CNCS - Quadrodeavaliacao Dez22

QUADRO DE AVALIAÇÃO DE
CAPACIDADES DE CIBERSEGURANÇA
Centro Nacional de Cibersegurança
Versão 1.0
Janeiro de 2020
2
ÍNDICE
1 Níveis de Capacidade................................................................................................................................................ 4
1.1 Introdução............................................................................................................................................................. 4
1.2 Definições e Abreviaturas................................................................................................................................. 5

1.2.1 Definições............................................................................................................................................................... 5
1.2.2 Abreviaturas.......................................................................................................................................................... 8
1.3 Identificar............................................................................................................................................................... 9
1.3.1 ID.GA - Gestão de Ativos.............................................................................................................................. 10
1.3.2 ID.AO – Ambiente da Organização............................................................................................................ 15
1.3.3 ID.GV – Governação..................................................................................................................................... 20
1.3.4 ID.AR – Avaliação do Risco.......................................................................................................................... 22
1.3.5 ID.GR – Estratégia de Gestão do Risco..................................................................................................... 27
1.3.6 ID.GL – Gestão do Risco da Cadeia Logística.......................................................................................... 29
1.4 Proteger................................................................................................................................................................ 34
1.4.1 PR.GA – Gestão de Identidades, Autenticação e Controlo de Acessos............................................ 35
1.4.2 PR.FC – Formação e Sensibilização........................................................................................................... 42
1.4.3 PR.SD – Segurança de Dados..................................................................................................................... 46
1.4.4 PR.PI – Procedimentos e Processos de Proteção da Informação....................................................... 53
1.4.5 PR.MA – Manutenção.................................................................................................................................. 63
1.4.6 PR.TP – Tecnologia de Proteção................................................................................................................ 65
1.5 Detetar.................................................................................................................................................................. 70
1.5.1 DE.AE – Anomalias e Eventos..................................................................................................................... 71
1.5.2 DE.MC – Monitorização Contínua de Segurança................................................................................... 75
1.5.3 DE.PD – Processos de Deteção.................................................................................................................. 82
1.6 Responder............................................................................................................................................................ 85
1.6.1 RS.PR – Planeamento da Resposta............................................................................................................ 86
1.6.2 RS.CO – Comunicações................................................................................................................................ 87
1.6.3 RS.AN – Análise............................................................................................................................................. 90
1.6.4 RS.MI – Mitigação......................................................................................................................................... 93
1.6.5 RS.ME – Melhorias....................................................................................................................................... 95
1.7 Recuperar............................................................................................................................................................. 96
1.7.1 RC.PR – Plano de Recuperação.................................................................................................................. 97
1.7.2 RC.ME – Melhorias....................................................................................................................................... 98
1.7.3 RC.CO – Comunicações................................................................................................................................ 99
3
1 Níveis de capacidade
1.1 Introdução
Este documento é um produto complementar ao Quadro Nacional de Referência para

a Cibersegurança (QNRCS), dando seguimento à estratégia do Centro Nacional de
Cibersegurança (CNCS) para o suporte das organizações à sua capacitação, através da
disponibilização de referenciais e ferramentas. Como complemento ao QNRCS apresenta,
para cada uma das medidas de cibersegurança, a definição de três níveis de capacidade
para que seja possível às organizações o cumprimentos dos cinco objetivos do quadro,
tendo em conta o seu contexto e dimensão.
A lista abaixo categoriza as medidas de segurança em três níveis de capacidade quanto à
sua implementação. Cada nível contém as práticas propostas para atingir satisfatoriamente
o objetivo proposto e as evidências que devem ser fornecidas para verificar a implementação
efetiva da medida de segurança. Na tabela abaixo, descrevem-se os três níveis apresentados.
NÍVEIS DE
DESCRIÇÃO EVIDÊNCIAS
CAPACIDADE
1 – Inicial Medidas de segurança básicas que poderiam ser Evidência de
Básico implementadas para alcançar o objetivo de segurança, implementação
nomeadamente em iniciativas ad-hoc, por iniciativas das medidas de
isoladas e pouco formais. nível Inicial.
2 – Intermédio Medidas de segurança que atendem à maioria dos casos Evidência de
e necessidades para atingir os objetivos de segurança da implementação
informação. As medidas são atingidas formalmente. das medidas de
nível Intermédio.
3 – Avançado Medidas de segurança avançadas que envolvem Evidência de

a monitorização contínua dos controlos, avaliação implementação
e revisão recorrentes, levando em consideração das medidas de
alterações, incidentes, testes e exercícios, para melhoria nível Avançado.
proativa das mesmas.
Propõe-se a aplicação cumulativa das medidas definidas. Ou seja, para que uma organização
esteja posicionada no nível de capacidade “3 – Avançado”, terá de implementar as medidas
de nível “1 – Inicial” e “2 – Intermédio”.
Os níveis de capacidade podem ser aplicados de forma independente a cada objetivo. Como
resultado, uma organização pode posicionar-se em níveis de capacidade distintos para
um mesmo objetivo de segurança. Os níveis de capacidade aplicáveis a uma determinada
organização dependem das suas características específicas, tais como dimensão e serviços
fornecidos. Por exemplo, para uma organização com apenas 5 colaboradores, pode não ser
necessária a definição de uma política de segurança totalmente alinhada com os padrões
de mercado e práticas recomendadas ou possuir um procedimento formal documentado
para a contratação de pessoal.
As medidas de segurança têm os seus níveis de sofisticação distribuídos conforme a
classificação apresentada e estão organizadas conforme a estrutura proposta de objetivos
de segurança, descritos no QNRCS.
4
1.2 Definições e Abreviaturas
1.2.1 Definições
Na tabela seguinte identificam-se os termos utilizados ao longo do documento, cuja definição

importa apresentar. Sempre que aplicável, são usados termos definidos em normas ou
legislação nacional em vigor. Na coluna “Origem” é indicada a norma ou legislação onde
o termo se encontra definido. Sempre que este é definido no âmbito doQNRCS, a coluna
“Origem” é preenchida com a respetiva sigla.
TERMO DEFINIÇÃO ORIGEM

Aceitação do risco Decisão de aceitar a persistência de um risco residual Decisão do
após o tratamento do risco. Conselho n.º
2013/488/EU
Ameaça Potencial causa de um incidente indesejado, que pode ISO/IEC 27032
provocar danos a um sistema, indivíduo ou organização.
Atividade Processo ou conjunto de processos executados por uma NP EN ISO
organização (ou em sua representação), que produz ou 22301
suporta um ou mais produtos e serviços.
Ativo Qualquer coisa que tenha valor para uma organização ISO/IEC 22000
Ativo crítico Ativo que suporta pelo menos um serviço essencial. QNRCS
Ciberespaço Ambiente complexo de valores e interesses materializado ENSC
numa área de responsabilidade coletiva, que resulta
da interação entre pessoas e redes e sistemas de
informação.
Cibersegurança Conjunto de medidas e ações de prevenção, ENSC
monitorização, deteção, reação, análise e correção que
visam manter o estado de segurança desejado e garantir
a confidencialidade, integridade, disponibilidade e
não repúdio da informação, das redes e sistemas de
informação no ciberespaço, e das pessoas que nele
interagem.
Confidencialidade A propriedade da informação não ser divulgada a ISO/IEC 27000
pessoas ou entidades não autorizadas, ou segundo
processos não autorizados.
Continuidade do Capacidade da organização para continuar a fornecer NP EN ISO
negócio produtos ou serviços a níveis aceitáveis pré-definidos, 22301
na sequência de um incidente disruptivo.
Disponibilidade Propriedade de estar acessível e de poder ser utilizada a ISO/IEC 27000
pedido de uma entidade autorizada.
Documento Informação e respetivo meio de suporte (exemplo não NP EN ISO
constantes na NP EN ISO 22301: papel, magnético, 22301
eletrónico ou unidade de armazenamento de
computador, fotografia ou amostra de referência).
Entrega Contínua Abordagem ao processo de engenharia de software, no QNRCS
âmbito da qual se produz código em ciclos curtos, o que
permite um alinhamento estreito com metodologias
ágeis.
Equipa de respos- A equipa que atua por referência a uma comunidade Lei 46/2018
ta a incidentes de de utilizadores definida, em representação de uma
segurança infor- organização, prestando um conjunto de serviços de
mática segurança que inclua, designadamente, o serviço de
tratamento e resposta a incidentes de segurança das
redes e dos sistemas de informação.
5
Especificação Um documento que define os requisitos técnicos que um Lei 46/2018
técnica produto, processo, serviço ou sistema devem cumprir.
Exercício Processo para formar, avaliar, praticar e melhorar o NP EN ISO
desempenho de uma organização. 22301
Framework Modelo de referência. NP ISO/IEC
27001
Fornecedor Organização ou pessoa que fornece um produto (sendo NP EN ISO 9000
um produto, o resultado de um processo).
Gestão de Topo Pessoa ou grupo de pessoas que dirige e controla uma NP EN ISO
organização ao mais alto nível. 22301
Gestão do risco Atividades coordenadas para dirigir e controlar uma NP EN ISO
organização, no que respeita ao risco. 22301
Honeypot Mecanismo de criação de um sistema que potencia QNRCS
um provável atacante a incorrer numa ação ilegítima,
que poderia resultar num incidente. É um recurso
criado propositadamente para ser sondado, atacado
e comprometido. Um dos seus principais objetivos é
o de permitir a monitorização do comportamento dos
atacantes.
Incidente Um evento com um efeito adverso real na segurança das Lei 46/2018
redes e dos sistemas de informação.
Integração Prática de engenharia de software que promove QNRCS
Contínua a consolidação de código numa cadência curta,
tipicamente diária, tendo por objetivo simplificar o
processo de integração das várias peças produzidas.
Integridade A propriedade de salvaguardar o caráter exato e ISO/IEC
completo da informação e dos ativos. 27000
Internet Sistema global de redes interconectadas e de domínio ISO/IEC
público. 27032
Norma Uma especificação técnica, aprovada por um organismo Lei 46/2018
de normalização reconhecido para aplicação repetida ou
continuada, cuja observância não é obrigatória.
Melhoria contínua Atividade recorrente com vista a incrementar a NP EN ISO 9000
capacidade para satisfazer requisitos.
Operador de Uma entidade pública ou privada que presta um serviço Lei 46/2018
serviços essenciais essencial.
Organização Pessoa ou conjunto de pessoas que tem as suas próprias NP EN ISO
funções com responsabilidades, autoridades e relações 22301
para atingir os seus objetivos.
Parte Interessada Pessoa ou organização que pode afetar, ser afetada por, NP EN ISO
ou considerar-se como sendo afetada por uma decisão 22301
ou atividade. Pode ser um indivíduo ou um grupo que
tem um interesse em qualquer decisão ou atividade de
uma organização.
Plano da Procedimentos documentados que orientam as NP EN ISO
continuidade do organizações para responder, recuperar, retomar e 22301
negócio restaurar um nível pré-definido de operacionalização,
após disrupção.
Política Intenções e orientação de uma organização, conforme NP EN ISO
formalmente expressas pela sua gestão de topo. 22301
Processo Conjunto de atividades interrelacionadas ou NP EN ISO
interatuantes que transformam entradas em saídas. 22301
6
Procedimento Modo especificado de realizar uma atividade ou um NP EN ISO
processo. 22301
Rede e sistema de Qualquer dispositivo ou conjunto de dispositivos Lei 46/2018
informação interligados ou associados, em que um ou mais
desenvolve, em execução de um programa, o tratamento
automatizado de dados informáticos, bem como a rede
de comunicações eletrónicas que suporta a comunicação
entre eles e o conjunto de dados informáticos
armazenados, tratados, recuperados ou transmitidos
por aquele ou aqueles dispositivos, tendo em vista o seu
funcionamento, utilização, proteção e manutenção.
Registo de nomes Uma entidade que administra e opera o registo de Lei 46/2018
de domínio de nomes de domínio da Internet de um domínio de topo
topo específico.
Registo Documento que expressa resultados obtidos ou fornece NP EN ISO
evidência das atividades realizadas. 22301
Risco Uma circunstância ou um evento razoavelmente Lei 46/2018
identificável, com um efeito adverso potencial na
segurança das redes e dos sistemas de informação.
Sistema de gestão Conjunto de elementos inter-relacionados NP EN ISO
ou interatuantes de uma organização, para o 22301
estabelecimento de políticas, objetivos e de processos
para atingir esses objetivos.
Tratamento de Todos os procedimentos de apoio à deteção, análise, Lei 46/2018
incidentes contenção e resposta a um incidente.
Tolerância ao risco Disposição da organização ou das partes interessadas ISO/IEC 22300
para assumirem o risco após o seu o tratamento, por
forma a poderem alcançar os seus objetivos.
Vulnerabilidade Fraqueza de um ativo ou de um controlo que pode ser ISO/IEC 27032
explorada por uma ameaça.
Tabela 1 – Definições
7
1.2.2 Abreviaturas
ABREVIATURA DEFINIÇÃO
Computer Security Incident Response Team – Equipa de Resposta a Incidentes
CSIRT
de Segurança Informática.
ENSC Estratégia Nacional de Segurança do Ciberespaço 2019-2023.
IDS Intrusion Detection System – Sistema de deteção de intrusões.
IP Internet Protocol – Protocolo de comunicações.
IPS Intrusion Prevention System – Sistema de prevenção de intrusões.
International Organization for Standardization – Organização internacional
ISO
de normalização.
International Organization for Standardization/International
ISO/IEC Electrotechnical Commission – Organização internacional de normalização/
Comissão eletrotécnica internacional.
QNRCS Quadro Nacional de Referência para a Cibersegurança.
Responsible – Responsável, Accountable – Aprovador, Supports – Suporte,
RASIC Consulted – Consultado e Informed – Informado. Matriz de atribuição de
Responsabilidades.
SOC Security Operations Center – Centro de Operações de Segurança.
Strengths – Forças, Weaknesses – Fraquezas, Opportunities – Oportunidades
SWOT
e Threats – Ameaças.
VPN Virtual Private Network – Rede privada virtual.
TI Tecnologias de Informação.
UPS Uninterruptible Power Source – Unidade de alimentação ininterrupta.
WAF Web Application Firewall – Firewall de aplicações web.
Tabela 2 – Abreviaturas
8
1.3.1 ID.GA Gestão de Ativos
R.N. CIS CSC 1; ID.GA-1 - Os dispositivos físicos, redes e sistemas de informação existentes na
COBIT 5 BAI09.01,
BAI09.02;
organização devem ser inventariados
ISO/IEC
27001:2013
A.8.1.1, A.8.1.2;
NIST SP 800-53
Rev. 4 CM-8, NÍVEIS DESCRIÇÃO EVIDÊNCIAS
PM-5.
1 – Básico • Os ativos da organização são registados • Ficheiros isolados de registo dos ativos
de forma isolada e pouco sistémica; com alguma informação sobre os
ativos;
• Existem algumas iniciativas isoladas de
identificação dos responsáveis pelos • Alguma identificação de responsáveis
ativos; por ativos.
• Alguns setores da organização já
conseguem manter o seu inventário,
ainda que isoladamente.
2 – Intermédio • Os ativos são registados • Ferramentas/aplicações de gestão

sistematicamente com informação integrada de ativos;
completa e pertinente a cada ativo;
• Políticas de inventário de ativos;
• Os ativos são identificados
individualmente na organização; • Registos de endereços IP, número de
inventário, dados do equipamento,
• A cada ativo corresponde a associação etc.;
de um único responsável;
• Associação de nome e contacto do
• Existe uma política formalmente colaborador responsável pelo ativo;
divulgada de inventário dos ativos.
• Classificação dos ativos quanto à sua
criticidade.
3 – Avançado • O inventário é monitorizado e • Indicadores e registos de
acompanhado recorrentemente; acompanhamento dos inventários;
• A gestão de ativos é integrada com a • Sistemas de monitorização dos
gestão de alterações; inventários;
• Ocorrem revisões periódicas no • Sistema de identificação automatizada
inventário dos ativos para atestar a sua de novos ativos ou alterações dos
efetividade; ativos existentes;
• São propostas e avaliadas melhorias no • Avaliações e auditorias dos sistemas e
processo de gestão dos inventários. processos de inventário de ativos.
10
R.N. CIS CSC 2; ID.GA-2 - As aplicações e plataformas de software que suportam os processos
COBIT 5 BAI09.01, dos serviços críticos devem ser inventariadas
BAI09.02,
BAI09.05;
ISO/IEC
27001:2013
A.8.1.1, A.8.1.2,
A.12.5.1; NÍVEIS DESCRIÇÃO EVIDÊNCIAS
NIST SP 800-53
Rev. 4 CM-8, 1 – Básico • Os sistemas da organização são • Ficheiros isolados de registo dos
PM-5. registados de forma isolada e pouco sistemas com alguma informação;
sistémica;
• Alguma identificação de responsáveis
• Existem algumas iniciativas isoladas de pelos sistemas utilizados na
identificação dos responsáveis pelos organização.
sistemas;
• Alguns setores da organização já
conseguem manter um inventário
de sistemas utilizados, ainda que
isoladamente;
• Os inventários são registados em
controlos pouco sistémicos.
2 – Intermédio • As aplicações e plataformas são • Ferramentas/aplicações de gestão

registadas sistematicamente com integrada de sistemas;
informação completa e pertinente;
• Políticas de inventário de ativos;
• As aplicações e plataformas são
identificadas individualmente na • Associação de nome e contacto de
organização; colaborador responsável pelo sistema;
• A cada aplicação e plataforma tem-se • Classificação dos sistemas quanto à

a associação de um único responsável; sua criticidade.
• Existe uma política formalmente

divulgada de inventário dos ativos.
3 – Avançado • O inventário é monitorizado e acompa- • Indicadores e registos de acompanha-

nhado regularmente; mento dos inventários;
• A gestão de sistemas é integrada com a • Sistemas de monitorização dos inven-
gestão de alterações; tários;
• Ocorrem revisões periódicas no inven- • Sistema de descoberta automatizada
tário de sistemas para atestar a sua de novos sistemas ou alterações dos
efetividade; ativos existentes;
• São propostas e avaliadas melhorias no • Avaliações e auditorias dos sistemas e
processo de gestão dos inventários. processos de inventário de sistemas.
11
R.N. CIS CSC 2; ID.GA-3 - As redes e fluxos de dados devem ser mapeados
COBIT 5 DSS05.2;
ISO/IEC
27001:2013
A.13.2.1, A.13.2.2;
NIST SP 800-53
Rev. 4 AC-4, CA-3, NÍVEIS DESCRIÇÃO EVIDÊNCIAS
CA-9, PL-8.
1 – Básico • Os ativos de redes de comunicações • Registo dos ativos de redes;
são identificados;
• Esquema da rede com identificação
• Existe uma perceção sobre a topologia das zonas.
de rede.
2 – Intermédio • Os ativos de redes de comunicações • Mapa de endereços IP;

