• Ativos 10 considerados serviços Cloud externos
críticos motivam e de incidentes
alteração imediata do associados
inventário

Página 5

Categoria

Sub
Classificação
segurança
• Inventário manual em • Inventário criado e gerido em • Inventário criado e gerido • Lista de inventário • Evidências da aplicação • Consulta da
ficheiro digital ferramenta informática1 em ferramenta • Evidências documental da Política de ferramenta informática
• Identificação do tipo de • Política de Classificação de informática com recolha da atualização mensal Classificação de Ativos • Evidência por consulta
ativos utilizados Ativos de Informação ou semiautomática1 do inventário de Informação da ferramenta da
(tecnológicos e não similar • Análise, por atualização do
Classificação de
ID.GA-5 Obrigatória tecnológicos) amostragem 11, do tipo inventário em tempo
ativos necessários • Identificação da ligação real
de ativos críticos
dos ativos aos ativos
críticos e sua atualização
imediata em caso de
alteração
• Inventário manual de • Identificação dos níveis de • Inventário de • Lista de inventário • Relatório de Análise e • Consulta da
fornecedores em serviço e métricas de gestão fornecedores criado e • Evidência documental Tratamento do Risco ferramenta informática
ficheiro digital dos prestadores de serviços gerido em ferramenta da atualização mensal • Evidências da • Evidência por consulta
• Existência de Contratos • Política de Gestão de informática do inventário operacionalização dos da ferramenta da
com os prestadores de Fornecedores ou similar • Monitorização • Contratos de controlos de segurança atualização do
serviços • Inclusão dos “Fornecedores” semiautomática dos prestadores de serviços para a gestão dos serviços inventário em tempo
• Análise do risco de como origem de riscos na serviços prestados • Evidências do prestados real
Papel na cadeia prestadores de serviços Análise do Risco • Auditorias internas da tratamento dos riscos • Relatório de auditoria
ID.AO-1 Obrigatória • Alteração de • Controlos de segurança para prestação de serviços de falha dos interna
logística
fornecedores de ativos a gestão dos serviços externos prestadores de serviços • Plano de melhoria
considerados críticos prestados • Revisão de contratos e externos, sob a forma contínua da
ID.AO
motivam alteração das métricas de serviço de registos de organização com
imediata do inventário em função dos execução dos controlos evidências da sua
resultados de auditorias aprovados execução
internas
• Contexto e estratégia da • Lista de partes interessadas • Política de Gestão da • Evidência documental • Execução da Política de • Evidências da
organização para a e respetivos requisitos Cibersegurança da aprovação do Segurança da execução da Política
Posicionamento Passível de
ID.AO-2 Cibersegurança • Política de Segurança da • Procedimento de contexto e estratégia Informação de Gestão da
no sector exclusão formalmente aprovada informação, incluindo a comunicação com as para a Cibersegurança • Outras políticas de Cibersegurança
pela gestão Cibersegurança partes interessadas pela gestão segurança associadas

Página 6

Categoria

Sub
Classificação
segurança
• Lista de partes • Análise do risco para • Processo de gestão de • Lista de partes • Relatório de Análise e • Registos da
interessadas em matérias Ciberataques Ciberataques interessadas Tratamento do Risco comunicação com as
de Cibersegurança • Respostas definidas para • Registos da divulgação • Execução da partes interessadas
• Comunicação com as Ciberataques e publicação da Procedimento de • Registos de incidentes
partes interessadas estratégia para a resposta a Ciberataques de Cibersegurança
Cibersegurança com as
partes interessadas
• Contexto e estratégia da • Publicação às partes • Publicação às partes • Evidência documental • Execução da Política de • Execução da Política
organização para a interessadas da Política de interessadas da Política da aprovação do Segurança da de Gestão da
Cibersegurança Segurança da Informação e de Cibersegurança da contexto e estratégia Informação Cibersegurança
• Lista de partes outros documentos Informação e outros para a Cibersegurança • Registos de ações de • Demonstração de
interessadas em matérias associados documentos associados pela gestão sensibilização eficácia das ações de
de Cibersegurança • Ações de sensibilização • Ações de sensibilização • Lista de partes • Registos da revisão da sensibilização através
• Comunicar o contexto e interna e com as demais interna e com as demais interessadas Política de Segurança da das métricas de
Missão, valores, estratégia da organização partes interessadas partes interessadas em • Registos da divulgação informação e avaliação do
para a Cibersegurança • Revisão da Política de Cibersegurança e e publicação às partes documentos associados conhecimento, sob a
ID.AO-3 estratégia e Obrigatória
com as partes Segurança da Informação, respetiva práticas interessadas forma de
objetivos
interessadas incluindo a Cibersegurança, • Revisão periódica de questionários ou
pelo menos anualmente todos as políticas entrevistas)
• Registos da revisão de
todos os documentos
relacionados com
Cibersegurança
• Inventário manual em • Inventário criado e gerido em • Inventário criado e gerido • Lista de inventário • Registos de análise das • Consulta da
ficheiro digital1 ferramenta informática1 em ferramenta • Evidências documental métricas dos ativos ferramenta informática
• Identificação da • Aprovação pela gestão da informática com recolha da atualização mensal críticos • Evidência por consulta
criticidade dos Ativos no classificação da criticidade semiautomática1 do inventário • Evidência da aprovação da ferramenta da
ID.AO-4 Ativos críticos Obrigatória inventário dos Ativos e inclusão desta • Monitorização em tempo • Registo de verificação pela gestão da atualização do
• Verificação trimestral da classificação no inventário real da capacidade dos da prontidão dos ativos classificação da inventário em tempo
prontidão dos ativos • Identificação dos requisitos ativos críticos críticos criticidade dos Ativos real
críticos de capacidade dos ativos

Página 7

Categoria

Sub
Classificação
segurança
• Alteração nos ativos críticos, respetivas métricas e • Controlos de segurança • Evidências da • Consulta dos registos
considerados críticos período de revisão aplicados para proteção operacionalização dos de monitorização das
motivam alteração • Identificação de requisitos de de ativos críticos Controlos de segurança métricas de capacidade
imediata do inventário segurança para ativos aplicados aos ativos de prontidão dos ativos
críticos, respetivas métricas e críticos críticos
período de revisão
• Identificação no • Criação do Plano de • Criação do Plano de • Lista de inventário • Lista de Cenários de • Divulgação e
inventário das Continuidade de Negócio testes do PCN, incluindo • Evidências documental incidente disruptivo e publicação do plano de
redundâncias • Realização de uma Análise a periodicidade de da atualização mensal respetivas respostas testes do PCN
necessárias dos Riscos e Tratamento execução para cada teste do inventário • Analise do Risco e • Divulgação e
• Alteração das dos Riscos que justificam os • Criação do programa e do Tratamento do Risco que publicação do
redundâncias dos ativos cenários de incidentes plano de auditorias justificam os cenários de programa de auditorias
considerados críticos disruptivo, identificando as internas à execução do incidentes disruptivo,
Requisitos de
ID.AO-5 Obrigatória motivam alteração redundâncias necessárias e PCN, em relação às identificando as
resiliência imediata do inventário o respetivo modo de respostas a incidentes e redundâncias
• Identificação do prontidão aos respetivos testes necessárias e o respetivo
suporte técnico • Identificação das modo de prontidão
necessário para a redundâncias ativas ou • Registos da revisão do
ativação das passivas para respostas a PCN
redundâncias Ciberataques
• Política de Segurança da • Programa anual de • Programa anual de • Política de Segurança • Programa anual de • Programa anual de
Informação aprovada Sensibilização e formação Sensibilização e da Informação Sensibilização e formação Sensibilização e
pela gestão e revista em Segurança da Formação em • Evidência de aprovação em Segurança da Formação em
pelo menos anualmente Informação, incluindo a Cibersegurança da Política de Informação Cibersegurança
• Comunicação da política Cibersegurança • Realização de Segurança pela gestão • Registo de avaliação de • Registos das
Política de
ID.GV ID.GV-1 Obrigatória com as partes • Avaliação de conhecimento campanhas internas • Registos da conhecimentos dos campanhas de
Segurança interessadas e prontidão dos para assegurar a comunicação e colaboradores sensibilização dos
• Publicação interna na colaboradores prontidão dos publicação da Política colaboradores em
organização colaboradores • Registos das ações de Ciberhigiene, incluindo
• Ações de sensibilização sensibilização os registos dos testes
internas para de prontidão dos

Página 8

Categoria

Sub
Classificação
segurança
apresentação da Política • Testes de prontidão dos • Registos de aceitação colaboradores para a
e sempre que haja colaboradores para a dos colaboradores das Ciberhigiene
alterações da mesma Ciberhigiene funções e
• Aceitação dos responsabilidades
colaboradores das definidas pela política
funções e
responsabilidades
definidas pela política
• Lista de requisitos legais • Revisão mensal da lista de • Inclusão de requisitos • Evidência da divulgação • Evidência documental da • Evidências da gestão
e regulamentares da requisitos legais e para gestão do e publicação da Política revisão periódica operacional de
organização para a regulamentares da Cibercrime de Segurança da • Evidência da divulgação Cibercrime
Cibersegurança com organização e devida • Auditoria interna de Informação e sensibilização da • Relatório de auditoria
atualização mensal atualização sempre que conformidade legal e • Registos da Política de Gestão da interna de
• Incluir na Política de necessária regulamentar comunicação e Privacidade conformidade legal e
Requisitos legais e
ID.GV-2 Obrigatória Segurança da • Política de Gestão da publicação da Política • Evidências da regulamentar
regulamentares Informação a Privacidade de dados • Registos das ações de operacionalização dos
necessidade de cumprir pessoais, com a respetiva sensibilização controlos de execução
tais requisitos divulgação e sensibilização • Registos de aceitação dos requisitos legais e
• Controlos para a garantia de dos colaboradores regulamentares
execução dos requisitos
legais e regulamentares
• Atualização periódica • Testes internos • Evidência documental • Evidência documental da • Relatório de testes
manual da lista de regulares para a da última atualização atualização periódica da automáticos de
vulnerabilidades global para identificação automática da lista de lista de vulnerabilidades e vulnerabilidades
• Lista das
o inventário de Ativos de vulnerabilidade e vulnerabilidades e das ações decorrentes • Relatório de analise de
através de procedimento atualização da respetiva decisões tomadas para novas vulnerabilidades,
vulnerabilidades mais
Vulnerabilidades documentado lista a concretização de incluindo a identificação
ID.AR ID.AR-1 Obrigatória relevantes para os Ativos
identificadas críticos atualizada • Inclusão das novas • Relatório de análise de ações da necessidade de
mensalmente vulnerabilidades para uma novas vulnerabilidades, revisão da análise dos
próxima revisão da análise possível impacto e riscos em vigor
do risco prioridade de
tratamento

Página 9

Categoria

Sub
Classificação
segurança
• Contatos pontuais com • Procedimento de recolha • Procedimento de • Evidência documental • Evidência da execução do • Evidência documental
origens de boas práticas mensal de publicações do recolha diária de da última atualização de procedimento de recolha da revisão da análise do
para Cibersegurança e CNCS publicações do CNCS boas práticas e de de publicações de boas risco
de alertas de ameaças e • Lista atualizada • Revisão obrigatória da alertas realizada pela práticas, vulnerabilidades
vulnerabilidades mensalmente com origens análise do risco em organização e ameaças
Contato com • Recolha e análise de de boas práticas para função dos resultados • Evidência documental da
ID.AR-2 grupos de Obrigatória informação publicada Cibersegurança da recolha de análise dos resultados
interesse pelo CNCS • Revisão mensal das listas de informações sobre desta pesquisa e
vulnerabilidade e ameaças vulnerabilidades, respetiva ligação com a
• Verificação da necessidade ameaças e riscos análise do risco
de revisão da análise do
risco
• Lista das ameaças mais • Atualização periódica • Realização de uma • Evidência da última • Evidência documental das • Evidência documental
relevantes para os Ativos mensal da lista de ameaças revisão da análise do atualização da lista de propostas para a revisão da revisão da análise do
críticos atualizada para o inventário de Ativos risco sempre que há ameaças e ações da análise do risco risco
mensalmente através de procedimento lugar à identificação de decorrentes tomadas • Evidência documental
• Análise sumária dos documentado, incluindo a novas ameaças pela organização da execução do
possíveis impactos nos respetiva ligação a • É utilizado para esta processo de gestão do
Identificação de
Ativos críticos vulnerabilidades revisão um processo risco
ID.AR-3 Ameaças internas Obrigatória identificadas para cada documentado para
e externas recurso gestão do risco, baseado
• Verificação da necessidade numa metodologia
de revisão da análise do aplicada aos riscos de
risco segurança da
informação e
Cibersegurança 4
• Metodologia para a • Os critérios de gestão do • A metodologia inclui • Evidência documental • Evidência da definição e • Evidência da definição
gestão do risco risco, os níveis de uma análise da metodologia aprovação pela gestão e aprovação pela
Metodologia para documentadas e probabilidade e de impacto quantitativa do utilizada e da sua mais dos critérios e níveis a gestão dos critérios
ID.AR-4 Obrigatória aprovada pela gestão 4 das ameaças estão impacto financeiro do recente revisão usar aquando da para a avaliação
gestão do risco
• A validação da documentados e aprovados risco na organização, aprovada pela gestão aplicação prática da quantitativa para o
adequação da pela gestão baseada no valor dos metodologia

Página 10

Categoria

Sub
Classificação
segurança
metodologia é realizada, • Os níveis do risco, as ativos e no valor de • Evidência da revisão impacto de uma
pelo menos, alternativas para o seu perda dos serviços periódica da ameaça
semestralmente tratamento, a definição do prestados pela metodologia
risco residual e a aceitação organização 5
do risco estão
documentados e aprovados
pela gestão
• Revisão periódica da
metodologia
• Organização dos riscos • Os critérios de gestão do • Os critérios para a • Evidência da • Evidência da atribuição • Evidência do estudo de
por prioridades e risco devem incluir a definição das organização dos riscos de níveis dos riscos e da ROSI para cada risco
aprovada pela gestão definição de prioridades prioridades devem e respetivos priorização dos riscos em • Demonstração do uso
• Planeamento dos associadas aos níveis do incluir o valor dos tratamentos por função de tais níveis do ROSI para
tratamentos do risco em risco obtidos na análise do ativos e o impacto prioridades aprovadas • Apresentação do plano priorização dos
Respostas função das prioridades risco financeiro dos riscos pela gestão de tratamento dos riscos tratamentos do risco
ID.AR-5 priorizadas aos Obrigatória estabelecidas • Plano de tratamento dos identificados nos definido em função de
riscos riscos definido em função serviços da organização tais prioridades
dos respetivos níveis e • Realização de um
prioridades dentro de cada estudo de ROSI –
nível, incluindo datas, Return of Security
objetivos e métricas para a Investments
gestão de cada tratamento
• Definição de um • O processo de gestão do • Política de Gestão do • Evidência da existência • Evidência documental do • Política de Gestão risco
processo de gestão do risco deve abranger todos os Risco, que inclua a do processo de gestão âmbito de aplicação do • Relatório de auditoria
risco para a Segurança temas de segurança na definição do método de do risco processo de gestão do interna ao processo de
da Informação e organização governação dos riscos • Evidência documental risco gestão do risco
Cibersegurança, gerido • As funções e em toda a organização da nomeação do • Lista de funções e
Processo de
ID.GR ID.GR-1 Obrigatória por um colaborador responsabilidades na gestão • Uniformização da responsável pelo responsabilidades no
gestão do risco nomeado pela gestão do risco devem ser metodologia em todo o processo de gestão do processo de gestão do
segregadas por vários processo de gestão do risco e tratamento do risco
colaboradores risco risco • Evidências documentais
• Devem ser nomeados • Auditoria interna dos “inputs” e “outputs”
“donos do risco”, periódica á execução do necessários e produzidos

