Segurança da Informação — Protecção, Resiliência e Certificação
A unidade especializada em segurança da informação do ecossistema Regimes Jurídicos de Portugal. Implementação de SGSI, classificação de activos de informação, gestão de riscos, controlos de segurança, preparação para certificação ISO 27001 e auditorias internas.
Proteger a Informação como Activo Estratégico
A informação é um dos activos mais valiosos de qualquer organização. A sua protecção adequada — garantindo confidencialidade, integridade e disponibilidade (a tríade CIA) — é fundamental para a continuidade do negócio, a confiança dos stakeholders e o cumprimento de obrigações legais e regulatórias. Num contexto de crescente sofisticação das ameaças e de interdependência digital, a segurança da informação deixou de ser uma questão exclusivamente técnica para se tornar uma prioridade estratégica ao mais alto nível de governação.
A norma ISO/IEC 27001:2022 constitui a referência internacional para implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI). A versão 2022 introduziu actualizações significativas, incluindo novos controlos para cloud computing, threat intelligence, data leakage prevention e monitorização de actividades. A ISO/IEC 27002:2022, por sua vez, funciona como código de práticas, detalhando 93 controlos organizados em 4 categorias: organizacionais, de pessoas, físicos e tecnológicos.
Disponibilizamos um portfólio completo de serviços em segurança da informação, estruturado nos quatro pilares — Consultoria, Assessoria, Auditoria e Formação — para apoiar organizações de todas as dimensões na implementação, certificação e manutenção de um SGSI eficaz e sustentável.
Os Quatro Pilares de Serviço em Segurança da Informação
Portfólio completo de serviços estruturado para responder às diferentes necessidades de implementação, certificação e manutenção de um Sistema de Gestão de Segurança da Informação conforme a ISO/IEC 27001:2022.
O Que a ISO 27001 Exige da Sua Organização
Os principais requisitos que qualquer organização que pretenda implementar e certificar um Sistema de Gestão de Segurança da Informação deve conhecer e cumprir conforme a ISO/IEC 27001:2022.
Contexto e Âmbito do SGSI
Determinação do contexto da organização, identificação das partes interessadas e definição do âmbito do sistema de gestão de segurança da informação (cláusulas 4.1–4.3 da ISO 27001).
Liderança e Compromisso
Envolvimento obrigatório da gestão de topo na definição da política de segurança da informação e na atribuição de responsabilidades e autoridades no âmbito do SGSI (cláusula 5 da ISO 27001).
Avaliação e Tratamento de Riscos
Processo formal de identificação, análise e tratamento de riscos de segurança da informação, com critérios de aceitação documentados e planos de tratamento aprovados (cláusulas 6.1, 8.2–8.3 da ISO 27001).
Controlos de Segurança
Selecção e implementação de controlos do Anexo A — 93 controlos em 4 categorias: organizacionais, de pessoas, físicos e tecnológicos — com Declaração de Aplicabilidade (SoA) documentada.
Monitorização e Avaliação de Desempenho
Medição da eficácia do SGSI através de indicadores de desempenho, auditorias internas periódicas e revisão pela gestão de topo com intervalos planeados (cláusula 9 da ISO 27001).
Melhoria Contínua
Tratamento de não-conformidades, implementação de acções correctivas e melhoria contínua da adequação, suficiência e eficácia do SGSI (cláusula 10 da ISO 27001).
Normas e Regimes do Vector V03
O vector de Segurança da Informação integra as normas internacionais e os regimes jurídicos directamente relacionados com a protecção de activos de informação, desde a família ISO 27000 até à articulação com regimes transversais como a NIS2.
Segurança do Ciberespaço
Decreto-Lei n.º 61/2024 + Directiva (UE) 2022/2555
Saber mais Articulação com o Vector V04 — CibersegurançaCapacitação em Segurança da Informação
A formação contínua e a sensibilização são componentes essenciais de qualquer SGSI. A cláusula 7.2 da ISO 27001 exige que as organizações assegurem a competência das pessoas que realizam trabalho sob o seu controlo que afecte o desempenho de segurança da informação.
Ciclo de Formação ISO 27001 — 5 Módulos
Programa completo destinado a CISOs, Information Security Officers, gestores de TI, auditores internos e equipas de compliance que necessitem de dominar o quadro normativo de segurança da informação na sua integralidade.
Workshop de Classificação de Activos de Informação
Exercício prático de inventariação, classificação e rotulagem de activos de informação conforme a ISO 27001, com definição de níveis de classificação (público, interno, confidencial, estritamente confidencial) e regras de tratamento.
Exercício de Resposta a Incidente de Segurança
Simulação realista de um incidente de segurança da informação. Os participantes activam os procedimentos de resposta, escalonamento, comunicação interna e externa e lições aprendidas. Inclui debriefing e plano de melhoria.