são identificados e inventariados;
• Mapa da topologia da rede;
• A topologia de rede é registada com
identificação de zonas, endereços IP e • Mapa de fluxo de comunicações;
identificação de ativos críticos; • Procedimentos que tratem do
• Identificação do fluxo de comunicação mapeamento de rede;
entre os sistemas internos e externos; • Documento que identifique o fluxo
• Existe uma política e grupo de seguro de dados.
procedimentos que definem regras de
inventários.
3 – Avançado • O inventário de rede de comunicação é • Uso de ferramenta/aplicações

mantido com ferramentas automáticas automatizadas de descoberta de ativos
de descoberta; de rede;
• São mantidas métricas de • Indicadores relacionados com o
acompanhamento dos ativos; inventário de rede de comunicação;
• O inventário é revisto periodicamente • Relatórios de avaliação e
para garantir a sua atualização e acompanhamento dos fluxos de
melhoria contínua nos processos. dados.
12
R.N. COBIT 5 ID.GA-4 - As redes e sistemas de informação externos devem ser identificados
APO02.02,
APO10.04,
e catalogados
DSS01.02;
ISO/IEC
27001:2013
A.11.2.6;
NIST SP 800-53 NÍVEIS DESCRIÇÃO EVIDÊNCIAS
Rev. 4 AC-20,
SA-9. 1 – Básico • Os ativos de rede localizados • Identificação dos ativos de rede em
externamente são identificados de ambientes externos.
maneira ad hoc.
2 – Intermédio • Os ativos de rede localizados • Registo do ativo contendo endereço

externamente possuem dados IP, inventário, tipologia do ativo,
completos de identificação; responsável, geolocalização, etc.;
• Existe um registo georeferencial de • Política de segurança para ativos em
onde os equipamentos se encontram; ambientes externos.
• Existem equipas dedicadas no
acompanhamento e manutenção
destes ativos;
• Existem políticas e procedimentos para
a segurança destes ativos e da informa-
ção que suportam.
3 – Avançado • Os ativos são monitorizados e geridos • Inventário automatizado dos ativos de
remotamente; rede em ambientes externos;
• É efetuada uma monitorização dos • Relatórios de acompanhamento dos
indicadores de performance; indicadores de performance;
• Os ativos são vistoriados • Evidências de vistorias (relatórios,
periodicamente para fins preventivos. pareceres técnicos, registos de
manutenções, etc.).
13
R.N. CIS CSC 13, ID.GA-5 - Os ativos necessários para a prestação de bens e serviços devem ser
14; classificados
COBIT 5
APO03.03,
APO03.04,
APO12.01,
BAI04.02,
BAI09.02;
NÍVEIS DESCRIÇÃO EVIDÊNCIAS
ISO/IEC
27001:2013 1 – Básico • Os ativos são classificados de forma ad • Registos possivelmente incompletos
A.8.2.1; hoc; com classificação de ativos.
NIST SP 800-53
Rev. 4 CP-2, RA-2, • Só alguns dos responsáveis pelos ativos
SA-14, SC-6. estão identificados.
2 – Intermédio • A organização definiu métodos de • Política de classificação de ativos;

classificação dos seus ativos por
criticidade e valor percebido; • Formalização dos procedimentos de
classificação;
• Existe uma política de classificação dos
ativos consoante a sua importância • Base de corelacionamento entre ativos
percebida para o negócio; e responsáveis;
• Os responsáveis pelos ativos • Base de identificação dos ativos.

são orientados a classificá-los
adequadamente.
3 – Avançado • A classificação dos ativos é revista em • Registo atualizado da classificação dos

períodos regulares; ativos;
• O nível da classificação dos ativos • Mapa de tipos de controlos de
influencia na seleção dos controlos de segurança por níveis de classificação
segurança aplicados; dos ativos;
• São feitas avaliações periódicas aos • Relatório de avaliação dos critérios de
critérios e controlos de classificação classificação.
dos ativos.
14
1.3.2 ID.AO Ambiente da Organização
R.N. COBIT 5 ID.AO-1 - O papel da organização na cadeia logística deve ser identificado e
APO08.01, comunicado
APO08.04,
APO08.05,
APO10.03,
APO10.04,
APO10.05;
ISO/IEC NÍVEIS DESCRIÇÃO EVIDÊNCIAS
27001:2013
A.15.1.1, A.15.1.2, 1 – Básico • Os fornecedores de cada subgrupo • Registo formal de fornecedores por
A.15.1.3, A.15.2.1, da organização encontram-se subgrupo da organização.
A.15.2.2; identificados, ainda que de forma
NIST SP 800-53 isolada.
Rev. 4 CP-2, SA-12.
2 – Intermédio • O governo, no relacionamento entre • Políticas e procedimentos para a
a organização e os seus fornecedores, relação com fornecedores;
encontra-se estabelecido e tem o
suporte documental necessário; • Sistema de cadastro integrado dos
fornecedores.
• Existem controlos de restrições (ex-.:
colaboradores, anti branqueamento,
etc.);
• São mantidos registos integrados e de
tipificação dos fornecedores em cada
âmbito da organização;
• Os fornecedores são tipificados
consoante a sua criticidade para a
organização.
3 – Avançado • Os contratos são revistos em intervalos • Relatório da análise e avaliação de
regulares; riscos na cadeia de fornecedores;
• Os fornecedores de serviços críticos • Resultados de auditorias à cadeia
para a organização, têm os seus crítica de fornecedores da organização.
controlos de segurança validados,
para atenderem aos requisitos da
organização;
• A tipificação dos fornecedores é revista
e avaliada em intervalos regulares.
15
R.N. COBIT 5 ID.AO-2 - O posicionamento da organização no seu setor de atividade deve
APO02.06, ser identificado e comunicado
APO03.01;
ISO/IEC
27001:2013 Cláu-
sula 4.1;
NIST SP 800-53
Rev. 4 PM-8. NÍVEIS DESCRIÇÃO EVIDÊNCIAS
1 – Básico • A organização tem a sua missão • Contrato ou estatuto de formação da

e objetivo definidos e consegue organização;
identificar partes interessadas,
internas e externas, para o efeito. • Relação de fornecedores, parceiros e
demais interessados.
2 – Intermédio • A política de segurança da informação • Referência à missão e objetivos da

faz referência à missão, objetivos organização na política de segurança;
da organização e às suas partes
interessadas; • Registos comprovativos da divulgação
da política de segurança pelas partes
• A política de segurança da informação interessadas;
está divulgada e é de conhecimento de
todas as partes interessadas; • Relatório da análise SWOT da
organização.
• A gestão da organização realizou uma
análise de forças, oportunidades,
ameaças e fraquezas (SWOT) da sua
atividade.
3 – Avançado • As políticas e os relacionamentos com • Controlo de ações de sensibilização

as partes interessadas são revistos em das partes interessadas quanto às
intervalos regulares; políticas de segurança, missão e
objetivo da organização;
• Ocorrem regularmente ações de
sensibilização sobre as políticas de • Registos de revisão das relações com
segurança; partes interessadas;
• A relação dos interessados é revista • Registo de revisão dos estudos SWOT.
regularmente pela gestão da
organização.
16
R.N. COBIT 5 ID.AO-3 - A missão, visão, valores, estratégias e objetivos da organização devem
APO02.01, ser definidas e comunicadas
APO02.06,
APO03.01;
NIST SP 800-53
Rev. 4 PM-11,
SA-14.
1 – Básico • A organização tem a sua missão, • Contrato ou estatuto de formação da

visão, valores e objetivos estratégicos organização;
definidos e consegue identificar partes
interessadas, internas e externas, para • Relação de fornecedores, parceiros e
o efeito. demais interessados.
• Plano de negócio ou equivalente que
indique as estratégias da organização.
2 – Intermédio • A política de segurança da informação • Referência à missão e objetivos da

faz referência à missão, visão, objetivos organização na política de segurança
e valores da organização e às suas da informação;
partes interessadas;
• Registos comprovativos da divulgação
• A política de segurança da informação da política de segurança de informação
está divulgada e é de conhecimento de pelas partes interessadas.
todas as partes interessadas.
3 – Avançado • As políticas e a relação com as partes • Controlo de ações de sensibilização

interessadas são revistas em intervalos das partes interessadas quanto às
regulares; políticas de segurança, missão e
objetivo da organização;
• Ocorrem regularmente ações de
sensibilização sobre as políticas de • Registos de revisão das relações com
segurança; as partes interessadas.
• O plano de negócio (ou equivalente)
é revisto conforme a estratégia da
organização;
• A relação com os interessados é
revista regularmente pela gestão da
organização.
17
R.N. COBIT 5 ID.AO-4 - Os ativos críticos devem ser identificados e registados
APO10.01,
BAI04.02,
BAI09.02;
ISO/IEC
27001:2013
A.11.2.2, A.11.2.3, NÍVEIS DESCRIÇÃO EVIDÊNCIAS
A.12.1.3;
NIST SP 800-53
1 – Básico • Os ativos críticos são identificados de • Registo possivelmente incompleto dos
Rev. 4 CP-8, PE- forma ad hoc. ativos críticos.
9, PE-11, PM-8,
SA-14. 2 – Intermédio • Os ativos que suportam os processos • Registo em ferramenta de gestão dos
críticos são identificados em sistema de ativos críticos de infraestrutura, redes
gestão de ativos consolidado; e sistemas da organização;
• É utilizada uma ferramenta/aplicação • Política de classificação de ativos
para a gestão integrada dos ativos da conforme a sua criticidade;
organização;
• Monitorização e gestão das
• A capacidade produtiva dos ativos capacidades produtivas dos ativos
de infraestrutura, redes e sistemas é críticos.
registada e monitorizada de modo a
garantir a operação.
3 – Avançado • Os registos dos ativos são atualizados • Sistema de descoberta automática de

dinamicamente conforme as ativos;
alterações realizadas nos ambientes
existentes (p. ex. desenvolvimento, • Registo de manutenções preventivas
qualidade e produção); aos equipamentos de infraestrutura;
• São realizadas manutenções • Planeamento da redundância e

preventivas planeadas, nos ativos estratégias de recuperação e restauro
críticos de infraestrutura e redes; de desastres.
• São realizadas revisões das capacidades

de cada ativo para garantir que atendem
às necessidades da organização.
18
R.N. COBIT 5 ID.AO-5 - Os requisitos de resiliência necessários para suportar a prestação de
BAI03.02, serviços críticos devem ser definidos
DSS04.02;
ISO/IEC
27001:2013
A.11.1.4, A.17.1.1,
A.17.1.2, A.17.2.1;
Rev. 4 CP-2, CP-11,
SA-13, SA-14. 1 – Básico • Existem notas ad hoc sobre os • Documentação com os requisitos
requisitos mínimos para prestação de mínimos de infraestrutura para
serviços críticos. suportar os serviços críticos;
• Fornecedores críticos identificados.
2 – Intermédio • Existe um plano de continuidade • Documentação do Plano de

registado e testado com estratégias de Continuidade de Negócio (PCN) e
recuperação; registo de testes efetivos realizados;
• A organização mantém contratos com • Registo nos contratos com
fornecedores para a manutenção dos fornecedores críticos de cláusulas de
serviços críticos; continuidade;
• A organização possui procedimentos • Registo de procedimentos relativos à
de recuperação da infraestrutura bem recuperação das infraestruturas.
definidos.
3 – Avançado • O plano de continuidade é revisto • Resultados de simulacros em

regularmente; ambientes de produção;
• Agentes externos em cadeia crítica da • Registos de ações de sensibilização de
organização são auditados quanto às colaboradores;
suas capacidades no atendimento à
resiliência da organização; • Relatórios de auditorias de
fornecedores e parceiros para o efeito;
• A organização mantém um hot site de
contingência. • Capacidade de operação imediata no
hot site.
19
1.3.3 ID.GV Governação
R.N. CIS CSC 19; ID.GV-1 - A política de segurança da informação deve ser definida e comunicada
COBIT 5
APO01.03,
APO13.01,
EDM01.01,
EDM01.02;
27001:2013
A.5.1.1; 1 – Básico • Existe uma política de segurança • Documento com a política da
NIST SP 800-53 estabelecida e divulgada internamente. informação;
Rev. 4 -1 todos
os controlos de • Comunicação interna para
segurança. disseminação da política de
informação.
2 – Intermédio • Os colaboradores são informados e • Publicação oficial da política de

participam em ações de sensibilização segurança da informação pela gestão
sobre a existência da política e os seus de topo;
termos.
• Registo de comprovação de leitura da
política pelos colaboradores;
• Armazenamento da política em local de
fácil acesso aos colaboradores.
3 – Avançado • A política de segurança é relacionada • Acompanhamento de documentos de

com outras políticas ligadas à segurança;
segurança da informação dentro da
organização (p. ex. antifraude, anti- • Conjunto de políticas de segurança para
branqueamento de capitais, etc.); temas específicos;
• A política é mantida num sistema de • Sistema eletrónico de registo e

Gestão Eletrónica de Documentação armazenamento das políticas.
(GED) e divulgada pela intranet da
organização;
• A política é revista com regularidade
mínima anual.
Falta a Categoria ID.GV-2:"Cybersecurity roles and responsibilities are coordinated and aligned with internal roles and external
partners "
20
R.N. CIS CSC 19; ID.GV-2 - Os requisitos legais e regulamentares para a cibersegurança devem ser
COBIT 5 BAI02.01, cumpridos
MEA03.01,
MEA03.04;
ISO/IEC
27001:2013
A.18.1.1, A.18.1.2,
A.18.1.5;
NIST SP 800-53 1 – Básico • Os colaboradores têm conhecimento • Não aplicável.
Rev. 4 -1 todos informal das leis e regulamentações
os controlos de aplicáveis.
segurança.
2 – Intermédio • Identificação de leis e regulamentações • Secção na política de segurança que
aplicáveis à organização nas políticas faz referência a leis e regulamentações
de segurança; pertinentes;
• Publicação da política relativa à • Divulgação e consciencialização sobre
privacidade dos dados. a política de privacidade.
3 – Avançado • Revisão regular de publicações de • Registo da execução de procedimento

novos diplomas legais aplicáveis à e/ou sistema de monitorização/
organização; clipping das publicações de leis
pertinentes;
• Estabelecimento de equipa específica
para cumprimento das leis e • Criação de equipa de conformidade
regulamentações aplicáveis; interna ou contrato com fornecedor
externo para o efeito;
• Auditorias e comités internos
de tratamento dos controlos de • Relatórios de auditorias internas e/ou
privacidade. de parceiros, quanto ao cumprimento
das leis pertinentes;
• Atas de reuniões do comité de
conformidade com temas relativos à
segurança da informação e controlos
de privacidade.
Falta ID.GV-4: "Governance and risk management processes address cybersecurity risks
21
1.3.4 ID.AR Avaliação do Risco
R.N. CIS CSC 4; ID.AR-1 - As vulnerabilidades dos ativos devem ser identificadas e documentadas
COBIT 5
APO12.01,
APO12.02,
APO12.03,
APO12.04,
DSS05.01, NÍVEIS DESCRIÇÃO EVIDÊNCIAS
DSS05.02;
ISO/IEC 1 – Básico • As vulnerabilidades são identificadas, • Não aplicável.
27001:2013 mas não existe processo formal de
A.12.6.1, A.18.2.3; tratamento;
NIST SP 800-53
Rev. 4 CA-2, CA-7, • Não existe uma equipa dedicada à
CA-8, RA-3, RA-5, gestão de vulnerabilidades.
SA-5, SA-11, SI-2,
SI-4, SI-5. 2 – Intermédio • As vulnerabilidades são identificadas e • Relatórios de pesquisa de
tipificadas nos ativos de informação; vulnerabilidades;
• Existe um processo de gestão de • Classificação das vulnerabilidades
vulnerabilidades que monitoriza por “facilidade de exploração” ou
os ativos, de acordo com as suas qualquer outro critério definido pela
vulnerabilidades atuais e novas; organização.
• Existe uma equipa dedicada ao
acompanhamento de publicações de
novas vulnerabilidades.
3 – Avançado • Existe um processo formal de revisão e • Relatórios de avaliação e revisão

análise recorrente das vulnerabilidades dos processos de análises de
identificadas; vulnerabilidades;
• As vulnerabilidades são identificadas • Sistema automatizado de deteção de
automaticamente por sistemas vulnerabilidades;
de pesquisa de vulnerabilidades
dedicados; • Sistema de novos ativos na
infraestrutura.
• As vulnerabilidades, em cada ativo
de uma cadeia de acesso, são
correlacionadas para reduzir o risco de
“escalada”.
22
R.N. CIS CSC 4; ID.AR-2 - A organização deve partilhar informações sobre ameaças de
COBIT 5 BAI08.01; cibersegurança com grupos de interesse da especialidade
ISO/IEC
27001:2013
A.6.1.4;
NIST SP 800-53
Rev. 4 SI-5, PM-
15, PM-16.
1 – Básico • São estabelecidos contactos informais • Não aplicável.