Página 11

Categoria

Sub
Classificação
segurança
colaboradores que processo de gestão de pelo processo de gestão
monitorizam e risco do risco
acompanhamento o • Evidência por entrevista
tratamento dos riscos do acompanhamento
pelos “donos do risco”
dos respetivos riscos
• Definição dos critérios • Inclusão na metodologia do • Os critérios de aceitação • Evidência de aprovação • Evidência da aplicação dos • Evidência documental
para aceitação do risco significado de “apetite do do risco são revistos pela gestão dos critérios critérios para apetite do da existência e
aprovados pela gestão risco” e do “risco residual”, antes de uma revisão da para aceitação do risco risco para todos os riscos operacionalização das
• Aplicação dos critérios assim como as respetivas análise do risco • Evidência, por • Evidência documental da métricas para a gestão
de aceitação do risco regras para identificação e • Definição de métricas de amostragem 11, da aplicação dos critérios do risco residual para
realizada aprovados pela aceitação monitorização e controlo aplicação dos critérios para aceitação do risco todos os riscos
gestão • A aceitação do risco é do nível do risco residual de aceitação do risco residual para todos os
realizada formalmente pela riscos
ID.GR-2 Tolerância ao risco Obrigatória gestão • Evidência da revisão dos
• O risco residual tem de ser critérios para aceitação do
identificado para cada risco pela gestão
medida de tratamento do
risco
• Os critérios de aceitação do
risco devem ser revistos
periodicamente
• Definição das • A aplicação das alternativas • A seleção do tipo de • Evidência documental da • Evidência documental da • Evidência documental
alternativas permitidas aprovadas para a seleção do tratamento a definir para aprovação pela gestão aplicação de alternativas da fonte de práticas
para a decisão do tipo de tipo de tratamento do risco é cada risco é sustentado, das alternativas para os aprovadas pela gestão em utilizadas para
tratamento do risco realizada para todos os riscos em complemento, por tipos de tratamento do todos os tratamentos dos sustentação das
aprovadas pela gestão • Análise de consistência da boas práticas emitidas risco riscos decisões para o tipo de
Estratégia de
ID.GR-3 Obrigatória • Aplicação das decisões seleção do tipo de por organismos • Evidência documental da • Evidência documental da tratamento do risco, se
tratamento
do tipo de tratamento tratamento em função dos internacionais 6 aplicação de tais análise do tipo de aplicável
do risco aprovada pela ativos identificados para alternativas no alternativa selecionada
gestão cada risco tratamento dos riscos para com os ativos/Ativos

Página 12

Categoria

Sub
Classificação
segurança
• A cadeia de logística da • As organizações que são • Política de gestão de • Lista de partes • Evidência documental do • Evidência documental
organização está identificadas na cadeia fornecedores identifica interessadas na cadeia acordo entre as partes da existência da política
identificada logística formalizam a sua a necessidade dos de logística interessadas para a de gestão de
• Estão identificados os concordância com os riscos compromissos a • Evidência documental identificação de riscos e fornecedores e da
principais riscos de identificados pela estabelecer entre as da inclusão de riscos da dos respetivos aceitação formal das
segurança, sendo organização partes e deve ser aceite cadeia logística na tratamentos partes interessadas
incluídos na análise do • Os tratamentos do risco são formalmente análise do risco • Evidência da • Relatório de auditoria
Gestão do risco na Passível de
ID.GL-1 risco decididos tendo em conta a • Auditoria interna dos operacionalização dos interna dos controlos
cadeia logística exclusão capacidade de colaboração controlos de segurança controlos de segurança de segurança
da cadeia logística na sua partilhados partilhados partilhados
implementação
• Os controlos de segurança
partilhados entre as partes
interessadas são
formalmente aceites
• Os prestadores de • Os prestadores de serviços • Política de gestão de • Lista de prestadores de • Evidência documental do • Evidência documental
ID.GL serviços de de Cibersegurança são fornecedores identifica serviços de acordo com os da existência da política
Cibersegurança à categorizados e analisados a necessidade dos Cibersegurança prestadores de serviços de gestão de
organização estão em função do nível do risco compromissos a • Evidência documental de Cibersegurança para a fornecedores e da
identificados, se que representam, estabelecer entre as da inclusão de riscos identificação de riscos e aceitação formal dos
aplicável formalizando a aceitação de partes e deve ser aceite decorrentes da dos respetivos prestadores de serviços
• Estão identificados os tais riscos formalmente presença de tratamentos de Cibersegurança
principais riscos de • Os tratamentos do risco são • Auditoria interna dos prestadores de serviços • Evidência de • Relatório de auditoria
Cadeia logística da Passível de segurança deste decididos tendo em conta a controlos de segurança de Cibersegurança na operacionalização dos interna dos controlos
ID.GL-2 relacionamento, sendo capacidade de colaboração partilhados análise do risco controlos de segurança de segurança
Cibersegurança exclusão
incluídos na análise do na implementação pelos partilhados com os partilhados
risco prestadores de serviços prestadores de serviços
• Os controlos de segurança de Cibersegurança
partilhados são
formalmente aceites

Página 13

Categoria

Sub
Classificação
segurança
• Os contratos com as • Os contratos com as partes • Os contratos com as • Evidência documental • Evidência documental • Evidência da execução
partes interessada da interessadas da cadeia de partes interessadas da dos contratos assinados referentes a todos os do programa de
cadeia de logística e logística e prestadores de cadeia de logística e entre as partes, por contratos assinados entre auditoria interna dos
prestadores de serviços serviços de Cibersegurança prestadores de serviços amostragem as partes controlos partilhados
de Cibersegurança incluem cláusulas referentes de Cibersegurança com os fornecedores
referem a necessidade ao tratamento da referem-se
de identificar riscos no Confidencialidade e explicitamente à
envolvimento entre as Privacidade, Integridade e existência e aceitação
Contratos com Passível de
ID.GL-3 partes Disponibilidade de da Política de gestão de
fornecedores exclusão informação crítica fornecedores
• As políticas de segurança • Deve ser assegurada a
que necessitam de acordo colocação dos termos e
formal entre as partes são condições para a
identificadas em contrato realização de auditorias
internas programadas
dos controlos de
segurança partilhados
• Os fornecedores da • Processo de gestão da • Programa de auditorias • Evidência documental • Evidência documental da • Apresentação do
cadeia logística e avaliação dos fornecedores internas anual para da avaliação dos avaliação dos todos os programa de auditoria
prestadores de serviços da cadeia logística e avaliação de fornecedores da cadeia fornecedores da cadeia e evidência da
de Cibersegurança são prestadores de serviços de fornecedores logística e prestadores logística e prestadores de realização de
avaliados Cibersegurança executado, • Registo de decisões de serviços de serviços de auditorias de
trimestralmente pelo menos, mensalmente tomadas em função dos Cibersegurança, por Cibersegurança avaliação de
• Métricas para avaliação de resultados da auditoria amostragem fornecedores
Avaliação de Passível de fornecedores analisadas de avaliação • Relatório de auditoria
ID.GL-4 periodicamente • Identificação de ações de avaliação de
fornecedores exclusão
de melhoria no fornecedores
relacionamento com os • Plano de ações de
fornecedores melhoria do
relacionamento com
fornecedores

Página 14

Categoria

Sub
Classificação
segurança
• Identificação dos • O PCN- Plano de • O plano de testes do • Lista que evidencia a • Análise do PCN da • Análise do plano de
fornecedores que Continuidade de Negócio da PCN- Plano de identificação dos organização testes do PCN da
prestam serviços organização deve Continuidade de fornecedores que • Lista de Ativos primários organização
críticos à organização identificar e incluir as Negócio da organização prestam serviços e secundários • Relatório dos testes do
• Recolha dos Planos de respostas a incidentes deve incluir a presença críticos à organização (redundâncias 7) PCN
Continuidade de disruptivos suportadas por dos fornecedores e dos • Análise, por disponibilizados pelo • Identificação das lições
Negócio dos fornecedores, total ou Ativos necessários amostragem 11, do PCN fornecedor, necessários aprendidas
fornecedores críticos parcialmente • Os resultados dos de fornecedores que para a execução das • Lista de ações de
• Análise dos PCN dos • Identificação dos Ativos testes conjuntos devem suportam serviços respostas a incidentes melhoria para o PCN,
PRD testado com fornecedores para primários e redundâncias 7 ser partilhados com os críticos disruptivos em particular na sua
Passível de
ID.GL-5 fornecedores 9 identificação de disponibilizadas pelo fornecedores, no total • Responsabilidades relação com
exclusão inconsistências em face fornecedor e para suporte ou em partes assumidas pelos fornecedores que
dos controlos de das respostas a incidentes • As lições aprendidas fornecedores para a suportam a execução
segurança partilhados disruptivos devem ser partilhadas execução das respostas a das respostas a
com os fornecedores, incidentes disruptivos incidentes disruptivos
no total ou em partes
• As ações corretivas ou
de melhoria devem ser
partilhadas com os
fornecedores, no total
ou em partes
1 – As informações mínimas que devem constar no inventário estão descritas no QNRCS (4.3.1)
2 – “Gestão da Organização” corresponde à Gestão de Topo ou seus representantes, doravante designada por “Gestão”
3 – Recomenda-se a utilização da norma ISO 27017 como referência para os controlos de segurança em serviços Cloud públicos
4 – Recomenda-se, para organizações que não tenham ainda implementada uma metodologia para gestão do risco, a utilização da metodologia e processo de gestão do risco que estão descritos no Guia
para Gestão de Riscos em matérias de Segurança da Informação e Cibersegurança, a publicar pelo CNCS, que é congruente com a metodologia descrita no QNRCS (3.5)
5 – Recomenda-se a utilização da abordagem descrita pela norma ISO 22301 para a realização de um BIA – Business Impact Analysis
6 – São o caso da ENISA e do NIST
Página 15
7– Redundâncias ativas podem ser representadas por “clusters” de alta disponibilidade ou soluções similares de replicação e sincronização
8 – Constituem “diagramas” representações gráficas realizadas manualmente ou em ferramenta informática (Ex: MicroSoft Visio) que permitem uma melhor compreensão de que como os ativos estão
interligados, em temas relacionados com as redes de comunicação, sistemas servidores e de armazenamento, aplicações informáticas e as suas interfaces, assim como os equipamentos de segurança utilizados
e incluídos no respetivo inventário
9– O PCN – Plano de Continuidade de Negócio inclui na sua estrutura a identificação de redundâncias, as respostas para os incidentes disruptivos, assim como o(s) PRD – Plano(s) de Recuperação de Desastres
que sejam necessários para a resolução de situações de crise
10 – Um ativo é definido como um recurso que tem valor para a organização
11 – O critério de amostragem será definido, caso a caso, aquando da elaboração do plano de auditoria da entidade certificadora

Página 16
2.2. Objetivo: PROTEGER

Categoria
Categoria

Sub
Classificação
segurança
• A atribuição de • Implementação de um sistema • Uso de diretório • Registos de • Evidência da execução da • Análise da utilização de
identidades e IAM para gestão do ciclo de centralizado para atribuição de Política de Gestão de múltiplos fatores de
acessos associados vida de Identidades e Acessos uniformização de acessos, com Identidades e Acessos autenticação, por
aos Ativos críticos é a recurso críticos, regras e práticas em verificação de • Análise do ciclo de vida do amostragem 11
feita em função de assegurando todos os registos todos os Ativos críticos integridade da processo de gestão de • Relatório de Auditoria
2
cada pedido ou do ciclo de vida informação por identidades e acessos, por do sistema IAM
necessidade • Política de Gestão de • Assegurar a segregação amostragem 16 amostragem 16 • Relatório de Auditoria
Ciclo de vida
• Registo de atribuição Identidades e Acessos de funções e • Análise da qualidade • Análise dos registos do sistema do sistema SSO, se
PR.GA-1 das Obrigatória de acessos • Processo de gestão do ciclo de responsabilidades no das passwords em IAM, por amostragem 16 aplicável
identidades • Uso de password vida de identidades e acessos acesso a Ativos críticos uso no acesso a • Evidência documental e
fortes baseadas em • Procedimentos documentados • Uso de múltiplos todos os Ativos operacional da revisão mensal
boas práticas 1 para a atribuição, alteração e fatores de autenticação críticos de Identidades e Acessos
revogação de acessos • Auditoria semanal
• Realização da revisão mensal automatizada do
de Identidades e Acessos sistema IAM e do SSO,
PR.GA
se aplicável
• Existem salas • Os controlos de acesso físico • Definição de perímetro • Planta da localização • Evidência documental e • Localização em planta
dedicadas para a são definidos como medidas de segurança das salas dedicadas operacional da integração dos dos perímetros de
localização dos de tratamento do risco envolvente das salas • Análise do tipo de controlos de acesso às salas segurança
Ativos críticos, com • Controlos de acesso físicos dedicadas aos Ativos controlos de acessos dedicadas com o IAM • Análise do risco de
controlo de acessos a integrados no sistema IAM 3 críticos, com controlo utilizados • Auditoria interna da eficácia dos segurança física nas
colaboradores • Validação dos colaboradores de acessos específico • Evidência controlos de segurança física diferentes camadas do
Controlos de internos ou externos, externos e das respetivas por cada camada em documental dos perímetro de
PR.GA-2 Obrigatória
acesso físico autorizados pela autorizações de acesso função do respetivo registos de acesso às segurança
gestão nível do risco salas dedicadas • Análise do tipo de
• Registos de acesso às • Evidência controlo de acesso
salas dedicados aos documental das utilizado em cada
Ativos críticos autorizações de camada do perímetro
acesso de de segurança

Página 17

Categoria
Categoria
Sub
Classificação
segurança
colaboradores
externos
• Política de • Análise do risco de • Utilização de • Análise da execução • Relatório de análise do risco, • Evidência documental e
teletrabalho, que teletrabalho com identificação certificados digitais da da política de respetivos tratamentos e operacional do uso de
inclui as regras de de controlos de segurança organização para a trabalho, das controlos de segurança certificados de
acesso, utilização e para riscos de Cibersegurança encriptação das evidências de implementados autenticação geridos
localização dos • Geração de alarmes em tempo comunicações de sensibilização aos • Evidência operacional da pela organização
equipamentos real para tentativas de acesso suporte ao acesso colaboradores e geração de alarmes, análise de • Relatório de auditoria
utilizados remoto falhadas, com remoto respetiva aceitação causas e respostas a incidentes automática do acesso
• Implementação de bloqueio automático e criação • Auditoria automatizada • Análise dos de segurança remoto
uma solução técnica de incidente de segurança às configurações do certificados digitais • Análise da utilização de • Análise dos sistemas
dedicada à gestão de • Múltiplos fatores de sistema de suporte ao utilizados usados múltiplos fatores de utilizados para o
acesso remoto aos autenticação acesso remoto para a encriptação autenticação suporte ao acesso
Ativos críticos • Auditoria semanal dos registos • Sistema de acesso das comunicações 4 • Relatório de auditoria interna do remoto e respetiva
Gerir os • Utilização de de acesso remoto remoto segregado para • Evidência acesso remoto segregação
PR.GA-3 acessos Obrigatória encriptação gerida colaboradores externos documental e
remotos pelo fabricante da operacional da
solução autorização de
• A atribuição de acesso remoto
autorização para • Análise dos registos
acessos remotos de uso do acesso
utiliza as regras e remoto, por períodos
práticas da gestão de de amostragem
identidades e
acessos da
organização
• Registos do uso do
acesso remoto aos
Ativos críticos
• Lista de perfis de • Política de Gestão de • Implementação da • Evidência • Análise da execução da Política • Evidência da
Segregação acesso Identidades e Acessos inclui a regra “two man rule” documental e de Gestão de Identidades e operacionalização das
PR.GA-4 Obrigatória
de funções • Atribuição de identificação de perfis e para administração de operacional da Acessos regras “two man rule”
colaboradores condições de nomeação Ativos críticos aprovação pela

Página 18

Categoria
Categoria
Sub
Classificação
segurança
distintos aos • Processo de gestão para a • Auditoria interna gestão da lista de • Evidência documental e • Relatório e auditoria
diferentes perfis atribuição de funções mensal para validação perfis de acesso e operacional da interna ao processo de
• Validação pela • Implementação do princípio da segregação de respetivas operacionalização do processo gestão da atribuição de
gestão das de menor privilégio funções atribuições a de gestão da atribuição de perfis perfis
atribuições de • Lista de papeis, funções e colaboradores e respetiva validação
colaboradores a responsabilidades na • Evidência documental e
perfis organização operacional da segregação de
• Perfis de administração de perfis de administração de
Ativos críticos segregados de Ativos críticos em função da lista
perfis de operação de papeis, funções e
• Verificação mensal da responsabilidades
segregação de funções • Evidência operacional associada
• Criação de incidente de a incidentes de segurança por
segurança no caso de violação tentativas de uso de perfis não
da atribuição de perfis autorizados
• Operacionalização da • Política de segurança das • Sistema de • Desenho de • Execução da Política de • Análise da ferramenta
segregação de redes comunicações monitorização de arquitetura de redes segurança das comunicações de monitorização de
internas em função • Política de Gestão de tráfego em tempo real e comunicações • Execução da Política de Gestão tráfego em tempo real
da criticidade dos Identidades e Acessos com deteção atualizado de Identidades e Acessos e respetivos registos de
Ativos • Controlos de segurança das automática de • Evidência • Análise e tratamento do risco de ocorrências de alarmes
• Operacionalização comunicações decididos em intrusões documental e segurança das comunicações ou tentativas de
das regras para função da análise do risco 14 • Testes de operacional da • Evidência documental e intrusão
Proteção da gestão de tráfego • Colocação de Ativos críticos vulnerabilidades e segregação de redes operacional da implementação • Relatório dos testes de
integridade entre redes internas em redes internas em função intrusões em função da dos controlos de segurança das vulnerabilidades e
PR.GA-5 Obrigatória e externas do respetivo risco automatizados criticidade dos Ativos comunicações ações de melhoria
em redes de
comunicações • Desenho de • Regras para a permissão de periódicos e respetivo tráfego • Evidência documental e decorrentes
arquitetura de redes tráfego de e para redes • Auditoria mensal das operacional da execução do • Relatório de auditoria
e comunicações externas (DMZ, Internet, configurações dos procedimento de gestão de mensal das
atualizado, pelo Cloud Públicas, Ciberespaço) equipamentos de configurações dos equipamentos configurações dos
menos, • Procedimento de gestão das suporte a de comunicações equipamentos de
mensalmente configurações de comunicações e à comunicações
equipamentos de respetiva segurança
comunicações