Perguntas Frequentes sobre Segurança da Informação
Respostas técnicas às questões mais comuns sobre a ISO/IEC 27001:2022, os sistemas de gestão de segurança da informação e a certificação.
A ISO/IEC 27001:2022 é a norma internacional de referência para sistemas de gestão de segurança da informação. Estabelece os requisitos para implementar, manter e melhorar continuamente um SGSI, proporcionando uma abordagem sistemática para gerir informação sensível e garantir a sua confidencialidade, integridade e disponibilidade. É aplicável a organizações de qualquer dimensão e sector.
A ISO 27001 define os requisitos do sistema de gestão — o «o quê» deve ser feito. A ISO 27002 é o código de práticas que detalha os controlos de segurança — o «como» implementar. A versão 2022 da ISO 27002 reorganizou os controlos em 4 categorias (organizacionais, de pessoas, físicos e tecnológicos), reduzindo de 114 para 93 controlos e introduzindo 11 novos.
A certificação ISO 27001 é voluntária. Contudo, é crescentemente exigida como requisito contratual em cadeias de fornecimento, especialmente em sectores como TI, serviços financeiros, saúde e administração pública. A Directiva NIS2 também referencia a ISO 27001 como padrão de referência para as medidas de segurança exigidas às entidades essenciais e importantes.
Um SGSI (Sistema de Gestão de Segurança da Informação) é um conjunto de políticas, procedimentos, processos e controlos que uma organização implementa para gerir os riscos de segurança da informação de forma sistemática. Inclui a avaliação de riscos, a selecção de controlos adequados, a monitorização contínua do desempenho e a melhoria permanente, seguindo o ciclo Plan-Do-Check-Act (PDCA).
O prazo varia conforme a dimensão e complexidade da organização. Tipicamente, a implementação inicial demora entre 6 e 18 meses, desde a análise de contexto e gap analysis até à auditoria de certificação. Organizações com maturidade em processos de gestão (por exemplo, com ISO 9001 já implementada) conseguem frequentemente prazos mais curtos, beneficiando da estrutura de alto nível comum a todos os sistemas de gestão ISO.
A ISO 27001 e a NIS2 são complementares. A NIS2 (Directiva (UE) 2022/2555), transposta em Portugal pelo Decreto-Lei n.º 61/2024, exige medidas de segurança para entidades essenciais e importantes. A ISO 27001 é reconhecida como padrão de referência para demonstrar conformidade com os requisitos de segurança da NIS2, embora a Directiva tenha requisitos adicionais específicos em matéria de notificação de incidentes, responsabilidade dos órgãos de direcção e segurança da cadeia de abastecimento.
A ISO 27001 e o RGPD abordam a segurança de ângulos complementares. O RGPD (artigo 32.º) exige medidas técnicas e organizativas adequadas para proteger dados pessoais. A ISO 27001 fornece o enquadramento sistémico para implementar essas medidas de forma estruturada. A certificação ISO 27001 não garante conformidade RGPD por si só, mas constitui evidência robusta de diligência no cumprimento do artigo 32.º do Regulamento.
A versão 2022 trouxe alterações significativas na estrutura dos controlos (Anexo A), passando de 14 domínios com 114 controlos para 4 categorias com 93 controlos. Foram introduzidos 11 controlos novos, incluindo threat intelligence, segurança para serviços cloud, ICT readiness for business continuity, data leakage prevention e monitorização de actividades. A estrutura de alto nível (cláusulas 4–10) manteve-se alinhada com o Annex SL, facilitando a integração com outros sistemas de gestão.
Vectores Relacionados
A segurança da informação é um domínio transversal que se articula com múltiplos vectores do ecossistema, desde a protecção de dados pessoais até à cibersegurança e à governação corporativa. A conformidade integrada entre vectores é a abordagem mais eficaz para gerir a complexidade regulatória contemporânea.
Protecção de Dados
protecaodedados.ptO artigo 32.º do RGPD exige medidas técnicas e organizativas adequadas para proteger dados pessoais. A ISO 27001 fornece o enquadramento estruturado para implementar essas medidas.
Visitar vectorCibersegurança
ciberseguranca.netA Directiva NIS2 referencia a ISO 27001 como padrão de referência. A cibersegurança constitui a dimensão tecnológica e operacional da segurança da informação.
Visitar vectorSegurança Física
segurancafisica.ptA ISO 27001:2022 integra controlos de segurança física (categoria «Físicos» do Anexo A). A segurança física protege o ambiente onde a informação é processada e armazenada.
Visitar vectorGovernação Corporativa
governancacorporativa.ptA cláusula 5 da ISO 27001 exige liderança e compromisso da gestão de topo, integrando a segurança da informação na governação corporativa da organização.
Visitar vectorProteja os Activos de Informação da Sua Organização
Solicite uma avaliação inicial do seu sistema de gestão de segurança da informação ou uma proposta de serviços. Analisamos a sua situação e apresentamos as soluções mais adequadas às necessidades da sua organização.