Saltar para o conteúdo
Lei Ciber MZ

Pesquisar em todo o portal

Ferramenta · lei 13/2026 e ISO/IEC 27001

Qual é a maturidade da sua segurança cibernética?

Avalie cada controlo numa escala de maturidade, de inexistente a optimizado. No fim recebe o nível global, a maturidade por domínio e as prioridades de melhoria. As respostas não saem do seu navegador.

Política e governação

Existe uma política de segurança da informação aprovada pela gestão.

art. 48, a)

Estão nomeados o responsável de segurança e o auditor interno.

arts. 48, i) e 50

O âmbito do sistema de gestão está definido e comunicado.

art. 44

A administração recebe reporte periódico sobre segurança.

art. 50

Gestão do risco

Existe uma metodologia de gestão do risco documentada.

art. 48, b)

Foi feita uma avaliação de risco com registo e níveis.

art. 48, b)

Há um plano de tratamento com responsáveis e prazos.

art. 48, d)

Existe uma declaração de aplicabilidade de controlos (SoA).

ISO 27001

Controlo de acessos

Os acessos seguem o princípio do menor privilégio.

ISO A.5.15

A autenticação multifactor está activa nos acessos críticos e remotos.

ISO A.8.5

Os acessos são revistos periodicamente e revogados à saída.

ISO A.5.18

Os utilizadores dos serviços são registados e identificados.

arts. 19-33

Segurança técnica

As redes estão segmentadas e protegidas por firewall.

art. 34

Há protecção contra malware em postos e servidores.

ISO A.8.7

Os sistemas críticos estão endurecidos e monitorizados.

art. 43

A informação sensível em trânsito e em repouso é cifrada.

ISO A.8.24

Vulnerabilidades e correcções

Há um processo de identificação de vulnerabilidades.

ISO A.8.8

As correcções são aplicadas em janelas definidas por severidade.

ISO A.8.8

Existe uma política de divulgação responsável de vulnerabilidades.

art. 66

Cópias de segurança e continuidade

As cópias de segurança seguem a regra 3-2-1.

art. 48, e)

A reposição a partir de backup foi testada com sucesso.

art. 48, e)

Existe um plano de continuidade com RTO e RPO definidos.

art. 21

Resposta e notificação de incidentes

Existe um CSIRT institucional com mandato e contactos.

arts. 36 e 50

Há um plano de resposta a incidentes com runbooks.

art. 48, c)

Existe um procedimento de notificação ao CSIRT sectorial e nacional.

arts. 57-65

Os incidentes são registados e há relatório de seguimento.

arts. 58-64

Formação e pessoas

Há um programa contínuo de consciencialização em segurança.

art. 48, h)

São feitas simulações de phishing e medidas as melhorias.

art. 48, h)

Há processos seguros de entrada e saída de colaboradores.

ISO A.6

Dados e retenção

A informação está classificada e tratada por nível.

ISO A.5.12

Os dados de tráfego e localização são retidos com segurança por um ano.

arts. 37-42

Existe um registo do tratamento de dados pessoais.

protecção de dados

Auditoria e conformidade

São feitas auditorias internas de segurança.

arts. 48, f) e 74

As não conformidades são remediadas com plano e prazos.

art. 48

A entidade está (ou está a preparar-se para estar) registada na ANSC.

arts. 17-33

0/35 respondidos