Página 19

Categoria
Categoria
Sub
Classificação
segurança
• Verificação da • Política de segurança para a • Validação de • Evidência • Análise da execução da Política • Evidências de validação
identidade e gestão de Ativos humanos identidade e documental e de segurança para a gestão de de credencias, inicial e
credenciais de • Definição formal e aprovada credenciais de operacional da Ativos humanos periódica, por
colaboradores pela gestão das credenciais colaboradores de verificação de • Evidências de execução do amostragem, feita por
• Decisão sobre a mínimas por cada papel, entidades prestadoras credenciais de processo de gestão da serviços externos à
validade de função e responsabilidade de serviços externos colaboradores e das contratação de colaboradores, organização
credenciais • Processo de gestão da • Processo de validação decisões associadas por amostragem 16 • Evidências do processo
• Validação da contratação de colaboradores da atribuição de • Evidência do ato de formalização de atribuição de perfis
Verificar manutenção de com inclusão da validação de colaboradores a perfis das credenciais mínimas por de acesso em função
Passível de credenciais credenciais e respetivas de acesso em função cada papel, função e das credenciais
PR.GA-6 credenciais de
exclusão respostas das respetivas responsabilidade • Relatório de auditoria
colaboradores
• Validação de credenciais feitas credenciais • Evidências de validação de interna do processo de
pela organização • Auditoria interna credencias, inicial e periódica, atribuição de perfis de
• Verificação periódica da mensal de credenciais por amostragem 16 acesso em função das
manutenção de credenciais dos colaboradores em • Evidências do arquivo de credenciais
dos colaboradores função dos perfis de credenciais, por amostragem 16
• Arquivo documental das acesso atribuídos
credenciais apresentadas
• Os Ativos críticos • Implementação de um sistema • Uso de diretório • Evidências da • Análise da operacionalização do • Análise da
têm meios de IAM para validação centralizado para autenticação de IAM, por amostragem 16 operacionalização do
efetuar a centralizada da autenticação autenticidade dos utilizadores em • Análise de incidentes de diretório e do registo
autenticação simples de utilizadores utilizadores críticos 2 Ativos críticos, por segurança decorrentes de falhas centralizado, por
Autenticação
de utilizadores (login • Criação de incidentes de • Registo centralizado da amostragem 16 de autenticação amostragem 16
PR.GA-7 de Obrigatória por user + password) segurança da informação para autenticação de • Evidências operacionais
utilizadores • Registo em log de falhas repetitivas de utilizadores 5 do uso de múltiplos
sistemas de todas as autenticação fatores de autenticação
autenticações de • Uso de múltiplos fatores de
utilizadores autenticidade dos utilizadores
• Ações de • Participação da gestão em • Realização de testes • Evidências • Plano de formação anual • Evidência documental
Formação em
sensibilização ações de sensibilização, intermédios de operacionais da • Evidência documental da da participação da
PR.FC PR.FC-1 Segurança da Obrigatória planeadas formação e treino conhecimento e planificação e presença dos colaboradores e gestão de topo em
Informação anualmente capacitação realização de ações ações de

Página 20

Categoria
Categoria
Sub
Classificação
segurança
• Presença obrigatória • Plano de formação anual • Realização de ações de sensibilização e dos respetivos testes e sensibilização,
dos colaboradores contendo ações mensais de complementares em da presença de resultados obtidos formação e treino
nomeados pela sensibilização, formação e função dos resultados colaboradores • Evidência documental das • Resultado dos testes
gestão treino aplicáveis ao âmbito da dos testes ou de decisões tomadas em função do intermédios e decisões
segurança da organização incidentes de resultado dos testes decorrentes
• Registo de presença dos segurança • Conteúdos programáticos das
colaboradores nomeados pela ações de sensibilização,
gestão formação e treino
• Realização de ações para
aferição de conhecimentos no
final de cada ação
• Ações de • Ações mensais de • Realização de testes • Evidências da • Evidências documental das • Resultado dos testes
sensibilização em sensibilização intermédios de realização de ações decisões tomadas em função do intermédios e decisões
cada 3 meses • Registo de presença dos conhecimento e de sensibilização e resultado dos testes decorrentes
• Assinatura de colaboradores nomeados pela capacitação da presença de • Conteúdos programáticos das • Relatório de auditoria
Responsabilid documento para gestão • Realização de ações colaboradores ações de sensibilização, do cumprimento das
ades de formalização da • Realização de testes para complementares em • Evidência da formação e treino responsabilidades
PR.FC-2 utilizadores Obrigatória aceitação das aferição de conhecimentos no função dos resultados assinatura de
com acessos responsabilidades final de cada ação dos testes ou de documento para
privilegiados incidentes de aceitação das
segurança responsabilidades
• Auditoria mensal do
cumprimento de
responsabilidades
• As responsabilidades • Os colaboradores das • Política de gestão de • Evidência • Evidência documental da • Política de gestão de
de segurança que as entidades externas com fornecedores identifica documental da participação de colaboradores fornecedores
Responsabilid entidades externas acesso a Ativos críticos estão a necessidade dos aprovação pela externos nomeados nas ações • Evidência documental
ades das têm de cumprir abrangidos pelo plano de compromissos a gestão das de formação e dos respetivos da avaliação dos
Passível de
PR.FC-3 partes estão aprovadas pela sensibilização, formação e estabelecer entre as responsabilidades de resultados fornecedores em
exclusão gestão treino partes e deve ser aceite segurança que as função dos resultados
interessadas
externas • Ações de formalmente entidades externas de análise dos seus
sensibilização em • Avaliação dos têm de cumprir compromissos
cada 3 meses para os fornecedores inclui os

Página 21

Categoria
Categoria
Sub
Classificação
segurança
colaboradores com resultados das ações de • Evidências da • Relatório de auditoria
acesso aos Ativos sensibilização, formalização da de avaliação da eficácia
críticos formação e treino aceitação das dos compromissos
• As entidades • Auditoria mensal para entidades externas assumidos pelas
externas formalizam validação dos entidades externas
a aceitação de tais compromissos das
responsabilidades entidades externas
• As responsabilidades • Lista de papeis, funções e • Participação da gestão • Evidências das • Evidência documental da lista • Evidência documental
Responsabilid da gestão de topo responsabilidades na em ações de aprovações de papeis, funções e da participação da
são realizadas organização aprovadas pela sensibilização, realizadas pela responsabilidades, da inclusão gestão de topo em
ades da
PR.FC-4 Obrigatória aquando das gestão formação e treino gestão de topo da gestão e da respetiva ações de
gestão de aprovações referidas aprovação sensibilização,
topo em diversas formação e treino
subcategorias
• Implementação de • Política de Classificação de • Política de Criptografia e• Evidência • Execução da Política de • Execução da Política de
controlos para Ativos de Informação gestão de chaves documental da Classificação de Ativos de Criptografia e gestão de
garantia de • Análise do Risco para a • Aplicação de controlos implementação de Informação chaves
Proteger confidencialidade e segurança de dados, criptográficos para a controlos para • Evidência da operacionalização • Evidência da
PR.SD-1 dados Obrigatória integridade de tratamentos de controlos proteção de ficheiros e garantia de de controlos de segurança para a operacionalização de
armazenados dados aprovada definidos em função dos níveis bases de dados “online” confidencialidade e proteção de ficheiros e bases de controlos criptográficos
pela gestão do risco e “offline” integridade de dados dados em função do risco e da gestão das
respetivas chaves
PR.SD • Implementação de • Política de Classificação de • Política de Criptografia e • Evidência da • Execução da Política de • Execução da Política de
controlos para Ativos de Informação gestão de chaves implementação de Classificação de Ativos de Criptografia e gestão de
garantia de • Política de Transferência de • Aplicação de controlos controlos para Informação chaves
confidencialidade e Informação criptográficos para a garantia de • Execução da Política de • Evidência da
Proteger confidencialidade e
integridade de • Análise do Risco para a proteção de informação Transferência de Informação operacionalização de
PR.SD-2 dados em Obrigatória integridade da
transmissão de segurança da transmissão de em trânsito em websites • Evidência da operacionalização controlos criptográficos
circulação transmissão de
dados aprovada dados, tratamentos de e mensagens eletrónicas de controlos de segurança para a e da gestão das
dados
pela gestão controlos definidos em função proteção de transmissão de respetivas chaves
dos níveis do risco dados em função do risco

Página 22

Categoria
Categoria
Sub
Classificação
segurança
• Acordos com partes • Evidência documental dos
interessadas para a segurança acordos de segurança na
da transmissão de dados, transmissão de dados com partes
incluindo confidencialidade, interessadas
privacidade e integridade
• Registo manual de • Política de Classificação de • Uso de software para • Evidências dos • Execução da Política de • Análise do uso do
movimentos dos Ativos de Informação remoção segura e registos de Classificação de Ativos de software de remoção
equipamentos em • Política de uso aceitável dos definitiva de software e movimentos de Informação segura
ficheiro digital equipamentos ou similar dados de equipamentos equipamentos • Execução da Política de uso • Evidências do uso de
• Registo manual da • Procedimento de registo de e dispositivos móveis • Evidência dos aceitável dos equipamentos ou encriptação em
remoção de movimento de equipamentos • Uso de encriptação em registos de similar equipamentos e
software de dados • Procedimento de destruição equipamentos e remoção de • Evidências da execução do dispositivos móveis que
Remoção, dos equipamentos segura de equipamentos e dispositivos móveis que software e dados procedimento de registo de contenham informação
transferência removidos em dispositivos móveis contenham informação • Evidências da movimento de equipamentos confidencial e que sejam
Passível de • Evidências da execução do
PR.SD-3 e ficheiro digital • Procedimento de eliminação confidencial e que sejam atualização do transferidos para fora
exclusão segura de software e dados de transferidos para fora inventário de Ativos procedimento de eliminação do perímetro de
aprovisionam
equipamentos e dispositivos do perímetro de críticos após a segura de software e dados de proteção física
ento de ativos
móveis proteção física eliminação de equipamentos e dispositivos • Relatório de auditoria
• Auditoria interna mensal equipamentos móveis dos registos de
dos registos de • Evidências da execução do destruição e eliminação
destruição e eliminação procedimento de destruição de equipamentos e
em equipamentos e segura de equipamentos e dispositivos móveis
dispositivos móveis dispositivos móveis
• Decisões sobre a • Métricas de gestão de • Procedimento de • Evidência • Evidências documental da • Evidências da execução
capacidade dos capacidade definidas gestão da capacidade documental das formalização das métricas para do processo de gestão
Ativos críticos formalmente de TODOS os Ativos decisões sobre as gestão da capacidade da capacidade de todos
realizada de forma • Procedimento de gestão da críticos necessidades da • Evidências da execução do os Ativos críticos
Gestão da Passível de
PR.SD-4 reativa às capacidade de Ativos críticos • Revisões periódicas das capacidade dos processo de gestão da capacidade • Evidências documentais
Capacidade exclusão necessidades (processamento, memória, métricas de gestão da Ativos críticos • Evidência documental da revisão da revisão da
armazenamento e largura de capacidade, incluindo a da capacidade dos Ativos em capacidade dos Ativos
banda) dotação orçamental função dos resultados obtidos em função dos
resultados obtidos,

Página 23

Categoria
Categoria
Sub
Classificação
segurança
para a sua incluindo a respetiva
concretização dotação orçamental
• Auditoria interna da • Relatório de auditoria
gestão da capacidade da gestão da capacidade
• Regras para • Política de Classificação de • Implementação de • Evidência documental • Execução da Política de • Análise da configuração
transmissão de Ativos de Informação soluções automatizadas da aprovação pela Classificação de Ativos de e operacionalização da
informação • Política de Transferência de para a prevenção da gestão das regras para Informação solução de gestão de
confidencial Informação transferência não transmissão de • Execução da Política de transferências de
aprovadas pela • Análise de risco com inclusão autorizada de informação Transferência de Informação informação
gestão de ameaças relacionadas com a informação 6 • Evidências • Relatório de análise e tratamento • Relatório de auditoria
Exfiltração de Passível de • Controlos de transferência não autorizada • Auditoria interna mensal documental e do risco de transmissão de interna da
PR.SD-5 segurança de informação, em função da dos controlos de operacional da informação operacionalização dos
informação exclusão
adequados para a classificação da informação segurança para implementação de • Evidência documental da controlos de segurança
proteção da • Controlos de segurança transmissão de controlos de implementação dos controlos de para transmissão de
transmissão de definidos e operacionalizados informação segurança para a segurança definidos pelo informação
informação como tratamento dos riscos transmissão de tratamento do risco
confidencial identificados informação
• Verificação manual • Procedimento de gestão de • Implementação de • Evidencia • Evidência documental da • Análise da

mensal da alterações em Ativos críticos solução para gestão documental e operacionalização da execução operacionalização de
integridade de • Registos de requisitos de centralizada de operacional da do procedimento de gestão de uma ferramenta de
software, firmware instalação e manutenção de integridade de verificação da alterações em Ativos críticos gestão da integridade
Garantia de e de dados dos software aplicacional e de software e dados, com integridade de • Evidências da execução do de software e dados
integridade Ativos críticos sistemas operativos geração de alarmes software, firmware procedimento para validação da • Evidência operacional
PR.SD-6 de software, Obrigatória • Procedimento para validação • Utilização de e de dados dos integridade de bases de dados e do uso de algoritmos
firmware e da integridade de bases de algoritmos de Ativos críticos repositórios de ficheiros aplicacionais para
dados dados e repositórios de verificação de • Evidência documental e verificação de
ficheiros integridade em operacional da atualização integridade em
aplicações críticas periódica dos registos de aplicações críticas
• Auditoria interna requisitos de instalação e
mensal da integridade manutenção de software

Página 24

Categoria
Categoria
Sub
Classificação
segurança
de software e dados aplicacional e de sistemas • Relatório de auditoria
de Ativos críticos operativos interna da integridade
de software e dados
• A segregação de • Desenho de arquitetura • Política de • Evidência • Análise do Desenho de • Execução da Política

ambientes é técnica de redes, sistemas, desenvolvimento documental e arquitetura técnica de redes, de Desenvolvimento
realizada em função armazenamento e segurança seguro operacional de sistemas, armazenamento e seguro
das necessidades • Análise do risco de falhas de • Procedimento de segregação realizada segurança • Evidência da execução
operacionais e dos segregação de ambientes de atualização dos para efeitos de • Evidência documental e do procedimento de
riscos identificados desenvolvimento, testes e ambientes segregados desenvolvimento e operacional de infraestruturas atualização dos
de para cada caso produção • Procedimento de testes permanentemente segregadas ambientes segregados
Segregação Passível de
PR.SD-7 • Controlos de segurança para anonimização e • Relatório de análise do risco, • Evidência documental
de ambientes exclusão
a segregação de ambientes codificação de dados dos tratamentos identificados e e operacional do
definidos em função do para desenvolvimento controlos identificados procedimento de
tratamento de riscos e testes • Evidência da operacionalização anonimização e
• Controlos de segurança para dos controlos para segregação codificação de dados
a segregação de dados entre de ambientes e dos dados para para desenvolvimento
ambientes desenvolvimento e testes e testes
• É realizada • Contratos de manutenção • Sistema de gestão de • Evidência • Contratos de manutenção • Análise da

verificação da preventiva e corretiva de manutenção documental e preventiva e corretiva de todos operacionalização do
integridade de todos os Ativos críticos preventiva e corretiva operacional da os Ativos críticos sistema de gestão de
hardware em • Plano de manutenção • Análise do risco de verificação da • Evidência documental e manutenção
função de alarmes preventiva anual manutenção integridade de operacional da atividade do • Relatório de análise do
Garantia de gerados pelos • Criação de incidente em caso preventiva e respetivo hardware plano de manutenção risco para ações de
PR.SD-8 integridade Obrigatória equipamentos de necessidade de tratamento • Evidência preventiva anual manutenção
de hardware • A manutenção manutenção corretiva documental e • Evidência da criação de preventiva de
preventiva e operacional de incidente em caso de hardware em Ativos
corretiva é realizada ações de necessidade de manutenção críticos
de forma não manutenção corretiva
periódica preventiva e
corretiva realizadas

