CNCS Avaliação

1/30. O ciclo de vida de gestão das identidades encontra-se definido?

(Selecione a opção em que melhor se enquadra a sua organização. Deixe em branco se não for aplicável.)

A associação de acessos de identidades é feita com base nos acessos atribuídos no passado Está formalizada uma política de gestão de acessos e existem procedimentos para gerir atribuição, alteração e revogação de acessos Os acessos são geridos conforme o perfil funcional para cada tipo de acesso e são validados regularmente

2/30. Existem controlos de acesso físico para aceder às redes e sistemas de informação?

(Selecione a opção em que melhor se enquadra a sua organização. Deixe em branco se não for aplicável.)

Existem controlos físicos para restringir o acesso físico às zonas protegidas Os acessos físicos são integrados num sistema transversal de gestão de identidades e acessos Os acessos de pessoas externas são monitorizados e os acessos físicos são avaliados regularmente

3/30. Os acessos remotos são geridos?

(Selecione a opção em que melhor se enquadra a sua organização. Deixe em branco se não for aplicável.)

A organização suporta acessos remotos, mas não controla nem monitoriza os acessos Os acessos remotos são controlados de maneira centralizada e integrada com sistemas internos Existem bloqueios proativos contra acessos remotos não autorizados e é utilizado duplo fator de autenticação para acessos remotos

4/30. Os princípios de menor privilégio e segregação de funções são aplicados na Gestão de Acessos?

(Selecione a opção em que melhor se enquadra a sua organização. Deixe em branco se não for aplicável.)

Os acessos são atribuídos nominalmente e as contas não são partilhadas Os perfis de acessos elevados são atribuídos com critérios de restrição Os acessos concedidos com privilégios elevados são revistos regularmente

5/30. A integridade das redes de comunicações encontra-se protegida?

(Selecione a opção em que melhor se enquadra a sua organização. Deixe em branco se não for aplicável.)

As redes internas encontram-se segregadas por finalidade As alterações de conexão entre redes são documentadas e aprovadas São revistas regularmente as regras de conexão entre redes

6/30. Os colaboradores têm formação em segurança da informação?

(Selecione a opção em que melhor se enquadra a sua organização. Deixe em branco se não for aplicável.)

São realizadas ações de consciencialização para o tema da segurança da informação Existe um plano de formação de frequência obrigatória em segurança de informação e as presenças são registadas São feitos testes aos colaboradores para aferir a retenção do conhecimento sobre segurança de informação

7/30. Os utilizadores com acesso privilegiado compreendem quais são os seus papéis e responsabilidades?

(Selecione a opção em que melhor se enquadra a sua organização. Deixe em branco se não for aplicável.)

Os utilizadores com acessos privilegiados são informalmente notificados das responsabilidades acrescidas relativas a acessos atribuídos Os utilizadores de acessos privilegiados têm formação específica sobre segurança da informação, estando também implementados procedimentos de registo da aceitação de condições especiais de acessos São medidos os resultados das ações de formação e consciencialização aos utilizadores com acessos privilegiados e é garantida a atualidade da aceitação das condições especiais de acessos com privilégios elevados

8/30. A gestão de topo compreende as suas funções e responsabilidades?

(Selecione a opção em que melhor se enquadra a sua organização. Deixe em branco se não for aplicável.)

As funções e responsabilidades da gestão de topo estão definidas de forma informal Os papéis e responsabilidades da gestão de topo, no âmbito da segurança da informação, estão estabelecidos e são registados Estão estabelecidos o envolvimento e a consciencialização da gestão de topo em temas de segurança da informação

9/30. Os dados armazenados encontram-se protegidos?

(Selecione a opção em que melhor se enquadra a sua organização. Deixe em branco se não for aplicável.)

Estão definidas regras de proteção da confidencialidade, integridade e disponibilidade dos ficheiros, documentos e dados Está estabelecida a classificação da informação consoante a sua sensibilidade e relevância Os dados são armazenados consoante os seus níveis de classificação

10/30. Os dados em circulação são protegidos?

(Selecione a opção em que melhor se enquadra a sua organização. Deixe em branco se não for aplicável.)

São utilizados controlos comuns disponíveis de proteção de dados em circulação, como protocolos de cifra (p. ex. sítios de internet, formulários de páginas de internet, bancos de dados) Estão formalizadas políticas e procedimentos sobre proteção de dados em circulação Utilização de tecnologias de cifra, de acordo com a classificação da informação

11/30. Os ativos são geridos durante os procedimentos de remoção, transferência e aprovisionamento?

(Selecione a opção em que melhor se enquadra a sua organização. Deixe em branco se não for aplicável.)

