Governação do ciclo de vida das políticas para ISO 27001, NIS2 e DORA
O e-mail chegou à caixa de entrada da diretora de segurança da informação (CISO), Maria Petrova, com um impacto discreto que soou como uma sirene. Vinha do auditor externo: uma lista preliminar de pedidos para uma auditoria de acompanhamento ISO/IEC 27001:2022 combinada com uma avaliação de preparação para DORA. O primeiro item parecia simples:
“Disponibilizem a Política de Segurança da Informação em vigor, o seu histórico completo de versões, a evidência da aprovação pela gestão para cada versão e os registos da sua comunicação ao pessoal relevante nos últimos 24 meses.”
A empresa de Maria, uma plataforma fintech de média dimensão, tinha políticas. Dezenas delas. Tinha uma política de segurança da informação, um Plano de Resposta a Incidentes, um questionário de segurança de fornecedores, um Registo de Riscos, um procedimento de controlo de acessos, um Plano de Continuidade de Negócio e uma pasta cheia de evidência de auditoria. Mas os ficheiros estavam dispersos por sites do SharePoint, espaços Confluence legados, cadeias de e-mail, anexos de tickets e unidades partilhadas pertencentes a pessoas que já tinham saído da empresa.
O problema real tornou-se claro quando chegaram as perguntas de seguimento do auditor.
Quem aprovou o procedimento de incidentes em vigor? Porque é que a política de segurança de fornecedores no SharePoint indica a versão 2.1 enquanto a área de compras utiliza a versão 1.8? Que política está mapeada para as medidas de gestão de riscos do Article 21 da NIS2? Onde está o registo que demonstra que o pessoal foi informado da última atualização da política? Porque foi concedida uma exceção de acesso privilegiado, quem aceitou o risco residual e quando expira? Os documentos obsoletos foram removidos da utilização operacional? Durante quanto tempo são retidos os relatórios de auditoria? A empresa consegue demonstrar que a biblioteca de políticas foi revista após a última alteração significativa de sistema?
Maria tinha controlos, mas não tinha controlo sobre os controlos.
Esse é o problema da governação do ciclo de vida das políticas em 2026. As organizações já não falham auditorias apenas porque uma regra de firewall está incorreta ou porque falta um teste de cópia de segurança. Falham porque a informação documentada está fragmentada, não é auditável, está duplicada, desatualizada, sem controlo ou desligada das obrigações legais. Nos termos da cláusula 7.5 da ISO/IEC 27001:2022, a informação documentada não é mera administração documental. É a memória operacional do SGSI. No contexto da NIS2, suporta a aprovação e a supervisão pelo órgão de gestão. No contexto da DORA, passa a integrar o quadro de gestão do risco das TIC e o trilho de evidência de resiliência. No contexto do RGPD da UE, demonstra a responsabilização.
A visão da Clarysec é direta: uma biblioteca de políticas não é um repositório de documentos. É um sistema governado de evidência.
Porque a governação do ciclo de vida das políticas é agora uma questão ao nível do conselho de administração
A governação do ciclo de vida das políticas é a disciplina de criar, aprovar, publicar, comunicar, rever, alterar, retirar, reter e evidenciar políticas e registos relacionados. Responde às perguntas que auditores, reguladores, clientes e conselhos de administração colocam agora de forma rotineira:
- Quem é o responsável por cada política?
- Quem a aprova?
- Que requisitos legais, contratuais e de risco satisfaz?
- Que controlos e procedimentos a implementam?
- Qual é a versão em vigor?
- Quem foi informado, formado ou obrigado a confirmar a sua aceitação?
- Que exceções estão associadas a ela?
- Que registos demonstram que está a funcionar?
- O que acontece quando se torna obsoleta?
A ISO/IEC 27001:2022 suporta esta disciplina através da cláusula 7.5 sobre informação documentada, da cláusula 5 sobre liderança, da cláusula 6 sobre planeamento e tratamento de riscos, da cláusula 8 sobre controlo operacional e dos controlos do Anexo A que abrangem políticas, registos, requisitos legais, fornecedores, incidentes, continuidade, privacidade, registo, monitorização e gestão de alterações.
A pressão regulamentar é igualmente direta.