Página 25

Categoria
Categoria
Sub
Classificação
segurança
• O registo de • Política de Classificação de • Procedimento de • Evidência do registo • Execução da Política de • Evidência da execução
configurações de Ativos de Informação recolha e arquivo de configurações Classificação de Ativos de do procedimento de
Ativos críticos é • Todas as configurações seguros de base e do respetivo Informação recolha e arquivo de
feito de forma consideradas estáveis dos configurações estáveis controlo de acessos • Evidência da constituição de um configurações base
manual ou Ativos críticos são registadas de Ativos críticos repositório centralizado com • Evidência da execução
informatizada, num repositório centralizado • Procedimento de controlo de acessos, incluindo do procedimento de
sendo assegurado o informatizado reposição de todos os Ativos críticos reposição de
Configuração respetivo controlo • As configurações estáveis dos configurações base • Verificação da classificação das configurações base
PR.PI-1 Obrigatória
base de acessos Ativos críticos são para os Ativos críticos configurações estáveis dos • Evidência do uso do
consideradas informações • O procedimento de Ativos críticos como informação procedimento de
confidenciais gestão de alterações confidencial na Política de gestão de alterações
inclui a reposição de Classificação de Ativos de para a reposição das
configurações base Informação configurações base
• Em caso de • Política de desenvolvimento • Utilização de uma • Evidência • Execução da Política de • Análise da

PR.PI desenvolvimento seguro metodologia de documental da desenvolvimento seguro operacionalização
interno de • Especificações de segurança criação e gestão do formalização de • Evidência documental da lista metodologia de
aplicações, as regras “by default” aprovadas pela código fonte que regras e práticas de especificações de segurança desenvolvimento
e práticas definidas gestão abrange todo o ciclo utilizadas em todos aplicáveis a todos os projetos aplicacional
formalmente são • Controlo de versões realizado de vida do projeto os projetos de • Evidência operacional do • Evidência operacional
aplicadas para por ferramenta informática • Controlos de desenvolvimento controlo de versões do controlo e acesso
todos os projetos • Realização de análise do risco segurança de acesso • Evidência • Análise do risco de projetos de ao código fonte
Ciclo de
Passível de • São incluídos para cada novo projeto, ou ao código fonte operacional da desenvolvimento aplicacional, • Evidência documental
PR.PI-2 desenvolvime
exclusão controlos de para alterações de projetos • Utilização de integração de por amostragem 16 da utilização de
nto seguro segurança no • Integração de controlos de princípios de controlos de • Evidência da integração de princípios de
desenvolvimento segurança aplicacionais em engenhara de segurança controlos de segurança, por engenharia de
aprovados pela função da análise do risco sistemas seguros aplicacional amostragem 16, incluindo em sistemas seguros
gestão • As especificações técnicas e • Ambiente de testes projetos desenvolvidos • Evidência operacional
os requisitos para a segregado do externamente da existência de
integração de controlos de ambiente de ambientes de
segurança são usados em desenvolvimento desenvolvimento
segregados

Página 26

Categoria
Categoria
Sub
Classificação
segurança
projetos desenvolvidos • Procedimento de • Evidência da execução
interna ou externamente testes de segurança do procedimento de
de sistemas testes de segurança,
• Procedimento de por amostragem
aceitação de sistemas • Evidência da execução
• Procedimento para do procedimento de
gestão de dados de aceitação, por
teste amostragem 16
• Evidência da execução
do procedimento de
preparação de dados
para teste, por
amostragem
• As alterações de • Processo de gestão de • Alarmística decorrente • Evidência • Evidência operacional da • Evidência operacional
requisitos, alterações aprovado pela da execução do operacional dos execução do processo de da integração de
configurações e gestão e abrangendo todos processo de gestão de registos de gestão de alterações alarmes do processo
especificações dos os Ativos críticos 7 alterações integrada alterações nos • Evidência documental das de gestão de
controlos de • Aprovação das alterações no processo de gestão Ativos críticos autorizações para as alterações alterações na gestão
Gestão de Passível de segurança dos integrado no ciclo de de incidentes a executar pelo processo de de incidentes
PR.PI-3 execução do processo de • Auditoria interna gestão de alterações • Relatório de auditoria
alterações exclusão Ativos críticos são
realizadas com gestão de alterações mensal da execução do • Evidência da execução do interna
registo manual em • Procedimento de “rollback” processo de gestão de procedimento de “commit” ou
ficheiro digital e “commit” integrado no alterações “rollback”
processo e gestão de
alterações
• Procedimento de • Política de Classificação de • Planeamento de • Evidências da • Execução da Política de • Evidências da
cópias de segurança Ativos de Informação testes de reposição execução do Salvaguarda da Informação execução de testes
periódicas da • Política de Salvaguarda da das cópias de procedimento de • Execução da Política de integrados de
Cópias de
PR.PI-4 Obrigatória informação crítica Informação segurança integrado cópias de segurança Classificação de Ativos de reposição de cópias de
segurança dos Ativos críticos • Procedimento de reposição e com os testes do Informação segurança em Ativos
teste de cópias de segurança Plano de Continuidade redundantes
de Negócio

Página 27

Categoria
Categoria
Sub
Classificação
segurança
• Controlos de segurança • Utilização de • Evidências da execução do • Evidência de utilização
aplicados na proteção do codificação para procedimento de reposição e de codificação na
acesso a cópias de segurança proteção das cópias testes de cópias de segurança realização de cópias
em função da classificação da de segurança • Evidências da utilização de de segurança
informação controlos de segurança no
acesso às cópias de segurança
• Controlos de • Análise do risco de segurança • Política de Segurança • Evidência da • Análise do risco de segurança • Execução da Política
segurança física física de instalações críticas Física operacionalização física de Segurança Física
para proteção dos (escritórios, salas de • Alarmísticas de dos controlos de • Evidência da operacionalização • Análise de alarmes
Ativos críticos são sistemas, salas de segurança física segurança física dos controlos de segurança gerados e respetivo
selecionados em comunicações, etc.) integrada com a para os Ativos física para os tratamentos do tratamento
função das • Controlos de segurança gestão de incidentes críticos risco • Demonstração de
Políticas de necessidades definidos em função dos • Autonomia de • Evidência da operacionalização autonomia de
PR.PI-5 ambiente Obrigatória identificadas tratamentos do risco produção elétrica para das redundâncias produção elétrica
físico aplicando boas necessários os Ativos críticos • Verificação das definições de • Relatório de auditoria
práticas aprovadas • Uso de redundâncias dos • Auditoria interna energia e climatização tendo interna de segurança
pela gestão Ativos críticos mensal de segurança em vista a autonomia e física
• Energia e climatização com física proteção adequadas dos ativos
autonomia e proteção críticos
adequadas para os ativos
críticos
• Os dados em • Política de Classificação de • Procedimento de • Evidência de • Execução da Política de • Evidências da execução
formato papel ou Ativos de Informação destruição centralizada destruição de dados Classificação de Ativos de do procedimento de
digital são • Utilização de destruidoras de (interna ou externa) de em papel e formato Informação destruição centralizada
destruídos de forma papel 8 selecionadas em documentos em papel digital, por • Evidência do uso de destruidoras de documentos em
Destruição simples função da classificação da • Procedimento de amostragem de papel para informação papel
informação destruição externa de confidencial • Evidências da execução
PR.PI-6 segura de Obrigatória
• Procedimento de destruição suportes de dados em • Evidências da execução do do procedimento de
dados modo seguro destruição externa de
de dados realizada com procedimento de destruição
ferramenta de eliminação • Contratos de prestação segura de dados digitais dados
segura por múltiplas de serviços externos • Contratos com
passagens com aceitação das prestadores de serviços

Página 28

Categoria
Categoria
Sub
Classificação
segurança
políticas de segurança
em vigor
• A melhoria dos • Realização de auditorias • Programa anual de • Evidência • Relatórios de auditoria interna • Evidência documental
processos, internas mensais auditorias internas documental de • Evidência documental das da existência de um
procedimentos, • Identificação de melhorias • Auditorias conduzidas decisões de melhorias identificadas, programa de auditorias
regras e práticas é realizada por cada auditoria por plano de auditoria melhoria pela gestão decididas e operacionalizadas • Evidências, por
realizada por • Melhorias são aplicadas por aprovado pela gestão amostragem 16, de
decisão da gestão decisão da gestão • Auditores internos com planos de auditoria
competências utilizados
Processos de adequadas para cada • Evidência documental
proteção com Passível de plano de auditoria da existência de uma
PR.PI-7
melhoria exclusão • Relatórios de auditoria bolsa de auditores
contínua • Plano global de ações internos
de melhoria • Análise do Plano Global
• Revisão e aprovação do de Melhoria e respetiva
plano de melhorias execução
pela gestão • Evidência documental
da revisão e aprovação
pela gestão
• As decisões de • A gestão define formalmente • Sistema de gestão da • Evidência • Evidência da operacionalização • Evidência da
melhoria e eficácia objetivos para a segurança da Segurança da documental de do processo de gestão da implementação e
são definidas de organização. Informação 9 decisões de melhoria contínua e da eficácia operacionalização de
forma pela gestão • Nomeação de um • Definição formal dos melhoria e eficácia da segurança um SGSI 9
sempre que coordenador da segurança KPI de segurança pela da segurança pela
Passível de considero • Os controlos são gestão gestão
PR.PI-8 Eficácia
exclusão adequadas para a monitorizados para avaliação • Processo de gestão do
organização de cumprimentos dos risco
objetivos • Processo de gestão de
• O coordenador apresenta auditorias
periodicamente os resultados • Processo de gestão de
obtidos à gestão incidentes

Página 29

Categoria
Categoria
Sub
Classificação
segurança
• Processo de gestão da • Procedimento de
melhoria contínua e eficácia revisão do sistema de
dos controlos de segurança gestão
• Criação do PCN • A atualização do PCN – Plano • Sistema de Gestão da • Evidência • Evidência documental da • Evidências
contendo os PRD de Continuidade de Negócio é Continuidade de documental e atualização dos seguintes documentais da
necessários 15 realizada pelo menos Negócio 10 operacional da componentes de segurança: implementação e
• A atualização das anualmente criação do PCN e o PCN operacionalização de
respostas a • A atualização do processo de PRD e da atualização o Plano de testes um SGCN 10
incidentes procedimentos de gestão de dos planos, incluindo o Processo de gestão de
disruptivos é incidentes é realizada pelo as respostas a incidentes
realizada em função menos anualmente incidentes o Procedimentos de gestão de
Atualização
PR.PI-9 Obrigatória da ativação do PCN • Os testes do PCN e das disruptivos incidentes
do PCN • Sessões de respostas a incidentes • Evidência documental da
consciencialização disruptivos são feitos análise de lições aprendidas e
periodicamente identificação de melhorias
• Os resultados da execução do
PCN, da gestão de incidentes e
dos testes são analisados para
identificação de lições
aprendidas e melhorias
• As respostas a • Plano de testes do PCN • Os testes de PCN são • Evidência • Existência do Plano de testes do • Evidência documental
incidentes aprovados pela gestão realizados com os documental dos PCN e respetiva evidência de da execução dos testes
disruptivos são • Testes do PCN são realizados Ativos redundantes testes das respostas aprovação pela gestão de PCN com utilização
testadas sempre periodicamente disponíveis e o mais a incidentes • Evidência documental da de Ativos redundantes
PR.PI-10 Testes do PCN que há alterações • Lições aprendidas são próximo possível do disruptivos realização dos testes de PCN e retorno ao modo
Obrigatória do PCN analisadas e dão origem a modo normal • Evidência documental das lições normal
melhorias do Plano de testes • Os testes de PCN aprendidas e respetivas
incluem o retorno ao melhorias
modo normal
• Regras e práticas • Procedimento de gestão da • Política de Gestão de • Evidência • Evidência da execução do • Execução da Política
Ciberseguranç Passível de para a gestão de RH contratação de colaboradores RH documental da procedimento de gestão da de Gestão de RH
PR.PI-11
a nos RH exclusão aprovadas pela para funções de segurança • Definição de perfis existência de regras contratação para funções de • Evidência documental
gestão técnicos requeridos e práticas para a segurança, por amostragem e operacional da

Página 30

Categoria
Categoria
Sub
Classificação
segurança
• As credenciais, • Procedimento de gestão de para funções de contratação de • Evidência da execução do utilização dos perfis
competências e alterações de funções gestão da segurança colaboradores procedimento de gestão de técnicos por função na
capacidade técnica • Procedimento de gestão da • Procedimento de ação • Evidência alteração de funções, por gestão da segurança
para as funções é cessação de funções disciplinar em caso de documental da amostragem • Evidência documental
definida e verificada responsabilidade dos aplicação das regras • Evidência da execução do da aplicação do
aquando da colaboradores no e práticas na procedimento de gestão de procedimento
contratação do incidente de contratação de cessação de funções, por disciplinar, se aplicável
colaborador segurança colaboradores, por amostragem
amostragem
• A pesquisa de • Plano de testes de • Periodicidade dos • Evidência • Divulgação e publicação do • Evidência documental
vulnerabilidades vulnerabilidade e intrusões testes de operacional da Plano de testes de do planeamento e
nos Ativos críticos é • Os objetivos, critérios de vulnerabilidades e realização de vulnerabilidades e intrusões periodicidade dos
feita de forma análise e decisão sobre os intrusões definida em pesquisa de • Evidência documental da testes em função da
manual e função de resultados, assim como os situação da análise do vulnerabilidades nos aprovação pela gestão das análise do risco
alarmes ou critérios para seleção de risco Ativos críticos condições para realização dos • Evidência documental
notificações de prestadores de serviço para os • Os prestadores de • Evidência testes e decisões sobre os da aplicação dos
fontes fidedignas testes de vulnerabilidades são serviços são documental da resultados critérios de decisão na
• A decisão de definidos pela gestão escrutinados em decisão de aplicação • Evidência documental e contratação de
aplicação de • Definição documentada de relação às suas de correções em operacional da execução do serviços externos para
Gestão de correções é feita em quais as ferramentas competências, face dos resultados procedimento de testes de a execução dos testes
Passível de
PR.PI-12 vulnerabilidad função da consulta autorizadas para a execução credenciais e da análise de vulnerabilidades e intrusões de vulnerabilidades e
exclusão
es a origens de de testes de vulnerabilidades demonstração da vulnerabilidades • Relatório de execução dos intrusões
informação • Procedimento de execução capacidade de testes • Evidências documental
credíveis 11 dos testes de vulnerabilidades tratamento de • Evidência documental das lições da análise do risco
e intrusões informação aprendidas e ações de melhoria para as propostas de
confidencial e sigilosa decorrentes ação em função dos
• As ações de melhoria resultados dos testes
são aprovadas e
executadas após a
verificação do
respetivo risco para os
ativos críticos

Página 31

Categoria
Categoria
Sub
Classificação
segurança
• As ações de • Processo de gestão de • Informatização do • Evidência • Processo de gestão de • Análise da ferramenta
manutenção manutenção preventiva e plano de manutenção documental e manutenção preventiva e de gestão da
preventiva e corretiva dos Ativos críticos preventiva e corretiva operacional de corretiva dos Ativos críticos manutenção
corretiva são • Uso de fichas de intervenção • As fichas de realização de ações • Evidência documental da • Evidência documental
realizadas em detalhadas identificados os intervenção nos Ativos de manutenção utilização de fichas de da realização de uma
função das Ativos críticos com a críticos são preventiva e intervenção, por amostragem análise do risco antes
necessidades referência de inventário autorizadas após uma corretiva e da • Evidência documental da da aprovação das
• São realizados • Colaboradores que executam análise do risco realização de formação e treino de fichas de intervenção
relatórios de ações de manutenção são • A presença de relatórios de colaboradores para estas • Exibição dos contratos
PR.MA- Plano de Passível de intervenção nos formados e treinados para colaboradores de intervenção em funções de prestadores de
1 manutenção exclusão Ativos críticos estas funções empresas contratadas Ativos críticos, por • Análise dos resultados de serviços de
• Análise dos resultados é verificada em amostragem intervenções de manutenção, manutenção e
obtidos em cada ficha de relação às respetivas por amostragem evidências da
intervenção competências aceitação das políticas
• As empresas de segurança em vigor
prestadoras de
PR.MA serviços formalizam a
sua aceitação das
políticas de segurança
em vigor
• As ações de • As intervenções remotas são • As intervenções • Evidência • Evidência documental da • Análise de fichas de
manutenção em previamente analisadas no remotas são definidas documental da aprovação para as ações de intervenção em modo
modo remoto são risco que podem representar com uma janela de realização de ações manutenção remotas remoto
realizadas em e são aprovadas caso a caso intervenção, sendo de manutenção em • Verificação dos registos de • Evidência documental
função das • Geração de alarmes em tempo monitorizado o seu uso modo remoto e da alarmes registados dos registos de acesso
Operações de necessidades real para tentativas de acesso e atividade em função respetiva • Relatório de auditoria interna remoto para
PR.MA- Passível de
manutenção • A atribuição de remoto falhadas, com das necessidades de justificação, ao acesso remoto aos Ativos manutenção
2 exclusão
remotas autorização para bloqueio automático e criação acesso incluindo o críticos • Verificação da criação
acessos remotos de incidente de segurança • As intervenções respetivo registo de e utilização de canais
utiliza as regras e • Auditoria semanal dos registos remotas de uso e das condições de comunicação
práticas da gestão de acesso remoto manutenção são feitas de acesso dedicados para fins de
de identidades e através de canais de manutenção