com grupos de interesse.
2 – Intermédio • Existem canais de comunicação • Procedimentos de comunicação de

estabelecidos com grupos de vulnerabilidades;
interesse, sobre ameaças e temas de
segurança da informação; • Indicação de responsáveis pela
comunicação de vulnerabilidades com
• São identificados responsáveis pela os grupos de interesse;
comunicação das vulnerabilidades com
os grupos de interesse. • Acesso a grupos e fontes públicas
ou privadas de dados e listas de
distribuição sobre vulnerabilidades e
correções;
• Relação de fontes fiáveis de
informações sobre vulnerabilidades
pertinentes à organização.
3 – Avançado • Os canais de comunicação • Registos das comunicações feitas

são otimizados de forma a e dos resultados obtidos (ex.:
garantir controlos e métricas de vulnerabilidades tratadas, riscos
acompanhamento; mitigados, etc.);
• Todas as comunicações que forem • Sistema de coleta e tratamento de
possíveis são sistematizadas em comunicações de vulnerabilidades
processos automáticos; integrado com os processos de gestão
das vulnerabilidades;
• As comunicações são revistas
periodicamente para avaliar a sua • Registo de avaliação das comunicações
assertividade e efetividade. e dos meios utilizados para o efeito.
23
R.N. CIS CSC 4; ID.AR-3 - As ameaças internas e externas devem ser identificadas e
COBIT 5 documentadas na metodologia de gestão do risco
APO12.01,
APO12.02,
APO12.03,
APO12.04;
ISO/IEC
27001:2013 Cláu- NÍVEIS DESCRIÇÃO EVIDÊNCIAS
sula 6.1.2;
NIST SP 800-53 1 – Básico • Existe uma lista genérica de ameaças, • Documento com lista de ameaças.
Rev. 4 RA-3, SI-5, sem mapeamento ou documentação
PM-12, PM-16. na metodologia de gestão do risco.
2 – Intermédio • Existe um mapa de ameaças • Mapa de ameaças por vulnerabilidade,
conhecidas, associado a cada tipo de por ativo;
ativo;
• Estratégias de tratamento dos riscos
• Existe uma indicação de tratamento de estabelecidas.
cada ameaça mapeada.
3 – Avançado • O processo de gestão de riscos • Registos da análise e avaliação de

encontra-se estabelecido com critérios riscos nos ambientes e ativos da
definidos e os seus resultados e organização;
estratégias de tratamento são revistos
em intervalos regulares; • Registo da participação da gestão de
topo nas tomadas de decisão sobre o
• O processo de gestão de riscos é tratamento dos riscos;
avaliado e testado quanto à sua
efetividade; • Relatórios de avaliação do processo de
gestão de riscos;
• Existe suporte de um sistema de gestão
de riscos que permite uma melhor • Apoio sistémico ao processo e aos
eficiência e garante a integridade do workflows de tratamento dos riscos.
processo.
24
R.N. CIS CSC 4; ID.AR-4 - A gestão do risco deve ser efetuada com base na análise de ameaças,
COBIT 5 vulnerabilidades, probabilidades e impactos
APO12.02;
ISO/IEC
27001:2013
A.12.6.1;
NIST SP 800-53
Rev. 4 RA-2, RA-3,
PM-16.
1 – Básico • Existe uma metodologia de gestão do • Documento com a metodologia de
risco estabelecida. gestão do risco.
2 – Intermédio • Os critérios de probabilidade e • Procedimentos que descrevem as

impacto dos riscos foram formalmente metodologias de análise de riscos;
definidos;
• Catálogo das ameaças e
• As vulnerabilidades e ameaças são vulnerabilidades identificadas na
categorizadas conforme os critérios de estrutura da organização;
probabilidade e impacto estabelecidos;
• Categorização dos ativos quanto à sua
• Existe uma perceção de relevância dos relevância para a organização.
ativos para a organização, estabelecida
numa escala própria;
• As avaliações de risco são associadas
a funções para o cálculo, de forma a
identificar o nível de risco de cada ativo.
3 – Avançado • Os ativos têm a sua relevância • Relatórios de avaliação quantitativa de

associada ao grau de importância para riscos;
o negócio ou têm um valor monetário
associado; • Sistema de suporte à avaliação de
riscos.
• As avaliações de riscos são suportadas
por sistemas específicos para o efeito.
Corresponde a ID.RA-5: Threats, vulnerabilities, likelihoods, and impacts are used to determine risk
25
R.N. CIS CSC 4; ID.AR-5 - A organização deve garantir que as respostas aos riscos são identificadas
COBIT 5 e priorizadas
APO12.05,
APO13.02;
ISO/IEC
27001:2013 Cláu-
sula 6.1.3;
NIST SP 800-53
Rev. 4 PM-4,
1 – Básico • Os riscos são tratados, mas de forma • Não aplicável.
PM-9.
não sistematizada.
2 – Intermédio • A metodologia de riscos estabelece • Formalização em documentação

formalmente estratégias para o interna de riscos sobre a metodologia
tratamento dos riscos identificados, de tratamento de riscos;
de acordo com o apetite ao risco da
organização; • Critérios formais e aceites pela gestão
de topo para definição dos critérios
• Os riscos são priorizados conforme os de tratamento dos riscos, conforme
critérios de tratamento estabelecidos, a importância dos ativos para a
de acordo com o nível de exposição organização.
percebida e a importância do ativo
para a organização.
3 – Avançado • Os riscos são categorizados numa • Revisão periódica das classificações

escala de importância para a dos riscos e critérios de classificação;
priorização dos tratamentos;
• Avaliação operacional e financeira
• O tratamento dos riscos tem em conta da relação custo-benefício, pela
o custo financeiro e operacional entre implementação de controlos em
o dano previsto e o custo financeiro ativos, por tipo de risco.
e operacional de implementação dos
controlos definidos.
26
1.3.5 ID.GR Estratégia de Gestão do Risco
R.N. CIS CSC 4; ID.GR-1 - A organização deve definir um processo de gestão do risco
COBIT 5
APO12.04,
APO12.05,
APO13.02,
BAI02.03,
BAI04.02;ISO/IEC NÍVEIS DESCRIÇÃO EVIDÊNCIAS
27001:2013 Cláu-
sula 6.1.3; 1 – Básico • As estratégias para a gestão de riscos • Não aplicável.
ISO/IEC não estão definidas ou não são
27001:2013 Clau- consistentes em toda a organização.
se 6.1.3, Clause
8.3, Clause 9.3; 2 – Intermédio • Existem estratégias definidas para a • Política de gestão de riscos;
NIST SP 800-53 gestão de riscos e as estratégias para
Rev. 4 PM-9. a gestão de riscos são consistentes em • Exercício de análise e avaliação de
toda a organização; riscos transversais à organização;
• A gestão de risco tem claramente • Nomeação formal através de e-mail ou

definidos responsáveis pela gestão do de descritivo de função do responsável
processo e pelo tratamento dos riscos pela coordenação da gestão de riscos;
identificados ( gestão do risco); • Identificação de responsáveis pelo
• A gestão de riscos considera o vínculo tratamento dos riscos nos resultados
dos riscos aos ativos e processos das análises;
produtivos da organização. • Mapa dos riscos por ativos e
processos.
3 – Avançado • Existe uma cultura de risco na • As estratégias de tolerância, apetite

organização, percebida em diversos e tratamento dos riscos, a estrutura
níveis; de governo da gestão de riscos e as
dinâmicas de identificação, análise,
• A gestão de riscos é suportada por um avaliação e medição dos riscos devem
sistema dedicado; ser consistentes em toda a organização
e identificadas de forma não ambígua
• Existe um registo histórico de revisão
entre os colaboradores;
dos riscos.
• Software ou plataforma de suporte à
gestão de riscos em pleno uso;
• Registo de avaliações dos riscos
identificados e reavaliações de
controlos implementados.
27
R.N. COBIT 5 ID.GR-2 - A organização deve determinar e identificar a sua tolerância ao risco
APO12.06;
ISO/IEC
27001:2013 Cláu-
sula 6.1.3, Cláusu-
la 8.3;
NIST SP 800-53
Rev. 4 PM-9.
1 – Básico • A tolerância ao risco é decidida • Não aplicável.
arbitrariamente e/ou de forma ad hoc.
2 – Intermédio • As estratégias de tratamento de riscos • Registo formal na documentação da

são relacionadas ao nível de risco gestão de riscos:
aceite pela organização;
� da tolerância ao risco aceite;
• Os processos de aprovação dos riscos
são definidos e aprovados pela gestão � da estratégia de tratamento de
de topo. riscos conforme o nível do risco
percebido;
� dos riscos aceites pela gestão de
topo.
3 – Avançado • Nas revisões das estratégias de riscos, • Evidências de que as estratégias de
os indicadores de tolerância ao risco riscos são revistas, juntamente com
são atualizados. seus indicadores de tolerância.
R.N. COBIT 5 ID.GR-3 - A organização deve definir a sua estratégia de tratamento do risco
APO12.02;
ISO/IEC
27001:2013 Cláu-
sula 6.1.3, Cláusu-
la 8.3;
Rev. 4 SA-14, PM-
8, PM-9, PM-11. 1 – Básico • O tratamento dos riscos é feito de • Não aplicável.
forma ad hoc e não sistematizada.
2 – Intermédio • É identificada a estratégia de resposta • Existem registos de riscos indicados,

aos riscos associados aos ativos críticos pelo menos para uma das quatro
observados. estratégias clássicas (negar, mitigar,
transferir ou aceitar).
3 – Avançado • Orientações e boas práticas de • Consideram-se resultados de

tratamento de riscos no setor de benchmarks de mercado, regulações
atuação são consideradas para a e orientações do governo ou do
seleção da estratégia de tratamento. mercado para a seleção da estratégia
de tratamento do risco.
28
1.3.6 ID.GL Gestão do Risco da Cadeia Logística
R.N. CIS CSC 4; ID.GL-1 - A organização deve definir, avaliar e gerir processos de gestão do risco
COBIT 5 da cadeia logística
APO10.01,
APO10.04,
APO12.04,
APO12.05,
APO13.02,
BAI01.03, NÍVEIS DESCRIÇÃO EVIDÊNCIAS
BAI02.03,
BAI04.02; 1 – Básico • A cadeia de logística está identificada. • Documento com a identificação dos
ISO/IEC diferentes fornecedores e parceiros da
27001:2013 cadeia logística.
A.15.1.1, A.15.1.2,
A.15.1.3, A.15.2.1, 2 – Intermédio • A organização aplica a gestão de riscos • A política de gestão de fornecedores
A.15.2.2; na sua cadeia logística. indica a necessidade de tratamento
NIST SP 800-53 da gestão de riscos nas atividades da
Rev. 4 SA-9, SA-12, organização, dos seus responsáveis e
PM-9.
uma periodicidade de análise.
3 – Avançado • Os fornecedores e parceiros são • Existe um mapa de riscos que indica o

categorizados de acordo com o nível risco dos fornecedores;
de risco atribuído após avaliação;
• Existem registos de avaliações de
• A organização avalia regularmente riscos dos fornecedores e dos seus
os controlos de segurança dos seus impactos.
fornecedores críticos.
29
R.N.COBIT 5 ID.GL-2 - A organização deve avaliar o risco da cadeia logística de cibersegurança
APO10.01,
APO10.02,
APO10.04,
APO10.05,
APO12.01,
APO12.02, NÍVEIS DESCRIÇÃO EVIDÊNCIAS
APO12.03,
APO12.04, 1 – Básico • Os fornecedores da organização, que • Documento com listagem de
APO12.05, fazem parte da cadeia de logística de fornecedores envolvidos na cadeia de
APO12.06, cibersegurança são identificados. logística de cibersegurança.
APO13.02,
BAI02.03;
2 – Intermédio • A política de fornecedores indica • Os fornecedores são categorizados
ISO/IEC controlos específicos para a cadeia conforme indicado nos critérios da
27001:2013 logística crítica da organização; política de gestão de fornecedores;
A.15.2.1, A.15.2.2;
NIST SP 800-53 • Os fornecedores da organização são • Os fornecedores críticos e de
Rev. 4 RA-2, RA-3, classificados quanto à sua criticidade. cibersegurança são categorizados
SA-12, SA-14, SA- quanto à criticidade que têm para o
15, PM-9.
negócio.
3 – Avançado • Existe capacidade de, proativamente, • A organização possui critérios de

definir controlos de segurança para classificação proativa de risco dos seus
novos fornecedores; fornecedores;
• A organização encarrega-se que • Formulário de registo de fornecedores
o impacto na cadeia logística seja integrado com a avaliação de riscos.
evitado.
30
R.N. COBIT 5 ID.GL-3 - Os contratos com fornecedores devem respeitar o plano de gestão do
APO10.01, risco para a cadeia logística
APO10.02,
APO10.03,
APO10.04,
APO10.05;
ISO/IEC
27001:2013
A.15.1.1, A.15.1.2,
A.15.1.3;
1 – Básico • Existe um processo formal de • Existem contratos formais com os
NIST SP 800-53 contratação de fornecedores. fornecedores relevantes para a cadeia
Rev. 4 SA-9, SA-11, de logística.
SA-12, PM-9.
2 – Intermédio • A organização garante que o tema da • Existem cláusulas sobre
segurança da informação é incluído nos confidencialidade e privacidade nos
contratos da cadeia logística; contratos e termos de contratação da
organização;
• A política de fornecedores inclui
controlos de segurança na cadeia • Os parceiros e fornecedores registam
logística. a sua tomada de conhecimento e
aceitação das políticas de segurança
nas relações com a organização.
3 – Avançado • A organização avalia os controlos de • Indicadores de acompanhamento

segurança dos seus fornecedores, em dos controlos de segurança que dão
intervalos regulares. visibilidade sobre a forma como a
cadeia logística atende à gestão de
riscos;
• Os registos de conhecimento e
aceitação das políticas são validados
periodicamente.
31
R.N.COBIT 5 ID.GL-4 - Os fornecedores devem ser periodicamente avaliados
APO10.01,
APO10.03,
APO10.04,
APO10.05,
MEA01.01,
MEA01.02, NÍVEIS DESCRIÇÃO EVIDÊNCIAS
MEA01.03,
MEA01.04, 1 – Básico • A avaliação dos fornecedores é feita de • Não aplicável.
MEA01.05;
forma não sistematizada.
ISO/IEC
27001:2013 2 – Intermédio • As políticas internas da organização • Referência nas políticas e contratos
A.15.2.1, A.15.2.2;
devem prever a possibilidade de os com fornecedores, sobre a
NIST SP 800-53 seus fornecedores serem avaliados no possibilidade de auditorias por parte
Rev. 4 AU-2, AU-6,
âmbito da segurança da informação; da organização;
AU-12, AU-16, PS-
7, SA-9, SA-12.
• Devem existir planos de auditoria • Plano anual de auditoria de segurança
orientados pela perceção do risco, que da informação com a cadeia de
incluam os fornecedores no âmbito. fornecedores no âmbito, listados pelo
nível de exposição ao risco.
3 – Avançado • Mecanismos de acompanhamento e • Procedimentos e ferramentas de

monitorização dos controlos de riscos monitorização dos indicadores de
na cadeia logística; segurança na cadeia logística;
• Evidências de tratamento dos pontos • Revisões das auditorias realizadas
identificados nas auditorias aos e acompanhamento dos pontos
fornecedores. identificados.
32
R.N. CIS CSC ID.GL-5 - O plano de resposta e recuperação de desastre deve ser exercitado
19;20; com o acompanhamento de fornecedores
COBIT 5 DSS04.04;
ISO/IEC
27001:2013
A.17.1.3;
NIST SP 800-53
Rev. 4 CP-2, CP-4, NÍVEIS DESCRIÇÃO EVIDÊNCIAS
IR-3, IR-4, IR-6,
IR-8, IR-9. 1 – Básico • Identificar os fornecedores que • Registos de fornecedores críticos à
suportam os processos críticos da organização.
organização.
2 – Intermédio • Os planos de resposta e recuperação • Identificação de dependências a

de desastres definidos consideram a fornecedores externos na cadeia
cadeia de fornecedores. crítica da organização;
• Os planos de resposta a incidentes
e recuperação de desastres fazem
referência aos fornecedores.
3 – Avançado • Validação dos planos de resposta • Tratamento dos resultados de testes

e recuperação de desastres da de recuperação e resposta a incidentes
organização, com a participação ativa com o envolvimento dos fornecedores;
de fornecedores críticos envolvidos no
âmbito. • Registos de testes realizados nos
procedimentos de resposta e
recuperação de desastres, com
o envolvimento da cadeia de
fornecedores críticos.
33
1.4.1 PR.GA Gestão de Identidades, Autenticação e Controlo de Acessos
R.N. CIS CSC 1, 5, PR.GA-1 - O ciclo de vida de gestão de identidades deve ser definido
15, 16;
COBIT 5 DSS05.04,
DSS06.03;
ISO/IEC
27001:2013
A.9.2.3, A.9.2.4,
A.9.2.6, A.9.3.1, 1 – Básico • A associação de acessos de identidades • Registo da associação de acessos
A.9.4.2, A.9.4.3; é feita com base nos acessos atribuídos atribuídos a identidades.
NIST SP 800-53 no passado.
Rev. 4 AC-1, AC-2,
IA-1, IA-2, IA-3, IA- 2 – Intermédio • Existem políticas de gestão de • Políticas destinadas à gestão das
4, IA-5, IA-6, IA-7, identidades e acessos; identidades e dos acessos nos sistemas
IA-8, IA-9, IA-10, e acessos em geral;
IA-11. • As etapas dos ciclos de acessos são bem
definidas e transversais às tecnologias • Os procedimentos relativos à gestão
e acessos em geral; de acessos são definidos minimamente
para as etapas de emissão, gestão,
• Base única de identidades e regras de verificação e revogação dos acessos;
acessos.
• Existe um diretório centralizado, pelo
qual as identidades e os acessos são
geridos.
3 – Avançado • Os acessos são estabelecidos e • Os acessos são geridos conforme

limitados de acordo com perfis o perfil funcional para cada tipo de
funcionais; acesso;
• Os acessos são revistos em intervalos • Existem controlos que evitam acessos
regulares. excessivos sem a justificação pelo
descritivo funcional;
• Todos os acessos são revistos e
reavaliados em intervalos regulares.
35
R.N. COBIT PR.GA-2 - Devem existir controlos de acesso físico às redes e sistemas de
5 DSS01.04, informação
DSS05.05;
COBIT 5 DSS04.04;
ISO/IEC
27001:2013
A.11.1.1, A.11.1.2,
A.11.1.5, A.11.1.6,
A.11.2.1, A.11.2.3, 1 – Básico • Existem controlos que restringem • Estão instalados controlos de
A.11.2.5, A.11.2.6, os acessos físicos às zonas que se acessos a áreas físicas, como portas,
A.11.2.7, A.11.2.8; pretende proteger; torniquetes ou qualquer outra barreira
NIST SSP 800-53 semelhante;
Rev. 4 PE-2, PE-3, • Os acessos são registados de forma a
PE-4, PE-5, PE-6, ser possível a identificação individual. • Existem registos de entrada e saída
PE-8. dos ambientes físicos.
2 – Intermédio • Os acessos físicos são integrados com • Os acessos físicos são associados a um
um sistema transversal de gestão de sistema integrado de identidades e
identidades e acessos. acessos, pelo que as permissões são
geridas de forma centralizada.
3 – Avançado • Os acessos de pessoas externas são • Os acessos de pessoas externas são

monitorizados; monitorizados e acompanhados por
colaboradores;
• Os acessos físicos são avaliados
regularmente. • Pessoas externas são acompanhadas
por um colaborador com autorização
de acesso a zonas seguras;
• Os registos de acessos físicos são
revistos regularmente, de acordo com
os perfis de acesso;
• Existem registos das avaliações
regulares dos procedimentos para
acessos físicos.
36
R.N. CIS CSC 12; PR.GA-3 - A organização deve gerir os seus acessos remotos
COBIT 5
APO13.01,
DSS01.04,
DSS05.03;
ISO/IEC
27001:2013 NÍVEIS DESCRIÇÃO EVIDÊNCIAS
A.6.2.1, A.6.2.2,
A.11.2.6, A.13.1.1, 1 – Básico • A organização suporta acessos remotos, • Existem soluções de acesso remoto,
A.13.2.1; mas não controla nem monitoriza os como por exemplo VPNs, Citrix e
NIST SP 800-53 acessos. Jumpservers.
Rev. 4 AC-1, AC-
17, AC-19, AC-20, 2 – Intermédio • Existem políticas internas que tratam • Registo de aceitação da política de
SC-15. de acessos remotos e teletrabalho; acesso remoto através de VPN;
• Os acessos remotos são controlados de • Registo de aceitação da política de
maneira centralizada e integrada aos teletrabalho pelos colaboradores
sistemas internos; beneficiados;
• Os acessos remotos são controlados por • Sistema de VPN implementado com
soluções tecnológicas que apliquem a uso da criptografia adequada na
segurança específica para o efeito. autenticação e no tráfego.
3 – Avançado • Bloqueios proativos contra acessos • Tecnologias de acesso com bloqueio