O Article 20 da NIS2 exige que os órgãos de gestão aprovem medidas de gestão de riscos de cibersegurança, supervisionem a sua implementação e recebam formação adequada. O Article 21 exige medidas técnicas, operacionais e organizacionais baseadas no risco, incluindo políticas de segurança, tratamento de incidentes, continuidade de negócio, segurança da cadeia de fornecimento, desenvolvimento seguro, avaliação da eficácia, higiene de cibersegurança, criptografia, segurança dos recursos humanos, controlo de acessos, gestão de ativos e autenticação. Um corpus de políticas sem evidência de responsabilidade, aprovação e revisão enfraquece a narrativa de responsabilização da gestão.
A DORA aplica-se desde 17 de janeiro de 2025 e estabelece um quadro uniforme da UE para gestão do risco das TIC, comunicação de incidentes, testes de resiliência operacional digital, risco de terceiros das TIC e requisitos contratuais. Para entidades financeiras que também sejam entidades essenciais ou importantes ao abrigo da NIS2, a DORA é tratada como o ato jurídico setorial específico da União para as obrigações de cibersegurança correspondentes. O Article 5 exige responsabilidade do órgão de gestão pelo quadro de gestão do risco das TIC, pelas políticas, responsabilidades, planos de continuidade, auditorias, políticas de terceiros das TIC, canais de reporte e formação. O Article 6 exige um quadro de gestão do risco das TIC bem documentado, revisto pelo menos anualmente para entidades financeiras que não sejam microempresas e melhorado com base nas lições aprendidas.
O RGPD da UE acrescenta o requisito de responsabilização. O Article 5 exige que os dados pessoais sejam tratados de forma lícita, leal e transparente, para finalidades especificadas, com minimização, exatidão, limitação da retenção e segurança. O Article 5(2) torna o responsável pelo tratamento responsável por demonstrar a conformidade. Essa demonstração depende de registos controlados: decisões sobre fundamento de licitude, calendário de retenção de dados, Avaliações de Impacto sobre a Proteção de Dados (AIPD) quando aplicável, diligência devida sobre subcontratantes, registos de violações de dados, revisões de acessos, registos de formação e aprovações de políticas.
O fio condutor é a evidência. Um auditor não perguntará apenas se existe uma política. Pedirá a sua certidão de nascimento, o seu histórico de versões, o trilho de aprovação, o registo de comunicação, os procedimentos relacionados e os registos operacionais que demonstram que funciona.
A espinha dorsal da informação documentada ISO/IEC 27001:2022
A espinha dorsal de uma documentação defensável é a cláusula 7.5 da ISO/IEC 27001:2022, Informação Documentada. Exige que as organizações criem, atualizem e controlem a informação documentada necessária ao SGSI e exigida pela norma.
Uma forma prática de entender isto é separar a informação documentada em três camadas:
| Camada | Exemplos | Finalidade de governação |
|---|---|---|
| Documentos de governação | âmbito do SGSI, política de segurança da informação, metodologia de riscos, Declaração de Aplicabilidade, plano de tratamento de riscos, objetivos | Definir direção, autoridade, requisitos e responsabilização |
| Documentos operacionais | procedimentos, normas, guiões operacionais, guiões de resposta, listas de verificação, modelos | Converter a política em ação repetível |
| Registos | avaliação de riscos, registos de formação, relatórios de incidente, relatórios de auditoria, aprovações, atas de revisão pela gestão, revisões de acessos, registos de fornecedores, decisões de exceção | Demonstrar que as decisões foram tomadas e que os controlos funcionaram |
O Zenith Blueprint: roteiro de 30 passos de um auditor da Clarysec trata isto explicitamente na fase de fundamentos e liderança do SGSI, passo 6: informação documentada e construção da biblioteca do SGSI. Explica que a cláusula 7.5 abrange a documentação em geral, a criação e atualização, e o controlo da informação documentada.
O Zenith Blueprint transforma isto em orientação prática de implementação:
“Os documentos devem ter identificação adequada (um título, talvez um número de documento ou identificador único, um autor), um formato apropriado … e revisão e aprovação quanto à adequação antes da utilização.”
Também estabelece a regra operacional que muitas organizações deixam escapar:
“Garantir que apenas a versão atual é facilmente encontrada (arquivar versões obsoletas ou marcá-las claramente como substituídas).”
