ANEXO - Objetivos e medidas de segurança (a que se refere a alínea a) do artigo 7.º)

1 (Básico)

a) Definir, aprovar e manter uma política de segurança de alto nível que abranja a segurança das redes e serviços.

b) Publicar e comunicar aos colaboradores-chave a política de segurança.

2 (Norma de indústria) 

c) Definir, aprovar e manter uma política de segurança pormenorizada relativamente aos ativos classificados nas classes A ou B e a processos de negócio críticos.

d) Publicar e comunicar a todos os colaboradores a política de segurança e de que forma esta afeta o seu trabalho.

e) Rever a política de segurança na sequência de alterações ou de incidentes de segurança.     

3 (Estado da técnica)

f) Rever a política de segurança periodicamente, tendo em consideração, nomeadamente, os incidentes de segurança anteriores, os resultados de testes e exercícios e os incidentes de segurança que afetem outras empresas similares no sector.

1 (Básico)

a) Elaborar uma lista dos principais riscos para a segurança das redes e serviços, tendo em consideração as ameaças a que os ativos classificados nas classes A ou B possam estar sujeitos.

b) Dar conhecimento aos colaboradores-chave dos principais riscos e do modo como são mitigados.

2 (Norma de indústria)

c) Estabelecer uma metodologia e ferramentas de gestão dos riscos, ao nível de normas de indústria, incluindo normas, especificações e recomendações nacionais, europeias e internacionais existentes sobre a matéria.

d) Garantir que os colaboradores-chave utilizam a metodologia e as ferramentas de gestão dos riscos.

e) Rever as avaliações dos riscos na sequência de alterações ou de incidentes de segurança.

f) Garantir que os riscos residuais são aceites pela gestão.

3 (Estado da técnica)

g) Rever a metodologia e as ferramentas de gestão dos riscos periodicamente, tendo em consideração, nomeadamente, as alterações e os incidentes de segurança anteriores.

1 (Básico) 

a) Atribuir aos colaboradores funções e responsabilidades no domínio da segurança das redes e serviços.

b) Garantir que os colaboradores em desempenho de funções no domínio da segurança das redes e serviços estão contactáveis no caso de incidentes de segurança.

2 (Norma de indústria)

c) Nomear os colaboradores para as funções no domínio da segurança das redes e serviços.

d) Dar conhecimento aos colaboradores das funções no domínio da segurança das redes e serviços existentes na empresa e de quando devem as mesmas ser contactadas.

3 (Estado da técnica)

e) Rever regularmente a estrutura das funções e responsabilidades no domínio da segurança das redes e serviços, tendo em consideração, nomeadamente, as alterações e os incidentes de segurança anteriores.

1 (Básico)

a) Incluir requisitos de segurança nos contratos com terceiros.

2 (Norma de indústria)

b) Definir, aprovar e manter uma política de segurança para os contratos com terceiros.

c) Garantir que todas as prestações de serviços e todos os fornecimentos de bens por terceiros cumprem a política de segurança para os contratos com terceiros.

d) Rever a política de segurança para os contratos com terceiros na sequência de alterações ou de incidentes de segurança.

e) Mitigar os riscos residuais que os terceiros não enderecem.

3 (Estado da técnica)

f) Registar os incidentes de segurança relacionados com terceiros ou causados por estes.

g) Rever regularmente a política de segurança para os contratos com terceiros, tendo em consideração, nomeadamente, as alterações e os incidentes de segurança anteriores.

1 (Básico)

a) Verificar as referências profissionais dos colaboradores.

2 (Norma de indústria)

b) Verificar as credenciais e as referências dos colaboradores, na medida necessária e nos termos permitidos por lei.

c) Definir, aprovar e manter uma política e procedimentos de verificação de credenciais e de referências.

3 (Estado da técnica)

d) Rever regularmente a política e os procedimentos de verificação de credenciais e de referências, tendo em consideração, nomeadamente, as alterações e os incidentes de segurança anteriores.

1 (Básico)

a) Disponibilizar aos colaboradores-chave formação, treino e materiais relevantes sobre questões relacionadas com a segurança das redes e serviços.

2 (Norma de indústria)

b) Implementar um programa de formação e treino, garantindo que os colaboradores-chave dispõem de conhecimentos de segurança das redes e serviços suficientes e atualizados.

c) Organizar sessões de formação e treino e de sensibilização para os colaboradores sobre os temas de segurança das redes e serviços com importância para a empresa.

3 (Estado da técnica)

d) Rever periodicamente o programa de formação e treino, tendo em consideração, nomeadamente, as alterações e os incidentes de segurança anteriores.

e) Testar e avaliar os conhecimentos sobre segurança das redes e serviços dos colaboradores.