remotos não autorizados; proativo pelas regras de logon
interativo, tempo de sessão e/ou
• Autenticação federada aos demais origem das ligações;
sistemas da organização;
• Integração da autenticação externa
• Autenticação com multi-fatores para aos perfis de acessos definidos
acessos remotos; internamente;
• Monitorização dos acessos remotos; • Utilização de duplo fator de
autenticação para acessos remotos;
• Revisão regular dos acessos e tráfego.
• Registo de monitorização específica
dos acessos remotos;
• Registo de revisões e revalidações dos
acessos remotos.
37
R.N. CIS CSC 3, 5, PR.GA-4 - A organização deve aplicar na gestão de acessos, os princípios do
12, 14, 15, 16, 18; menor privilégio e da segregação de funções
COBIT 5 DSS05.04;
ISO/IEC
27001:2013
A.6.1.2, A.9.1.2,
A.9.2.3, A.9.4.1,
A.9.4.4, A.9.4.5; NÍVEIS DESCRIÇÃO EVIDÊNCIAS
NIST SP 800-53
Rev. 4 AC-1, AC-2, 1 – Básico • São atribuídos acessos de forma • Não aplicável.
AC-3, AC-5, AC-6, nominal e não são partilhados entre
AC-14, AC-16, múltiplos colaboradores ou entidades;
AC-24.
• Os acessos são concedidos
copiando os acessos anteriores de
colaboradores com perfis similares.
2 – Intermédio • Os acessos são concedidos conforme o • Registos de pedidos de acesso por

perfil funcional; perfil funcional;
• Perfis de acessos elevados devem ser • Registos de pedidos e aprovações
atribuídos com critérios de restrição; apropriadas para acessos privilegiados.
• A política de gestão de acessos prevê o
princípio do menor privilégio;
• Acessos com elevado privilégio
(p. ex. administração de sistemas)
são atribuídos tendo em conta a
restrição por sequenciais, quórum ou
geoespacial (ver QNRCS).
3 – Avançado • A definição de funções e níveis de • Registos da execução da revisão de

acessos são revistos regularmente; acessos;
• Os acessos concedidos com privilégios • Listagem de acessos removidos,
elevados são revistos regularmente; alterados e criados na última revisão;
• Os acessos são monitorizados ao • Registos correspondentes aos acessos
pormenor; disponíveis;
• Existem controlos complementares • Alertas de segurança sobre acessos
para os acessos elevados, tais como privilegiados;
férias obrigatórias e job rotation;
• Incidentes de segurança abertos,
• Utilizadores com acessos elevados referentes ao uso indevido de acessos
são submetidos a controlos privilegiados.
compensatórios.
38
R.N. CIS CSC 9, PR.GA-5 - A organização deve proteger a integridade das redes de comunicações
14, 15, 18;
COBIT 5 DSS01.05,
DSS05.02;
ISO/IEC
27001:2013
A.13.2.1, A.14.1.2,
A.14.1.3; 1 – Básico • As redes internas encontram-se • Existem routers, firewalls e demais
NIST SP 800-53 segregadas conforme a sua finalidade. tecnologias de redes de comunicações,
Rev. 4 AC-4, AC- que possibilitem a segmentação da
10, SC-7. rede;
• Impossibilidade de aceder a qualquer
sistema a partir de qualquer zona.
2 – Intermédio • A rede tem a sua topologia • Documentação que indique as regras

documentada e regras de acessos permitidas de conexão entre cada
definidas; segmento da rede;
• As regras de acesso são • Os equipamentos de segurança de
documentadas; redes produzem registos de eventos
de operação e de auditoria;
• Qualquer alteração nas regras de
conexão é registada. • Registos de pedidos de alteração
de regras de firewalls ou outros
equipamentos para segurança de
redes de comunicações.
3 – Avançado • São efetuadas revisões das regras de • Os registos de eventos dos

conexão; equipamentos de redes são
monitorizados e acompanhados;
• Monitorização dos equipamentos das
redes de comunicações; • Relatórios de testes de intrusão no
âmbito da infraestrutura da rede de
• As alterações são efetuadas após comunicação.
resultados de validações específicas;
• Testes dos controlos gerais de
segurança.
39
R.N. CIS CSC, 16; PR.GA-6 - A organização deve verificar a identidade dos colaboradores e
COBIT 5 DSS05.04, vinculá-las às respetivas credenciais
DSS05.05,
DSS05.07,
DSS06.03;
ISO/IEC
27001:2013,
NIST SP 800-53
Rev. 4 AC-1, AC-2, 1 – Básico • Os colaboradores têm as suas • Registo da atribuição de credenciais
AC-3, AC-16, AC- credenciais e identidades registadas e nominais aos colaboradores.
19, AC-24, IA-1, vinculadas.
IA-2, IA-4, IA-5,
IA-8, PE-2, PS-3. 2 – Intermédio • Os procedimentos de validação das • Documentos com a política e
identidades são registados em políticas; procedimentos que suportam o
processo de gestão de identidades e
• A organização conta com o apoio acessos.
sistémico na gestão dos acessos e,
quando necessário, na validação
interativa das credenciais;
• Existe um processo de gestão de
identidades e acessos estabelecido,
com base na identificação dos
colaboradores.
3 – Avançado • A gestão de acessos é revista e avaliada • Existem registos de revisão dos

com recorrência e os resultados são procedimentos de concessão de
utilizados para a melhoria do processo; acessos, suportados pela verificação
de antecedentes;
• Os antecedentes são igualmente
revistos com uma determinada • Existe uma equipa dedicada a validar e
periodicidade. atribuir identidades.
40
R.N. CIS CSC 1, PR.GA-7 - Devem ser definidos mecanismos de autenticação de utilizadores,
12, 15, 16; dispositivos e outros ativos de sistemas de informação
COBIT 5 DSS05.04,
DSS05.10,
DSS06.10;
ISO/IEC
27001:2013
A.9.3.1, A.9.4.2,
A.9.4.3, A.18.1.4; 1 – Básico • Os mecanismos de autenticação foram • Conjunto de soluções de autenticação
NIST SP 800-53 definidos de acordo com os sistemas. com palavras-passe, estabelecido
Rev. 4 AC-7, AC-8, consoante o sistema.
AC-9, AC-11, AC-
12, AC-14, IA-1, 2 – Intermédio • Existe um sistema de gestão de • Os acessos são concedidos conforme
IA-2, IA-3, IA-4,
IA-5, IA-8, IA-9,
identidades e acessos estabelecido e o registo em sistema de autenticação
IA-10, IA-11. que abrange utilizadores, dispositivos transversal aos sistemas;
e outros ativos de sistemas;
• Os acessos são autenticados
• A autenticação é implementada consoante a identificação e
através de grupos funcionais; autorização independente de
utilizadores e dispositivos.
• Existe uma política de acessos
estabelecida.
3 – Avançado • As autenticações são realizadas de • São implementados serviços de

forma integrada e transversal entre autenticação federada entre sistemas
sistemas; diversos;
• As autenticações são reforçadas para • São observados múltiplos fatores de
evitar fraudes e/ou falhas em pontos autenticação em sistemas críticos.
únicos de validação.
41
1.4.2 PR.FC Formação e Sensibilização
R.N. CIS CSC 17, PR.FC-1 - Os colaboradores devem ter formação em segurança da informação
18;
COBIT 5
APO07.03,
BAI05.07;
ISO/IEC
A.7.2.2, A.12.2.1;
1 – Básico • Os colaboradores apresentam alguma • Observação do comportamento dos
NIST SP 800-53
Rev. 4 AT-2, PM-
consciência sobre os temas de colaboradores perante a temática da
13. segurança da informação e como a segurança da informação;
organização os trata;
• Registos de sessões de formação e
• São realizadas intervenções de consciencialização dos colaboradores
consciencialização para o tema de sobre o tema.
segurança da informação.
2 – Intermédio • As ações de formação e • Formalização de um plano com

consciencialização são registadas em calendarização de ações de formação
planos, procedimentos e metas da estabelecida;
organização;
• Registo das ações de formação às
• As formações são planeadas consoante partes interessadas.
a audiência.
3 – Avançado • Os resultados das ações de formação e • Registos de avaliação do conhecimento
consciencialização são medidos; e da absorção das formações e
consciencializações;
• Ações periódicas de formação.
• Utilização de meios de comunicação
distintos para a otimização e
ampliação das comunicações de
segurança da informação.
42
R.N. CIS CSC 5, PR.FC-2 - Os utilizadores com acesso privilegiado devem compreender quais
17, 18; são os seus papéis e responsabilidades
COBIT 5APO07.02,
DSS05.04,
DSS06.03;
ISO/IEC
27001:2013
NIST SP 800-53
Rev. 4 AT-3, PM- 1 – Básico • Os utilizadores com acessos • Não aplicável.
13. privilegiados são informalmente
notificados das responsabilidades
acrescidas, relativas aos acessos
providenciados.
2 – Intermédio • Os utilizadores de acessos privilegiados • Plano de formação específico para os

têm formação específica sobre utilizadores com acessos privilegiados;
segurança da informação;
• Conteúdo programático da formação
• Existem procedimentos de registo da específica para utilizadores com
aceitação de condições especiais de acessos privilegiados;
acessos para os utilizadores de acessos
privilegiados. • Registo das presenças de utilizadores
com acessos privilegiados em ações de
formação;
• Registo do termo de responsabilização
sobre a utilização de sistemas com
acessos privilegiados.
3 – Avançado • São medidos os resultados das ações • Registos de avaliação do conhecimento

de formação e consciencialização aos e da absorção das formações e
utilizadores com acessos privilegiados; consciencializações;
• Garantia da atualidade da aceitação • Registo da renovação regular dos
das condições especiais de acessos termos de responsabilidade sobre os
com privilégios elevados; sistemas;
• Ações periódicas de formação. • Evidências da recorrência de ações
de formação ou consciencialização
específicas, com os utilizadores de
acessos privilegiados;
• Procedimento de ações de
consciencialização aquando do
encerramento do contrato do
colaborador com acessos privilegiados.
43
R.N. CIS CSC 17; PR.FC-3 - As partes interessadas externas devem compreender quais são os
COBIT 5 seus papéis e responsabilidades
APO07.03,
APO07.06,
APO10.04,
APO10.05;
ISO/IEC
A.6.1.1, A.7.2.1,
A.7.2.2; 1 – Básico • Estabelecimento de requisitos mínimos • Registo dos requisitos mínimos
NIST SP 800-53 de segurança da informação para a sua de segurança, no âmbitos de
Rev. 4 PS-7, SA-9, cadeia de clientes e fornecedores. relacionamento com fornecedores,
SA-16. parceiros e clientes.
2 – Intermédio • Formação e sensibilização sobre os • Registo de formação para os agentes

requisitos de segurança que os clientes, externos;
parceiros e fornecedores devem seguir.
• Material de divulgação dos requisitos
de segurança a serem seguidos (p. ex.
folhetos, termos em contratos, etc.).
3 – Avançado • Os clientes, parceiros e fornecedores • Registos de termos de compromisso

têm como dever cumprir os requisitos com os requisitos de segurança da
de segurança definidos; organização;
• As partes interessadas externas são • Registos de auditorias aos clientes e
envolvidas no processo de melhoria fornecedores sobre o cumprimento
contínua. dos requisitos de segurança
estipulados.
44
R.N. CIS CSC 17, PR.FC-4 - A gestão de topo deve compreender as suas funções e responsabilidades
19;
COBIT 5
EDM01.01,
APO01.02,
APO07.03;
27001:2013
A.6.1.1, A.7.2.2; 1 – Básico • A gestão de topo tem as suas funções • Não aplicável.
NIST SP 800-53
e responsabilidades definidas de forma
Rev. 4 AT-3, PM- informal.
13.
2 – Intermédio • Os papéis e responsabilidades • Matriz “RACI” da segurança da
da gestão de topo no âmbito da informação, onde se inclua a gestão
segurança da informação estão de topo;
estabelecidos.
• Registo de papéis e responsabilidades
dos membros da gestão de topo no
tema da segurança da informação.
3 – Avançado • Estão estabelecidos o envolvimento • Registo da participação da gestão de

e a consciencialização da gestão de topo em ações de consciencialização;
topo em temas de segurança da
informação. • Registo de políticas e documentos de
segurança da informação aceites e
“endossados” pela gestão de topo.
Falta PR.AT-5: Physical and cybersecurity personnel understand their roles and responsibilities
45
1.4.3 PR.SD Segurança de Dados
R.N. CIS CSC 13, PR.SD-1 - A organização deve proteger os dados armazenados
14;
COBIT 5APO01.06,
BAI02.01,
BAI06.01,
DSS04.07,
DSS05.03, NÍVEIS DESCRIÇÃO EVIDÊNCIAS
DSS06.06;
ISO/IEC 1 – Básico • Estão estabelecidas regras de proteção • Políticas de cifras;
27001:2013 da confidencialidade, integridade
A.8.2.3; e disponibilidade dos ficheiros, • Evidências de regras para a
documentos e dados. salvaguarda de ficheiros, consoante o
NIST SP 800-53
Rev. 4 MP-8, SC-
nível de segurança necessário.
12, SC-28.
2 – Intermédio • Está estabelecida a classificação • Política, procedimentos e documentos
da informação consoante a sua complementares relativos à
sensibilidade e relevância. classificação da informação;
• Evidência de controlos de proteção da
informação ajustados à classificação da
mesma.
3 – Avançado • Os dados são armazenados consoante • Gestão de controlos e sistemas

os seus níveis de classificação; criptográficos;
• Os dados offline (p. ex. em cópias de • Evidência de armazenamentos
segurança) são geridos consoante a adequados consoante o local, tipo de
classificação adequada. informação armazenada e controlos
implementados.
46
R.N. CIS CSC 13, PR.SD-2 - A organização deve proteger os dados em circulação
14;
COBIT 5
APO01.06,
DSS05.02,
DSS06.06;
27001:2013
A.8.2.3, A.13.1.1, 1 – Básico • Existência de perceção de riscos sobre • Evidências de que existe uma perceção
A.13.2.1, A.13.2.3, os dados em circulação; de risco sobre alguns tipos de dados
A.14.1.2, A.14.1.3; mais críticos ao negócio;
• Adoção de controlos genéricos de
NIST SP 800-53
Rev. 4 SC-8, SC-11, proteção de dados em circulação. • Utilização da criptografia em casos
SC-12. comuns (p. ex. sítios de internet,
formulários de páginas de internet,
bancos de dados, etc.).
2 – Intermédio • As políticas e os procedimentos que • Políticas e procedimentos que

tratem da proteção de dados em enderecem a proteção de dados
circulação são registados formalmente; em circulação (p. ex. criptografia,
classificação da informação,
• Adoção de solução criptográfica transferência da informação, etc.);
específica para cada tecnologia/
ambiente. • Utilização estruturada de serviços de
criptografia para dados em circulação.
3 – Avançado • É adotada a utilização de tecnologias • Procedimentos para definição da

de cifra dedicadas, consoante a tecnologia de cifra consoante a
classificação da informação; classificação da informação;
• São adotados os controlos • Registo de análise e avaliação de
compensatórios para situações riscos para os casos adversos (p. ex.
adversas. controlos compensatórios, registo da
aceitação do risco, etc.).
47
R.N. CIS CSC 1; PR.SD-3 - A organização deve gerir formalmente os ativos durante os procedimentos
COBIT 5 BAI09.03; de remoção, transferência e aprovisionamento dos mesmos
ISO/IEC
27001:2013
A.8.2.3, A.8.3.1,
A.8.3.2, A.8.3.3,
A.11.2.5, A.11.2.7;
Rev. 4 CM-8, MP-
6, PE-16. 1 – Básico • Existe o registo informal ou ad hoc dos • Utilização de software de cifra para
dados que entram e saem por meio de componentes amovíveis de forma
armazenamento físico; não padronizada (por exemplo,
departamentos diferentes usam
• Os dados em suporte amovível ferramentas diferentes).
são protegidos de forma não
sistematizada.
2 – Intermédio • Existe o registo formal dos controlos • Políticas, normas e procedimentos

de dados que entram e saem por meio que enderecem o ciclo de vida da
de armazenamento físico. informação, armazenada em ativos
físicos amovíveis;
• Registos de responsáveis atribuídos
em dispositivos amovíveis que possam
conter dados;
• Adoção de software de cifra para
componentes amovíveis.
3 – Avançado • Existe a garantia de que a destruição • Procedimentos de destruição de

dos dispositivos amovíveis não exporá dispositivos amovíveis;
dados sigilosos;
• Adoção de software para destruição
• É realizada uma revisão periódica definitiva de dados;
dos procedimentos de descarte de
dispositivos de armazenamento • Registo de testes de eficácia dos
amovíveis e destruição definitiva de procedimentos de destruição de
dados. dispositivos de armazenamento e de
destruição definitiva de dados.
48
R.N. CIS CSC 1, PR.SD-4 - A organização deve providenciar a capacidade adequada para garantir
2, 13; a disponibilidade das redes e dos sistemas de informação
COBIT 5
APO13.01,
BAI04.04;
ISO/IEC
27001:2013
NIST SP 800-53 1 – Básico • A gestão da capacidade é efetuada sem • Não aplicável.
Rev. 4 AU-4, CP-2,
ter em conta métricas bem definidas;
SC-5.
• Não existe um processo formal para
garantir a disponibilidade das redes e
dos sistemas de informação.
2 – Intermédio • As capacidades dos sistemas de • Procedimentos e documentos de

informação são monitorizadas. suporte à gestão de capacidades;
• Sistemas de monitorização
das capacidades primárias
(armazenamento, memória e
processamento e conectividade).
3 – Avançado • A partir de indicadores pré- • Alarmística estabelecida para

estabelecidos, existe a capacidade de indicadores fora do esperado;
agir pela previsibilidade;
• Estabelecer redundâncias dos recursos
• A disponibilidade dos recursos de de redes e sistemas;
redes e sistemas é garantida;
• Registos das ações de avaliação da
• Existe uma gestão pró-ativa da gestão de capacidade.
capacidade instalada, com base em
modelos de previsão fundamentados
na utilização passada e crescimento
futuro.
49
R.N. CIS CSC 13, PR.SD-5 - A organização deve implementar proteções que evitem exfiltração de
COBIT 5 informação
APO01.06,
DSS05.04,
DSS05.07,
DSS06.02;
ISO/IEC
A.6.1.2, A.7.1.1,
A.7.1.2, A.7.3.1, 1 – Básico • Estão formalizados os procedimentos • Implementação de procedimentos
A.8.2.2, A.8.2.3, de salvaguarda da informação contra de salvaguarda e prevenção contra
A.9.1.1, A.9.1.2, meios de exfiltração. exfiltração (p. ex. definição de
A.9.2.3, A.9.4.1, protocolos e formas de comunicação,
A.9.4.4, A.9.4.5, restrição de uso de interfaces de
A.10.1.1,
A.11.1.4,A.11.1.5,
extração de informação, etc.).
A.11.2.1, A.13.1.1,
A.13.1.3, A.13.2.1,
2 – Intermédio • Os controlos de proteção da informação • Classificação de informação em
A.13.2.3, A.13.2.4, que mitigue o risco de exfiltração de sistemas de mensagens e troca de
A.14.1.2, A.14.1.3; dados estão implementados; emails;
NIST SP 800-53
• Adoção de controlos com base em • Bloqueios preventivos a sistemas não
Rev. 4 AC-4, AC-5,
AC-6, PE-19, PS-3, avaliação de risco. autorizados de partilha de ficheiros.
PS-6, SC-7, SC-8,
SC-13, SC-31, SI-4. 3 – Avançado • Implementação de processos e • Implementação de soluções de Data
mecanismos de prevenção contra a Loss Protection (DLP);
perda de informação;
• Registo de auditorias e avaliação dos
• Revisão regular dos controlos contra a controlos implementados.
exfiltração de informação.
50
R.N. CIS CSC 2, 3; PR.SD-6 - A organização deve utilizar mecanismos de verificação para confirmar
COBIT 5 a integridade de software, firmware e dados
APO01.06,
BAI06.01,
DSS06.02;
ISO/IEC
27001:2013
A.14.1.2, A.14.1.3,
A.14.2.4; 1 – Básico • Verificação manual ou não • Não aplicável.
NIST SP 800-53
sistematizada da integridade dos
Rev. 4 SC-16, SI-7. sistemas de informação, firmware e
dados.
2 – Intermédio • As ações que avaliem e atestem • Documentos de suporte a processos/