É aqui que muitas implementações de SGSI falham silenciosamente. Uma política pode ter sido aprovada uma vez, mas se versões antigas continuarem disponíveis, se o pessoal utilizar procedimentos desatualizados ou se os auditores não conseguirem rastrear alterações, o documento já não está controlado de forma significativa.
O Zenith Blueprint recomenda estabelecer uma “biblioteca documental do SGSI” com pastas para políticas e procedimentos, avaliação de riscos e Declaração de Aplicabilidade, registos de formação, auditoria e revisão, registos de incidentes, ativos e inventário, e uma biblioteca de controlos do Anexo A. Também afirma que o repositório deve ser “acessível, mas seguro”, com políticas legíveis pelos colaboradores, enquanto pastas confidenciais, como avaliação de riscos e registos de incidentes, permanecem restritas.
Isto não é apenas um modelo de arquivo. É uma arquitetura de governação.
O modelo Clarysec de ciclo de vida das políticas
A Clarysec estrutura a governação do ciclo de vida das políticas ISO 27001 em torno de um circuito fechado: requisito, responsável, documento, aprovação, publicação, comunicação, evidência, revisão, alteração, retenção e retirada de serviço. Esse circuito evita a falha clássica de auditoria em que uma empresa tem documentos, mas não consegue demonstrar autoridade, atualidade ou controlo.
| Fase do ciclo de vida | Pergunta de governação | Evidência esperada pelos auditores | Âncora de implementação Clarysec |
|---|---|---|---|
| Entrada de requisitos | Que obrigação ou risco exige esta política? | Registo legal, requisito de cliente, entrada no Registo de Riscos, mapeamento de controlos | Mapeamento legal e regulamentar, mais âmbito do SGSI |
| Responsabilidade | Quem mantém a política? | Campo de responsável pela política, RACI, atribuição de funções | Política de Papéis e Responsabilidades de Governação |
| Aprovação | Quem a aprovou antes da utilização? | Registo de aprovação, atas de reunião, aprovação eletrónica | Revisão pela gestão ou autoridade delegada |
| Controlo de versões | Qual é a versão em vigor? | Histórico de versões, registo de alterações, metadados do documento | Repositório controlado do SGSI |
| Comunicação | Quem foi informado? | Anúncio, confirmação, registo de formação | Registos de sensibilização e comunicação |
| Operação | Que procedimentos a implementam? | Procedimentos operacionais normalizados, listas de verificação, tickets, registos de controlo | Procedimentos operacionais documentados |
| Exceções | Que desvios são permitidos? | Registo de Exceções, aceitação do risco, data de expiração | Tratamento de riscos e escalonamento de governação |
| Revisão | Quando foi revista e porquê? | Registo de revisão anual, revisão baseada em eventos desencadeadores | Calendário de revisão e confirmação do responsável pela política |
| Retenção | Durante quanto tempo são mantidos os registos? | Calendário de retenção, registos de arquivo | Auditoria e monitorização da conformidade |
| Retirada de serviço | Como são controlados os documentos obsoletos? | Arquivo de versões substituídas, remoção da biblioteca ativa | Fluxo de trabalho de controlo documental |
Este ciclo de vida é mais forte do que uma aprovação pontual porque liga documentos a controlos, responsáveis e evidência. Também suporta a conformidade cruzada. Uma única Política de Resposta a Incidentes pode mapear para os controlos de incidentes do Anexo A da ISO/IEC 27001:2022, preparação para notificação no Article 23 da NIS2, classificação de incidentes e processos de comunicação da DORA, tratamento de violações de dados pessoais no RGPD da UE, resultados Respond do NIST CSF 2.0 e expectativas de governação do COBIT 2019.
O que as políticas da Clarysec exigem para revisão, controlo de versões e evidência
A biblioteca de políticas da Clarysec foi concebida para que os requisitos do ciclo de vida das políticas não fiquem sujeitos a interpretação.
Para PME, a Política de Segurança da Informação para PME define um evento desencadeador de revisão claro:
“Esta política deve ser revista pelo diretor-geral pelo menos anualmente para garantir a conformidade contínua com os requisitos de certificação ISO/IEC 27001, alterações regulamentares (como RGPD da UE, NIS2 e DORA) e necessidades de negócio em evolução.”
Também exige registos de alteração documentados:
“Todas as revisões e alterações da política devem ser formalmente documentadas, indicando claramente a data, a natureza das revisões e a aprovação do diretor-geral.”