1 (Básico)

a) Após a mudança de colaboradores, cancelar direitos, cartões, equipamentos e outros recursos de acesso, no caso de já não serem necessários ou permitidos.

b) Dar conhecimento aos novos colaboradores das políticas e dos procedimentos em vigor e prestar-lhes formação acerca dos mesmos.

2 (Norma de indústria)

c) Definir, aprovar e manter uma política e procedimentos sobre mudanças de colaboradores, tendo em consideração o cancelamento atempado de direitos, cartões e equipamentos de acesso.

d) Definir, aprovar e manter uma política e procedimentos sobre a formação e o treino dos colaboradores nas suas novas funções e responsabilidades.

3 (Estado da técnica)

e) Verificar periodicamente se as políticas e os procedimentos são eficazes.

f) Rever as políticas e os procedimentos, tendo em consideração, nomeadamente, as alterações e os incidentes de segurança anteriores.

1 (Básico)

a) Responsabilizar os colaboradores por incidentes de segurança causados pelas violações das políticas, nomeadamente no âmbito do contrato de trabalho e nos termos permitidos por lei.

2 (Norma de indústria)

b) Estabelecer procedimentos de tratamento das violações das políticas cometidas por colaboradores.

3 (Estado da técnica)

c) Rever periodicamente o procedimento disciplinar, tendo em consideração, nomeadamente, as alterações e os incidentes de segurança anteriores.

1 (Básico)

a) Impedir o acesso físico não autorizado aos ativos e criar controlos ambientais para proteção contra as situações de acesso não autorizado, furto, incêndio e inundação.

b) Definir, aprovar e manter procedimentos de proteção e de preservação dos ativos de um modo adequado à evolução das condições climáticas da região e dos riscos de desastre natural ou de outros fenómenos extremos, incluindo tempestades, deslizamentos de terras, cheias, tornados, incêndios florestais, sismos ou maremotos.

2 (Norma de indústria)

c) Definir, aprovar e manter uma política relativa às medidas de segurança física e aos controlos ambientais.

d) Implementar controlos físicos e ambientais ao nível de norma de indústria, incluindo normas, especificações e recomendações nacionais, europeias e internacionais existentes sobre a matéria.

3 (Estado da técnica)

e) Avaliar periodicamente a eficácia dos controlos físicos e ambientais.

f) Rever a política relativa às medidas de segurança física e aos controlos ambientais, tendo em consideração, nomeadamente, as alterações e os incidentes de segurança anteriores.

1 (Básico)

a) Garantir a segurança dos fornecimentos.

2 (Norma de indústria)

b) Definir, aprovar e manter uma política de segurança dos fornecimentos críticos.

c) Implementar medidas de segurança ao nível de norma de indústria, incluindo normas, especificações e recomendações nacionais, europeias e internacionais existentes sobre a matéria, com vista a assegurar a continuidade dos fornecimentos.

3 (Estado da técnica)

d) Implementar medidas de segurança ao nível do estado da técnica com vista a assegurar a continuidade dos fornecimentos.

e) Rever regularmente a política e as medidas de segurança com vista a assegurar a continuidade dos fornecimentos, tendo em consideração, nomeadamente, as alterações e os incidentes de segurança anteriores.

1 (Básico)

a) Possuir identificadores únicos para os utilizadores e para os sistemas, que devem ser autenticados antes de aceder aos serviços ou aos sistemas.

b) Implementar mecanismos de controlos de acesso aos ativos, de modo a permitir apenas uma utilização autorizada.

2 (Norma de indústria)

c) Definir, aprovar e manter uma política e procedimentos de controlo de acesso aos ativos, abrangendo, nomeadamente, as funções, os direitos, as responsabilidades e os procedimentos para atribuição e cancelamento de direitos de acesso.

d) Selecionar mecanismos de autenticação adequados, dependendo do tipo e do nível de acesso.

e) Monitorizar o acesso aos ativos e dispor de um procedimento de aprovação de exceções e de registo de acessos indevidos.

3 (Estado da técnica)

f) Avaliar a eficácia da política e dos procedimentos de controlo de acessos e implementar verificações cruzadas dos mecanismos de controlo de acessos.

g) Rever a política, os procedimentos e os mecanismos de controlo de acessos.

1 (Básico)

a) Assegurar que o software dos ativos não é adulterado ou alterado, nomeadamente com recurso a controlos de introdução e a firewalls.

b) Assegurar que a informação crítica de segurança (incluindo, entre outra, palavras-passe, segredos partilhados e chaves privadas) não é divulgada ou adulterada.

c) Verificar a existência de software malicioso nos ativos.

2 (Norma de indústria)

d) Implementar medidas de segurança ao nível de norma de indústria, incluindo normas, especificações e recomendações nacionais, europeias e internacionais existentes sobre a matéria, disponibilizando uma defesa em profundidade contra a adulteração e alteração dos ativos.