a integridade dos sistemas estão procedimentos de verificação da
estabelecidas; integridade;
• É avaliada a integridade de bibliotecas • Resultados dos testes estáticos,
desenvolvidas por terceiros, que sejam dinâmicos e interativos de segurança
utilizadas no desenvolvimento ou dos sistemas e infraestrutura.
operação dos sistemas de informação.
3 – Avançado • É avaliada de forma transversal e • Utilização de algoritmos de verificação

regular a integridade dos sistemas e de integridade;
dados e dependências de bibliotecas
desenvolvidas por terceiros. • Sistema de ferramentas centralizadas
de verificação de integridade;
• Relatórios de integridade dos
diferentes sistemas.
51
R.N. CIS CSC 18, PR.SD-7 - Os ambientes de desenvolvimento e de teste devem ser separados de
20; ambientes de produção
COBIT 5 BAI03.08,
BAI07.04;
ISO/IEC
27001:2013
A.12.1.4;
Rev. 4 CM-2.
1 – Básico • A segregação de ambientes é efetuada • Registo de alguns sistemas com
de forma ad hoc e não sistematizada. ambientes de desenvolvimento
segregados dos ambientes de
produção.
2 – Intermédio • Estão estabelecidas zonas distintas • Documentos de suporte ao

para desenvolvimento e produção; desenvolvimento seguro de software;
• Estão estabelecidos normativos • Registo da segregação de todos os
internos sobre desenvolvimento diferentes ambientes.
seguro.
3 – Avançado • Os ambientes de produção são • Registos de execução dos processos de

protegidos de eventos não planeados; gestão de alterações e versões;
• Estão implementadas soluções • Soluções para anonimizar dados de
tecnológicas para a proteção dos dados produção para fins de testes;
de teste;
• Controlo de versionamento de
• É garantido o controlo do software.
acompanhamento da evolução do
software em ambiente de produção.
R.N. COBIT 5 PR.SD-8 - A organização deve implementar mecanismos de validação e

BAI03.05; verificação de integridade do hardware
ISO/IEC
27001:2013
A.11.2.4;
NIST SP 800-53
Rev. 4 SA-10, SI-7.
1 – Básico • A integridade do hardware é verificada • Não aplicável.

de forma manual e não sistematizada.
2 – Intermédio • A integridade do hardware é gerida. • Registo de contrato de manutenção

dos equipamentos pelo fabricante ou
fornecedor certificado.
3 – Avançado • A manutenção preventiva e preditiva é • Registo de plano de manutenção

realizada. periódica;
• Sistemas de monitorização e
alarmística para a integridade do
hardware.
52
1.4.4 PR.PI Procedimentos e Processos de Proteção da Informação
R.N. CIS CSC 3, PR.PI-1 - Deve ser criada e mantida uma configuração base de redes e sistemas
9, 11; de informação que incorpore os princípios de segurança
COBIT 5 BAI10.01,
BAI10.02,
BAI10.03,
BAI10.05;
ISO/IEC
A.12.1.2, A.12.5.1,
A.12.6.2, A.14.2.2, 1 – Básico • A definição de uma configuração base • Não aplicável.
A.14.2.3, A.14.2.4; de redes e sistemas de informação
NIST SP 800-53 é feita de forma informal e não
Rev. 4 CM-2, CM- sistematizada.
3, CM-4, CM-5,
CM-6, CM-7, CM- 2 – Intermédio • Existem regras que definem a • Criar políticas que definam as
9, SA-10.
configuração base de redes e sistemas; configurações base;
• As configurações base para cada tipo • Estabelecer procedimentos de
de sistema e/ou para cada finalidade configurações dos equipamentos
estão estabelecidas. conforme requisitos base;
• Registo da especificação de
configurações base para as tecnologias
utilizadas.
3 – Avançado • As configurações base dos sistemas • Registo de monitorização contra

são monitorizadas; alterações das configurações base dos
sistemas;
• A atualização de segurança dos
sistemas é garantida; • Sistema de gestão de atualizações de
segurança;
• As regras de configurações base estão
integradas em processos contínuos de • Sistema de integração/entrega
entrega. contínua (CI/CD).
53
R.N. CIS CSC 18; PR.PI-2 - Deve ser implementado um ciclo de vida de desenvolvimento seguro
COBIT 5 de software
APO13.01,
BAI03.01,
BAI03.02,
BAI03.03;
ISO/IEC
A.6.1.5, A.14.1.1,
A.14.2.1, A.14.2.5; 1 – Básico • Está definido um conjunto rudimentar • Conjunto rudimentar de medidas de
NIST SP 800-53 de requisitos de segurança mínimos segurança a aplicar para projetos de
Rev. 4 PL-8, SA-3, para os projetos de desenvolvimento. desenvolvimento.
SA-4, SA-8, SA-10,
SA-11, SA-12, SA- 2 – Intermédio • Existe a definição exaustiva dos • Registos de análise de riscos de
15, SA-17, SI-12, requisitos de segurança a seguir nos projetos e indicação de requisitos de
SI-13, SI-14, SI-16, projetos de desenvolvimento; segurança;
SI-17.
• Existem regras internas para o • Conjunto de políticas, procedimentos
desenvolvimento seguro. e requisitos de segurança para o
desenvolvimento seguro.
3 – Avançado • Os controlos dinâmicos de segurança • Processos de testes e validações de
nos ciclos de desenvolvimento estão segurança estabelecidos no ciclo de
implementados; desenvolvimento;
• O código fonte é monitorizado e • Uso de ferramentas de integração
gerido de maneira segura. contínua (CI);
• Evidências da gestão de códigos-fonte
e controlo de versão.
54
R.N. CIS CSC 3, 11; PR.PI-3 - Deve ser implementado um processo de gestão de alterações
COBIT 5 BAI01.06,
BAI06.01;
ISO/IEC
27001:2013
A.12.1.2, A.12.5.1,
A.14.2.3, A.14.2.4;
1 – Básico • Existe um processo informal para a • Evidências ad hoc de alterações
NIST SP 800-53
Rev. 4 CM-3, CM-
gestão de alterações. passadas.
4, SA-10.
2 – Intermédio • Estão estabelecidas regras internas • Cria, documenta e mantém
para a gestão de alterações; procedimentos de gestão de
alterações;
• Os processos de avaliação e aprovação
prévia de alterações estão definidos. • Estabelecer sistema de controlo de
versões;
• Evidências de análise e avaliação
prévia às alterações.
3 – Avançado • Os mecanismos técnicos para acompa- • Adoção de sistema de integração e

nhar as alterações estão estabelecidos; entrega contínua (CI/CD);
• É realizada a revisão periódica dos pro- • Evidência de avaliação dos registos
cedimentos e registos de alterações. e procedimentos de alterações,
conforme procedimentos e
aprovações.
55
R.N. CIS CSC 10; PR.PI-4 - Devem ser realizadas, mantidas e testadas cópias de segurança dos
COBIT 5 dados da organização
APO13.01,
DSS01.01,
DSS04.07;
ISO/IEC
27001:2013
A.17.1.3, A.18.1.3;
NIST SP 800-53
1 – Básico • São realizadas cópias de segurança de • Evidência da cópia de segurança de
Rev. 4 CP-4, CP-6, sistemas e ficheiros. sistemas e ficheiros importantes.
CP-9.
2 – Intermédio • Estão estabelecidas regras internas • Documentos de suporte às cópias de
formais para a realização das cópias de segurança (políticas, procedimentos,
segurança; registos, padrões, etc.);
• A integridade das cópias de segurança • Armazenar as cópias de segurança
é verificada de forma independente em local fisicamente separado do
em relação ao ambiente protegido. ambiente protegido;
• Realizar testes de restauro das cópias
de segurança em ambiente isolado.
3 – Avançado • A confidencialidade, integridade • Utilização de sistemas criptográficos

e disponibilidade da informação de dados, cuja confidencialidade seja
armazenada das cópias de segurança necessária;
são garantidas;
• Estabelecer ciclos de diferentes
• Os procedimentos realizados para as tipos de restauro e uso das cópias de
cópias de segurança são verificados. segurança;
• Emprego de soluções automatizadas
para a validação da integridade das
cópias de segurança;
• Evidências de avaliação regular dos
sistemas, ficheiros e procedimentos de
cópias de segurança.
56
R.N. COBIT 5 PR.PI-5 - As políticas e regulamentações associadas à operacionalização dos
DSS01.04, ambientes físicos dos ativos da organização devem ser seguidas
DSS05.05;
ISO/IEC
27001:2013
A.11.1.4, A.11.2.1,
A.11.2.2, A.11.2.3;
Rev. 4 PE-10, PE-
12, PE-13, PE-14, 1 – Básico • A proteção de infraestruturas é feita de • Não aplicável.
PE-15, PE-18. forma não sistematizada (por exemplo,
apenas alguns sistemas são protegidos
por UPS).
2 – Intermédio • As infraestruturas estão protegidas • Aplicação de sistemas de proteção

contra alterações elétricas que causem contra variações na corrente elétrica,
danos; que possam danificar os sistemas;
• As alterações no ambiente e que • Utilização de sensores de fumo,
possam afetar os sistemas são humidade e temperatura.
monitorizadas e detetadas.
3 – Avançado • A prevenção contra alterações • Existência de sistemas de gestão

elétricas que possam causar danos é automática do fornecimento de
feita de forma proativa; eletricidade;
• Existem mecanismos que garantem • Utilização de fontes alternativas de
a constância no fornecimento de eletricidade (ex.: geradores);
energia;
• Registo de testes do plano de
• A eficácia dos controlos para manter a continuidade, considerando controlos
organização funcional é auditada. físicos.
57
R.N. COBIT 5 PR.PI-6 - Os dados devem ser destruídos de acordo com a política definida
BAI09.03,
DSS05.06;
ISO/IEC
27001:2013
A.8.2.3, A.8.3.1,
NIST SP 800-53
Rev. 4 MP-6. 1 – Básico • Os dados são destruídos de forma ad • Não aplicável.
hoc.
2 – Intermédio • A informação sensível é destruída • Destruidor de papel;

apropriadamente;
• Procedimentos e políticas que tratem
• Estão documentados procedimentos da higienização de ficheiros;
de destruição de informação sigilosa.
• Sistemas de higienização de ficheiros.
3 – Avançado • É realizada a avaliação da eficácia da • Registo de revisão dos mecanismos

destruição da informação em meio fí- utilizados para a higienização de
sico e digital. ficheiros, tanto físicos quanto digitais;
• Evidência do comprometimento
de parceiros e prestadores de
serviços com a higienização de
ficheiros compartilhados ou de
responsabilidade da organização;
• Registo das eliminações realizadas.
58
R.N. COBIT 5 PR.PI-7 - Os processos de proteção devem ser continuamente melhorados
APO11.06,
APO12.06,
DSS04.05;
ISO/IEC
27001:2013
A.16.1.6, Cláusula NÍVEIS DESCRIÇÃO EVIDÊNCIAS
9, Cláusula 10;
NIST SP 800-53 1 – Básico • Os processos de proteção são • Não aplicável.
Rev. 4 CA-2, CA-7, efetuados de forma não sistematizada.
CP-2, IR-8, PL-2,
PM-6. 2 – Intermédio • Estão estabelecidos procedimentos e • Procedimentos de controlo e
controlos de monitorização e melhoria monitorização.
contínua.
3 – Avançado • Os procedimentos e controlos são • Registos de atualizações dos

revistos regularmente; procedimentos e controlos;
• São realizadas auditorias internas • Planeamento de auditoria interna;
recorrentes, aos controlos de
segurança. • Registo de auditorias internas,
realizadas no âmbito da segurança da
informação;
• Planos de ação para tratamento de
resultados de auditoria.
R.N. COBIT 5 PR.PI-8 - A efetividade das tecnologias de proteção deve ser tida em conta na
BAI08.04,
DSS03.04;
melhoria dos processos de proteção
ISO/IEC
27001:2013
A.16.1.6;
NIST SP 800-53
Rev. 4 AC-21, CA- NÍVEIS DESCRIÇÃO EVIDÊNCIAS
7, SI-4.
1 – Básico • Os processos de proteção são • Não aplicável.
melhorados de forma não
sistematizada.
2 – Intermédio • A eficácia das tecnologias de proteção • Registos de melhorias aos processos

é medida e avaliada; de proteção;
• Existe um processo estabelecido de • KPIs das tecnologias de proteção.
evolução, através de lições aprendidas.
3 – Avançado • Os processos de tratamento de • Registo de lições aprendidas com

incidentes são revistos regularmente; eventos de segurança;
• As lições aprendidas são comunicadas • Registo de revisões e/ou auditorias
às partes relevantes. nos processos de tratamento de
incidentes.
59
R.N. CIS CSC 19; PR.PI-9 - Os planos de resposta a incidentes, da continuidade de negócio, de
COBIT 5 recuperação de incidentes e de recuperação de desastres devem ser
APO12.06, atualizados
DSS04.03;
ISO/IEC
27001:2013
A.16.1.1, A.17.1.1,
A.17.1.2, A.17.1.3;
Rev. 4 CP-2, CP-7,
CP-12, CP-13, IR-7, 1 – Básico • Os planos de resposta são atualizados • Não aplicável.
IR-8, IR-9, PE-17. de forma ad hoc.
2 – Intermédio • Existem processos, formalmente • Registo formal de processos e políticas

definidos, para as atividades relativas para a resposta a incidentes;
a resposta a incidentes e garantia da
resiliência da organização; • Registo formal de processos e políticas
para a continuidade de negócio;
• Os planos de resposta são medidos e
avaliados quando executados. • Estabelecer sessões de
consciencialização ou outras
formas de divulgação dos planos de
continuidade.
3 – Avançado • As estratégias e ações para a resposta • Registo de revisão dos planos de
a incidentes e para a garantia da continuidade de negócio;
continuidade da organização são
avaliadas regularmente. • Registo de ações para o tratamento de
incidentes.
R.N. CIS CSC 19, PR.PI-10 - Os planos de resposta e recuperação devem ser testados e exercitados
20;
COBIT 5 DSS04.04;
ISO/IEC
27001:2013
A.17.1.3;
NIST SP 800-53
Rev. 4 CP-4, IR-3, 1 – Básico • Os planos de resposta são exercitados • Registo de exercícios pontuais e
PM-14.
de forma não sistematizada. isolados.
2 – Intermédio • Os planos de continuidade são • Registo de exercícios sistematizado

registados e testados quanto ao âmbito (ex.: restauro de ambientes, “table
definido. top”, etc.).
3 – Avançado • O plano de continuidade é testado pela • Registo de simulacros de casos reais

sua eficiência em âmbito realista. em departamentos da organização ou
transversais;
• Registo de revisão das estratégias
de continuidade e garantia da sua
atualização.
60
R.N. CIS CSC 5, 16; PR.PI-11 - A cibersegurança deve ser contemplada nos processos de gestão de
COBIT 5 recursos humanos
APO07.01,
APO07.02,
APO07.03,
APO07.04,
APO07.05;
27001:2013
A.7.1.1, A.7.1.2, 1 – Básico • O registo dos colaboradores é realizado. • Dossier dos colaboradores com dados
A.7.2.1, A.7.2.2, cadastrais identificativos.
A.7.2.3, A.7.3.1,
A.8.1.4; 2 – Intermédio • Estão estabelecidas regras para a • Procedimentos e políticas de
NIST SP 800-53 seleção, recrutamento e contratação; contratação, mobilidade e cessação
Rev. 4 PS-1, PS-2, de funções de colaboradores.
PS-3, PS-4, PS-5, • Estão estabelecidas regras para a
PS-6, PS-7, PS-8, cessação da contratação.
SA-21.
3 – Avançado • Existem perfis funcionais com • Estabelecimento de perfis funcionais
competências em cibersegurança e com competências em cibersegurança
segurança da informação, para as e segurança da informação;
contratações;
• Ações disciplinares para casos de
• As ações para o tratamento do não infração contra a segurança da
cumprimento das normas internas informação.
de segurança da informação estão
definidas.
61
R.N. CIS CSC 4, PR.PI-12 - Deve ser definido e implementado um processo de gestão de
18, 20; vulnerabilidades
COBIT 5 BAI03.10,
DSS05.01,
DSS05.02;
ISO/IEC
27001:2013
A.16.1.3, A.18.2.2,
A.18.2.3; 1 – Básico • A pesquisa de vulnerabilidades é • Plano de avaliação das
NIST SP 800-53 executada em intervalos regulares. vulnerabilidades;
Rev. 4 RA-3, RA-5,
SI-2. • Relatório de ferramentas automáticas
de pesquisa de vulnerabilidades.
2 – Intermédio • As vulnerabilidades são identificadas • Registo de submissão de
com equipas de tratamento adequadas; vulnerabilidades para serem tratadas
por partes interessadas;
• A análise de vulnerabilidades é regular
e sistemática; • Registo de análise de vulnerabilidades,
realizado regularmente, e do seu
• As vulnerabilidades são exploradas, devido tratamento;
para atestar o seu nível de risco real.
• Adoção de ferramenta de pesquisa de
vulnerabilidades;
• Relatório recente (<= 1 ano) de
testes de intrusão nos sistemas e
infraestrutura.
3 – Avançado • É avaliado regularmente o processo de • Registo da revisão regular do processo

análise de vulnerabilidades; de análise de vulnerabilidades e
tratamento de dados;
• As partes interessadas, externas,
são envolvidas no tratamento das • Tratamento das vulnerabilidades com
vulnerabilidades; apoio de fornecedores, parceiros e
entidades competentes;
• Estão estabelecidos planos de ação
formais para o tratamento das • Tratar os resultados dos testes de
vulnerabilidades. intrusão com planos de ação.
62
1.4.5 PR.MA Manutenção
R.N. COBIT 5 PR.MA-1 - As atividades de manutenção e reparação dos ativos da organização

