You are on page 1of 2

Declaração de aplicabilidade

Politica de segurança da informação.

¤ Existe uma política de segurança da informação, que foi aprovado pela administração,
publicado e comunicado, de forma adequada, para todos os funcionários.
¤ A política de segurança da informação expressa as preocupações da administração, e
estabelece as orientações para a gestão da segurança da informação
¤ A política de segurança tem um gestor responsável pela sua manutenção e análise
crítica, de acordo com um processo de análise crítica definido.

Infra-estrutura da segurança da informação

¤ Não foi utilizada nenhuma consultadoria na área da segurança, tendo em conta que os
intervenientes neste processo, tem a experiência e a formação necessária.

¤ A implementação da política de segurança é analisada criticamente, de forma independente.

Segurança no acesso de prestadores de serviço

Todos os riscos do acesso dos prestadores de serviço estão identificados e os respectivos controlos de
segurança apropriados foram implementados.

Não existem prestadores de serviço a trabalhar no ambiente da empresa consequentemente os riscos de


segurança, referentes a estes não terão que ser analisados.

Não existe um contrato formal contendo ou referenciando todos os requisitos de segurança, embora a
todos os fornecedores seja enviado o manual de fornecedor, onde constam todos esses requisitos.

Carlos, verifica por favor se é viável (se não for, coloca a justificação) - não somos
obrigados a ter, tendo em conta q se não tivermos basta a justificação:

Infra-estrutura da segurança da informação

Existe um fórum de gestão para garantir um direccionamento claro e um suporte de gestão


visível dos envolvidos para as iniciativas de segurança dentro da organização?

Se existe um fórum multi-funcional com representantes da direcção de áreas relevantes da organização


para coordenar a implementação de controlos de segurança da informação.

Se as responsabilidades pela protecção de cada activo e pelo cumprimento de processos de segurança


específicos estão claramente definidos. (aqui basta fazer uma lista por utilizador, dos equipamentos que
tem a sua responsabilidade)

Se foi implantado um processo de gestão de autorização para novos recursos de processamento da


informação. Isto deve incluir todos os novos recursos, como hardware e software.
Se são mantidos contactos apropriados com as autoridades, organismos regulamentadores, provedores de
serviço de informação e operadores de telecomunicações, para garantir que as acções adequadas e o
apoio especializado possam ser rapidamente accionados na ocorrência de incidentes de segurança.