E preserva a rastreabilidade histórica:
“Deve ser mantido em segurança um registo histórico das versões da política para demonstrar a evolução da política e a conformidade durante auditorias.”
Estas três cláusulas resolvem um problema comum nas PME. A organização pode não ter um grande gabinete de governação, mas continua a precisar de evidência de revisão, aprovação e histórico de versões.
A Política de Papéis e Responsabilidades de Governação para PME acrescenta o requisito de rastreabilidade para decisões de governação:
“Todas as decisões de segurança significativas, exceções e escalonamentos devem ser registados e rastreáveis.”
Esta cláusula é crítica para exceções a políticas. Um desvio temporário de MFA, uma revisão de fornecedor adiada ou uma alteração de emergência à retenção de logs não deve existir apenas em cadeias de e-mail. Deve estar ligado à política relevante, ao controlo, ao proprietário do risco, à decisão de risco residual e à data de expiração.
Para centralização da evidência, a Política de Auditoria e Monitorização da Conformidade para PME afirma:
“Toda a evidência deve ser armazenada numa pasta centralizada de auditoria.”
Em ambientes empresariais, a Política de Segurança da Informação da Clarysec exige que as políticas sejam:
“Sujeitas a controlo de versões e documentadas”
e:
“Comunicadas a todas as partes afetadas através de canais de comunicação oficiais”
A Política de Papéis e Responsabilidades de Governação empresarial incorpora o conceito de:
“Responsável e aprovador da política”
A Política de Auditoria e Monitorização da Conformidade empresarial acrescenta expectativas de retenção:
“Os relatórios devem ser retidos por um período não inferior a seis anos (ou superior quando legalmente exigido), armazenados em segurança e sujeitos a controlo de versões ao abrigo da Política de Gestão de Documentos e Registos (P6).”
Por fim, a Política de Cumprimento Legal e Regulamentar empresarial liga as obrigações legais ao SGSI:
“Todas as obrigações legais e regulamentares devem ser mapeadas para políticas, controlos e responsáveis específicos no Sistema de Gestão de Segurança da Informação (SGSI).”
Este requisito é a ponte entre a governação do ciclo de vida das políticas e a evidência NIS2, DORA e RGPD da UE. Sem mapeamento de obrigações, uma empresa pode ter documentos, mas não consegue demonstrar que esses documentos satisfazem requisitos legais, contratuais ou de risco específicos.
O triângulo de controlo: políticas, registos e procedimentos operacionais
O Zenith Controls: guia de conformidade cruzada da Clarysec fornece a bússola de conformidade cruzada para este tema. Para o controlo 5.1 da ISO/IEC 27002:2022, Políticas de Segurança da Informação, o Zenith Controls identifica-o como um controlo preventivo que suporta confidencialidade, integridade e disponibilidade, alinhado com conceitos de governação e identificação em cibersegurança, e associado a capacidades operacionais de governação e gestão de políticas.
Isto é importante porque a governação de políticas não é apenas um artefacto de conformidade. É preventiva. Uma política de controlo de acessos claramente atribuída e comunicada reduz o risco de acesso não autorizado antes de ocorrerem incidentes. Uma política de fornecedores devidamente aprovada evita riscos de externalização não geridos. Um procedimento de incidentes controlado melhora a consistência da resposta antes de começar o primeiro prazo de notificação regulamentar.
O Zenith Controls também destaca o controlo 5.33 da ISO/IEC 27002:2022, Proteção de Registos, como preventivo e alinhado com o cumprimento legal, a gestão de ativos e a proteção da informação. Isto é central para a evidência de auditoria. O Zenith Blueprint desenvolve o mesmo conceito na fase Controlos em Ação, passo 23:
“Os registos não são apenas relíquias de decisões passadas. São evidência: de conformidade, de ação e de responsabilização.”
E prossegue:
“Os registos são adequadamente protegidos contra perda, acesso não autorizado, adulteração e destruição prematura”
O controlo 5.37 da ISO/IEC 27002:2022, Procedimentos Operacionais Documentados, também é relevante. O Zenith Controls classifica-o como preventivo e corretivo, suportando proteção e recuperação. Para DORA e NIS2, os procedimentos operacionais documentados são a forma como a política se torna ação repetível: triagem de incidentes, restauro de cópias de segurança, integração de fornecedores, tratamento de vulnerabilidades, desenvolvimento seguro, gestão de alterações, recolha de evidência e comunicação de crise.