BAI03.10,
BAI09.02,
devem ser realizadas e registadas em programas e planos aprovados
BAI09.03, e controlados
DSS01.05;
ISO/IEC
27001:2013
A.11.1.2, A.11.2.4,
A.11.2.5, A.11.2.6;
NIST SP 800-53
Rev. 4 MA-2, MA- 1 – Básico • As atividades de manutenção são • Registos ocasionais de manutenções
3, MA-5, MA-6. realizadas sem seguir um processo efetuadas.
formal;
• O registo das atividades não é
controlado.
2 – Intermédio • Os processos de manutenção são • Políticas e procedimentos de

realizados formalmente e envolvem as manutenções;
pessoas adequadas;
• Evidências da consciencialização e
• Os colaboradores têm a formação formação de colaboradores para
adequada para realizarem a realizar as manutenções necessárias;
manutenção dos ativos.
• Registo de autorizações de perfis de
acessos para fins de manutenção.
3 – Avançado • As manutenções realizadas por • Registo de manutenções preventivas

pessoas externas são acompanhadas planeadas;
adequadamente;
• Ferramenta de gestão de pedidos para
• O fluxo de trabalho de requisições acompanhar as manutenções;
de manutenção e reparação é
automatizado; • Implementação de controlo e registo
de acesso em áreas seguras.
• Estão estabelecidos períodos de
manutenção preventiva aos ativos da
organização.
63
R.N. CIS CSC 3, 5; PR.MA-2 - As operações de manutenção remota das redes devem ser revistas,
COBIT 5 DSS05.04; aprovadas, executadas e registadas
ISO/IEC
27001:2013
A.11.2.4, A.15.1.1,
A.15.2.1;
NIST SP 800-53
Rev. 4 MA-4. NÍVEIS DESCRIÇÃO EVIDÊNCIAS
1 – Básico • As manutenções remotas são realizadas • Registos ocasionais de manutenções

sem um processo formal de aprovação. remotas.
2 – Intermédio • As manutenções remotas são realizadas • Registo dos fluxos de avaliação e

conforme aprovação; aprovação das manutenções remotas,
conforme procedimentos definidos;
• Estão estabelecidos meios seguros
para a manutenção remota ser • Infraestrutura de conexão e
realizada. autenticação forte com agentes
externos para as manutenções.
3 – Avançado • Os controlos de acompanhamento • Uso de sistema de gestão de workflow

do fluxo de solicitações e aprovações para pedidos e fluxos de aprovação
para as manutenções remotas estão das manutenções;
automatizados;
• Contratos, SLAs e demais registos que
• Estão estabelecidas métricas de atestem a garantia das manutenções;
acompanhamento e garantia das
manutenções; • Registos tecnológicos que indiquem a
terminação das conexões sempre que
• Existe a garantia de que a conexão não for necessário estarem ativas.
é encerrada sempre que não for
necessária à sua manutenção.
64
1.4.6 PR.TP Tecnologia de Proteção
R.N. CIS CSC 1, 3, PR.TP-1 - Os registos de auditoria e de histórico devem ser documentados,
5, 6, 14, 15, 16; implementados e revistos de acordo com as políticas
COBIT 5
APO11.04,
BAI03.05,
DSS05.04,
DSS05.07,
MEA02.01;
ISO/IEC
27001:2013 1 – Básico • Os registos de auditoria não seguem • Existência ocasional de registos de
A.12.4.1, A.12.4.2, um processo de gestão formal. auditoria.
A.12.4.3, A.12.4.4,
A.12.7.1; 2 – Intermédio • Estão estabelecidos critérios formais • Políticas e normas relativas à coleta e
NIST SP 800-53 para a auditoria de sistemas; análise de registos de eventos;
Rev. 4 família AU.
• Os registos de eventos para auditorias • Execução de procedimentos
são geridos de maneira sistémica; documentados sobre a coleta e
tratamento dos registos de eventos
• Os formatos e taxonomias de registos para a análise;
estão definidos.
• Utilização de sistema de coleta,
tratamento e análise dos registos de
eventos.
3 – Avançado • A integridade dos registos de eventos • Existência de controlos técnicos
para fins de auditorias deve ser de integridade dos registos, tais
garantida; como validação por função hash,
sincronização dos relógios e garantia
• Os registos de auditorias transversais do timestamping.
aos sistemas da organização são
geridos centralmente. • Armazenamento, tratamento e
correlação de registos de eventos em
sistema centralizado de análise para
fins de auditorias.
65
R.N. CIS CSC 8, PR.TP-2 - Os suportes de dados amovíveis devem ser protegidos e a sua
13; utilização deve ser restrita, de acordo com a política definida
COBIT 5
APO13.01,
DSS05.02,
DSS05.06;
ISO/IEC
A.8.2.1, A.8.2.2,
A.8.2.3, A.8.3.1, 1 – Básico • Existe uma implementação básica e • Bitlocker ativo em discos amovíveis;
A.8.3.3, A.11.2.9; ad hoc de medidas de proteção aos
NIST SP 800-53 suportes de dados amovíveis. • Políticas de domínio aplicadas para
Rev. 4 MP-2, MP- restrição de acesso a discos amovíveis.
3, MP-4, MP-5,
MP-7, MP-8. 2 – Intermédio • Estão estabelecidas regras de uso • Registar políticas, padrões, normas
e boas práticas sobre dispositivos e boas práticas sobre a utilização de
amovíveis; dispositivos amovíveis;
• É feita a promoção de ações de • Ações de sensibilização sobre a
sensibilização dos utilizadores sobre utilização aceitável de dispositivos
os riscos associados aos dispositivos amovíveis;
amovíveis;
• Utilização de soluções criptográficas
• Estão estabelecidos mecanismos para dispositivos amovíveis.
técnicos para a proteção de dados em
dispositivos amovíveis.
3 – Avançado • A utilização de dispositivos amovíveis é • Emprego de bloqueios físicos ou

bloqueada; lógicos para o uso de dispositivos
amovíveis de armazenamento;
• É garantida a higienização dos
dispositivos amovíveis no momento da • Restrição a pessoal autorizado;
sua destruição.
• Procedimentos de descarte seguro de
dispositivos amovíveis;
• Utilização de sistemas de destruição
segura de dados em dispositivos
amovíveis.
66
R.N. CIS CSC 3, PR.TP-3 - O princípio da minimização de funcionalidades deve ser incorporado
11, 14; na configuração de sistemas, de modo a fornecer apenas os recursos
COBIT 5 DSS05.02, essenciais
DSS05.05,
DSS06.06;
ISO/IEC
27001:2013
A.9.1.2;
Rev. 4 AC-3, CM-7.
1 – Básico • Os sistemas são configurados com os • Registos ocasionais e isolados de
recursos necessários de forma não sistemas configurados apenas com as
sistematizada. funcionalidades mínimas necessárias.
2 – Intermédio • Os acessos concedidos são os mínimos • Integração com gestão de identidades

necessários; e acessos;
• São estabelecidas funcionalidades • Registo formal de políticas e padrões
mínimas para cada necessidade de de configurações de recursos mínimos
operação. por defeito.
3 – Avançado • Os requisitos mínimos são revistos e • Registo de revisões periódicas

atualizados periodicamente; aos padrões e procedimentos de
configurações de sistemas;
• Os acessos são condizentes com as
necessidades mínimas para as funções. • Registo da revisão dos acessos
concedidos;
• Revisão das definições de perfis
funcionais por necessidades de
acessos.
67
R.N. CIS CSC 8, PR.TP-4 - As redes de comunicações e de controlo devem ser protegidas
12, 15;
COBIT 5 DSS05.02,
APO13.01;
ISO/IEC
27001:2013
A.14.1.3;
NIST SP 800-53
1 – Básico • As zonas de rede são segregadas de • Registo de sistemas protegidos com
Rev. 4 AC-4, AC- forma não sistematizada; SSL/TLS;
17, AC-18, CP-8,
SC-7, SC-19, SC- • A tecnologia de encriptação é aplicada • Impossibilidade de chegar a qualquer
20, SC-21, SC-22, de forma ad hoc. ponto da rede a partir dos postos de
SC-23, SC-24, SC- trabalho dos colaboradores.
25, SC-29, SC-32,
SC-36, SC-37, SC- 2 – Intermédio • As zonas de rede são segmentadas • Diagrama de redes a indicar a
38, SC-39, SC-40, conforme a finalidade; segmentação por zonas;
SC-41, SC-43.
• São utilizadas soluções tecnológicas de • Utilização de IDS/IPS, firewalls, proxies,
filtro de fluxo de dados. WAFs e outras soluções tecnológicas
para filtro e bloqueio de dados em
transmissão.
3 – Avançado • São revistas periodicamente as • Registo de revisões regulares das

configurações dos sistemas de filtro definições e dos sistemas de segurança
das conexões; definidos (IDS/IPS, firewalls, proxies,
WAFs, etc.);
• As alterações na rede obedecem a
processos de validação sistematizados. • Registo de processos da gestão da
alteração.
68
R.N. COBIT 5 PR.TP-5 - Devem ser implementados mecanismos para cumprir os requisitos de
BAI04.01,
BAI04.02,
resiliência em situações adversas
BAI04.03,
BAI04.04,
BAI04.05,
DSS01.05;
ISO/IEC
27001:2013
A.17.1.2, A.17.2.1;
1 – Básico • A incorporação de resiliência nos • Redundância ocasional e isolada de
NIST SP 800-53 sistemas e redes de comunicações é sistemas ou equipamentos de rede de
Rev. 4 CP-7, CP-8,
aplicada de forma não sistematizada. comunicações.
CP-11, CP-13, PL-
8, SA-14, SC-6.
2 – Intermédio • Os sistemas críticos são resilientes; • Redundância dos sistemas críticos;
• Os sistemas são protegidos contra a • Adoção de soluções de balanceamento

sobrecarga de acessos. de carga.
3 – Avançado • A resiliência das infraestruturas às • Garantir a alta disponibilidade dos

situações adversas é gerida; sistemas críticos;
• Existe a garantia de que eventos • Documentos de suporte ao plano de
inesperados não causam negação de continuidade de negócios.
serviço das operações.
69
1.5.1 DE.AE Anomalias e Eventos
R.N. CIS CSC 1, 4, DE.AE-1 - A organização deve definir e gerir um modelo de referência de operações
6, 12, 13, 15, 16; de rede e fluxos de dados esperados para utilizadores e sistemas
COBIT 5 DSS03.01;
ISO/IEC
27001:2013
A.12.1.1, A.12.1.2,
A.13.1.1, A.13.1.2;
Rev. 4 AC-4, CA-3,
CM-2, SI-4. 1 – Básico • Não aplicável. • Não aplicável.
2 – Intermédio • As alterações nas infraestruturas e • Utilização de tecnologias de filtro e

fluxos de comunicação são detetadas; deteção de requisições anómalas (ex.:
firewall, proxy, IDS/IPS);
• Os colaboradores são capazes de tratar
e detetar alterações nos modelos de • Registo de formação/consciencialização
referência estabelecidos; dos colaboradores no tema de deteção
de anomalias e eventos de segurança;
• Estão estabelecidos modelos de
referência para equipamentos e fluxos • Registo de padrões e procedimentos
de dados. padrão para modelos de referências
internas.
3 – Avançado • É feita, periodicamente, a revisão dos • Registos de alterações conforme

modelos de referência. descrito nos procedimentos internos
da gestão de alteração.
71
R.N. CIS CSC 3, 6, DE.AE-2 - Os eventos detetados devem ser analisados por forma a se identificarem
13, 15; os alvos e os métodos de ataque
COBIT 5 DSS05.07;
ISO/IEC
27001:2013
A.12.4.1, A.16.1.1,
A.16.1.4;
Rev. 4 AU-6, CA-7,
IR-4, SI-4. 1 – Básico • É realizada uma análise ad hoc • Não aplicável.
dos eventos, sem procedimento
de tratamento formalizado e
implementado.
2 – Intermédio • As tentativas de ataques e incidentes • Registo de incidentes de segurança,
de segurança são detetadas; originados pela deteção e
monitorização de eventos;
• Está estabelecido o tratamento
apropriado de incidentes de segurança; • Registo de incidentes de segurança,
de forma suficiente à sua análise e
• É realizada a comunicação apropriada tratamento;
de incidentes com as partes
interessadas. • Registo de incidentes a informar as
partes interessadas relevantes.
3 – Avançado • É realizada a identificação de • Implementação de um sistema de

incidentes de segurança, através correlação de eventos;
da análise dos eventos coletados
transversalmente nas infraestruturas; • Registos de incidentes reportados com
o devido tratamento.
• Está estabelecida a resposta
apropriada a incidentes detetados.
72
R.N. CIS CSC 1, 3, DE.AE-3 - Os eventos devem ser coletados e correlacionados a partir de várias
4, 5, 6, 7, 8, 11, fontes e sensores
12, 13, 14, 15, 16;
COBIT 5 BAI08.02;
ISO/IEC
27001:2013
A.12.4.1, A.16.1.7;
NIST SP 800-53
Rev. 4 AU-6, CA-7,
IR-4, IR-5, IR-8,
1 – Básico • Os eventos são coletados • Registo de eventos coletados num
SI-4. centralmente; sistema central.
• Existe correlação ad hoc com fontes
não sistematizadas.
2 – Intermédio • Os eventos de segurança são geridos e • Políticas e procedimento de gestão e

analisados; correlação de eventos de segurança;
• São considerados eventos de diversas • Registo de fontes de conhecimento
fontes internas e externas. utilizadas para as análises dos eventos;
• Utilização de sistema de correlação de
eventos.
3 – Avançado • Existe melhoria contínua dos • Utilização de registos e tratamentos

controlos, a partir do tratamento de anteriores como lições aprendidas;
eventos anteriores;
• Existência da honeypots geridos nas
• Estão estabelecidos mecanismos de estruturas da organização.
controlo de um evento de segurança
nas suas infraestruturas.
R.N. CIS CSC 4, 6; DE.AE-4 - O impacto dos eventos deve ser classificado
COBIT 5
APO12.06,
DSS03.01;
ISO/IEC
27001:2013
1 – Básico • Os eventos de segurança são • Registo dos eventos categorizados.

classificados conforme o seu impacto
percebido.
2 – Intermédio • Está estabelecido um processo de • Documentos de apoio ao processo de

gestão de eventos; gestão de eventos;
• Os efeitos do impacto de um evento • Metodologias de avaliação do impacto
são aferidos. de um evento.
3 – Avançado • A gestão de incidentes é acionada a • Registos que interliguem eventos

partir da gestão de eventos. detetados a registos na gestão de
incidentes.
73
R.N. CIS CSC 6, DE.AE-5 - Devem ser definidos os limites de alerta para incidentes
19;
COBIT 5
APO12.06,
DSS03.01;
ISO/IEC
27001:2013
A.16.1.4;
1 – Básico • Os incidentes são abertos sem limite • Registos ocasionais de incidentes
NIST SP 800-53 formal definido para o número de de segurança, sem consistência no
Rev. 4 IR-4, IR-5,
IR-8.
eventos relacionados. número de eventos necessários à
constituição formal de incidente.
2 – Intermédio • Está estabelecido um processo de • Documentos de apoio ao processo de

gestão de eventos; gestão de eventos;
• Está estabelecida a definição de • Registo da taxonomia de incidentes e
incidentes de segurança no contexto das suas prioridades no tratamento.
da organização.
3 – Avançado • Os incidentes são analisados e • Ferramentas de correlação de eventos;

avaliados com base no risco percebido;
• Limites a serem considerados para
• O tratamento de incidentes é realizado a determinação de um incidente,
conforme o seu nível de complexidade ainda que sendo resultado de eventos
e impacto. isolados;
• Critérios de elevação/decréscimo de
eventos em uma escala.
74
1.5.2 DE.MC Monitorização Contínua de Segurança
R.N. CIS CSC 1, 7, DE.MC-1 - As redes e sistemas de informação devem ser monitorizados para
8, 12, 13, 15, 16; detetar potenciais incidentes
COBIT 5 DSS01.03,
DSS03.05,
DSS05.07;
NIST SP 800-53
Rev. 4 AC-2, AU-
12, CA-7, CM-3, NÍVEIS DESCRIÇÃO EVIDÊNCIAS
SC-5, SC-7, SI-4.
1 – Básico • A monitorização é realizada sem um • Registos ocasionais de deteções
sistema automático de deteção ou com manuais.
deteção manual.
2 – Intermédio • É realizada a monitorização e proteção • Implementação de sistemas de

face a comportamentos anómalos monitorização e proteção da rede (ex.:
na rede, que possam representar um WAF, IDS/IPS, etc.).
incidente.
3 – Avançado • É realizada a associação de eventos de • Implementação de sistema de gestão e
segurança de origens distintas; correlação e eventos;
• Os acessos a ativos conhecidos são • Regras de acesso às infraestruturas
restringidos; e sistemas apenas para dispositivos
cadastrados e registados;
• A gestão de incidentes é suportada por
uma equipa dedicada. • Existência na organização de uma
equipa dedicada à gestão de
incidentes.
75
R.N. COBIT 5 DE.MC-2 - O ambiente físico deve ser monitorizado para se detetar potenciais
DSS01.04,
DSS01.05;
incidentes de segurança
ISO/IEC
27001:2013
A.11.1.1, A.11.1.2;
NIST SP 800-53
Rev. 4 CA-7, PE-3, NÍVEIS DESCRIÇÃO EVIDÊNCIAS
PE-6, PE-20.
1 – Básico • Os acessos físicos são monitorizados; • Registos ocasionais de deteção de
incidentes de segurança física.
• A deteção de incidentes de intrusão
física é manual;
• São produzidos registos de auditoria
de acessos físicos.
2 – Intermédio • Estão estabelecidos controlos de • Suporte da gestão de acessos para

monitorização de áreas seguras; segurança física;
• É gerada alarmística para tentativas de • Instalação de sistemas de CCTV;
acessos não autorizados.
• Suporte de sistemas de monitorização
para alarmísticas.
3 – Avançado • Os acessos físicos são revistos em • Registos de auditorias nos controlos de

intervalos regulares. acesso e monitorização dos ambientes
físicos;
• Pontos de auditorias e eventos
registados são correlacionados na
gestão de incidentes.
76
R.N. CIS CSC 5, 7, DE.MC-3 - A atividade dos colaboradores deve ser monitorizada para se detetar
14, 16; potenciais incidentes
COBIT 5 DSS05.07;
ISO/IEC
27001:2013
A.12.4.1, A.12.4.3;
NIST SP 800-53
Rev. 4 AC-2, AU-
12, AU-13, CA-7,
CM-10, CM-11.
1 – Básico • A atividade dos colaboradores é • Registos ocasionais de incidentes
monitorizada; originados na deteção manual,
baseados no comportamento digital
• Os incidentes são detetados dos colaboradores.
manualmente.
2 – Intermédio • Os eventos de segurança levam em • Suporte dos registos de eventos que

conta as ações dos colaboradores; identificam o responsável;
• Estão estabelecidos padrões fiáveis de • Formalizar padrões e métricas
monitorização de colaboradores. que sirvam de referencial para a
monitorização das atividades dos
colaboradores;
• Sistema central de armazenamento e
gestão de eventos.
3 – Avançado • Os eventos dispersos são analisados • Utilização da correlação de eventos

