{"id":346,"date":"2021-03-11T11:51:40","date_gmt":"2021-03-11T11:51:40","guid":{"rendered":"http:\/\/www.regulacaodociberespaco.com\/?p=346"},"modified":"2021-03-31T16:13:17","modified_gmt":"2021-03-31T16:13:17","slug":"politica-ciberseguranca-area-trabalho-solidariedade-seguranca-social","status":"publish","type":"post","link":"https:\/\/regulacaodociberespaco.com\/inicio\/legislacao\/politica-ciberseguranca-area-trabalho-solidariedade-seguranca-social\/","title":{"rendered":"Pol\u00edtica de Ciberseguran\u00e7a na \u00e1rea do Trabalho, Solidariedade e Seguran\u00e7a Social"},"content":{"rendered":"<h3>Despacho n.\u00ba 9552\/2019, de 22 de outubro &#8211; Pol\u00edtica de Ciberseguran\u00e7a na \u00e1rea do Trabalho, Solidariedade e Seguran\u00e7a Social.<\/h3>\n<h5>Estabelece o modelo de governa\u00e7\u00e3o relativo \u00e0 implementa\u00e7\u00e3o da pol\u00edtica de ciberseguran\u00e7a no \u00e2mbito da \u00e1rea do Trabalho, Solidariedade e Seguran\u00e7a Social.<\/h5>\n<p><a href=\"https:\/\/dre.pt\/home\/-\/dre\/125560085\/details\/maximized\">https:\/\/dre.pt\/home\/-\/dre\/125560085\/details\/maximized<\/a><\/p>\n<p>Os sistemas de informa\u00e7\u00e3o dos servi\u00e7os e organismos da \u00e1rea do Trabalho, Solidariedade e Seguran\u00e7a Social est\u00e3o expostos a riscos v\u00e1rios, que afetam a sua utiliza\u00e7\u00e3o de forma segura. Entre estes riscos, cumpre salientar os relacionados com ataques a redes, sistemas e programas inform\u00e1ticos.<\/p>\n<p>A dete\u00e7\u00e3o, preven\u00e7\u00e3o e combate destes fen\u00f3menos exige uma atua\u00e7\u00e3o coordenada na \u00e1rea do Trabalho, Solidariedade e Seguran\u00e7a Social em articula\u00e7\u00e3o com o Centro Nacional de Ciberseguran\u00e7a (CNCS).<\/p>\n<p>Por outro lado, o Instituto de Inform\u00e1tica, I. P. (II, I. P.), nos termos do n.\u00ba 1 e das al\u00edneas c) e e) do n.\u00ba 2 do artigo 3.\u00ba do Decreto-Lei n.\u00ba 196\/2012, de 23 de agosto, tem como miss\u00e3o definir e propor as pol\u00edticas e estrat\u00e9gias de tecnologias de informa\u00e7\u00e3o e como atribui\u00e7\u00e3o, designadamente, assegurar a constru\u00e7\u00e3o, gest\u00e3o e opera\u00e7\u00e3o de sistemas inform\u00e1ticos, numa l\u00f3gica de servi\u00e7os comuns partilhados e assegurar a articula\u00e7\u00e3o com organismos com atribui\u00e7\u00f5es interministeriais nesta \u00e1rea.<\/p>\n<p>Para mais, o Centro Nacional de Ciberseguran\u00e7a (CNCS) \u00e9, nos termos do Decreto-Lei n.\u00ba 3\/2012, de 16 de janeiro, a entidade que disp\u00f5e de poderes de autoridade nacional em mat\u00e9ria de ciberseguran\u00e7a, relativamente ao Estado e aos operadores de infraestruturas cr\u00edticas nacionais.<\/p>\n<p>Considerando o acima exposto e nos termos da Lei n.\u00ba 46\/2018, de 13 de agosto, que estabelece o regime jur\u00eddico do ciberespa\u00e7o, transpondo a Diretiva (EU) 2016\/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado n\u00edvel comum de seguran\u00e7a das redes de informa\u00e7\u00e3o em toda a Uni\u00e3o, da Resolu\u00e7\u00e3o do Conselho de Ministros n.