Leis e regulamentos que regem a Ciber-segurança

Uma política de segurança é um conjunto de políticas e regras que determinam a forma de assegurar a protecção dos bens.

Por defeito, uma política de segurança assenta no facto de as entidades designadas serem obrigadas, no que diz respeito ao sistema de gestão da segurança da informação, a fazê-lo:

a)      estabelecer uma política de segurança e manter documentação de segurança abrangendo as seguintes áreas políticas:[1]

·       sistema de gestão da segurança da informação,

·       gestão de activos,

·       segurança organizacional,

·       gestão de fornecedores,

·       segurança dos recursos humanos,

·       gestão do tráfego e das comunicações,

·       controlo de acesso,

·       comportamento seguro dos utilizadores,

·       backup e recuperação e armazenamento a longo prazo,

·       transmissão segura e troca de informações,

·       gestão de vulnerabilidades técnicas,

·       utilização segura de dispositivos móveis,

·       aquisições, desenvolvimento e manutenção,

·       protecção de dados pessoais,

·       segurança física,

·       segurança da rede de comunicação,

·       protecção contra código malicioso,

·       implantação e utilização de uma ferramenta para a detecção de eventos de cibersegurança,

·       utilização segura de protecção criptográfica,

·       gestão da mudança,

·       gestão de incidentes de ciber-segurança,

·       gestão da continuidade de negócios.

O conteúdo da documentação de segurança também é especificado. Deve incluir:

·       relatório de auditoria de ciber-segurança,

·       relatório sobre a revisão do sistema de gestão da segurança da informação,

·       metodologia para a identificação e avaliação de activos e para a avaliação de riscos,

·       relatório de avaliação de activos e riscos,

·       declaração de aplicabilidade,

·       plano de gestão de risco,

·       plano de desenvolvimento da sensibilização para a segurança,

·       registos de alterações,

·       dados de contacto comunicados,

·       uma visão geral dos regulamentos jurídicos geralmente vinculativos, regulamentos internos e outros regulamentos e obrigações contratuais,

·       outra documentação recomendada (por exemplo, topologia de infra-estruturas, visão geral dos dispositivos de rede).

b)      rever regularmente a política de segurança e a documentação de segurança,

c)      assegurar que a política de segurança e a documentação de segurança estejam actualizadas.

A política de segurança e a documentação de segurança devem ser:

·       disponível em formato impresso ou electrónico,

·       comunicado como parte de um devedor,

·       razoavelmente disponíveis para as partes interessadas,

·       gerido,

·       protegidos em termos de confidencialidade, integridade e disponibilidade,

·       mantidos de tal forma que a informação aí contida seja completa, legível, facilmente identificável e facilmente pesquisável.