Em conjunto, 5.1, 5.33 e 5.37 criam o triângulo de controlo do ciclo de vida das políticas:
| Controlo ISO/IEC 27002:2022 | Papel no ciclo de vida | O que demonstra |
|---|---|---|
| 5.1 Políticas de Segurança da Informação | Direção, aprovação, responsabilidade e comunicação | A gestão definiu expectativas e atribuiu responsabilização |
| 5.33 Proteção de Registos | Integridade da evidência, retenção e acesso seguro | Os registos de conformidade são fiáveis |
| 5.37 Procedimentos Operacionais Documentados | Execução repetível dos requisitos das políticas | O pessoal sabe executar atividades controladas |
Um SGSI maduro precisa dos três. Políticas sem registos são declarações. Registos sem procedimentos são inconsistentes. Procedimentos sem orientação de política tornam-se hábitos locais, não controlos governados.
Mapeamento de conformidade cruzada para ISO 27001, NIS2, DORA, RGPD da UE, NIST e COBIT
Gerir políticas separadamente para ISO 27001, NIS2, DORA e RGPD da UE cria duplicação, contradição e fadiga de evidência. Um modelo melhor é manter uma biblioteca controlada única do SGSI com metadados de mapeamento. Isto permite que um único corpus de evidência satisfaça vários públicos de garantia.
| Família de requisitos | O que reguladores ou auditores esperam | Evidência do ciclo de vida das políticas |
|---|---|---|
| Cláusula 7.5 da ISO/IEC 27001:2022 | Os documentos são identificados, revistos, aprovados, disponibilizados, protegidos e controlados | Registo de documentos, registos de aprovação, histórico de versões, permissões de acesso, arquivo de obsoletos |
| ISO/IEC 27002:2022 5.1 | As políticas de segurança da informação são definidas, aprovadas, publicadas, comunicadas e revistas | Conjunto de políticas, fluxo de trabalho de aprovação, registos de comunicação, registo de revisão |
| ISO/IEC 27002:2022 5.33 | Os registos são protegidos contra perda, destruição, falsificação, acesso não autorizado e divulgação | Calendário de retenção, repositório seguro, controlos de acesso, evidência de integridade |
| ISO/IEC 27002:2022 5.37 | Os procedimentos operacionais estão documentados e disponíveis para o pessoal que deles necessita | Procedimentos operacionais normalizados, guiões operacionais, guiões de resposta, evidência de revisão de procedimentos |
| NIS2 Articles 20 e 21 | Aprovação e supervisão pela gestão das medidas de gestão de riscos de cibersegurança | Aprovações do conselho de administração, mapeamentos de políticas, registos de formação, atas de revisão, evidência da eficácia dos controlos |
| NIS2 Article 23 | Preparação para notificação de incidentes significativos e evidência de comunicação | Política de incidentes, procedimento de classificação, registos de escalonamento, evidência de fluxos de trabalho de 24 horas e 72 horas, modelo de relatório final |
| DORA Articles 5 e 6 | Quadro de risco das TIC bem documentado, aprovado e supervisionado pela gestão | Conjunto de políticas de TIC, estratégia, quadro de risco, evidência de revisão anual, resultados de auditoria, lições aprendidas |
| DORA Articles 17 a 19 | Processo de incidentes para detetar, classificar, escalar, comunicar e reportar | Registo de incidentes, critérios de severidade, registos de escalonamento, modelos de notificação a clientes, registos de análise de causa raiz |
| DORA Articles 28 a 30 | Política de risco de terceiros das TIC, registo, contratos, diligência prévia e planeamento de saída | Política de fornecedores, registo de contratos, avaliações de risco, direitos de auditoria, evidência de estratégia de saída |
| RGPD da UE Article 5(2) | Capacidade de demonstrar conformidade com os princípios de privacidade | Política de proteção de dados, registos de atividades de tratamento, calendário de retenção, registos de violações de dados, logs de acesso, registos de AIPD quando aplicável |
| RGPD da UE Article 32 | Medidas técnicas e organizativas de segurança adequadas | Políticas de segurança, procedimentos de controlo de acessos, normas de cifragem, registos de cópias de segurança, evidência de testes |
| NIST CSF 2.0 GOVERN | Políticas, papéis, apetite ao risco, obrigações legais e supervisão estão estabelecidos e atualizados | Perfil de governação, registos de revisão de políticas, Registo de Riscos, papéis e responsabilidades |
| Lente de garantia COBIT 2019 | Objetivos de governação, responsabilidade, monitorização de desempenho e evidência de controlo | RACI, aprovações pela gestão, evidência de operação de controlos, acompanhamento da remediação de problemas |
O NIST CSF 2.0 é especialmente útil como camada de comunicação. A sua Função GOVERN espera que as obrigações legais, regulamentares e contratuais sejam compreendidas, que os objetivos e responsabilidades de gestão de riscos sejam definidos, que as políticas sejam estabelecidas e atualizadas e que os resultados sejam avaliados. O seu método de Perfil Organizacional também fornece um processo prático: delimitar o perfil, recolher entradas como políticas, prioridades de risco e requisitos, criar perfis atual e alvo, analisar lacunas e implementar um plano de ação priorizado.
