Ferramenta · lei 13/2026 e ISO/IEC 27001
Qual é a maturidade da sua segurança cibernética?
Avalie cada controlo numa escala de maturidade, de inexistente a optimizado. No fim recebe o nível global, a maturidade por domínio e as prioridades de melhoria. As respostas não saem do seu navegador.
Política e governação
Existe uma política de segurança da informação aprovada pela gestão.
art. 48, a)Estão nomeados o responsável de segurança e o auditor interno.
arts. 48, i) e 50O âmbito do sistema de gestão está definido e comunicado.
art. 44A administração recebe reporte periódico sobre segurança.
art. 50Gestão do risco
Existe uma metodologia de gestão do risco documentada.
art. 48, b)Foi feita uma avaliação de risco com registo e níveis.
art. 48, b)Há um plano de tratamento com responsáveis e prazos.
art. 48, d)Existe uma declaração de aplicabilidade de controlos (SoA).
ISO 27001Controlo de acessos
Os acessos seguem o princípio do menor privilégio.
ISO A.5.15A autenticação multifactor está activa nos acessos críticos e remotos.
ISO A.8.5Os acessos são revistos periodicamente e revogados à saída.
ISO A.5.18Os utilizadores dos serviços são registados e identificados.
arts. 19-33Segurança técnica
As redes estão segmentadas e protegidas por firewall.
art. 34Há protecção contra malware em postos e servidores.
ISO A.8.7Os sistemas críticos estão endurecidos e monitorizados.
art. 43A informação sensível em trânsito e em repouso é cifrada.
ISO A.8.24Vulnerabilidades e correcções
Há um processo de identificação de vulnerabilidades.
ISO A.8.8As correcções são aplicadas em janelas definidas por severidade.
ISO A.8.8Existe uma política de divulgação responsável de vulnerabilidades.
art. 66Cópias de segurança e continuidade
As cópias de segurança seguem a regra 3-2-1.
art. 48, e)A reposição a partir de backup foi testada com sucesso.
art. 48, e)Existe um plano de continuidade com RTO e RPO definidos.
art. 21Resposta e notificação de incidentes
Existe um CSIRT institucional com mandato e contactos.
arts. 36 e 50Há um plano de resposta a incidentes com runbooks.
art. 48, c)Existe um procedimento de notificação ao CSIRT sectorial e nacional.
arts. 57-65Os incidentes são registados e há relatório de seguimento.
arts. 58-64Formação e pessoas
Há um programa contínuo de consciencialização em segurança.
art. 48, h)São feitas simulações de phishing e medidas as melhorias.
art. 48, h)Há processos seguros de entrada e saída de colaboradores.
ISO A.6Dados e retenção
A informação está classificada e tratada por nível.
ISO A.5.12Os dados de tráfego e localização são retidos com segurança por um ano.
arts. 37-42Existe um registo do tratamento de dados pessoais.
protecção de dadosAuditoria e conformidade
São feitas auditorias internas de segurança.
arts. 48, f) e 74As não conformidades são remediadas com plano e prazos.
art. 48A entidade está (ou está a preparar-se para estar) registada na ANSC.
arts. 17-330/35 respondidos