em contexto; para a monitorização e registo de
incidentes;
• Existe a capacidade de antecipar
incidentes de segurança a partir da • Alertas preditivos.
análise de tendências.
77
R.N. CIS CSC 4, 7, DE.MC-4 - A organização deve identificar e implementar mecanismos para
8, 12; deteção de código malicioso
COBIT 5 DSS05.01;
ISO/IEC
27001:2013
A.12.2.1;
NIST SP SP 800-53
Rev. 4 SI-3, SI-8. NÍVEIS DESCRIÇÃO EVIDÊNCIAS
1 – Básico • A deteção da presença de código • Implementar ferramentas de antivírus

malicioso na infraestrutura é reativa. nas estações de trabalho e servidores.
2 – Intermédio • Estão estabelecidas regras formais de • Apoio de políticas de antivírus;

avaliação de códigos maliciosos;
• Sistemas de antivírus configurados para
• As verificações periódicas de pesquisas periódicas e recorrentes.
códigos maliciosos são realizadas
periodicamente.
3 – Avançado • Estão estabelecidos procedimentos de • Integração do sistema de antivírus com

resposta integrada a incidentes; o sistema central de gestão de eventos
de segurança;
• A eficiência dos sistemas de antivírus é
avaliada; • Integração do sistema de análise
comportamental com o sistema
• É realizada a análise técnica de central de gestão de eventos de
ameaças. segurança;
• Realizar auditorias aos sistemas de
antivírus;
• Registo de atividades de análise de
código;
• Registo de atividades de análise
forense;
• Registo de atividades para engenharia
reversa de código malicioso.
78
R.N. CIS CSC 7, 8; DE.MC-5 - A utilização de aplicações não autorizadas em dispositivos móveis
COBIT 5 DSS05.01; deve ser detetada
ISO/IEC
27001:2013
A.12.5.1, A.12.6.2;
NIST SP 800-53
Rev. 4 SC-18, SI-4,
SC-44. NÍVEIS DESCRIÇÃO EVIDÊNCIAS
1 – Básico • As aplicações em dispositivos móveis • Registo ocasional de incidentes de

da organização são monitorizadas; segurança, com origem na deteção
manual de aplicações não autorizadas.
• A deteção de aplicações não
autorizadas é manual.
2 – Intermédio • Estão definidas as aplicações permitidas • Estabelecimento de whitelists e/ou

nas redes e sistemas; blacklists de aplicações e sistemas;
• O comprometimento do colaborador • Termo de responsabilidade dos
em não utilizar sistemas não utilizadores sobre a utilização dos
autorizados é garantido. equipamentos.
3 – Avançado • A gestão do parque de dispositivos • Gestão dos sistemas de forma a ser

móveis é feita de forma centralizada; capaz de monitorizar aplicações
instaladas nos equipamentos;
• O sistema de gestão de dispositivos
móveis está integrado com o sistema • Instalação de sistema central de gestão
de gestão de eventos de segurança; de dispositivos móveis;
• Existe a capacidade de correlacionar • Registos de incidentes de segurança,
os eventos de segurança com dispositi- com origem na deteção automática de
vos móveis; aplicações não autorizadas.
• A gestão de ativos é realizada de forma
integrada.
79
R.N. COBIT 5 DE.MC-6 - As atividades dos prestadores de serviços externos devem ser
APO07.06,
APO10.05;
monitorizadas para deteção de incidentes
ISO/IEC
27001:2013
A.14.2.7, A.15.2.1;
NIST SP 800-53
Rev. 4 CA-7, PS-7, NÍVEIS DESCRIÇÃO EVIDÊNCIAS
SA-4, SA-9, SI-4.
1 – Básico • As atividades dos prestadores de • Registos ocasionais de incidentes de
serviços externos são monitorizadas; segurança, com origem em atividades
suspeitas, por prestadores de serviços
• A deteção de incidentes é manual e externos, detetadas manualmente.
não sistematizada.
2 – Intermédio • Os pedidos de acesso remoto são • Adoção de sistemas de deteção e

identificados e avaliados; prevenção de intrusões;
• Estão estabelecidas formalmente • Suporte de políticas, normas e
regras de acesso remoto para procedimentos para a interação com
prestadores de serviços externos. prestadores de serviços externos;
• Gestão de acessos dos prestadores de
serviços externos.
3 – Avançado • É realizada a avaliação dos eventos • Integração com sistemas de correlação

relativos aos acessos externos; de eventos;
• Os acessos e permissões concedidas a • Suporte de atividades de auditoria de
prestadores de serviços externos são segurança na revisão e avaliação dos
avaliados regularmente. acessos de prestadores de serviços
externos;
• Registos de incidentes de segurança,
com origem em atividades suspeitas
detetadas automaticamente, por pres-
tadores de serviços externos.
80
R.N. CIS CSC 1, DE.MC-7 - Deve ser efetuada a monitorização de acessos não autorizados de
2, 3, 5, 9, 12, 13, colaboradores, conexões, dispositivos e software
15, 16;
COBIT 5 DSS05.02,
DSS05.05;
ISO/IEC
27001:2013
A.15.2.1;
1 – Básico • Os acessos são monitorizados e anali- • Não aplicável.
NIST SP 800-53
Rev. 4 AU-12, sados manualmente.
CA-7, CM-3, CM-8,
PE-3, PE-6, PE-20, 2 – Intermédio • Os pedidos de acesso às infraestruturas • Implementação de sistemas de
SI-4. e servidores são monitorizados; deteção e prevenção de intrusões;
• Os dados dispersos são recolhidos • Registos de eventos de acesso aos
e centralizados para análise de servidores e sistemas.
anomalias.
3 – Avançado • Os eventos de acesso e incidentes • Sistema de correlação de eventos;

relacionados são tratados.
• Relatórios de incidentes.
R.N. CIS CSC 4, DE.MC-8 - Devem ser efetuados rastreamentos de vulnerabilidades

20;
COBIT 5 BAI03.10,
DSS05.01;
ISO/IEC
27001:2013
NIST SP 800-53
1 – Básico • A pesquisa por vulnerabilidades nos • Relatórios ocasionais de
Rev. 4 RA-5.
sistemas e redes de comunicação é vulnerabilidades.
feita pontualmente.
2 – Intermédio • As vulnerabilidades identificadas nos • Estabelecer um plano de análise de

sistemas e redes de comunicação são vulnerabilidades;
analisadas regularmente.
• Implementar uma ferramenta de
análise de vulnerabilidades;
• Registos de suporte à análise e
avaliação das vulnerabilidades.
3 – Avançado • A análise de vulnerabilidades está • Integrar a análise de vulnerabilidades

integrada com outros processos da com processos de testes e análises de
organização; segurança em sistemas e aplicações;
• As vulnerabilidades identificadas são • Registo de planos de ação para o
geridas. tratamento das vulnerabilidades.
81
1.5.3 DE.PD Processos de Deteção
R.N. CIS CSC 19; DE.PD-1 - Devem ser definidos os papéis e responsabilidades na deteção de
COBIT 5 eventos anómalos
APO01.02,
DSS05.01,
DSS06.03;
ISO/IEC
27001:2013
NIST SP 800-53
Rev. 4 CA-2, CA-7, 1 – Básico • As responsabilidades na deteção de • Não aplicável.
PM-14. eventos são definidas informalmente.
2 – Intermédio • Os responsáveis pelo tratamento de • Comunicados, nomeações ou

eventos anómalos são identificados; qualquer outro elemento de suporte
na identificação do responsável pelo
• Os colaboradores são esclarecidos tratamento dos eventos anómalos;
sobre a deteção de eventos anómalos.
• Material de apoio e de registo das
sessões de consciencialização.
3 – Avançado • Estão estabelecidas as • Documentação de suporte ao

responsabilidades no processo de estabelecimento de responsabilidades
deteção de eventos anómalos; (ex.: RACI, definições de perfis
funcionais, etc.);
• Os agentes externos envolvidos estão
comprometidos na deteção de eventos • Acordos de prestação de serviços
anómalos. que apresentam termos sobre a
responsabilização na deteção de
eventos anómalos.
R.N. COBIT 5 DE.PD-2 - As atividades de deteção devem cumprir com todos os requisitos
DSS06.01, aplicáveis
MEA03.03,
MEA03.04;
ISO/IEC
27001:2013
A.18.1.4, A.18.2.2,
NIST SP 800-53
Rev. 4 AC-25, 1 – Básico • As atividades de deteção seguem um • Não aplicável.
CA-2, CA-7, SA-18, processo ad hoc.
SI-4, PM-14.
2 – Intermédio • Os incidentes são detetados e • Relatórios ou indicadores de utilização
identificados a partir dos eventos de sistema de correlação de eventos;
registados;
• Matriz RASIC dos envolvidos nas
• Os responsáveis por atividades de atividades de deteção.
deteção são identificados.
3 – Avançado • Estão estabelecidas ações de validação • Registos de suporte a auditorias
dos controlos; internas;
• A integridade dos dados coletados é • Utilização de soluções de hashing na
garantida por aplicação de controlos. assinatura de registos.
82
R.N. COBIT 5 DE.PD-3 - Os processos de deteção devem ser testados
APO13.02,
DSS05.02;
ISO/IEC
27001:2013
A.14.2.8;
Rev. 4 CA-2, CA-7,
PE-3, SI-3, SI-4, 1 – Básico • Os processos de deteção são medidos • Registos ocasionais de testes aos
PM-14. de forma ad hoc. serviços de deteção.
2 – Intermédio • Existe um processo sistemático de • Planos de teste para os processos de

analise aos processos de deteção; deteção;
• Os processos de deteção são medidos • Resultados da análise aos processos de
regularmente. deteção.
3 – Avançado • A integridade e fiabilidade dos • Resultados de testes de integridade

processos de deteção é avaliada. aos processos de deteção;
• Resultados e análise da fiabilidade dos
processos de deteção;
• Aplicação de metodologias de
melhoria contínua.
R.N. CIS CSC 19; DE.PD-4 - Informações sobre deteções de eventos devem ser comunicadas
COBIT 5
APO08.04,
APO12.06,
DSS02.05;
ISO/IEC
A.16.1.2, A.16.1.3;
NIST SP 800-53
1 – Básico • Os eventos de segurança são • Relatórios ou emails ocasionais de
Rev. 4 AU-6, CA-2, reportados internamente e de forma deteções de eventos e respetivas
CA-7, RA-5, SI-4. informal. comunicações internas.
2 – Intermédio • Está estabelecido internamente um • Documentos de suporte à gestão de

canal de comunicação adequado; incidentes;
• Os incidentes detetados são registados • Registo de eventos detetados que
adequadamente. resultam em incidentes.
3 – Avançado • Está definida a gestão centralizada e • Estabelecer uma plataforma

otimizada da deteção dos incidentes. centralizada de resposta a incidentes.
83
R.N. COBIT 5 DE.PD-5 - Os processos de deteção devem ser objeto de melhoria contínua
APO11.06,
APO12.06,
DSS04.05;
ISO/IEC
27001:2013
NIST SP 800-53
Rev. 4, CA-2, CA-7, 1 – Básico • Os processos de deteção são • Atualizações isoladas dos processos de
PL-2, RA-5, SI-4, melhorados de forma não deteção.
PM-14. sistematizada.
2 – Intermédio • Existem mecanismos de medição e • Resultados da avaliação dos processos
avaliação dos processos de deteção. de deteção quanto à eficiência.
3 – Avançado • Os resultados da avaliação são usados • Registo de tratamento dos planos de
para informar o processo de melhoria; ação de melhorias.
• Os processos de deteção são
melhorados regularmente.
84
1.6.1 RS.PR Planeamento da Resposta
R.N. CIS CSC 19; RS.PR-1 - O plano de resposta deve ser executado durante ou após a ocorrência
COBIT 5 de um incidente
APO12.06,
BAI01.10;
ISO/IEC
27001:2013
A.16.1.5;
Rev. 4 CP-2, CP-10,
IR-4, IR-8. 1 – Básico • São implementados procedimentos ad • Registos de execução de atividades
hoc de resposta a incidentes, de forma relacionadas com resposta a incidentes.
reativa.
2 – Intermédio • Os processos de reposta a incidentes • Documentos de suporte ao tratamento

são sistematizados e incluem as fases de incidentes (ex.: políticas,
de contenção e erradicação, bem procedimentos, padrões, etc.).
como a identificação dos diversos
responsáveis e o escalonamento.
3 – Avançado • É garantida a integridade das • Registos de validação de integridade

evidências analisadas; das evidências;
• A resposta a incidentes é dada • Documentos com os critérios de
conforme o nível de escalonamento. escalonamento de incidentes.
86
1.6.2 RS.CO Comunicações
R.N. CIS CSC 19; RS.CO-1 - Na resposta a um incidente, os colaboradores devem conhecer os
COBIT 5 seus papéis e a ordem de execução de atividades
EDM03.02,
APO01.02,
APO12.03;
ISO/IEC
27001:2013
A.16.1.1;
NIST SP 800-53 1 – Básico • Deve existir o conhecimento informal • Conhecimento informal evidenciado
Rev. 4 CP-2, CP-3, e não estruturado das funções de cada (p. ex. por realização de entrevistas aos
IR-3, IR-8. interveniente da organização. colaboradores).
2 – Intermédio • Os colaboradores têm conhecimento • Documentos de suporte à resposta a

sobre os procedimentos e incidentes;
responsabilidades;
• Registo das sessões de formação em
• Estão estabelecidos os guiões de segurança e respostas a incidentes;
resposta a incidentes.
• Estabelecer guiões de tratamento e
resposta a incidentes.
3 – Avançado • Deve existir envolvimento das partes • Mapa das partes externas relevantes;
externas relevantes na resposta a
incidentes. • Estabelecimento dos papéis e
responsabilidades.
R.N. CIS CSC 19; RS.CO-2 - Os incidentes devem ser reportados de acordo com critérios
COBIT 5 estabelecidos
DSS01.03;
ISO/IEC
27001:2013
A.6.1.3, A.16.1.2;
NIST SP 800-53
Rev. 4 AU-6, IR-6, NÍVEIS DESCRIÇÃO EVIDÊNCIAS
IR-8.
1 – Básico • Deve existir o conhecimento informal e • Conhecimento informal evidenciado
não estruturado dos canais de reporte (p. ex. por realização de entrevistas aos
dos incidentes. colaboradores).
2 – Intermédio • A capacidade de reporte de incidentes • Definição dos canais de reporte de

deve estar garantida; incidentes;
• Estão estabelecidos critérios de reporte • Documentos de suporte na orientação
de incidentes. de como reportar incidentes;
• Registo de divulgação dos critérios de
reporte de incidentes.
3 – Avançado • Estão estabelecidos critérios para • Registo de reporte de incidentes,

envolver as partes interessadas envolvendo equipas externas;
externas no tratamento dos
incidentes; • Plataforma de resposta a incidentes.
• O reporte de incidentes é realizado de

maneira integrada.
87
R.N. CIS CSC 19; RS.CO-3 - As informações devem ser partilhadas de acordo com o plano de
COBIT 5 resposta
DSS03.04;
ISO/IEC
27001:2013
A.16.1.2, Cláusula
7.4, Cláusula
16.1.2; NÍVEIS DESCRIÇÃO EVIDÊNCIAS
NIST SP 800-53
Rev. 4 CA-2, CA-7, 1 – Básico • A identificação das partes interessadas • Registo das partes interessadas,
CP-2, IR-4, IR-8, para a comunicação de incidentes é internas e externas, na comunicação
PE-6, RA-5, SI-4. informal e não estruturada. de incidentes.
2 – Intermédio • A comunicação de um incidente é do • Plano de comunicação de incidentes;

conhecimento de todos os envolvidos.
• Registos de formação e
consciencialização sobre a partilha de
informação no plano de resposta a
incidentes.
3 – Avançado • Estão estabelecidos canais seguros de • Procedimentos de comunicação de

comunicação de incidentes; incidentes documentados através de
canais seguros;
• As partes externas interessadas no
tratamento dos incidentes estão • Registo de comunicação às partes
envolvidas na resposta. externas interessadas.
R.N. CIS CSC 19; RS.CO-4 - A coordenação com as partes interessadas deve ocorrer conforme os
COBIT 5 planos de resposta
DSS03.04;
ISO/IEC
27001:2013 Cláu-
sula 7.4;
NIST SP 800-53
Rev. 4 CP-2, IR-4, NÍVEIS DESCRIÇÃO EVIDÊNCIAS
IR-8.
1 – Básico • Não aplicável. • Não aplicável.
2 – Intermédio • Existe coordenação com partes • Identificação das partes interessadas

externas interessadas. externas;
• Documentos de apoio ao plano de
comunicação de incidentes com partes
externas.
3 – Avançado • Estão estabelecidos níveis de • Registo da definição de

responsabilização na resposta a responsabilidades no âmbito da
incidentes; resposta a incidentes;
• A comunicação de incidentes é • Análise e avaliação dos registos de
avaliada. comunicação quanto aos critérios
estabelecidos.
88
R.N. CIS CSC 19; RS.CO-5 - Deve ocorrer partilha voluntária de informação com partes
COBIT 5 BAI08.04; interessadas externas
ISO/IEC
27001:2013
A.6.1.4;
NIST SP 800-53
Rev. 4 SI-5, PM-15.
1 – Básico • Mesmo que de forma informal e não • Observação de comunicação

estruturada, a informação relacionada informal através de entrevista aos
com um incidente é partilhada colaboradores.
voluntariamente.
2 – Intermédio • As partes interessadas externas • Registo atualizado de parceiros,

relevantes são identificadas. fornecedores e demais partes externas
relevantes.
3 – Avançado • Está estabelecido um plano de • Documentos de apoio do plano de

comunicação coerente com as comunicação voluntária de incidentes.
necessidades da organização.
89
1.6.3 RS.AN Análise
R.N. CIS CSC 4, 6, RS.AN-1 - As notificações dos sistemas de deteção devem ser investigadas
8, 19;
COBIT 5 DSS02.04,
DSS02.07;
ISO/IEC
27001:2013
A.16.1.5;
1 – Básico • O registo de notificações de eventos • Registos das orientações para a
NIST SP 800-53
Rev. 4 AU-6, CA-7,
elevados a incidentes existe, mesmo ativação da gestão de incidentes;
IR-4, IR-5, PE-6, que não estruturado;
SI-4.
• Registos de notificações elevadas a
• Existem orientações sobre a ativação incidentes.
da gestão de incidentes.
2 – Intermédio • Estão estabelecidas práticas de • Evidências do tratamento dos eventos

acompanhamento aos eventos identificados como incidentes.
detetados;
• Existe um plano de resposta a
incidentes e é cumprido.
3 – Avançado • As notificações dos sistemas são • Implementar uma plataforma de

avaliadas transversalmente. gestão e correlação de eventos.
R.N. COBIT 5 RS.AN-2 - O impacto do incidente deve ser avaliado