Página 32

Categoria
Categoria
Sub
Classificação
segurança
acessos da comunicação • Evidência documental
organização dedicados dos SLA e análise das
• Registos do uso do • Os SLA de resposta dos janelas de atividade
acesso remoto aos prestadores de serviços do acesso remoto
Ativos críticos determinam a largura para manutenção
temporal da janela de
atividade do acesso
remoto
• O acesso remoto é
desativado assim que é
confirmado o final da
intervenção, ficando
registado em log do
sistema de acesso
remoto
• Os registos de • Os registos de atividade dos • Política de Criptografia e • Evidência • Análise da ferramenta • Execução da Política de
atividade dos Ativos Ativos críticos são guardados gestão de chaves documental e centralizada para registo de Criptografia e gestão de
críticos são em ferramenta centralizada5, • Implementação de técnica da atividade dos Ativos críticos chaves
guardados em cada que passa a ser considerada controlos de operacionalidade • Evidência da operacionalização • Evidência da
recurso um recurso crítico segurança dos registos de do procedimento de recolha de operacionalização dos
• O prazo de retenção • Procedimento de recolha criptográficos para a atividade em cada registos de atividade controlos de
mínimo é de 1 ano centralizada de registos de integridade e recurso crítico e do • Evidência da realização de segurança
Registos de Passível de • O controlo de atividade preservação dos respetivo prazo de auditoria de sistemas, por criptográficos para a
PR.TP PR.TP-1 acessos ao recurso • A auditoria de sistemas pode registos de auditoria retenção, por amostragem 16 integridade e
auditoria exclusão
crítico protege o ser feita “online”, produzindo • Auditoria mensal dos amostragem 16 preservação dos
acesso aos registos registos de atividade registos de auditoria • Evidência da registos de auditoria
de atividade complementares, sempre do operacionalização • Relatório de auditoria
• A auditoria de tipo não intrusiva aos Ativos do controlo de interna
sistemas é baseada críticos acessos aos registos
nos registos de de atividade
atividade

Página 33

Categoria
Categoria
Sub
Classificação
segurança
• A informação • Política de Classificação de • Política de Criptografia e • Evidência • Política de Classificação de • Execução da Política de
confidencial usada Ativos de Informação gestão de chaves documental da Ativos de Informação Criptografia e gestão de
em suporte de • Controlos de segurança • Restrição do uso de proteção de • Evidência da execução dos chaves
dados amovíveis é implementados de acordo dispositivos móveis confidencialidade procedimentos e controlos de • Evidências de
protegida por com a classificação de para casos aprovados de dados usada em segurança aplicáveis, incluindo operacionalização de
controlos de informação em uso nos pela gestão suporte de dados destruição segura do dispositivo controlos criptográficos
segurança definidos dispositivos móveis • Implementação de amovíveis móvel e da sua informação para proteção de dados
caso a caso • Ações de sensibilização e controlos de • Evidência documental da em dispositivos móveis
treino para a proteção de segurança realização das ações de • Relatório de auditoria
Suportes de informação classificada em criptográficos para a sensibilização mensal
dados dispositivos móveis proteção de dados em • Aplicam-se, em cumulativo, as • Aplicam-se, em
PR.TP-2 Obrigatória
amovíveis • Aplicam-se, em cumulativo, os suporte amovíveis evidências dos requisitos das cumulativo, as
protegidos requisitos das medidas PR.PI-6 • Aplicam-se, em medidas PR.PI-6 e PR.SD-3 evidências dos
e PR.SD-3 cumulativo, os requisitos das medidas
requisitos das PR.PI-6 e PR.SD-3
medidas PR.PI-6 e
PR.SD-3
• Auditoria mensal dos
controlos de
segurança utilizados
para suportes
amovíveis de dados
• A configuração dos • Análise do risco inclui • Revisão mensal da • Fontes de práticas • Análise do risco de exposição • Evidência documental
Ativos críticos é ameaças referentes à aplicação de requisitos de configuração dos indevida de Ativos críticos e da revisão mensal de
realizada e exposição indevida de Ativos para a minimização de Ativos críticos respetivo plano de tratamento requisitos para a
documentada de críticos funcionalidades e documentadas dos riscos minimização de
Minimização
acordo com práticas • Definição de uma controlo de acesso a • Evidência • Evidência documental e funcionalidades e
de Passível de
PR.TP-3 de fontes configuração base dos Ativos configurações de documental da operacional da existência e controlo de acesso a
funcionalidad exclusão reconhecidas como críticos, em alinhamento com Ativos críticos configuração dos operacionalização da configurações
es credíveis os requisitos definidos para • Implementar Ativos críticos de configuração base, por • Evidências da
• O acesso á PR.PI-1 controlos de acesso acordo com as amostragem operacionalização dos
configuração de • Segregação de funções de “two man rule” práticas • Evidência documental da controlos de segurança
sistemas é restrito administração e documentadas segregação de funções e perfis “two man rule”

Página 34

Categoria
Categoria
Sub
Classificação
segurança
apenas a configurações de Ativos • Auditoria mensal de • Evidências no acesso a configurações de • Relatório de auditoria
colaboradores críticos em alinhamento com minimização de documentais da Ativos críticos mensal de
autorizados pela os requisitos definidos para funcionalidades e segregação de • Evidência documental e minimização de
gestão PR.GA-4 controlos de acessos a perfis de acesso às operacional da implementação funcionalidades e
• Os colaboradores • Atribuição de perfis de configurações de configurações de do processo de gestão da controlos de acessos a
que executam acesso em alinhamento com Ativos críticos Ativos críticos atribuição de perfis e respetiva configurações de
funções de os requisitos definidos para validação Ativos críticos
configuração de PR.GA-1 (IAM)
sistemas usam
perfis de acesso
específicos
• Aplicam-se os • Aplicam-se os requisitos • Aplicam-se os • São requeridas as • São requeridas as evidências • São requeridas as
requisitos definidos definidos para PR.GA-5 requisitos definidos evidências identificadas para PR.GA-5 evidências
para PR.GA-5 • Em complemento, a análise para PR.GA-5 identificadas para identificadas para
do risco suporta, através do PR.GA-5 PR.GA-5
tratamento dos riscos, os • Evidência
controlos de segurança a documental da
Proteção de Passível de
PR.TP-4 utilizar 12 seleção de
redes exclusão controlos de
segurança para a
proteção de redes
em função da
análise e
tratamento do risco
• Alteração das • Operacionalização do Plano de • Operacionalização do • Lista de inventário • Lista de Cenários de incidente • Registos dos testes do
redundâncias dos Continuidade de Negócio Plano de testes do PCN, • Evidências disruptivo e respetivas respostas PCN
Ativos considerados • Implementação dos com a execução de cada documental da • Analise do Risco e Tratamento • Relatórios de auditoria
críticos motivam Tratamento dos Riscos que teste na periodicidade atualização mensal do Risco que justificam os interna do PCN
PR.TP-5 Resiliência Obrigatória alteração imediata do justificam os cenários de definida em ID.AO-5 do inventário cenários de incidentes • Demonstração do
inventário incidentes disruptivo, • Operacionalização do • Demonstração do disruptivo, identificando as cumprimento dos RTO
• Operacionalização assegurando a programa do plano de estado de prontidão redundâncias necessárias e o e RPO aquando da
do suporte técnico operacionalização das auditorias internas à das redundâncias respetivo modo de prontidão execução dos
interno e/ou execução do PCN, em necessárias • Registos da revisão do PCN procedimentos de

Página 35

Categoria
Categoria
Sub
Classificação
segurança
necessário para a redundâncias necessárias e o relação às respostas a respostas, seja na
ativação das respetivo modo de prontidão incidentes e aos sequência de incidente
redundâncias • Operacionalização das respetivos testes ou em testes
redundâncias ativas ou
passivas para respostas a
Ciberataques
• Revisão periódica do PCN
1 – Recomenda-se a adoção das práticas de gestão de passwords do CNCS

2 – Uma solução passível de cumprir este requisito consiste na utilização de SSO – Single SignOn
3 – Todos os requisitos da subcategoria PR.GA-1 são aplicáveis
4 – Devem ser utilizadas as normas ETSI aplicáveis a certificados de autenticação não qualificados
5 – Poderá ser realizada através do uso de sistema SIEM – Security Information Event Management
6– Soluções tipicamente identificadas como DLP – Data Loss Protection
7– O processo de gestão de alterações poderá ser definido em função dos requisitos e práticas definidas pela norma ISO/IEC 20000
8– O nível de corte da destruidora de papel deve ser definido em função dos requisitos da norma DIN 66399
9– SGSI: Sistema de Gestão da Segurança da Informação segundo a norma ISO/IEC 27001
10 – SGCN: Sistema de Gestão da Continuidade de Negócio segundo a norma ISO/IEC 22301
11 – Recomenda-se que esta consulta e decisão seja feita com base nos Ativos disponibilizados pelo CNCS
12 – Nos controlos de segurança possíveis de decidir incluem-se a utilização de IDS/IPS, firewalls, proxies, WAFs e outras soluções tecnológicas para filtro e bloqueio de comunicações
13 – Redundâncias ativas podem ser representadas por “clusters” de alta disponibilidade ou soluções similares de replicação e sincronização

Página 36
14 – Os controlos de segurança aplicáveis neste contexto poderão incluir sistemas de Firewall, Proxy, Firewalls de Aplicações Web (WAF) e sistemas de deteção e prevenção de intrusões (IDS/IPS)
15 – O PCN – Plano de Continuidade de Negócio inclui na sua estrutura a identificação de redundâncias, as respostas para os incidentes disruptivos, assim como o(s) PRD – Plano(s) de Recuperação de
Desastres que sejam necessários para a resolução de situações de crise
16 – O critério de amostragem será definido, caso a caso, aquando da elaboração do plano de auditoria da entidade certificadora

Página 37
2.3. Objetivo: DETETAR

Categoria
Categoria
por níveis de garantia: por níveis de garantia:

Sub
Medidas e Segurança Classificação

• Lista de • Definição e • Sistema de • Lista de inventário • Execução da Política de • Análise da
inventário operacionalização de monitorização de atualizada segurança das ferramenta de
contém os um modelo tráfego em tempo real • Desenho de arquitetura comunicações monitorização de
equipamentos documentado de com deteção de redes e comunicações • Análise e tratamento tráfego em tempo
utilizados fluxos de dados e automática de atualizado do risco de segurança real e respetivos
para a respetivos controlos intrusões • Evidência documental e das comunicações registos de
implementaçã de segurança, • Testes de operacional da • Evidência documental e ocorrências de
o dos atualizado pelo menos vulnerabilidades e segregação de redes em operacional da alarmes ou tentativas
controlos de mensalmente intrusões função da criticidade dos implementação dos de intrusão sobre os
segurança • Operacionalização de automatizados Ativos e respetivo tráfego controlos de segurança fluxos de dados
• Operacionaliz equipamentos e periódicos para os fluxos de dados inventariados
ação das soluções para • Auditoria mensal das inventariados • Relatório dos testes
regras para filtragem de tráfego e configurações dos • Evidência documental e de vulnerabilidades e
Passível de gestão de gestão segura dos equipamentos de operacional da ações de melhoria
DE.AE DE.AE-1 Modelo de rede e fluxos tráfego entre fluxos de dados decorrentes
exclusão suporte a execução do
redes internas • Execução do comunicações e à procedimento de • Relatório de
e redes procedimento de respetiva segurança gestão de auditoria mensal das
externas gestão de • Revisão do modelo de configurações e de configurações dos
• Desenho de configurações e gestão fluxos de dados em alterações nos equipamentos de
arquitetura de de alterações função dos resultados equipamentos de comunicações
redes e • Plano de sensibilização da auditoria mensal segurança
comunicações e formação deve • Evidência documental
atualizado, incluir ações dedicadas da execução de ações
pelo menos, à preparação dos de formação
mensalmente colaboradores técnicos especificas,
para a identificação de colaboradores
potenciais vetores de envolvidos e da
ataque respetiva eficácia

Página 38

Categoria
Categoria por níveis de garantia: por níveis de garantia:

Sub
• Os eventos • Os eventos dos Ativos • O sistema de gestão • Evidência documental da • Evidência documental • Evidência documental
registados nos críticos são guardados de eventos análise de eventos e operacional da e técnica da função
ativos críticos em ferramenta centralizado inclui aquando de um recolha centralizada de analítica em tempo
são analisados centralizada 1, funcionalidades incidente de segurança eventos em real sobre o registo
em função das • Classificação da analíticas avançadas nos ativos críticos ferramenta centralizado de
respetivas ferramenta de gestão (do tipo IA – informática eventos
consequências e correlação de inteligência Artificial) • Evidência da execução • Evidência documental
para os eventos como recurso para a deteção de do procedimento de e técnica da
serviços crítico padrões de análise de eventos identificação de
prestados • Procedimento de Ciberataques realizada em tempo Ciberataques e da
análise eventos • Serviços de deteção e real, por execução da resposta
• Processo de gestão de resposta a colaboradores definida em
incidentes, integrando Ciberataques interno treinados para o procedimento
procedimento de ou em prestação de reconhecimento de integrado no PCN
comunicação com as serviços contratada 2 vetores de ataques • Análise da possível
Analise de eventos, de alvos partes interessadas em No caso de serviços • Evidências integração com
caso de Ciberataques contratados, o operacionais da serviços externos de
DE.AE-2 e de métodos de ataque Obrigatória
prestador haverá a interligação de vetores análise,
definições de níveis de de ataque com o recomendações de
serviço e credenciais processo de gestão de ação e respostas a
de segurança incidentes Ciberataques 2
adequadas para o • Evidência do registo da • Evidência da
serviço a prestar ferramenta de operacionalização de
• Plano de Continuidade correlação de eventos serviços de deteção e
de Negócio, incluindo como recurso crítico resposta (internos ou
respostas testadas externos). No caso de
para os incidentes serem usados
potencialmente serviços externos, as
disruptivos evidências incluem o
decorrentes de respetivo contrato,
Ciberataques níveis de serviço e
credenciais
apresentadas

Página 39

Categoria

Sub
• Os eventos são • Os eventos dos Ativos • A correlação de • Evidência documental da • Evidência • Análise da
coletados em críticos são guardados eventos é feita com o integração manual de documental e operacionalização
cada recurso em ferramenta apoio de eventos relacionados operacional da da ferramenta de
crítico centralizada 1, que funcionalidades com potenciais recolha centralizada corelacionamento
• A recolha de passa a ser considerada analíticas avançadas Ciberataques de eventos automático de
Coleta de eventos de várias eventos de um recurso crítico (do tipo IA – • Evidência da eventos internos e
DE.AE-3 Obrigatória
fontes origem • Procedimento de inteligência Artificial) operacionalização externos de
externa3 é feita recolha de integração para a deteção de do procedimento de eventos
manualmente de eventos de múltiplas padrões de recolha e integração
fontes externas 3 Ciberataques de eventos de
múltiplas fontes
• A classificação • Processo de gestão de • As respostas a • Evidência documental e • Evidência da • Evidência da

do impacto de incidentes, integrando incidentes de operacional da aprovação operacionalização operacionalização
incidentes está a classificação de segurança estão da classificação do do processo de das respostas
definida e incidentes em função organizadas segundo a incidente em função do gestão de incidentes automatizadas em
aprovada pela do seu impacto classificação do impacto • Análise da função da
gestão • Ferramenta incidente de forma • Evidência operacional da ferramenta classificação do
• Em caso de informática para automatizada em utilização da classificação informática para incidente
Passível de incidente, o gestão de incidentes função dos resultados do impacto na gestão de gestão de
DE.AE-4 Classificação do impacto da análise de causas
exclusão respetivo inclui uma função um incidente de incidentes, incluindo
registo manual específica para a do incidente segurança a evidência de
ou classificação do tratamento de
informatizado incidente incidente por
inclui a amostragem
afixação da
respetiva
classificação
• A classificação • O processo de gestão • Plano de Continuidade • Evidência documental do • Evidência da • Evidência da
do impacto de de incidentes inclui a de Negócio uso aceitável da operacionalização do operacionalização da
Passível de
DE.AE-5 Limites de alerta incidentes identificação dos • A classificação dos classificação de incidentes processo de gestão de comunicação de
exclusão determina o procedimentos de incidentes e os e dos respetivos alertas incidentes alertas integrada nas
tipo de resposta e