Registo informal ou ad hoc dos dados que entram e saem por meio de armazenamento físico Registo formal dos controlos de dados que entram e saem por meio de armazenamento físico É garantida a destruição dos dispositivos amovíveis, de forma a não expor dados sigilosos, de acordo com procedimentos de destruição

12/30. É providenciada capacidade adequada para garantir a disponibilidade das redes e dos sistemas de informação?

(Selecione a opção em que melhor se enquadra a sua organização. Deixe em branco se não for aplicável.)

Não existe um processo formal para garantir a disponibilidade das redes e dos sistemas de informação As capacidades dos sistemas de informação e redes de comunicações são monitorizadas É feita a gestão pró-ativa da capacidade instalada, com base em modelos de previsão fundamentados na utilização passada e crescimento futuro

13/30. São implementadas proteções que evitem exfiltração de informação?

(Selecione a opção em que melhor se enquadra a sua organização. Deixe em branco se não for aplicável.)

Estão implementados procedimentos de prevenção contra exfiltração São implementados controlos de proteção das informações que mitiguem o risco de exfiltração de dados Existem processo e mecanismos de prevenção contra a perda de informações

14/30. São utilizados mecanismos de verificação para confirmar a integridade de software, firmware e dados?

(Selecione a opção em que melhor se enquadra a sua organização. Deixe em branco se não for aplicável.)

A integridade dos sistemas de informação, firmware e dados é verificada de forma não sistematizada Estão estabalecidas ações que avaliem e atestem a integridade dos sistemas São utilizados algoritmos de verificação de integridade

15/30. A configuração base de redes e sistemas de informação incorpora os princípios de segurança?

(Selecione a opção em que melhor se enquadra a sua organização. Deixe em branco se não for aplicável.)

As configurações de segurança são feitas de forma informal e não sistematizada Existem regras que definem a configuração base de redes e sistemas As configurações base dos sistemas são monitorizadas

16/30. Está implementado o ciclo de vida de desenvolvimento seguro de software?

(Selecione a opção em que melhor se enquadra a sua organização. Deixe em branco se não for aplicável.)

Existe um conjunto rudimentar de requisitos de segurança mínimos para os projetos de desenvolvimento Estão definidos exaustivamente os requisitos de segurança a seguir nos projetos de desenvolvimento Existem processos de testes e validações de segurança estabelecidos no ciclo de desenvolvimento

17/30. Existe um processo de gestão de alterações?

(Selecione a opção em que melhor se enquadra a sua organização. Deixe em branco se não for aplicável.)

Existe um processo informal para a gestão de alterações Existem regras internas para orientar a gestão de alterações É feita revisão periódica dos procedimentos e registos de alterações

18/30. São realizadas, mantidas e testadas cópias de segurança dos dados da organização?

(Selecione a opção em que melhor se enquadra a sua organização. Deixe em branco se não for aplicável.)

São realizadas cópias de segurança de sistemas e ficheiros Estão estabelecidas regras internas formais para a realização das cópias de segurança A confidencialidade, integridade e disponibilidade da informação armazenada das cópias de segurança são garantidas e os procedimentos realizados para as cópias de segurança são verificados

19/30. Os dados são destruídos de acordo com a política definida?

(Selecione a opção em que melhor se enquadra a sua organização. Deixe em branco se não for aplicável.)

Os dados são destruídos de forma ad hoc Os procedimentos de destruição de informação sigilosa estão documentados A eficácia da destruição da informação em meio físico e digital é avaliada regularmente

20/30. Os processos de proteção são melhorados continuamente?

(Selecione a opção em que melhor se enquadra a sua organização. Deixe em branco se não for aplicável.)

Os processos de proteção são efetuados de forma não sistematizada Existem procedimentos e controlos de monitorização e melhoria contínua dos processos de proteção São realizadas auditorias internas recorrentes aos controlos de segurança

21/30. Os planos de resposta e recuperação são testados e exercitados?

(Selecione a opção em que melhor se enquadra a sua organização. Deixe em branco se não for aplicável.)

Os planos de resposta são exercitados de forma não sistematizada Os planos de continuidade são registados e testados quanto ao âmbito definido São avaliadas regularmente as estratégias e ações dos planos de resposta e recuperação, incluindo a execução de simulacros

22/30. A cibersegurança é contemplada nos processos de gestão de recursos humanos?

(Selecione a opção em que melhor se enquadra a sua organização. Deixe em branco se não for aplicável.)

O registo dos colaboradores é realizado Existem regras para seleção, recrutamento e contratação Existem perfis funcionais com competências em cibersegurança e segurança da informação, para as contratações

23/30. As vulnerabilidades dos ativos são geridas?

(Selecione a opção em que melhor se enquadra a sua organização. Deixe em branco se não for aplicável.)