\u00ba 108\/2017, de 26 de julho, que aprovou a Estrat\u00e9gia TIC 2020: Estrat\u00e9gia para a Transforma\u00e7\u00e3o Digital na Administra\u00e7\u00e3o P\u00fablica e da Resolu\u00e7\u00e3o do Conselho de Ministros n.\u00ba 92\/2019, de 5 de junho, que aprovou a Estrat\u00e9gia Nacional de Seguran\u00e7a do Ciberespa\u00e7o 2019-2023, o II, I. P., assegura, em articula\u00e7\u00e3o com o CNCS, de acordo com o presente despacho, a ado\u00e7\u00e3o de procedimentos comuns, bem como a notifica\u00e7\u00e3o obrigat\u00f3ria, centralizada nesta \u00faltima entidade, de incidentes de ciberseguran\u00e7a que ocorram nos sistemas de informa\u00e7\u00e3o relevantes da \u00e1rea do Trabalho, Solidariedade e Seguran\u00e7a Social.<\/p>\n<p>Assim, ao abrigo do disposto nas al\u00edneas a) a d) do n.\u00ba 2 do artigo 3.\u00ba do Decreto-Lei n.\u00ba 196\/2012, de 23 de agosto, determino o seguinte:<\/p>\n<p>Artigo 1.\u00ba<\/p>\n<p>Objeto<\/p>\n<p>O presente despacho estabelece o modelo de governa\u00e7\u00e3o relativo \u00e0 implementa\u00e7\u00e3o da pol\u00edtica de ciberseguran\u00e7a no \u00e2mbito da \u00e1rea do Trabalho, Solidariedade e Seguran\u00e7a Social.<\/p>\n<p>Artigo 2.\u00ba<\/p>\n<p>\u00c2mbito<\/p>\n<p>O presente despacho \u00e9 aplic\u00e1vel \u00e0s entidades da \u00e1rea do Trabalho, Solidariedade e Seguran\u00e7a Social.<\/p>\n<p>Artigo 3.\u00ba<\/p>\n<p>Modelo de governa\u00e7\u00e3o<\/p>\n<p>1 &#8211; O Instituto de Inform\u00e1tica, I. P. (II, I. P.), procede \u00e0 articula\u00e7\u00e3o com o Gabinete Nacional de Seguran\u00e7a\/Centro Nacional de Ciberseguran\u00e7a (GNS\/CNCS) no \u00e2mbito das respetivas compet\u00eancias, por forma a:<\/p>\n<p>a) Elaborar o plano estrat\u00e9gico da Seguran\u00e7a da Informa\u00e7\u00e3o;<\/p>\n<p>b) Promover a articula\u00e7\u00e3o intrainstitucional e interinstitucional, com vista a garantir a ciberseguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o das entidades abrangidas pelo presente despacho, independentemente da sua localiza\u00e7\u00e3o, em fun\u00e7\u00e3o da conectividade existente;<\/p>\n<p>c) Acompanhar, apoiar e monitorizar as medidas de prote\u00e7\u00e3o, dete\u00e7\u00e3o, resposta e recupera\u00e7\u00e3o dos recursos cr\u00edticos dos sistemas de informa\u00e7\u00e3o das entidades abrangidas pelo presente despacho;<\/p>\n<p>d) Definir o modelo de avalia\u00e7\u00e3o para a gest\u00e3o e monitoriza\u00e7\u00e3o das medidas de ciberseguran\u00e7a;<\/p>\n<p>e) Desenvolver a\u00e7\u00f5es de forma\u00e7\u00e3o e de comunica\u00e7\u00e3o, campanhas de sensibiliza\u00e7\u00e3o, bem como elaborar planos para os riscos de ciberseguran\u00e7a no \u00e2mbito das entidades abrangidas pelo presente despacho;<\/p>\n<p>f) Fomentar a gest\u00e3o segura dos ativos de hardware, software e das redes de comunica\u00e7\u00f5es, promovendo a coopera\u00e7\u00e3o entre entidades abrangidas pelo