3 (Estado da técnica)

e) Implementar controlos ao nível do estado da técnica para proteger a integridade dos ativos.

f) Rever a eficácia das medidas de segurança para proteger a integridade dos ativos.

1 (Básico)

a) Estabelecer procedimentos e definir e alocar as responsabilidades para a operação dos ativos classificados nas classes A ou B.

2 (Norma de indústria)

b) Definir, aprovar e manter uma política de operação dos ativos que assegure que os ativos classificados nas classes A ou B sejam operados e geridos de acordo com os procedimentos predefinidos.

3 (Estado da técnica)

c) Rever a política e os procedimentos de operação dos ativos classificados nas classes A ou B, tendo em consideração, nomeadamente, as alterações e os incidentes de segurança.

1 (Básico)

a) Estabelecer e definir procedimentos de introdução de alterações aos ativos classificados nas classes A ou B.

2 (Norma de indústria)

b) Definir, aprovar e manter uma política e procedimentos de gestão de alterações, com vista a garantir que as alterações aos ativos classificados nas classes A ou B são sempre realizadas de acordo com um procedimento predefinido.

c) Documentar os procedimentos de gestão de alterações e registar, para cada alteração, as etapas do procedimento seguido.

3 (Estado da técnica)

d) Rever regularmente os procedimentos de gestão de alterações, tendo em consideração, nomeadamente, as alterações e os incidentes de segurança anteriores.

1 (Básico)

a) Gerir os ativos classificados nas classes A ou B e as suas configurações.

2 (Norma de indústria)

b) Definir, aprovar e manter uma política e procedimentos de gestão dos ativos e de controlo de configurações.

3 (Estado da técnica)

c) Rever regularmente a política e os procedimentos de gestão dos ativos e de controlo de configurações, tendo em consideração, nomeadamente, as alterações e os incidentes de segurança anteriores.

1 (Básico)

a) Garantir a disponibilidade e a preparação de colaboradores para a gestão e o tratamento de incidentes de segurança.

b) Registar e tipificar todos os incidentes de segurança.

2 (Norma de indústria)

c) Definir, aprovar e manter uma política e procedimentos de gestão de incidentes de segurança.

3 (Estado da técnica)

d) Investigar os incidentes de segurança com maior impacto e elaborar relatórios finais de incidentes de segurança, incluindo a indicação das medidas adotadas e recomendações para mitigar a futura ocorrência de incidentes de segurança do mesmo tipo.

e) Rever a política e os procedimentos de gestão de incidentes de segurança, tendo em consideração, nomeadamente, os incidentes de segurança anteriores.

1 (Básico)

a) Implementar processos ou sistemas para a deteção de incidentes de segurança.

2 (Norma de indústria)

b) Implementar processos ou sistemas e procedimentos ao nível de norma de indústria, incluindo normas, especificações e recomendações nacionais, europeias e internacionais existentes sobre a matéria, para a deteção de incidentes de segurança.

c) Implementar processos ou sistemas e procedimentos para registar e reencaminhar o mais rapidamente possível os incidentes de segurança para os colaboradores com funções adequadas.

3 (Estado da técnica)

d) Rever regularmente os processos ou sistemas e os procedimentos para a deteção de incidentes de segurança, tendo em consideração, nomeadamente, as alterações e os incidentes de segurança anteriores.

1 (Básico)

a) Notificar e comunicar incidentes de segurança em curso ou finalizados a autoridades, a terceiros, a clientes e ao público, consoante aplicável ou necessário.

2 (Norma de indústria)

b) Definir, aprovar e manter uma política e procedimentos de notificação e comunicação de incidentes de segurança.

3 (Estado da técnica)

c) Avaliar notificações e comunicações de incidentes de segurança.

d) Rever a política e os procedimentos de notificação e comunicação de incidentes de segurança, tendo em consideração, nomeadamente, as alterações e os incidentes de segurança anteriores.

1 (Básico)

a) Implementar uma estratégia de continuidade do funcionamento das redes e serviços, tendo em consideração, nomeadamente, as situações extraordinárias.

b) Estabelecer procedimentos de restabelecimento prioritário da oferta de redes e serviços através dos quais os clientes relevantes, nos termos previstos no n.º 5 do artigo 21.º, prestam os seus serviços relevantes à sociedade e aos cidadãos, nomeadamente nas situações extraordinárias.

2 (Norma de indústria)

c) Definir, aprovar e manter planos de contingência para os ativos classificados nas classes A ou B, tendo em consideração, nomeadamente, as situações extraordinárias.

d) Monitorizar a ativação e a execução dos planos de contingência e registar os tempos de recuperação com indicação de conformidade ou desconformidade em relação aos planos.