Isto alinha-se estreitamente com a abordagem da Clarysec: construir um modelo operacional suportado por evidência e, depois, mapeá-lo para NIS2, DORA, RGPD da UE, NIST e COBIT, em vez de manter silos de conformidade separados.
Um sprint de uma semana para criar um pacote de controlo de evidência de políticas
Uma transformação completa da governação de políticas demora tempo, mas um sprint focado de uma semana pode expor lacunas e criar uma base defensável.
Dia 1: Criar o registo de documentos
Comece com uma folha de cálculo, um sistema GRC ou uma lista estruturada no SharePoint. O registo de documentos é o índice que permite aos auditores navegar pelo corpus de evidência.
| Campo | Exemplo |
|---|---|
| ID do documento | P01 |
| Nome do documento | Política de Segurança da Informação |
| Tipo | Política |
| Responsável | Diretor de Segurança da Informação |
| Aprovador | Diretor Executivo |
| Versão em vigor | 3.0 |
| Data de entrada em vigor | 2026-02-01 |
| Próxima data de revisão | 2027-02-01 |
| Revisão baseada em eventos desencadeadores | Incidente relevante, alteração regulamentar, fusão, novo fornecedor crítico |
| Classificação de confidencialidade | Interno |
| Controlos primários | ISO/IEC 27002:2022 5.1, 5.33, 5.37 |
| Mapeamento legal | NIS2 Article 21, DORA Article 6, RGPD da UE Article 5 |
| Localização da evidência | Documentação do SGSI/Políticas/P01 |
| Localização de obsoletos | Documentação do SGSI/Arquivo/P01 |
| Exceções associadas | EX-2026-004 |
| Registo de comunicação | Campanha de sensibilização AC-2026-02 |
Não complique em excesso. Se o registo mostrar de forma fiável responsável, aprovador, versão, data de revisão, mapeamento e localização da evidência, já resolve muitos problemas de recuperação em auditoria.
Dia 2: Estabelecer o repositório
Siga a estrutura do passo 6 do Zenith Blueprint: Políticas e Procedimentos, Avaliação de Riscos e Declaração de Aplicabilidade, Registos de Formação e Sensibilização, Auditoria e Revisão, Registos de Incidentes, Ativos e Inventário, e Biblioteca de Controlos.
Aplique regras de acesso. As políticas podem ser lidas por todos os colaboradores. Os registos de avaliação de riscos devem ser restritos à equipa do SGSI e à gestão. Os registos de incidentes devem obedecer ao princípio da necessidade de conhecer. Os contratos de fornecedores devem ser limitados às áreas de compras, jurídico, finanças e segurança. Os documentos obsoletos devem estar inacessíveis para utilização diária, mas retidos para rastreabilidade de auditoria.
Dia 3: Normalizar cabeçalhos e registos de alterações
Cada política deve incluir nome do documento, responsável, aprovador, versão, data de entrada em vigor, próxima data de revisão, classificação, controlos relacionados, obrigações legais relacionadas e histórico de alterações.
| Versão | Data | Resumo da alteração | Revisor | Aprovador |
|---|---|---|---|---|
| 2.0 | 2025-09-15 | Adicionadas referências de risco de terceiros DORA | Responsável de Segurança | COO |
| 2.1 | 2025-11-20 | Atualizados os papéis de escalonamento de incidentes | Diretor de Segurança da Informação | Diretor Executivo |
| 3.0 | 2026-02-01 | Revisão anual e atualização do mapeamento NIS2 | Diretor de Segurança da Informação | Diretor Executivo |
Isto suporta o controlo da informação documentada ISO/IEC 27001:2022, a supervisão pela gestão NIS2, as expectativas de revisão DORA e a responsabilização do RGPD da UE.