DSS02.02;
ISO/IEC
27001:2013
A.16.1.4, A.16.1.6;
NIST SP 800-53
Rev. 4 CP-2, IR-4. NÍVEIS DESCRIÇÃO EVIDÊNCIAS
1 – Básico • O impacto dos incidentes é avaliado, • Observação da avaliação do impacto,

de forma informal e não estruturada. por entrevista aos colaboradores.
2 – Intermédio • Os incidentes de segurança são • Definição de padrões para categorias

categorizados pelo nível de impacto de incidentes;
percebido.
• Taxonomia de impacto de incidentes.
3 – Avançado • O risco dos incidentes é avaliado; • Registos da avaliação de riscos de

incidentes;
• Estão estabelecidas métricas relativas
às respostas e tratamento de • Documentação de apoio ao processo
incidentes. de gestão e correlação de eventos;
• Métricas relativas a tempos de
resposta, resolução, níveis de alertas e
prioridades de incidentes.
90
R.N. COBIT 5 RS.AN-3 - Devem ser realizadas análises forenses
APO12.06,
DSS03.02,
DSS05.07;
ISO/IEC
27001:2013
NIST SP 800-53
Rev. 4 AU-7, IR-4.
2 – Intermédio • Estão definidos procedimentos de • Documentos de suporte aos processos

identificação, coleta e aquisição de de coleta de dados e garantia da
registos e informação; cadeia de custódia;
• Estão definidos procedimentos para • Formação dos colaboradores sobre
a captura dos dados no seu formato procedimentos de análise forense.
original, para análise forense.
3 – Avançado • É garantida a integridade e cadeia de • Adoção de software de captura de

custódia das evidências recolhidas; dados para fins forenses;
• Existem meios específicos para a • Sistema de integração da coleta
realização de análises forenses. de dados forenses com a gestão e
correlação de eventos.
R.N. CIS CSC 19; RS.AN-4 - Os incidentes devem ser categorizados de acordo com o plano de
COBIT 5 DSS02.02; resposta
ISO/IEC
27001:2013
A.16.1.4;
NIST SP 800-53
Rev. 4 CP-2, IR-4,
IR-5, IR-8. NÍVEIS DESCRIÇÃO EVIDÊNCIAS
1 – Básico • A categorização dos incidentes é • Observação da categorização dos

definida de formal informal e pouco incidentes, obtida por entrevista a
estruturada. colaboradores.
2 – Intermédio • Está estabelecida uma taxonomia de • Documentação de apoio na taxonomia

categorização de incidentes; de categorização de incidentes;
• A categorização do incidente está • Inclusão da categorização de incidentes
presente no momento da resposta. nos planos de resposta.
3 – Avançado • Estão estabelecidas metodologias de • Documentos de suporte ao tratamento

tratamento para cada tipo de incidente de incidentes;
detetado.
• Registo das categorizações de
incidentes.
91
R.N. CIS CSC 4, RS.AN-5 - A organização deve definir processos para receber, analisar e responder
19; a vulnerabilidades provenientes de fontes internas e externas
COBIT 5
EDM03.02,
DSS05.07;
NIST SP 800-53
Rev. 4 SI-5, PM-
15. NÍVEIS DESCRIÇÃO EVIDÊNCIAS
1 – Básico • A submissão de vulnerabilidades é • Observação de submissão de

realizada através de processos ad hoc. vulnerabilidades por entrevista a
colaboradores.
2 – Intermédio • Existem múltiplos mecanismos para • Documento de suporte ao processo de

que a organização seja informada sobre gestão de vulnerabilidades;
vulnerabilidades, quer seja de forma
interna ou externa; • Formas de se informar sobre
vulnerabilidades estabelecidas e
• Estão estabelecidos processos de divulgadas;
tratamento às vulnerabilidades sobre
as quais a organização é informada. • Registo de receção das comunicações
das vulnerabilidades;
• Critérios de classificação das
vulnerabilidades, de forma a direcionar
um tratamento adequado.
3 – Avançado • As vulnerabilidades registadas • Documentos de suporte aos

são analisadas e avaliadas procedimentos de análise e avaliação
sistematicamente. de vulnerabilidades;
• Registos do controlo e
acompanhamento das análises das
vulnerabilidades identificadas.
92
1.6.4 RS.MI Mitigação
R.N. CIS CSC 19; RS.MI-1 - Os incidentes devem ser contidos

COBIT 5
APO12.06;
ISO/IEC
27001:2013
A.12.2.1, A.16.1.5;
NIST SP 800-53
Rev. 4 IR-4. 1 – Básico • A resposta aos incidentes de segurança • Registo de resposta no tratamento de
é realizada de forma não sistematizada. incidentes.
2 – Intermédio • Estão estabelecidos processos de • Procedimentos de resposta a

resposta aos incidentes. incidentes de segurança;
• Documentos de suporte ao tratamento
de incidentes;
• Elaboração de recomendações de
tratamentos de incidentes.
3 – Avançado • As causas para a origem de incidentes • Registos de investigação e análises

são analisadas e avaliadas. forenses sobre as causas dos
incidentes;
• Indicação de melhorias para a
mitigação dos incidentes conhecidos.
93
R.N. CIS CSC 4, RS.MI-2 - Os incidentes devem ser mitigados
19;
COBIT 5
APO12.06;
ISO/IEC
27001:2013
A.12.2.1, A.16.1.5;
NIST SP 800-53 1 – Básico • O tratamento dos incidentes é efetuado • Ações de contenção imediata de
Rev. 4 IR-4. de forma reativa e não estruturada. incidentes (p. ex. bloqueio de contas,
interrupção de acessos, etc.).
2 – Intermédio • Estão estabelecidas práticas para a • Disponibilização de infraestrutura

redução do impacto dos incidentes; alternativa;
• Os procedimentos sobre o tratamento • Separação da rede em zonas protegidas
de incidentes são documentados. por firewalls, etc.;
• Documentos de suporte à mitigação
dos incidentes (p. ex. procedimentos,
padrões, etc.).
3 – Avançado • Os incidentes são erradicados; • Remoção de ameaças nas

infraestruturas;
• É feita uma análise do tratamento dos
incidentes para efeitos de melhoria • Uso ou melhoria dos sistemas de
contínua. proteção (p. ex. antivírus);
• Repositório de incidentes anteriores
com os respetivos planos de ação
corretivos.
R.N. CIS CSC 4; RS.MI-3 - As novas vulnerabilidades identificadas devem ser mitigadas ou
COBIT 5 documentadas como riscos aceites
APO12.06;
ISO/IEC
27001:2013
A.12.6.1;
NIST SP 800-53
Rev. 4 CA-7, RA-3, NÍVEIS DESCRIÇÃO EVIDÊNCIAS
RA-5.
1 – Básico • O tratamento das vulnerabilidades é • Observação da avaliação das
avaliado de forma não estruturada. vulnerabilidades, por entrevista aos
colaboradores.
2 – Intermédio • Está estabelecido um processo de • Registo de execução do processo de

gestão de vulnerabilidades; gestão das vulnerabilidades.
• As vulnerabilidades são mitigadas de
acordo com critérios definidos.
3 – Avançado • O processo de análise de risco das • Resultados das análises de risco;

vulnerabilidades é definido;
• Registo da aceitação das
• A aceitação das vulnerabilidades, onde vulnerabilidades.
seja aplicável, é formalizada.
94
1.6.5 RS.ME Melhorias
R.N. COBIT 5 RS.ME-1 - Os planos de resposta a incidentes devem incorporar as lições

BAI01.13; aprendidas
ISO/IEC
27001:2013
A.16.1.6, Cláusula
10;
NIST SP 800-53
Rev. 4 CP-2, IR-4, NÍVEIS DESCRIÇÃO EVIDÊNCIAS
IR-8.
2 – Intermédio • Não aplicável. • Não aplicável.
3 – Avançado • Os procedimentos de reposta a • Documentos de suporte ao plano de

incidentes são melhorados através da resposta a incidentes;
análise de lições aprendidas.
• Registos de reuniões e demais
interações, no contexto da melhoria
contínua;
• Registo do tratamento de
vulnerabilidades resultantes de
incidentes ocorridos.
R.N. COBIT 5 RS.ME-2 - As estratégias de resposta a incidentes devem ser atualizadas

BAI01.13;
DSS04.08;
ISO/IEC
27001:2013
A.16.1.6, Cláusula
10; NÍVEIS DESCRIÇÃO EVIDÊNCIAS
NIST SP 800-53
Rev. 4 CP-2, IR-4, 1 – Básico • Não aplicável. • Não aplicável.
IR-8.
2 – Intermédio • Os procedimentos são atualizados • Registo de atualização de
periodicamente, mas não se limitando procedimentos para a reposta a
às tecnologias e sistemas utilizados. incidentes, num determinado período
de análise.
3 – Avançado • Estão estabelecidos processos de • Registo dos testes de validação

melhoria contínua dos planos de dos procedimentos de resposta a
resposta a incidentes; incidentes.
• Os planos de resposta a incidentes são
avaliados.
95
1.7.1 RC.PR Plano de Recuperação
R.N. CIS CSC 10; RC.PR-1 - A organização deve seguir um plano de recuperação durante ou após
COBIT 5 um incidente
APO12.06,
DSS02.05,
DSS03.04;
ISO/IEC
27001:2013
NIST SP 800-53
Rev. 4 CP-10, IR-4, 1 – Básico • As cópias de segurança são realizadas • Relatórios de execução de cópias de
IR-8. de forma ad hoc. segurança e restauro.
2 – Intermédio • Estão estabelecidos regras e • Registo documental de procedimentos,

procedimentos para a recuperação de políticas e padrões dedicados ao tema
incidentes; da recuperação de incidentes;
• Está estabelecido um processo de • Relatórios de utilização de plataforma
gestão de cópias de segurança. de cópias de segurança e restauro.
3 – Avançado • São implementadas ações preditivas • Registo de recuperação de incidentes;

para dar respostas adequadas;
• Registos de constituição, com
• Existe uma equipa dedicada ao descrição de funções dos elementos
tratamento e monitorização de da equipa de resposta a incidentes.
ameaças, planeamento e resposta a
incidentes (ex.: CSIRT).
97
1.7.2 RC.ME Melhorias
R.N. COBIT 5 RC.ME-1 - Os planos de recuperação devem incorporar as lições aprendidas

APO12.06,
BAI05.07,
DSS04.08;
ISO/IEC
27001:2013
A.16.1.6, Cláusula NÍVEIS DESCRIÇÃO EVIDÊNCIAS
10;
NIST SP 800-53
Rev. 4 CP-2, IR-4,
IR-8.
2 – Intermédio • Existem e são avaliadas métricas • Registos dos indicadores e resultados
relativas aos planos de recuperação; analíticos de avaliação de resultados
de ações, relativas aos planos de
• As fragilidades nos planos anteriores recuperação.
são identificadas.
3 – Avançado • São identificadas as oportunidades • Documentos com atualização dos

de melhoria que possam ser planos;
implementadas;
• Documentos de suporte à execução
• Os planos de recuperação são das análises.
atualizados com as melhorias
encontradas.
R.N. COBIT 5 RC.ME-2 - As estratégias de recuperação devem ser continuamente revistas e

APO12.06,
atualizadas
BAI07.08;
ISO/IEC
27001:2013
A.16.1.6, Cláusula
10;
Rev. 4 CP-2, IR-4,
IR-8. 1 – Básico • Os procedimentos ad hoc, de análise • Registos de discussão dos
da operação da organização, incluem procedimentos ad hoc de recuperação
pontos de discussão relativos à (p. ex. atas ou notas de reuniões).
recuperação de incidentes.
2 – Intermédio • Estão estabelecidos procedimentos de • Registo de atualização dos

revisão e atualização da documentação procedimentos e atualização dos
e dos processos pertinentes à métodos empregues como estratégias
recuperação; de recuperação;
• As equipas afetas à recuperação de • Registo de formação ou atualização
incidentes são geridas. das equipas internas e/ou externas
envolvidas.
3 – Avançado • Estão estabelecidos procedimentos de • Registo de revisão de estratégias

revisão periódica das estratégias de de recuperação e estratégias
recuperação, por parte da gestão de complementares (p. ex. gestão de
topo. incidentes, plano de continuidade de
negócio, gestão das vulnerabilidades,
etc.).
98
1.7.3 RC.CO Comunicações
R.N. COBIT 5 RC.CO-1 - A organização deve implementar um plano de comunicação

EDM03.02;
ISO/IEC
27001:2013
A.6.1.4, Cláusula
7.4.
1 – Básico • A comunicação às partes interessadas • Registos de comunicações realizadas

sobre eventos de segurança é reativa. conforme as ocorrências.
• A comunicação é efetuada, mesmo
que de forma pouco estruturada e
dispersa.
2 – Intermédio • Está estabelecido um plano de • Documento de suporte ao plano de
comunicação sobre eventos de comunicação;
segurança;
• Registo de partes interessadas
• As partes interessadas relevantes conforme o tema a ser comunicado.
estão identificadas.
3 – Avançado • A comunicação é efetuada através de • Plano de comunicações periódicas

ações de consciencialização e de forma sobre segurança da informação, para
proativa. as diversas audiências no âmbito;
• Registos de comunicações.
99
R.N. COBIT 5 RC.CO-2 - As atividades de recuperação devem ser comunicadas às partes
APO12.06; interessadas, internas e externas, bem como às equipas executivas e
ISO/IEC de gestão
27001:2013 Cláu-
sula 7.4;
NIST SP 800-53
Rev. 4 CP-2, IR-4.
1 – Básico • A comunicação é efetuada de forma • Registos das comunicações efetuadas.

reativa e não estruturada.
2 – Intermédio • Está estabelecido um plano de • Plano de comunicação com o detalhe

comunicação consoante o seu do objetivo a ser comunicado e
propósito; identificação de audiência.
• Para cada objetivo a ser comunicado, é
efetuada a identificação de audiência
adequada e respetivo plano de
comunicação.
3 – Avançado • Está estabelecida uma estratégia • Registos de comunicações para

de comunicação adequada para as equipas executivas e de gestão;
equipas executivas e de gestão;
• Registos dos processos de aprovação
• Os processos de aprovação das das comunicações;
comunicações estão definidos.
• Avaliação da mensagem para cada
audiência.
100
Rua da Junqueira 69,
www.cncs.gov.pt
1300-342 Lisboa
cncs@cncs.gov.pt
+351 210 497 400

CNCS - Quadrodeavaliacao Dez22

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

CNCS - Quadrodeavaliacao Dez22

Enviado por

Direitos autorais:

Formatos disponíveis

QUADRO DE AVALIAÇÃO DE

1.2 Definições e Abreviaturas................................................................................................................................. 5

1.3.1 ID.GA - Gestão de Ativos.............................................................................................................................. 10

1.3.2 ID.AO – Ambiente da Organização............................................................................................................ 15

1.3.3 ID.GV – Governação..................................................................................................................................... 20

1.3.4 ID.AR – Avaliação do Risco.......................................................................................................................... 22

1.3.5 ID.GR – Estratégia de Gestão do Risco..................................................................................................... 27

1.3.6 ID.GL – Gestão do Risco da Cadeia Logística.......................................................................................... 29

1.4.1 PR.GA – Gestão de Identidades, Autenticação e Controlo de Acessos............................................ 35

1.4.2 PR.FC – Formação e Sensibilização........................................................................................................... 42

1.4.3 PR.SD – Segurança de Dados..................................................................................................................... 46

1.4.4 PR.PI – Procedimentos e Processos de Proteção da Informação....................................................... 53

1.4.5 PR.MA – Manutenção.................................................................................................................................. 63

1.4.6 PR.TP – Tecnologia de Proteção................................................................................................................ 65

1.5.1 DE.AE – Anomalias e Eventos..................................................................................................................... 71

1.5.2 DE.MC – Monitorização Contínua de Segurança................................................................................... 75

1.5.3 DE.PD – Processos de Deteção.................................................................................................................. 82

1.6.1 RS.PR – Planeamento da Resposta............................................................................................................ 86

1.6.2 RS.CO – Comunicações................................................................................................................................ 87

1.6.3 RS.AN – Análise............................................................................................................................................. 90

1.6.4 RS.MI – Mitigação......................................................................................................................................... 93

1.6.5 RS.ME – Melhorias....................................................................................................................................... 95

1.7.1 RC.PR – Plano de Recuperação.................................................................................................................. 97

1.7.2 RC.ME – Melhorias....................................................................................................................................... 98

1.7.3 RC.CO – Comunicações................................................................................................................................ 99

Este documento é um produto complementar ao Quadro Nacional de Referência para

3 – Avançado Medidas de segurança avançadas que envolvem Evidência de

Na tabela seguinte identificam-se os termos utilizados ao longo do documento, cuja definição

TERMO DEFINIÇÃO ORIGEM

2 – Intermédio • Os ativos são registados • Ferramentas/aplicações de gestão

2 – Intermédio • As aplicações e plataformas são • Ferramentas/aplicações de gestão

• A cada aplicação e plataforma tem-se • Classificação dos sistemas quanto à

• Existe uma política formalmente

3 – Avançado • O inventário é monitorizado e acompa- • Indicadores e registos de acompanha-

2 – Intermédio • Os ativos de redes de comunicações • Mapa de endereços IP;

3 – Avançado • O inventário de rede de comunicação é • Uso de ferramenta/aplicações

2 – Intermédio • Os ativos de rede localizados • Registo do ativo contendo endereço

2 – Intermédio • A organização definiu métodos de • Política de classificação de ativos;

• Os responsáveis pelos ativos • Base de identificação dos ativos.

3 – Avançado • A classificação dos ativos é revista em • Registo atualizado da classificação dos

1 – Básico • A organização tem a sua missão • Contrato ou estatuto de formação da

2 – Intermédio • A política de segurança da informação • Referência à missão e objetivos da

3 – Avançado • As políticas e os relacionamentos com • Controlo de ações de sensibilização

1 – Básico • A organização tem a sua missão, • Contrato ou estatuto de formação da

2 – Intermédio • A política de segurança da informação • Referência à missão e objetivos da

3 – Avançado • As políticas e a relação com as partes • Controlo de ações de sensibilização

3 – Avançado • Os registos dos ativos são atualizados • Sistema de descoberta automática de

• São realizadas manutenções • Planeamento da redundância e

• São realizadas revisões das capacidades

2 – Intermédio • Existe um plano de continuidade • Documentação do Plano de

3 – Avançado • O plano de continuidade é revisto • Resultados de simulacros em

2 – Intermédio • Os colaboradores são informados e • Publicação oficial da política de

3 – Avançado • A política de segurança é relacionada • Acompanhamento de documentos de

• A política é mantida num sistema de • Sistema eletrónico de registo e

3 – Avançado • Revisão regular de publicações de • Registo da execução de procedimento

3 – Avançado • Existe um processo formal de revisão e • Relatórios de avaliação e revisão

1 – Básico • São estabelecidos contactos informais • Não aplicável.

2 – Intermédio • Existem canais de comunicação • Procedimentos de comunicação de

3 – Avançado • Os canais de comunicação • Registos das comunicações feitas

3 – Avançado • O processo de gestão de riscos • Registos da análise e avaliação de

2 – Intermédio • Os critérios de probabilidade e • Procedimentos que descrevem as

3 – Avançado • Os ativos têm a sua relevância • Relatórios de avaliação quantitativa de

2 – Intermédio • A metodologia de riscos estabelece • Formalização em documentação