Existem um plano de avaliação de vulnerabilidades As vulnerabilidades são tratadas por equipas adequadas O processo de gestão de vulnerabilidades é revisto e melhorado regularmente

24/30. As atividades de manutenção e reparação dos ativos da organização são realizadas e registadas em programas e planos aprovados e controlados?

(Selecione a opção em que melhor se enquadra a sua organização. Deixe em branco se não for aplicável.)

As atividades de manutenção são realizadas sem seguir um processo formal Existe um processo formal de aprovação das atividades de manutenção e reparação e é realizado o seu planeamento e registo Estão estabelecidos períodos de manutenção preventiva aos ativos da organização e todas as ocorrências são registadas em ferramenta de gestão de pedidos

25/30. As manutenções remotas são revistas, aprovadas, executadas e registadas?

(Selecione a opção em que melhor se enquadra a sua organização. Deixe em branco se não for aplicável.)

As manutenções remotas não seguem um processo formal As manutenções remotas requerem aprovação prévia e são realizadas através de meios seguros Os controlos de acompanhamento do fluxo de solicitações e aprovações para as manutenções remotas estão automatizados

26/30. Existem registos de auditoria?

(Selecione a opção em que melhor se enquadra a sua organização. Deixe em branco se não for aplicável.)

Os registos de auditoria não seguem um processo de gestão formal Estão estabelecidos critérios formais para a auditoria de sistemas, os registos de eventos para auditorias são geridos de maneira sistémica e os formatos e taxonomias de registos estão definidos Os registos de auditorias transversais aos sistemas da organização são geridos centralmente e a integridade dos registos de eventos para fins de auditorias é garantida

27/30. Os suportes de dados amovíveis são protegidos e a sua utilização é restrita de acordo com a política definida?

(Selecione a opção em que melhor se enquadra a sua organização. Deixe em branco se não for aplicável.)

Existe uma implementação básica e ad hoc de medidas de proteção aos suportes de dados amovíveis Estão estabelecidas regras de uso e boas práticas sobre dispositivos amovíveis, estão disponíveis os mecanismos técnicos para proteção de dados e são promovidas ações de sensibilização Está bloqueada a utilização de dispositivos amovíveis ou é garantida a higienização dos dados

28/30. Os sistemas estão configurados apenas com os serviços necessários?

(Selecione a opção em que melhor se enquadra a sua organização. Deixe em branco se não for aplicável.)

Os sistemas são configurados com os recursos necessários de forma não sistematizada Estão estabelecidas as funcionalidades mínimas para cada operação e sistema Os requisitos mínimos são revistos e atualizados regularmente

29/30. As redes de comunicações e de controlo são protegidas?

(Selecione a opção em que melhor se enquadra a sua organização. Deixe em branco se não for aplicável.)

As zonas de rede são segregadas de forma não sistematizada As zonas de rede são segmentadas conforme a finalidade São realizadas revisões regulares das definições e dos sistemas de segurança definidos (IDS/IPS, firewalls, proxies, WAFs)

30/30. São implementados mecanismos de resiliência em situações adversas?

(Selecione a opção em que melhor se enquadra a sua organização. Deixe em branco se não for aplicável.)

A incorporação de resiliência nos sistemas e redes de comunicações é aplicada de forma não sistematizada Os sistemas críticos são resilientes A resiliência das infraestruturas às situações adversas é gerida para garantir a alta-disponibilidade nos sistemas críticos

Em que nível se encontra a sua organização na implementação das capacidades de cibersegurança.

1/20. Os dispositivos físicos, redes e sistemas de informação da sua organização encontram-se inventariados?

2/20. As aplicações e plataformas de software são inventariadas?

3/20. As redes e fluxos de dados são mapeados?

4/20. As redes e sistemas de informação externos encontram-se identificados e catalogados?

5/20. Os ativos necessários para a prestação de bens e serviços encontram-se classificados?

6/20. A cadeia de logística encontra-se identificada?

7/20. A missão, visão, valores, estratégias e objetivos encontram-se definidos e comunicados?

8/20. Os ativos críticos estão identificados?

9/20. Os requisitos de resiliência para a prestação de serviços críticos estão definidos?

10/20. A política de segurança da informação está definida e comunicada?

11/20. Os requisitos legais e regulamentares para a cibersegurança são cumpridos?

12/20. As vulnerabilidades dos ativos encontram-se identificadas?

13/20. A organização partilha informações sobre ameaças em grupos de interesse?

14/20. As ameaças internas e externas são identificadas e classificadas?

15/20. A gestão do risco é efetuada com base na análise de ameaças, vulnerabilidades, probabilidades e impactos?