Página 40

Categoria

Sub
resposta a comunicação com as respetivos alertas estão • Evidência documental da • Evidência da respostas previstas no
executar partes interessadas integrados com o PCN comunicação de alertas operacionalização do PCN
• A decisão de • Os alertas são com o CNCS procedimento de
comunicação realizados em função comunicação
de alertas deve da análise e
incluir o CNCS seguimento do
incidente,
despoletando a
execução do respetivo
procedimento de
comunicação interno
e/ou externo
• A • A monitorização dos • Sistema de • Evidência operacional • Evidência da • Análise do sistema de
monitorização Ativos críticos em redes monitorização de da realização de operacionalização de monitorização
de redes e e sistemas é feita por tráfego e utilização de monitorização de ferramentas para integrado e
sistemas é ferramentas especificas Ativos críticos em alertas em Ativos monitorização de centralizado
realizada de dos fabricantes, tempo real críticos, por eventos e alertas em • Análise da integração
Monitorização de redes e
DE.MC-1 Obrigatória forma manual potencialmente não • Integração em tempo amostragem Ativos críticos do tipo do sistema de
sistemas em função de integradas real de alertas com a sistemas e redes monitorização com a
eventos ou ferramenta de gestão ferramenta de gestão
alertas de incidentes de incidentes
DE.MC
• A • Os controlos de • Os controlos de • Evidência documental e • Análise do risco, • Evidência operacional
monitorização monitorização de monitorização e acesso operacional da tratamento do risco e da integração dos
de espaços espaços físicos são a espaços físicos estão utilização de controlos controlos de segurança controlos de acesso
físicos é determinados em integrados com o de monitorização do definidos para a gestão físico e de
Monitorização de ambiente realizada função da análise de sistema de acesso a espaços físicos do acesso e presença videovigilância no
DE.MC-2 Obrigatória através de risco correspondente monitorização em espaços físicos sistema centralizado
físico
controlos de • Os controlos de acesso centralizado • Evidência operacional de monitorização
segurança 5 físicos são integrados da integração dos
definidos pela no sistema IAM 4 controlos de acesso
gestão físico com o IAM

Página 41

Categoria

Sub
• Autorizações de acesso • Evidência documental
de colaboradores da aprovação e revisão
internos e externos das autorizações de
condicionados a acesso a colaboradores
aprovação prévia pela internos e externos
gestão, com revisão • Evidência operacional
mínima mensal da retenção de imagens
• As imagens captadas pelo período máximo
pelos sistemas de legal vigente
videovigilância são
guardadas pelo período
máximo legal vigente
• A averiguação • Devem existir políticas • O sistema de IAM e a • Evidência documental da • Evidência documental • Evidência operacional
da eventual de uso aceitável para o monitorização averiguação de das atividades de da integração dos
responsabilida uso dos Ativos críticos, centralizada geram responsabilidades de identificação das sistemas IAM e de
de de aceites formalmente alarmes referentes a colaboradores em responsabilidades dos monitorização
colaboradores pelos colaboradores atividades indevidas incidentes de segurança colabores aquando da centralizados com a
em incidentes • O processo de gestão dos colaboradores • Evidência documental execução do processo gestão de incidentes
de segurança é de incidentes inclui de ações decorrentes da de gestão de
realizada por atividades que confirmação da colaboradores e
decisão da executam a análise de responsabilidade de respetivos
gestão evidência da colaboradores em tratamentos
Monitorização da atividade
DE.MC-3 Obrigatória • O tratamento responsabilidade dos incidentes de segurança • Evidência documental
dos colaboradores da colaboradores da aplicação do
responsabilida • No caso de ocorrência procedimento
de dos de incidente provocado disciplinar
colaboradores por ação de • Evidência documental
é realizado colaborador em que da aceitação formal
caso a caso não se identifique ou dos colaboradores
seja provado dolo, as para as políticas de
lições apreendidas irão uso aceitável
identificar medidas
corretivas ou de

Página 42

Categoria

Sub
melhoria para evitar
recorrência
• No caso de ser provado
dolo em incidente
provocado por ação de
colaborador, há
necessidade de ativar
um procedimento
disciplinar
• A deteção de • Devem existir políticas • Os registos de • Evidências da instalação • Evidência documental • Evidência operacional
código de uso aceitável para o atividade do software e operacionalização de da aceitação formal da integração dos
malicioso é uso dos Ativos críticos, de proteção são software antivírus e dos colaboradores registos de atividade
feita em cada aceites formalmente integrados com o antimalware e das para as políticas de uso do software de
recurso crítico pelos colaboradores sistema de respetivas atualizações aceitável proteção com a
individualment • A solução de proteção monitorização diárias • Análise técnica e monitorização
e antivírus e antimalware centralizado operacional da centralizada
• Implementaçã é gerida de forma • Os alarmes de solução centralizada • Evidência operacional
DE.MC-4 Deteção de código malicioso Obrigatória o de software centralizada, seja no segurança são para gestão de da integração de
antivírus e licenciamento, nas suas integrados com o antivírus e alarmes de segurança
antimalware, atualizações diárias, e processo de gestão de antimalware em com a ferramenta de
com nos alarmes de incidentes todos os Ativos gestão de incidentes
atualização segurança gerados • Auditoria mensal de • Evidência operacional • Relatório de auditoria
diária pelos ativos críticos prontidão do software do tratamento de ao software de
automática de proteção dos Ativos alarmes de segurança proteção dos ativos

Página 43

Categoria

Sub
• Lista de • Operacionalização da • Alarmes de instalação • Evidência operacional • Execução da Política • Evidência
software política de uso de software integrado da existência de uma de uso aceitável de operacional da
autorizado aceitável de com a ferramenta de lista de software aplicações em integração dos
aprovada pela aplicações em gestão de incidentes autorizado aprovada dispositivos móveis alarmes de
gestão dispositivos móveis • Uso de solução pela gestão • Evidência operacional instalação de
• Autorização de • Registo de instalação centralizada para • Evidência operacional da integração dos software com a
exceções de software integrado suporte da instalação da aceitação e exceções registos de instalação ferramenta de
aprovadas pela com o sistema de de software que • Evidência documental de software com o gestão de incidentes
gestão monitoração impeça a instalação de do tratamento de sistema de • Análise da
• Tratamento centralizado software não situações de não monitorização ferramenta de
caso a caso de • Uso de ferramentas autorizado conformidade para com centralizado gestão centralizada
Monitorização de aplicações deteção de de verificação em • Auditoria mensal do a lista de software • Análise da ferramenta para instalação de
DE.MC-5 Obrigatória software não tempo real do software instalado em centralizada de software
em dispositivos móveis
autorizado software instalado dispositivos móveis inventário de • Relatório de
• A instalação não software instalado auditoria do
autorizada pode • Evidência documental software instalado
resultar em e operacional do
responsabilidade do tratamento de
colaborador em caso incidentes
de incidente de decorrentes da
segurança por instalação de
ativação do software não
procedimento autorizada
disciplinar
• As atividades • Os contratos com • Alarmes decorrentes • Evidência documental e • Verificação da inclusão • Evidência operacional
dos prestadores de da atividade de operacional da dos requisitos da criação de
prestadores de serviços incluem as prestadores de monitorização da definidos nos incidente (e sua
serviços são regras e práticas de serviços externos são prestação de serviços contratos de gestão) devido a
Monitorização de serviços Passível de
DE.MC-6 monitorizadas segurança a respeitar integrados com a externos prestadores de alarmes de segurança
externos exclusão de forma e penalidades ferramenta de gestão • Evidência documental e serviços externos decorrentes das
reativa associadas ao de incidentes, sendo operacional do • Evidência documental atividades de
incumprimento geridos pelo processo tratamento de incidente e operacional da prestadores de
serviços externos

Página 44

Categoria

Sub
• O tratamento • As atividades dos de gestão de de segurança decorrente criação de incidente • Evidência operacional
do incidente é prestadores de incidentes de atividades de com origem num da integração de
realizado de serviços são • Os registos de prestadores de serviços prestador de serviços, registos de atividade
forma manual monitorizadas de atividade dos externos se aplicável de prestadores de
forma ativa através de prestadores de serviços externos na
registos dos Ativos serviços externos são solução centralizada
acedidos integrados com o de monitorização
• No caso de sistema de
incumprimento das monitorização
práticas de segurança, centralizado
será criado incidente
de segurança
• Os acessos • Os acessos dão • Sistema de • Lista de acessos • Evidência operacional • Análise do sistema
autorizados de origens a registos de monitorização de autorizados de da integração de de monitorização
colaboradores, atividade que são tráfego em tempo real colaboradores, registos de acessos centralizada na
aplicações, integrados na com deteção aplicações, conexões e com o sistema de captura e
conexões e monitorização automática de dispositivos monitorização tratamento de
dispositivos centralizada intrusões • Evidência operacional centralizado possíveis intrusões
estão • Os acessos não • Auditoria mensal de do tratamento de • Evidências • Relatório de
inventariados autorizados geram acessos não acessos não autorizados operacional de auditoria de acessos
Monitorização de acessos e
DE.MC-7 Obrigatória • Os acessos não alertas que são autorizados como incidentes de geração e tratamento não autorizados
ligações autorizados tratados através do segurança de incidentes
são analisados processo e ferramenta automatizado para
caso a caso, para gestão de alarmes de acessos
sendo tratados incidentes não autorizados
manualmente
como
incidentes de
segurança
• A pesquisa de • Plano de testes de • Periodicidade dos • Evidência operacional da • Execução do Plano de • Evidência documental
Passível de vulnerabilidad vulnerabilidade e testes de realização de pesquisa testes de do planeamento e
DE.MC-8 Testes de vulnerabilidades
exclusão es nos Ativos intrusões vulnerabilidades e de vulnerabilidades nos vulnerabilidades e periodicidade dos
críticos é feita intrusões definida em Ativos críticos intrusões

Página 45

Categoria

Sub
de forma • Os objetivos, critérios situação da análise do • Evidência documental da • Evidência documental testes em função da
manual e de análise e decisão risco decisão de aplicação de da aprovação pela análise do risco
função de sobre os resultados, • Os prestadores de correções em face dos gestão das condições • Evidência documental
alarmes ou assim como os critérios serviços são resultados da análise de para realização dos da aplicação dos
notificações de para seleção de escrutinados em vulnerabilidades testes e decisões sobre critérios de decisão
fontes prestadores de serviço relação às suas • os resultados na contratação de
fidedignas para os testes de competências, • Evidência documental serviços externos
• A decisão de vulnerabilidades são credenciais e e operacional da para a execução dos
aplicação de definidos pela gestão demonstração da execução do testes de
correções é • Procedimento de capacidade de procedimento de vulnerabilidades e
feita em execução dos testes de tratamento de testes de intrusões
função da vulnerabilidades e informação vulnerabilidades e • Evidências
consulta a intrusões confidencial e sigilosa intrusões documental da
origens de • Criação do relatório de • As ações de melhoria • Relatório de execução análise do risco para
informação lições aprendidas e decorrentes da decisão dos testes as propostas de ação
credíveis decisões para ações de de tratamento de • Evidência documental em função dos
melhoria vulnerabilidades são das lições aprendidas e resultados dos testes
aprovadas e ações de melhoria
executadas após a decorrentes
verificação do
respetivo risco para os
Ativos críticos
• Os papéis, • Definição de uma • Existe uma matriz RACI • Evidência documental da • Análise documental e • Análise da matriz RACI
funções e taxonomia do incidente aprovada pela gestão aprovação pela gestão operacional da e da respetiva
responsabilida 7
• Esta nomeado um dos papéis e taxonomia do aprovação pela gestão
des na deteção • Os responsáveis coordenador para a responsabilidades em incidente, por • Evidência documental
Papéis e responsabilidades de eventos e nomeados frequentam segurança da matérias de deteção de amostragem e operacional da
DE.PD DE.PD-1 na deteção de eventos Obrigatória alarmes está ações de sensibilização organização alarmes e eventos • Evidência documental atividade do
anómalos aprovada pela integradas no plano de da participação de coordenador de
gestão formação para colaboradores segurança da
capacitação das suas nomeados, internos e organização
funções e externos quando
responsabilidades aplicável, em ações de

Página 46

Categoria

Sub
• No caso de serem capacitação para as
contratados suas funções e
colaboradores responsabilidades
externos, são incluídos
em tais ações de
formação
• Os requisitos • Procedimento para • Planos de auditoria • Evidência documental de • Evidência • Evidência documental
legais, identificação e gestão para cada auditoria identificação dos documental do da execução dos
regulamentare dos requisitos legais, interna requisitos legais, programa anual de planos de auditorias
s e normativos regulamentares e • Processo de gestão regulamentares e auditoria e da internas
são normativos de incidentes normativos e respetiva respetiva execução • Evidência da
identificados • Programa anual de • Os controlos de aplicação • Evidência operacionalização do
por decisão de auditorias internas segurança são • Relatório da última documental da processo de gestão de
gestão • Plano global de selecionados em auditoria interna criação e execução incidentes
• As auditorias melhorias aprovado função do tratamento • Evidência documental de de um plano de • Evidência operacional
internas são pela gestão do risco aprovado execução de melhorias melhorias aprovado da preservação digital
executadas • Ferramenta pela gestão pela gestão de registos de
Requisitos para a deteção quando informática para • Os registos do • Evidência operacional auditorias e gestão de
DE.PD-2 Obrigatória necessário,
de eventos anómalos gestão de incidentes sistema centralizado da existência de uma incidentes durante o
pelo menos de monitorização são ferramenta período previsto,
anualmente preservados informática para assim que aplicável
• As melhorias digitalmente, pelo gestão de incidentes
são menos, durante 5 • Evidência da
identificadas e anos execução do
executadas procedimento de
por decisão da identificação de
gestão, caso a requisitos e respetiva
caso integração nos
controlos de
segurança
Testes do processo de • São • Criação e execução do • Processo de gestão de • Evidências de testes aos • Evidência da • Evidência da
Passível de executados Plano de testes anual alterações é utilizado Ativos de suporte à execução do plano de operacionalização do
DE.PD-3 deteção de eventos
exclusão testes dos Ativos de suporte para alterações aos deteção de eventos e testes anual ao processo de gestão de
anómalos
Página 47

Categoria

Sub
esporádicos à deteção de eventos e Ativos de suporte à gestão de incidentes Ativos utilizados para alterações aos Ativos
aos Ativos de gestão de incidentes deteção de eventos e usados em produção a deteção de eventos de suporte à deteção
suporte à em ambiente de testes gestão de incidentes anómalos de eventos e gestão
deteção de • Auditoria interna da • Todos os Ativos de • Relatório de auditoria de incidentes
eventos e execução do plano de suporte à deteção de dos testes • Evidência documental
gestão de
testes eventos e gestão de executados da operacionalização
incidentes
incidentes são e prontidão de
usados em
produção redundantes redundâncias
• A deteção de • Criação e • O procedimento de • Evidência da • Evidência da • Evidência documental

eventos e operacionalização de comunicação está comunicação interna da execução do da execução do
incidentes é um procedimento de integrado com o deteção de eventos e procedimento de procedimento de
comunicada comunicação interna processo de gestão de incidentes comunicação interna comunicação interna
internamente e externa de eventos incidentes e de • Evidência da prontidão e externa, baseada e externa integrada
através de anómalos continuidade de do procedimento de em “Templates” de com o processo e
meios • “Templates” negócio comunicação com o mensagens pré- ferramenta de gestão
definidos para aprovados pela gestão • Os atos de CNCS definidos de incidentes
cada para os atos de comunicações são • Evidência documental • Evidência documental
ocorrência comunicação realizados através de e operacional da da execução do
• A • As funções e uma ferramenta atribuição de funções procedimento de
Comunicação de deteções Passível de responsabilida responsabilidades dos informática e responsabilidades comunicação interna
DE.PD-4
de eventos exclusão de de colaboradores, que centralizada • Análise, por e externa integrada
comunicação é incluem a execução amostragem 8, de com o plano de
realizada caso de atos de atos de comunicações continuidade de
a caso pela comunicação são realizados nos últimos negócio
gestão definidas no 12 meses • Análise da utilização
• A procedimento de da ferramenta
comunicação comunicação de centralizada de
de incidentes eventos anómalos são comunicação nos
com o CNCS aprovadas pela gestão últimos 12 meses
segue o
procedimento
definido por

Página 48

Categoria

Sub
este
organismo
• A melhoria dos • Inclusão da revisão e • Planos de auditoria • Evidência documental • Evidência • Evidência documental
Ativos de aprendizagem de para cada auditoria da realização de documental da da execução dos
suporte à processos de deteção interna melhorias dos Ativos de execução do planos de auditorias
deteção de de eventos no • Integração das lições suporte à deteção de programa anual de internas
eventos e Programa anual de aprendidas do eventos e gestão de auditorias internas • Evidência documental
gestão de auditorias internas processo de gestão incidentes • Evidência da integração das
incidentes é • Plano global de de incidentes no documental da lições aprendidas do
feita em melhorias aprovado plano global de execução do plano processo de gestão de
Melhoria continua da Passível de função da pela gestão melhorias global de melhorias incidentes no plano
DE.PD-5
deteção de eventos exclusão aprovação • Integração das lições aprovado pela gestão global de melhorias
pela gestão aprendidas do plano • Evidências
de continuidade de documental da
negócio no plano integração das lições
global de melhorias aprendidas do plano
de continuidade de
negócio no plano
global de melhorias
1 – Poderá ser realizada através do uso de sistema SIEM – Security Information Event Management
2 – Este tipo de serviço é identificado no mercado como “Serviços SOC – Security Operations Center”
3– Como é o caso das notificações de eventos emitidas pelo CNCS
4– IAM significa “Identity and Access Management”
5– São casos típicos de controlos de monitorização de ambientes físicos os sistemas de CCTV
6– Para detalhes referentes a operações em modo remoto, aplicam-se os requisitos definidos em PR.MA-2
7– Recomenda-se que seja adotada a taxonomia nacional para a classificação de incidentes disponibilizada por publicação “online” do CNCS
8– O critério de amostragem será definido, caso a caso, aquando da elaboração do plano de auditoria da entidade certificadora
Página 49
2.4. Objetivo: RESPONDER