presente despacho, a n\u00edvel regional e local;<\/p>\n<p>g) Promover uma cultura de gest\u00e3o de risco em mat\u00e9ria de hardware, software e de redes de comunica\u00e7\u00f5es, designadamente atrav\u00e9s da incorpora\u00e7\u00e3o de requisitos pr\u00f3prios nas aquisi\u00e7\u00f5es a realizar;<\/p>\n<p>h) Definir estrat\u00e9gias de combate \u00e0 fraude no \u00e2mbito da ciberseguran\u00e7a;<\/p>\n<p>i) Monitorizar e publicar, com car\u00e1ter regular, os resultados das medidas adotadas.<\/p>\n<p>2 &#8211; O II, I. P., define, em articula\u00e7\u00e3o com o GNS\/CNCS, uma pol\u00edtica de ciberseguran\u00e7a comum para a \u00e1rea do Trabalho, Solidariedade e Seguran\u00e7a Social.<\/p>\n<p>3 &#8211; O II, I. P., promove uma gest\u00e3o participativa da seguran\u00e7a que assegure os normativos e modelos de gest\u00e3o desta fun\u00e7\u00e3o nas entidades abrangidas pelo presente despacho.<\/p>\n<p>4 &#8211; O II, I. P., convoca os respons\u00e1veis da seguran\u00e7a da informa\u00e7\u00e3o das entidades abrangidas pelo presente despacho, ao longo do processo de defini\u00e7\u00e3o normativa, e cria condi\u00e7\u00f5es de participa\u00e7\u00e3o destes respons\u00e1veis utilizando f\u00f3runs destinados ao di\u00e1logo e reflex\u00e3o conjunta.<\/p>\n<p>Artigo 4.\u00ba<\/p>\n<p>Medidas e procedimentos de ciberseguran\u00e7a<\/p>\n<p>1 &#8211; As medidas e procedimentos de ciberseguran\u00e7a a definir pelo II, I. P., em articula\u00e7\u00e3o com o GNS\/CNCS, devem prever, designadamente:<\/p>\n<p>a) O contributo para a cria\u00e7\u00e3o de valor no \u00e2mbito da \u00e1rea do Trabalho, Solidariedade e Seguran\u00e7a Social e alinhamento com os respetivos objetivos estrat\u00e9gicos;<\/p>\n<p>b) O envolvimento e partilha de responsabilidades de todos os colaboradores, designadamente \u00f3rg\u00e3os governamentais, \u00f3rg\u00e3os dirigentes, profissionais das tecnologias de informa\u00e7\u00e3o e trabalhadores em fun\u00e7\u00f5es p\u00fablicas;<\/p>\n<p>c) A utiliza\u00e7\u00e3o de boas pr\u00e1ticas comuns e de refer\u00eancia na \u00e1rea de ciberseguran\u00e7a;<\/p>\n<p>d) A ado\u00e7\u00e3o de uma vis\u00e3o hol\u00edstica da ciberseguran\u00e7a, considerando as dimens\u00f5es de organiza\u00e7\u00e3o, processos, pessoas e tecnologias;<\/p>\n<p>e) A realiza\u00e7\u00e3o de a\u00e7\u00f5es de auditoria inicial e iniciativas de suporte \u00e0 melhoria cont\u00ednua;<\/p>\n<p>f) A realiza\u00e7\u00e3o de a\u00e7\u00f5es de mitiga\u00e7\u00e3o de vulnerabilidades e refor\u00e7o de controlos de curto e m\u00e9dio prazo;<\/p>\n<p>g) A cria\u00e7\u00e3o de mecanismos de monitoriza\u00e7\u00e3o cont\u00ednuos, aos sistemas de informa\u00e7\u00e3o cr\u00edticos, no \u00e2mbito da ciberseguran\u00e7a;<\/p>\n<p>h) A realiza\u00e7\u00e3o de benchmarking e partilha de experi\u00eancias e informa\u00e7\u00e3o internacional proveniente das ag\u00eancias especializadas neste \u00e2mbito, designadamente, a Ag\u00eancia da Uni\u00e3o Europeia para a