3 (Estado da técnica)

e) Rever periodicamente a estratégia de continuidade do funcionamento das redes e serviços.

f) Rever os planos de contingência, tendo em consideração, nomeadamente, as alterações e os incidentes de segurança anteriores.

1 (Básico)

a) Estabelecer planos e medidas para a recuperação e o restauro das redes e serviços no caso de desastres, tendo em consideração, nomeadamente, as situações extraordinárias.

2 (Norma de indústria)

b) Definir, aprovar e manter uma política e procedimentos para a dotação com capacidades de recuperação de desastres, tendo em consideração, nomeadamente, as situações extraordinárias.

c) Dotar-se com capacidades de recuperação de desastres ao nível de norma de indústria, incluindo normas, especificações e recomendações nacionais, europeias e internacionais existentes sobre a matéria, ou garantir que as mesmas estão disponíveis através de terceiros, tendo em consideração, nomeadamente, as situações extraordinárias.

3 (Estado da técnica)

d) Dotar-se com capacidades de recuperação de desastres ao nível do estado da técnica, com vista a mitigar o impacto de desastres, tendo em consideração, nomeadamente, as situações extraordinárias.

e) Rever regularmente as capacidades de recuperação de desastres, tendo em consideração, nomeadamente, as alterações, os incidentes de segurança anteriores, os resultados de testes e de exercícios e as situações extraordinárias.

1 (Básico)

a) Implementar procedimentos de monitorização e de registo de eventos relativos aos ativos classificados nas classes A ou B.

2 (Norma de indústria)

b) Definir, aprovar e manter uma política e procedimentos de monitorização e de registo de eventos relativos aos ativos classificados nas classes A ou B.

c) Implementar mecanismos de monitorização dos ativos classificados nas classes A ou B.

d) Implementar mecanismos para a recolha e armazenamento de registos de eventos relativos aos ativos classificados nas classes A ou B.

3 (Estado da técnica)

e) Implementar mecanismos para a recolha e análise automáticas de registos de eventos relativos aos ativos classificados nas classes A ou B.

f) Rever a política, os procedimentos e os mecanismos de monitorização e de registo de eventos relativos aos ativos classificados nas classes A ou B, tendo em consideração, nomeadamente, as alterações e os incidentes de segurança anteriores.

1 (Básico)

a) Realizar exercícios e testes dos planos de contingência e de redundância, com vista a assegurar que os sistemas e os processos funcionam e que os colaboradores estão preparados em caso de incidentes de segurança com grande impacto.

2 (Norma de indústria)

b) Elaborar e implementar um programa de exercícios regulares para testar planos de contingência e de redundância, utilizando cenários realistas e variáveis ao longo do tempo.

c) Assegurar que as questões identificadas e as lições aprendidas em resultado dos exercícios são tratadas pelos colaboradores responsáveis e que os sistemas e os processos relevantes são atualizados em conformidade.

3 (Estado da técnica)

d) Rever o programa de exercícios, tendo em consideração, nomeadamente, as alterações e os incidentes de segurança anteriores.

e) Envolver nos exercícios fornecedores e outros terceiros, nomeadamente outras empresas, parceiros de negócio ou clientes.

1 (Básico)

a) Testar os ativos antes da sua utilização ou da sua ligação aos ativos em exploração.

2 (Norma de indústria)

b) Definir, aprovar e manter uma política e procedimentos para testar os ativos.

c) Implementar ferramentas de teste automático.

3 (Estado da técnica)

d) Rever a política, os procedimentos e as ferramentas de teste dos ativos, tendo em consideração, nomeadamente, as alterações e os incidentes de segurança anteriores.

1 (Básico)

a) Assegurar que os ativos classificados nas classes A ou B são regularmente objeto de avaliações de segurança das redes e serviços, incluindo verificações e testes, nomeadamente em caso de introdução de novos ativos e na sequência de alterações.

2 (Norma de indústria)

b) Definir, aprovar e manter uma política e procedimentos para avaliações de segurança das redes e serviços.

3 (Estado da técnica)

c) Avaliar a eficácia da política e dos procedimentos para avaliações de segurança das redes e serviços.

d) Rever a política e os procedimentos para avaliações de segurança das redes e serviços, tendo em consideração, nomeadamente, as alterações e os incidentes de segurança anteriores.

1 (Básico)

a) Monitorizar a conformidade com os requisitos legais e regulamentares.

2 (Norma de indústria)

b) Definir, aprovar e manter uma política e procedimentos relativos à monitorização e auditoria da conformidade.

3 (Estado da técnica)

c) Avaliar a política e os procedimentos relativos à monitorização e auditoria da conformidade.

d) Rever a política e os procedimentos relativos à monitorização e à auditoria da conformidade, tendo em consideração, nomeadamente, as alterações e os incidentes de segurança anteriores.