Dia 4: Ligar exceções a políticas
Crie um Registo de Exceções com ID da exceção, política afetada, controlo afetado, justificação de negócio, controlos compensatórios, proprietário do risco, aprovação, data de expiração e estado da revisão.
Por exemplo, um sistema legado não consegue suportar MFA durante 60 dias. A exceção liga-se à Política de Controlo de Acessos, ao inventário de ativos, ao Registo de Riscos e ao plano de remediação. O proprietário do risco aprova o risco residual, e a exceção expira automaticamente salvo renovação. Isto implementa o requisito de governação Clarysec para PME segundo o qual decisões significativas, exceções e escalonamentos devem ser registados e rastreáveis.
Dia 5: Criar o pacote de evidência de auditoria
Para cada política de nível superior, crie uma subpasta de evidência contendo a versão atual aprovada, a versão anterior e o registo de alterações, evidência de aprovação, evidência de comunicação, registo de formação ou confirmação, procedimento relacionado, registo operacional relacionado, exceções, último registo de revisão, próxima data de revisão e mapeamento para obrigações legais e controlos.
Para resposta a incidentes, inclua registos de exercícios de simulação de mesa, critérios de classificação de incidentes, listas de contactos, modelos de revisão pós-incidente e registos de decisão de notificação. Isto suporta a preparação para comunicação faseada do Article 23 da NIS2, a classificação de incidentes DORA e a responsabilização por violações de dados no RGPD da UE.
Dia 6: Testar a recuperação
Peça a um auditor interno ou a um gestor de conformidade para recuperar evidência para três perguntas:
- Demonstrar que a Política de Segurança da Informação foi aprovada, comunicada e revista.
- Demonstrar que as obrigações de segurança de fornecedores estão mapeadas para requisitos DORA e NIS2.
- Demonstrar que a evidência de responsabilização do RGPD da UE é retida e protegida.
Se a recuperação demorar mais de 30 minutos por pergunta, o repositório precisa de melhorias.
Dia 7: Apresentar à gestão
Resuma o estado do ciclo de vida das políticas na revisão pela gestão:
- Políticas atuais, em atraso ou com vencimento nos próximos 90 dias
- Exceções abertas e expiradas
- Lacunas de evidência
- Atualizações de mapeamento regulamentar
- Constatações de auditoria
- Ações corretivas
- Necessidades de recursos
Isto fecha o ciclo com as expectativas de liderança da ISO/IEC 27001:2022, a responsabilização do conselho de administração ao abrigo da NIS2 e a supervisão pelo órgão de gestão exigida pela DORA.
Como os auditores examinarão o ciclo de vida das suas políticas
Diferentes auditores analisam a mesma evidência através de lentes diferentes.
Um auditor ISO/IEC 27001:2022 começa pelo controlo da informação documentada. Verificará se os documentos exigidos existem, se são aprovados antes da utilização, se as versões são controladas, se os documentos estão disponíveis onde necessário, se os registos confidenciais estão protegidos e se os documentos obsoletos são impedidos de utilização não intencional. Ligará o ciclo de vida das políticas à liderança, ao tratamento de riscos, ao controlo operacional, à auditoria interna e à revisão pela gestão.
Um revisor focado em DORA terá uma orientação para resiliência. Examinará se o quadro de gestão do risco das TIC está bem documentado, aprovado pela gestão, revisto pelo menos anualmente quando aplicável, auditado regularmente, melhorado com base em lições aprendidas e ligado à comunicação de incidentes, aos testes, ao risco de terceiros, à continuidade e à recuperação.
Um regulador NIS2 quererá ver uma cadeia de evidência sem interrupções desde a identificação de riscos, às medidas de gestão de riscos de cibersegurança, à aprovação pelo órgão de gestão, à implementação e à monitorização. Qualquer quebra nessa cadeia pode parecer uma falha de diligência devida.
