Indicador

Descrição do risco

Soluções possíveis

Referências

Aspetos gerais

Acesso não autorizado e/ou intrusão nos sistemas informáticos e/ou programas do operador económico.

Devem estar em vigor uma política, procedimentos e normas de segurança informática, e disponíveis ao pessoal;

a apresentação de um certificado ISO 27001 demonstra normas elevadas de segurança informática;

política de segurança da informação;

responsável pela segurança informática;
- avaliação da segurança informática ou identificação de questões relativas ao risco informático;

procedimentos para a concessão/retirada de direitos de acesso a pessoas autorizadas; os direitos de acesso devem ser retirados imediatamente em caso de transferência de funções ou de cessação da relação laboral.

- acesso aos dados em função das necessidades de informação.

utilização de software de encriptação, se for caso disso;

firewalls (barreiras de proteção);

proteção antivírus;

proteção por palavras-passe em todos os terminais de computadores e possivelmente em programas importantes

Se os trabalhadores abandonarem o local de trabalho, o computador deve ficar sempre protegido por uma palavra-chave

A palavra-chave deve ser composta por, no mínimo, um conjunto de oito carateres formado por uma combinação de duas ou mais maiúsculas e minúsculas, números e outros carateres. Quanto mais longa for, mais forte é a palavra-chave. Os nomes de utilizador e as palavras-chave nunca devem ser partilhados.

testes contra o acesso não autorizado;

limitar o acesso a salas de servidores às pessoas autorizadas;

efetuar testes de intrusão a intervalos regulares; os testes de intrusão devem ser registados.

aplicar procedimentos para lidar com incidentes.

QAA - 3.7

ISO 27001:2013

Aspetos gerais

Destruição deliberada ou perda de informações pertinentes.

plano de contingência para a perda de dados;

rotinas de cópia de segurança para roturas/falhas dos sistemas de informação;

procedimentos para a retirada de direitos de acesso;
procedimentos para inibir a utilização de consumíveis pessoais, como «pen drives», CD, DVD de outros periféricos eletrónicos pessoais.

restringir a utilização da Internet a sítios só adequados para atividades comerciais

ISO 28001:2007, secção A 3

ISO 27001:2013