16/20. O processo de gestão de risco encontra-se definido?

17/20. A estratégia de tratamento do risco encontra-se definida?

18/20. O risco da cadeia de logística é gerido?

19/20. Os contratos com fornecedores respeitam o plano de gestão do risco para a cadeia logística?

20/20. O plano de resposta e recuperação de desastre é exercitado com os fornecedores?

1/30. O ciclo de vida de gestão das identidades encontra-se definido?

2/30. Existem controlos de acesso físico para aceder às redes e sistemas de informação?

3/30. Os acessos remotos são geridos?

4/30. Os princípios de menor privilégio e segregação de funções são aplicados na Gestão de Acessos?

5/30. A integridade das redes de comunicações encontra-se protegida?

6/30. Os colaboradores têm formação em segurança da informação?

7/30. Os utilizadores com acesso privilegiado compreendem quais são os seus papéis e responsabilidades?

8/30. A gestão de topo compreende as suas funções e responsabilidades?

9/30. Os dados armazenados encontram-se protegidos?

10/30. Os dados em circulação são protegidos?

11/30. Os ativos são geridos durante os procedimentos de remoção, transferência e aprovisionamento?

12/30. É providenciada capacidade adequada para garantir a disponibilidade das redes e dos sistemas de informação?

13/30. São implementadas proteções que evitem exfiltração de informação?

14/30. São utilizados mecanismos de verificação para confirmar a integridade de software, firmware e dados?

15/30. A configuração base de redes e sistemas de informação incorpora os princípios de segurança?

16/30. Está implementado o ciclo de vida de desenvolvimento seguro de software?

17/30. Existe um processo de gestão de alterações?

18/30. São realizadas, mantidas e testadas cópias de segurança dos dados da organização?

19/30. Os dados são destruídos de acordo com a política definida?

20/30. Os processos de proteção são melhorados continuamente?

21/30. Os planos de resposta e recuperação são testados e exercitados?

22/30. A cibersegurança é contemplada nos processos de gestão de recursos humanos?

23/30. As vulnerabilidades dos ativos são geridas?

24/30. As atividades de manutenção e reparação dos ativos da organização são realizadas e registadas em programas e planos aprovados e controlados?

25/30. As manutenções remotas são revistas, aprovadas, executadas e registadas?

26/30. Existem registos de auditoria?

27/30. Os suportes de dados amovíveis são protegidos e a sua utilização é restrita de acordo com a política definida?

28/30. Os sistemas estão configurados apenas com os serviços necessários?

29/30. As redes de comunicações e de controlo são protegidas?

30/30. São implementados mecanismos de resiliência em situações adversas?

1/13. Os eventos detetados são analisados para se identificarem os alvos e os métodos de ataque?

2/13. Os eventos são coletados e correlacionados a partir de várias fontes e sensores?

3/13. O impacto dos eventos é classificado?

4/13. As redes e sistemas de informação são monitorizados para detetar potenciais incidentes?

5/13. Os ambientes físicos são monitorizados para se detetar potenciais incidentes de segurança?

6/13. A atividade dos colaboradores é monitorizada para se detetar potenciais incidentes?

7/13. O código malicioso é detetado?

8/13. As aplicações não autorizadas em dispositivos móveis são detetadas?

9/13. As atividades dos prestadores de serviços são monitorizadas?

10/13. As vulnerabilidades dos ativos são detetadas automaticamente?

11/13. Estão definidos os papeis e as responsabilidades na deteção de eventos anómalos?

12/13. Os processos de deteção são testados?

13/13. As deteções de eventos são comunicadas?

1/13. Os planos de resposta são executados durante ou após a ocorrência de um incidente?

2/13. Os colaboradores conhecem as suas responsabilidades na resposta a um incidente?

3/13. Existem critérios para reportar incidentes?

4/13. As informações são partilhadas de acordo com o plano de resposta?

5/13. A coordenação com as partes interessadas ocorre conforme os planos de resposta?

6/13. Existe partilha voluntária de informação com partes interessadas externas?

7/13. As notificações dos sistemas de deteção são investigadas?

8/13. O impacto dos incidentes é avaliado?

9/13. São realizadas análises forenses?

10/13. Existem processos para receber, analisar e responder a vulnerabilidades provenientes de fontes internas e externas?

11/13. Os incidentes são contidos?

12/13. Os incidentes são mitigados?

13/13. As vulnerabilidades identificadas são mitigadas ou documentadas como riscos aceites?

1/3. A organização segue um plano de recuperação durante ou após um incidente?

2/3. Está implementado um plano de comunicação?

3/3. As atividades de recuperação são comunicadas às partes interessadas, internas e externas, bem como às equipas executivas e de gestão?

Capacidades
Mínimas