Categoria
Categoria

Sub
Classificação
Segurança
• A resposta a incidentes • Processo de gestão de • As respostas a incidentes • Evidências • Evidências da • Evidência
é realizada através de incidentes, integrando os de segurança estão documental das operacionalização do operacional da
ações decididas em procedimentos de resposta organizadas segundo a respostas a processo de gestão de execução das
função da análise a incidentes decorrentes de classificação do incidente incidentes incidentes, das respostas a
realizada no momento análise de causas • As decisões de respostas registadas e respetivas decisões e incidentes de
da ocorrência conhecidas são realizadas em função documentadas dos procedimentos segurança segundo a
• Ferramenta informática de uma base de dados de ativados classificação do
para operacionalização do conhecimento • Análise da ferramenta incidente
Plano de Resposta a Passível de
RS.PR RS.PR-1 processo de gestão de de gestão de • Evidência
incidente exclusão
incidentes incidentes, por operacional da
amostragem 5 de utilização de uma
incidentes fechados base de dados de
conhecimento para
suporte das decisões
de resposta a
incidentes
• As funções e • As funções e • Matriz RACI de funções • Evidência • Evidência documental • Análise da matriz
responsabilidades dos responsabilidades dos e responsabilidades documental da da atribuição de RACI
colaboradores na colaboradores na resposta organizativas para a atribuição de funções e • Evidência
resposta a incidentes a incidentes são definidas Segurança da funções e responsabilidades dos
Funções e documental da
RS.CO-1 Obrigatória são definidas caso a formalmente no processo Informação, incluindo a responsabilidade colaboradores para a aprovação pela
responsabilidades de gestão de incidentes e s dos resposta a incidentes,
caso gestão de incidentes gestão da matriz
RS.CO nos respetivos colaboradores no processo de gestão e
aprovada pela gestão RACI
procedimentos de para a resposta a nos respetivos
resposta incidentes procedimentos
• O ato de comunicação • O processo de gestão de • Plano de Continuidade de • Evidência • Evidência operacional • Evidência
com as partes incidentes inclui a Negócio operacional da do procedimento de operacional do
RS.CO-2 Reportar incidentes Obrigatória interessadas é identificação do • Procedimento de ativação do comunicação integrado procedimento de
definido caso a caso, procedimento de resposta e comunicações de procedimento de no processo de gestão comunicação
pela gestão, devendo

Página 50

Categoria

Sub
Classificação
Segurança
incluir o CNCS sempre comunicação com as partes respostas a incidentes comunicação para de incidentes e da integrado no PCN a
que aplicável interessadas disruptivos incidentes informação a utilizar aquando da
• O procedimento de identificados comunicar caso a caso ativação de respostas
resposta inclui a a incidentes
identificação de: QUEM, disruptivos
QUANDO, COMO, A QUEM
comunicar em cada
incidente
• A informação a • Cada procedimento de • Os procedimentos de • Evidência • Evidência da • Evidência
partilhar com as partes resposta a incidente inclui a comunicação fazem documental da operacionalização do documental da
interessadas é identificação de: QUEM, parte do plano de testes informação procedimento de execução do
selecionada caso a QUANDO, COMO, A QUEM periódicos do PCN partilhada com as comunicação e procedimento de
caso pela gestão comunicar em cada • A comunicação é partes respetiva informação comunicações
• Para o caso da incidente realizada em modo interessadas contida em cada aquando dos testes
comunicação com o • A execução dos seguro, sendo os • Evidência execução de um PCN
CNCS, a informação a procedimentos de resposta controlos de segurança documental do procedimento de • Evidência
Comunicação seletiva partilhar é a que é registada em ferramenta definidos formalmente cumprimento do resposta a incidente documental do
RS.CO-3 Obrigatória entre as partes
e segura do incidente consta das práticas informática determinado pelo • Verificação da inclusão acordo do modo
divulgadas 1 • O plano de formação e CNCS para a de ação específica para seguro e respetivos
sensibilização inclui uma comunicação de treino do controlos de
ação específica para treino incidentes procedimento de segurança e da
do procedimento de comunicação no plano respetiva
comunicação de formação e operacionalização
sensibilização
• A decisão de • A coordenação de • A coordenação de • Evidência • Evidência documental • Evidência

coordenação de atividades de resposta ao atividades de resposta documental da da coordenação de documental da
atividades de resposta incidente de segurança com ao incidente diruptivo coordenação de atividades de coordenação de
Coordenação com as ao incidente com partes interessadas está com partes interessadas atividades de resposta a incidente atividades de
RS.CO-4 Obrigatória está em cada
partes interessadas partes interessadas é definida no processo de resposta a de segurança com resposta a
procedimento de
realizada caso a caso gestão de incidentes e em incidente com partes interessadas incidente
resposta do PCN
cada procedimento de partes externas nos disruptivos com
resposta a incidente procedimentos de partes interessadas

Página 51

Categoria

Sub
Classificação
Segurança
• No caso de partes • A participação de partes interessadas resposta que foram externas nos
interessadas externas, interessadas externas é externas ativados procedimentos de
estão definidos tempos de identificada em cada • Verificação resposta que foram
resposta e requisitos procedimento de documental de ativados
adicionais de segurança a resposta, incluindo a acordo entre partes • Relatório de
cumprir sua responsabilidade no quanto à definição de auditoria interna
RTO e RPO para cada tempos de resposta e das respostas a
incidente de requisitos de incidentes
potencialmente segurança adicionais disruptivos
disruptivo a observar na realizadas com
• Auditoria interna das resposta coordenada partes interessadas
respostas a incidentes a incidentes externas
disruptivos realizadas
com partes interessadas
externas
• A informação • A informação partilhada • A informação partilhada • Evidência • Análise dos contratos • Evidência
partilhada entre as entre as partes é definida entre as partes é documental da de prestação de documental e
partes é definida caso em cada procedimento de definida em cada informação serviços de partes operacional da
a caso pela gestão resposta a incidente de procedimento de partilhada entre interessadas externas informação
segurança em que dividam resposta a incidente as partes que colaborem na partilhada em caso
disruptivo em que
a responsabilidade pela durante os deteção de eventos de respostas a
dividam a
execução de tarefas últimos 12 anómalos e em incidentes
responsabilidade pela
• O contrato de prestadores execução de tarefas meses respostas a incidentes disruptivos que
Partilha de de serviços inclui a • Evidência de • Evidência documental envolvam as partes
• A partilha de
RS.CO-5 informação com Obrigatória obrigação de apresentação informação entre as que a da informação contratadas
partes externas de informação relevante partes é feita através de informação partilhada em caso de
para a gestão de eventos um canal /ferramenta partilhada com respostas a incidentes
anómalos e incidentes, de de comunicação segura, partes externas de segurança que
uma forma voluntária e por previamente foi aprovada envolvam as partes
sua iniciativa, de acordo formalizada entre as pela gestão contratadas
com os tempos de resposta partes
estabelecidos entre as
partes

Página 52

Categoria

Sub
Classificação
Segurança
• Os eventos • Os eventos que estejam • O sistema de gestão de • Evidências • Evidências em • Evidência
identificados nos associados a potenciais eventos centralizado documentais e ferramenta documental e
Ativos críticos são incidentes são registados na inclui funcionalidades operacionais da informática do técnica da função
analisados de forma ferramenta informática que analíticas avançadas (do análise de registo de eventos, analítica em tempo
manual, sendo a suporta a operacionalização tipo IA – inteligência notificações da sua análise e do real sobre o registo
decisão de escalar para do processo de gestão de Artificial) para a deteção relacionadas com escalar da respetiva centralizado de
incidente realizada por incidentes de padrões de os eventos classificação para eventos
quem faz esta análise • As práticas a executar na Ciberataques detetados e da incidente
Avaliação das
Passível de • As regras para escalar avaliação destas notificações eventual decisão • Evidências em
RS.AN-1 notificações dos de escalar para
exclusão para incidente são estão definidas na ferramenta
sistemas de deteção definidas pela gestão ferramenta informática incidente informática do
usada para gestão de • Evidência cumprimento das
incidentes documental da prática definidas no
aprovação pela processo de gestão
gestão das prática de incidentes
de análise e
escalamento como
RS.AN
incidente
• Os níveis de impacto • Os níveis de impacto dos • Os níveis de impacto dos • Evidências • Evidências • Evidências
dos incidentes são incidentes são qualitativos e incidentes são documentais a documentais da documentais da BIA
qualitativos e definidos na metodologia qualitativos e definidos aprovação dos metodologia de gestão realizada nos últimos
aprovados pela gestão de gestão aprovados pela gestão do níveis de impacto do risco e relatório de 12 meses
• As prioridades de do risco 2 risco e quantitativos em do incidente pela análise do risco • Evidências
resposta são definidas • Definição de uma função dos resultados da gestão realizado até ao limite documentais da
em função do nível de taxonomia do incidente BIA 3 usada para a • Evidência de 12 meses definição de RTO e
Avaliação do impacto Passível de impacto • Classificação do incidente definição do PCN operacionais da • Análise da taxonomia RPO em função dos
RS.AN-2
do incidente exclusão em função da correlação • São estabelecidas no PCN atribuição de nível do incidente em vigor níveis do risco e da
entre a análise de causa, os métricas de RTO e RPO de impacto e • Evidências operacionais BIA
Ativos envolvidos e o nível aplicáveis para cada prioridades aos da atribuição de • Evidências
de impacto previsível, tendo serviço crítico, que incidentes impacto e prioridade operacionais do
em conta a taxonomia de incluem os Ativos críticos em incidentes cumprimento do
incidentes em vigor que lhe dão suporte) registados nos últimos RTO e RPO em
12 meses incidentes registados

Página 53

Categoria

Sub
Classificação
Segurança
• As prioridades de nos últimos 12
resposta e resolução de meses
cada incidente são
realizadas em função do
RTO e RPO
• A decisão de proceder • O procedimento de • Existem procedimentos • Evidência de • Análise, por • Análise da execução,
à realização de análises resposta ao incidente, complementares para decisão pela amostragem 5, da por amostragem 5 ,
forenses é realizada operacionalizado através de análise forense gestão para a informação recolhida do procedimento de
pela gestão caso a caso ferramenta informática, integrados no processo realização de pela ferramenta de análises forenses
• Contratação de serviço recolhe toda a informação de gestão de incidentes analises forenses gestão de incidentes • Análise técnica da
externo de análise sobre a evolução do • A ferramenta para nos últimos 12 para suporte de ferramenta que
forense, incluindo incidente e a respetiva operacionalização do meses analises forenses realiza análises
níveis de serviço, gestão temporal processo de gestão de • Análise técnica e • Evidências do plano de forenses
credenciais e controlos • A ferramenta para incidentes deve incluir operacional da formação, capacitação
de segurança a utilizar operacionalização do funções integradas de informação e treino dos
na partilha da processo de gestão de análise forense recolhida para colaboradores internos
Passível de informação incidentes deve permitir a • Estas funcionalidades análise fornense que executam análises
RS.AN-3 Análise forense
exclusão exportação de informação devem permitir a recolha • Analise das forenses
para formatos de análise de dados em todos os condições de
forense Ativos críticos segurança para
• Os colaboradores potencialmente partilha de
envolvidos em análises envolvidos num incidente informação com o
forenses são capacitados e disruptivo prestador de
treinados para a realização serviços de
de análises forense, análises forenses
devendo estas ações
estarem incluídas no
programa anual de
formação
• Lista de categorias de • Definição de uma • A taxonomia de • Lista de categorias • Evidência documental • Evidência
Categorização dos Passível de incidentes aprovada taxonomia de classificação classificação do incidente de incidentes da taxonomia de operacional da
RS.AN-4
incidentes exclusão pela gestão de incidentes 4 encontra-se definida na aprovada pela classificação de integração da
ferramenta informática gestão incidentes em vigor taxonomia em vigor

Página 54

Categoria

Sub
Classificação
Segurança
• Utilização das • A taxonomia de • Para cada classificação de • Evidências • Evidência operacional com a ferramenta
categorias de classificação de incidentes incidente está associado operacionais de da associação da informática de
incidentes é está definida no processo um procedimento de atribuição de classificação de gestão de incidentes
manualmente de gestão de incidentes e é resposta possível de ser categorias de incidentes nos últimos • Evidências
associada à decisão de utilizada para classificação usado para tratamento do incidentes nos 12 meses operacionais dos
resposta ao incidente de cada incidente por incidente últimos 12 meses procedimentos de
associação manual resposta e respetivas
ligações com a
taxonomia
• As vulnerabilidades são • Criação e operacionalização • A recolha, organização, • Evidências das • Operacionalização do • Análise do catálogo
recolhidas caso a caso de um processo de gestão catalogação, decisão de recolhas e processo de gestão de de vulnerabilidades
em função de de vulnerabilidade, com tratamento de tratamento de vulnerabilidades • Análise das decisões
informações recolhidas captação de informação em vulnerabilidades é feito vulnerabilidades • Evidências de tomadas de tratamento em
de fontes credíveis fontes internas ou externas em ferramenta nos últimos 3 de decisão em relação ferramenta
credíveis para constituição informática com registo meses aos tratamentos de informática nos
Vulnerabilidades de de um catálogo de de ações automático vulnerabilidades nos últimos 3 meses
Passível de
RS.AN-5 fontes internas e vulnerabilidades últimos 3 meses
exclusão • A operacionalização o do
externas
processo deve permitir a
tomada de decisão sobre o
tratamento item por item,
por recurso individual ou
grupo de Ativos, por ação
manual ou automática
• A resposta a incidentes • A resposta a incidentes é • A análise de causas do • Evidência • Evidência operacional • Evidência
é realizada através de realizada através de um incidente está integrada documental e dos procedimentos de operacional da
ações decididas em procedimento de resposta na ferramenta operacional de resposta a incidentes atribuição de análise
função da análise concebido e testado para informática de suporte respostas a nos últimos 12 meses de causas e
RS.MI RS.MI-1 Conter os incidentes Obrigatória realizada no momento cada tipo de incidente de ao processo de gestão de incidentes e • Evidência operacional impactos
do respetivo registo de segurança previsto no incidentes medidas tomadas do uso da taxonomia provocados nos
incidente processo de gestão de • Incidentes que provocam para conter o de classificação de incidentes dos
incidentes inatividade são incidentes últimos 12 meses
considerados disruptivos,
Página 55

Categoria

Sub
Classificação
Segurança
• A operacionalização do sendo tratados através impacto do • Análise do fluxo de • Evidência
processo de gestão de do PCN incidente ações de cada operacional da
incidentes e dos incidente identificado ativação do PCN
procedimentos de resposta para confirmação da para o caso de
é feito através de uma boa execução do incidentes
ferramenta informática processo de gestão de disruptivos
• A classificação do possível incidentes
impacto e da sua contenção
é feita com o apoio de uma
taxonomia de classificação,
que apoio a definição
manual do procedimento
de resposta a usar
• Todos os registos de
eventos e decisões são
associados aos “tickets”
criados quando da criação
do incidente
• A resposta a incidentes • A resposta a incidentes é • A ferramenta informática • Evidências • Análise de respostas a • Análise da base de
é decidida caso a caso realizada através de um de suporte à operacionais das incidentes na dado de
em função dos procedimento de resposta operacionalização da respostas a ferramenta conhecimento da
sintomas e impactos concebido e testado para gestão de incidentes incidentes nos informática de ferramenta
percecionados cada tipo de incidente de incluir uma base de últimos 12 meses suporte, seguimento informática e
segurança previsto no dados de conhecimento do respetivo workflow tomadas de decisão
processo de gestão de para a analítica e ações técnicas de ações técnicas de
RS.MI-2 Mitigar os incidentes Obrigatória incidentes semiautomática de realizadas mitigação por
• As ações técnicas de decisão do procedimento • Evidências decisões
mitigação permitidas estão de resposta a usar e documentais e automáticas ou
definidas em cada percecionar com maior operacionais de semiautomáticas
procedimento de resposta antecipação os possíveis decisões para ações
• Qualquer ação técnica que impactos técnicas de mitigação
não esteja prevista num não previstas nos
procedimento de resposta