Um auditor do RGPD da UE ou revisor de privacidade perguntará se os registos de governação de dados pessoais demonstram responsabilização: finalidades de tratamento, fundamento de licitude, retenção, medidas técnicas e organizativas, controlos de subcontratantes, registos de violações de dados e evidência de aplicação da política.
Um auditor COBIT 2019 ou com abordagem ISACA focar-se-á nos componentes do sistema de governação: processos, estruturas organizacionais, fluxos de informação, políticas, papéis, cultura, competências e serviços. Perguntará se a responsabilidade está definida, se a gestão monitoriza o desempenho, se as exceções são escaladas e se a evidência suporta a operação dos controlos e a supervisão pela gestão.
O mesmo repositório controlado de evidência pode satisfazer todos, mas apenas se os documentos estiverem mapeados, atuais, protegidos e rastreáveis.
Falhas comuns no ciclo de vida das políticas a corrigir antes da chegada do auditor
A maioria das falhas no ciclo de vida das políticas resulta de fragilidades básicas de governação repetidas em vários ambientes:
- Existem políticas, mas sem responsável nomeado.
- Os aprovadores são pouco claros, desatualizados ou demasiado juniores para o risco.
- As políticas são aprovadas, mas não comunicadas.
- As datas de revisão são falhadas sem escalonamento.
- Versões obsoletas continuam disponíveis em pastas partilhadas.
- Os procedimentos entram em conflito com as políticas.
- As exceções são aprovadas informalmente por e-mail.
- As obrigações legais são mapeadas para quadros de referência, mas não para controlos ou responsáveis reais.
- A evidência de auditoria está dispersa por unidades pessoais, ferramentas de tickets e mensagens de chat.
- Os períodos de retenção são indefinidos ou aplicados de forma inconsistente.
- Os registos são retidos, mas não protegidos contra alteração não autorizada.
- As políticas de fornecedores não se ligam a registos de contratos, diligência prévia ou planos de saída.
- Os procedimentos de incidentes não se alinham com os pontos de decisão de notificação NIS2, DORA ou RGPD da UE.
Estas questões criam fricção em auditoria porque comprometem a confiança. Se um auditor não puder confiar no corpus de políticas, aprofundará a análise da operação dos controlos.
O plano de remediação de Maria não foi escrever outra política. Foi criar uma única fonte de verdade. Designou uma biblioteca documental oficial do SGSI, migrou para ela as políticas atuais, arquivou localizações não controladas, normalizou campos de responsável e aprovador, criou fluxos de trabalho de aprovação, mapeou políticas para obrigações NIS2 e DORA e concedeu aos auditores acesso só de leitura a evidência estruturada. O que antes era fonte de ansiedade tornou-se uma demonstração de controlo.
O caminho Clarysec
A governação do ciclo de vida das políticas não é sobrecarga burocrática. É a disciplina operacional que torna defensáveis a informação documentada ISO 27001, a responsabilização da gestão NIS2, a governação do risco das TIC DORA e a responsabilização do RGPD da UE.
Use o Zenith Blueprint: roteiro de 30 passos de um auditor para construir a biblioteca do SGSI na fase e sequência corretas, em especial o passo 6 para informação documentada e o passo 22 para governação de políticas. Use as políticas Clarysec para PME e empresas para definir requisitos de revisão, aprovação, controlo de versões, comunicação, rastreabilidade, centralização de evidência e retenção. Use o Zenith Controls: guia de conformidade cruzada para mapear controlos ISO/IEC 27002:2022 como 5.1, 5.33 e 5.37 para expectativas de conformidade cruzada, atributos de controlo e perspetivas de auditoria.
Antes de comprar outra ferramenta ou escrever outra política, responda a uma pergunta:
Consegue demonstrar que cada política importante tem responsável, está aprovada, atual, comunicada, mapeada, evidenciada, revista, protegida e corretamente retirada de serviço?
Se a resposta ainda for negativa, a Clarysec pode ajudar a construir a biblioteca do SGSI preparada para evidência, o fluxo de trabalho do ciclo de vida das políticas e o mapeamento de conformidade cruzada que auditores, conselhos de administração e clientes esperam em 2026. Descarregue o Zenith Blueprint, explore os pacotes de políticas Clarysec para PME e empresas, ou marque uma avaliação de preparação para transformar a sua biblioteca de políticas num ativo de conformidade defensável.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