Página 56

Categoria

Sub
Classificação
Segurança
é comunicado ao gestor de procedimentos de
incidentes, que analisa o resposta
respetivo risco e assume a
decisão, registando-a na
ferramenta informática de
suporte à gestão de
incidentes
• A decisão de • A decisão de tratamento de • As decisões de • Evidência • Evidência operacional • Evidência
tratamento de novas novas vulnerabilidades é tratamento de novas documental da das tomadas de operacional da
vulnerabilidades realizada aquando da vulnerabilidades na decisão de decisão para o análise do risco da
identificadas é feita execução do processo de ferramenta de gestão de tratamento de tratamento de novas decisão de
caso a caso pela gestão gestão de vulnerabilidades vulnerabilidades incluem novas vulnerabilidades no tratamento de
(ver RS.AN-5) uma análise especifica do vulnerabilidades processo de gestão vulnerabilidades e
Tratamento de novas • Como resultado será criada risco da sua pela gestão correspondente da respetiva
RS.MI-3 Obrigatória
vulnerabilidades uma lista automática ou implementação, sendo • Análise das últimas 3 aprovação
manual identificando os todas as ações realizadas listas de tratamento de
tratamentos de registadas nesta vulnerabilidades
vulnerabilidades ferramenta autorizados
autorizados a executar pelo • A análise do risco tem de
gestor do processo ser aprovada pelo gestor
do processo
• A decisão da realização • O processo de gestão de • As ações de melhoria são • Evidências • Evidências • Análise na
de análise das lições incidentes inclui um colocadas na base de documentais da operacionais da ferramenta
aprendidas é feita caso procedimento específico dados de conhecimento decisão de ativação do informática das
a caso pela gestão para identificação e análise da ferramenta realização de procedimento de decisões de
de lições aprendidas informática de gestão de análise das lições lições apreendidas nos implementação das
Passível de • O resultado da execução incidentes, para aprendidas e últimos 3 incidentes ações de melhoria
RS.ME RS.ME-1 Lições aprendidas deste procedimento dá verificação de respetivos • Evidências decorrentes dos
exclusão
origem á identificação de consistência para com o resultados operacionais da lista incidentes
propostas de ações de catálogo de de proposta de registados nos
melhoria de segurança nos vulnerabilidades e o melhorias decorrentes últimos 12 meses
Ativos e/ou controlos de inventário de Ativos, da análise de lições
segurança, incluindo o promovendo ainda uma aprendidas

Página 57

Categoria

Sub
Classificação
Segurança
objetivo de evitar a análise do risco para a • Demonstração da
recorrência do incidente sua implementação inexistência de
recorrência de
incidentes
• A decisão da realização • Os procedimentos de • Os procedimentos e • Evidências • Evidências • Evidências da
de análise das respostas a incidentes e de processos de gestão documentais da documentais da revisão do SGSI pela
respostas a incidentes comunicação com partes utilizados para a gestão revisão das revisão processo de gestão
é feita pela gestão, interessadas são revistos de incidentes fazem respostas a gestão de incidentes
pelo menos em cada como consequência da parte de um SGSI – incidentes e • Evidências
12 meses identificação de proposta Sistema de Gestão da outros temas documentais da
de melhoria decorrentes Segurança da associados pela revisão dos
das lições aprendidas Informação, revisto, pelo gestão procedimentos de
Atualizar estratégias
RS.ME-2 Obrigatória • O processo de gestão de menos, em cada 12 resposta a incidentes
de respostas
incidentes é revisto, pelo meses pela gestão • Evidências
menos, em cada 12 meses, documentais da
pelo respetivo gestor revisão dos
• Todas as revisões procedimentos de
constituem registos das comunicação
respetivas decisões
1 – As práticas para a comunicação de um incidente com o CNCS estão disponíveis em: https://www.cncs.gov.pt/pt/notificacao-incidentes/
2 – Os níveis de impacto são definidos pela metodologia descrita no Guia para Gestão de Riscos em matérias de Segurança da Informação e Cibersegurança, a publicar pelo CNCS e análoga à descrita no
QNRCS (3.5) em função da perceção das consequências do incidente sobre os Ativos envolvidos, em 5 níveis crescentes de 1 a 5
3 – BIA significa “Business Impact Analysis” segundo a norma ISO 31000
4 – Recomenda-se que seja adotada a taxonomia nacional para a classificação de incidentes disponibilizada por publicação “online” do CNCS
5– O critério de amostragem será definido, caso a caso, aquando da elaboração do plano de auditoria da entidade certificadora

Página 58
2.5. Objetivo: RECUPERAR

Categoria
Categoria
por níveis de garantia: por níveis de garantia:

Sub
Assunto Classificação
• As cópias de As copias de segurança • A resposta a • Evidências • Evidências • Evidências
segurança são são executadas de incidentes documentais e documentais e documentais e
realizadas de forma acordo com a Política disruptivos é feita operacionais da operacionais da operacionais da
personalizada para de Salvaguarda da por ativação do PCN realização de cópias execução da Política ativação do PCN nos
cada recurso através Informação • Os testes de restauro de segurança de Salvaguarda de últimos 12 meses
de procedimentos de salvaguardas de • Evidências Informação • Evidências
Os testes de restauro
aprovados pela informação são documentais e • Evidências documentais e
são realizados através
gestão realizados através de operacionais de testes documentais e operacionais da
de procedimentos
• São realizados testes procedimentos de restauro efetuados operacionais da execução dos testes
específicos, pelo
Plano de de restauro antes de específicos, nos últimos 12 meses integração de tarefas do PCN que incluam
menos, uma vez em
RC.PR RC.PR-1 recuperação de Obrigatória cada necessidade de integrados no Plano de salvaguarda e tarefas de salvaguarda
cada 12 meses
recuperação de Testes do PCN restauro aquando da e restauro
incidente
execução dos
O suporte á
procedimentos de
recuperação de
resposta a incidentes
incidentes é feito
nos últimos 12 meses
através da execução
do processo de
gestão de incidentes
e respetivos
procedimentos de
resposta
• A decisão da • O processo de gestão • As métricas de eficácia • Evidências • Evidências • Análise na ferramenta
realização de análise de incidentes inclui um incluem o RTO, RPO e documentais da operacionais da informática das
das lições aprendidas procedimento MAO, sendo decisão de realização ativação do decisões de
é feita caso a caso específico para analisadas no final de de análise das lições procedimento de implementação das
Integrar as lições Passível de
RC.ME RC.ME-1 pela gestão identificação e análise cada resposta a aprendidas e lições apreendidas nos ações de melhoria
aprendidas exclusão
de lições aprendidas incidente disruptivo do respetivos resultados últimos 3 incidentes decorrentes dos
• Cada resposta a PCN e, analisadas em recuperados incidentes registados
incidente inclui a conjunto e para todos nos últimos 12 meses

Página 59
Categoria
Categoria
Sub por níveis de garantia: por níveis de garantia:

atribuição de um os incidentes geridos, • Evidências • Relatório anual de
tempo máximo de pelo menos, nos operacionais da lista análise das métricas de
incidente utilizado últimos 12 meses de propostas de eficácia das respostas a
também para métrica • As ações de melhoria melhoria decorrentes incidentes disruptivos
de eficácia são colocadas na base da análise de lições e evidências de
• O resultado da de dados de aprendidas identificação de lições
execução deste conhecimento da • Relatório de análise aprendidas
procedimento de ferramenta das métricas de
resposta dá origem á informática de gestão eficácia das respostas
identificação de de incidentes, para a incidentes
propostas de ações de verificação de • Demonstração da
melhoria de segurança consistência para com inexistência de
nos Ativos e/ou o catálogo de recorrência de
controlos de vulnerabilidades e o incidentes
segurança, incluindo o inventário de Ativos,
objetivo de evitar a promovendo ainda
recorrência do uma análise do risco
incidente para a sua
implementação
• Revisão das • Os procedimentos de • Os procedimentos e • Evidências • Evidências • Evidências da revisão
respostas a respostas a incidentes processos de gestão documentais da documentais da do SGSI pela gestão
incidentes, critérios e de comunicação com utilizados para a revisão das respostas a revisão do processo de
utilizados, listas de partes interessadas gestão de incidentes incidentes e outros gestão de incidentes
contatos de partes são revistos como fazem parte de um temas associados pela • Evidências
Melhoria das interessadas e outros consequência da SGSI – Sistema de gestão documentais da
Passível de
RC.ME-2 estratégias de elementos identificação de Gestão da Segurança revisão dos
exclusão relevantes pelo proposta de melhoria da Informação, revisto, procedimentos de
recuperação
menos em cada 12 decorrentes das lições pelo menos, em cada resposta a incidentes
meses aprendidas 12 meses pela gestão • Evidências
• A decisão da • O processo de gestão documentais da
realização da revisão de incidentes é revisto, revisão dos Ativos
é feita pela gestão pelo menos, em cada técnicos e humanos de

Página 60
Categoria
Categoria

12 meses, pelo suporte às respostas a
respetivo gestor incidentes
• A revisão do processo
de gestão de incidente
e dos procedimentos
de resposta inclui a
constituição e
prontidão das equipas
internas e externas
• Todas as revisões
constituem registos
das respetivas decisões
• A decisão de • Procedimento de • Procedimento de • Evidências • Evidências • Evidências
comunicação é comunicação comunicação operacionais de atos operacionais da operacionais da
realizada de forma integrado no integrado nas de comunicação execução do execução do
reativa, por iniciativa processo de gestão respostas a incidentes efetuados nos processo de gestão procedimento de
da gestão de incidentes disruptivos do PCN últimos 12 meses de incidentes e dos comunicação do PCN,
Implementar um • O ato de • A identificação das aquando da resposta atos de comunicação nos últimos 12 meses
Passível de
RC.CO-1 plano de comunicação é partes interessadas e a incidentes decorrentes previstos
exclusão realizado através de que tipo de nos procedimentos
comunicação
método, ferramenta comunicação a de resposta, nos
informática e realizar está definida últimos 12 meses
RC.CO definição de em cada
mensagem, caso a procedimento de
caso resposta a incidente
• O ato de • Procedimento de • Procedimento de • Evidências • Evidências • Evidências
comunicação é comunicação comunicação operacionais de atos operacionais da operacionais da
realizado através de integrado no integrado nas de comunicação execução do execução do
Comunicar a
Passível de método, ferramenta processo de gestão respostas a incidentes efetuados nos processo de gestão procedimento de
RC.CO-2 recuperação às informática e de incidentes disruptivos do PCN últimos 12 meses de incidentes e dos comunicação do PCN,
exclusão
partes interessadas definição de • A identificação das aquando da resposta atos de comunicação nos últimos 12 meses
partes interessadas, a incidentes decorrentes previstos
que tipo de nos procedimentos

Página 61
Categoria
Categoria

mensagem, caso a comunicação a de resposta, nos
caso realizar, assim como o últimos 12 meses
que comunicar, está
definido em cada
procedimento de
resposta a incidente

Página 62
3. Critérios para a declaração de certificação EC QNRCS

A aplicação prática dos critérios descritos pelas tabelas anteriores permite ao OC tomar uma decisão de certificação baseada na conjunção de vários fatores,
nomeadamente:
• O nível de capacidade a que a organização se candidata;
• A conformidade de todas as medidas de segurança aplicáveis ao nível de capacidade selecionado e ao âmbito comunicado pela organização na
“Declaração de Aplicabilidade”;
• Em função de eventuais situações de não conformidade para as medidas que, sendo incluídas no âmbito de aplicação da organização, estão
genericamente classificadas como sendo passíveis de exclusão, o PAC – Plano de Ações Corretivas assume a figura de elemento de decisão final em
relação ao nível de garantia que o OC irá declarar para uma eventual certificação a atribuir.
4. Documentos de referência
A Lista de Critérios de Auditoria do EC QNRCS tem por referência a lista de referências legais, normativas e regulamentares definida como Anexo 2 do Esquema
de Certificação QNRCS.
5. Classificação da informação
A Lista de Critérios de Auditoria do EC QNRCS está classificada como PÚBLICA.
6. Divulgação e publicação
Tendo em conta a classificação deste documento, é permitida a sua divulgação não controlada através de qualquer meio de divulgação digital, verbal ou em papel.
A sua publicação será realizada em formato digital PDF, no portal do CNCS.
7. Revisão e atualização

Página 63
A Lista de Critérios de Auditoria do EC QNRCS será revista e atualizada sempre que se entender relevante para a sua correta interpretação e aplicação.
8. Histórico de revisões
Versão Data Modificação Notas adicionais
VERSÃO 1.0 Versão inicial para revisão
VERSÃO 1.1 Revisão para integração no EC QNRCS como Anexo
VERSÃO 1.2 Adição do fluxo para o processo de decisão do nível de capacidade da certificação
Simplificação do fluxograma de tomada de decisão.
VERSÃO 1.3 24/01/2022
Remoção das tabelas referentes ao RJSC
VERSÃO 1.4 14/01/2022 Finalização do objetivo 2 - Proteger
VERSÃO 1.5 15/01/2022 Finalização do objetivo 3 - Detetar

Finalização do objetivo 4 – Responder
VERSÃO 1.6 19/01/2022 Finalização do objetivo 5 – Recuperar
Complemento do significado das evidências
VERSÃO 1.7 a Até
Diversos ajustes online e offline
VERSÃO 1.10 06/05/2022
Versão para publicação no
VERSÃO 2.0 09/06/2022 Revisão genérica contexto da segunda consulta
pública
Revisão genérica. Alteração de nomenclaturas e referências para alinhamento com
VERSÃO 2.1 07/12/2022 a versão final do esquema de certificação da conformidade com o QNRCS.
Remoção do fluxograma de tomada de decisão.
Pequenas revisões editoriais e ortográficas e alinhamento com nova numeração
VERSÃO 2.2 28/12/2022 Versão para publicação pelo CNCS
dos Anexos.

Página 64

Anexo 1 Lista de Critrios de Auditoria PDF

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Anexo 1 Lista de Critrios de Auditoria PDF

Enviado por

Direitos autorais:

Formatos disponíveis

ESQUEMA DE CERTIFICAÇÃO QNRCS

LISTA DE CRITÉRIOS DE AUDITORIA

1. Âmbito de aplicação para a lista de critérios de auditoria .................................................3

Centro Nacional de Cibersegurança

1. Âmbito de aplicação para a lista de critérios de auditoria

2. Critérios de conformidade para a auditoria EC QNRCS

Centro Nacional de Cibersegurança

2.1. Objetivo: IDENTIFICAR

Medidas de por níveis de garantia: por níveis de garantia:

Centro Nacional de Cibersegurança

Requisitos de implementação incrementais Evidências incrementais obrigatórias

Categoria Medidas de por níveis de garantia: por níveis de garantia:

Centro Nacional de Cibersegurança

Requisitos de implementação incrementais Evidências incrementais obrigatórias

Categoria Medidas de por níveis de garantia: por níveis de garantia:

Centro Nacional de Cibersegurança

Requisitos de implementação incrementais Evidências incrementais obrigatórias

Categoria Medidas de por níveis de garantia: por níveis de garantia:

Centro Nacional de Cibersegurança

Requisitos de implementação incrementais Evidências incrementais obrigatórias

Categoria Medidas de por níveis de garantia: por níveis de garantia:

Centro Nacional de Cibersegurança

Requisitos de implementação incrementais Evidências incrementais obrigatórias

Categoria Medidas de por níveis de garantia: por níveis de garantia:

Centro Nacional de Cibersegurança

Requisitos de implementação incrementais Evidências incrementais obrigatórias

Categoria Medidas de por níveis de garantia: por níveis de garantia:

Centro Nacional de Cibersegurança

Requisitos de implementação incrementais Evidências incrementais obrigatórias

Categoria Medidas de por níveis de garantia: por níveis de garantia:

Centro Nacional de Cibersegurança

Requisitos de implementação incrementais Evidências incrementais obrigatórias

Categoria Medidas de por níveis de garantia: por níveis de garantia:

Centro Nacional de Cibersegurança

Requisitos de implementação incrementais Evidências incrementais obrigatórias

Categoria Medidas de por níveis de garantia: por níveis de garantia:

Centro Nacional de Cibersegurança

Requisitos de implementação incrementais Evidências incrementais obrigatórias

Categoria Medidas de por níveis de garantia: por níveis de garantia:

Centro Nacional de Cibersegurança

Requisitos de implementação incrementais Evidências incrementais obrigatórias

Categoria Medidas de por níveis de garantia: por níveis de garantia:

Centro Nacional de Cibersegurança

2.2. Objetivo: PROTEGER

Medidas de por níveis de garantia: por níveis de garantia:

Centro Nacional de Cibersegurança

Requisitos de implementação incrementais Evidências incrementais obrigatórias

Centro Nacional de Cibersegurança

Requisitos de implementação incrementais Evidências incrementais obrigatórias

Centro Nacional de Cibersegurança

Requisitos de implementação incrementais Evidências incrementais obrigatórias

Centro Nacional de Cibersegurança

Requisitos de implementação incrementais Evidências incrementais obrigatórias

Centro Nacional de Cibersegurança

Requisitos de implementação incrementais Evidências incrementais obrigatórias

Centro Nacional de Cibersegurança

Requisitos de implementação incrementais Evidências incrementais obrigatórias

Centro Nacional de Cibersegurança

Requisitos de implementação incrementais Evidências incrementais obrigatórias

• Verificação manual • Procedimento de gestão de • Implementação de • Evidencia • Evidência documental da • Análise da

Centro Nacional de Cibersegurança

Requisitos de implementação incrementais Evidências incrementais obrigatórias