Seguran\u00e7a das Redes e da Informa\u00e7\u00e3o (ENISA);<\/p>\n<p>i) A implementa\u00e7\u00e3o de mecanismos de informa\u00e7\u00e3o ao membro do Governo respons\u00e1vel pela \u00e1rea do Trabalho, Solidariedade e Seguran\u00e7a Social, relativamente a eventos de ciberseguran\u00e7a;<\/p>\n<p>j) A implementa\u00e7\u00e3o de a\u00e7\u00f5es de melhoria cont\u00ednua por forma a adaptar as pol\u00edticas e os processos em fun\u00e7\u00e3o dos incidentes ocorridos;<\/p>\n<p>k) Incentivos \u00e0 investiga\u00e7\u00e3o em mat\u00e9ria de ciberseguran\u00e7a em parceria com institui\u00e7\u00f5es p\u00fablicas de ensino e investiga\u00e7\u00e3o, nacionais ou internacionais;<\/p>\n<p>l) A cria\u00e7\u00e3o de um cadastro das aplica\u00e7\u00f5es inform\u00e1ticas dos sistemas de informa\u00e7\u00e3o das entidades abrangidas pelo presente despacho, at\u00e9 180 dias ap\u00f3s publica\u00e7\u00e3o do presente despacho.<\/p>\n<p>2 &#8211; O II, I. P., mant\u00e9m um reposit\u00f3rio inform\u00e1tico do cadastro mencionado na al\u00ednea l) do n\u00famero anterior, emitindo documento de registo, com validade anual, por cada aplica\u00e7\u00e3o e entidade.<\/p>\n<p>Artigo 5.\u00ba<\/p>\n<p>Responsabilidades<\/p>\n<p>Compete \u00e0s entidades abrangidas pelo presente despacho:<\/p>\n<p>a) Adotar a pol\u00edtica comum de ciberseguran\u00e7a para a \u00e1rea do Trabalho, Solidariedade e Seguran\u00e7a Social, promovendo as medidas necess\u00e1rias para a sua operacionaliza\u00e7\u00e3o;<\/p>\n<p>b) Atribuir fun\u00e7\u00f5es e responsabilidades, bem como designar o respons\u00e1vel de seguran\u00e7a da informa\u00e7\u00e3o e o respons\u00e1vel t\u00e9cnico de seguran\u00e7a para garantir a colabora\u00e7\u00e3o com o respons\u00e1vel m\u00e1ximo de sistemas de informa\u00e7\u00e3o da respetiva entidade, no prazo m\u00e1ximo de 60 dias ap\u00f3s a entrada em vigor do presente despacho, dando conhecimento imediato ao II, I. P.;<\/p>\n<p>c) Elaborar relat\u00f3rios regulares sobre o perfil evolutivo da implementa\u00e7\u00e3o das pol\u00edticas e controlos de seguran\u00e7a na entidade, de forma a permitir avaliar e comparar n\u00edveis de maturidade;<\/p>\n<p>d) Garantir a disponibiliza\u00e7\u00e3o dos recursos humanos, tecnol\u00f3gicos e financeiros necess\u00e1rios para assegurar o cumprimento dos n\u00edveis de servi\u00e7o definidos pelo II, I. P.;<\/p>\n<p>e) Assumir um papel participativo e colaborativo na partilha de boas pr\u00e1ticas e de melhoria cont\u00ednua para responder \u00e0 din\u00e2mica evolutiva dos diversos contextos de ciberseguran\u00e7a;<\/p>\n<p>f) Cumprir as medidas e procedimentos na \u00e1rea da ciberseguran\u00e7a;<\/p>\n<p>g) Promover em tempo \u00fatil a disponibilidade dos meios de prote\u00e7\u00e3o, dete\u00e7\u00e3o, resposta e recupera\u00e7\u00e3o reportando aos \u00f3rg\u00e3os competentes, sempre que confrontada com situa\u00e7\u00f5es que comprometam a seguran\u00e7a;<\/p>\n<p>h) Acompanhar, apoiar e monitorizar o desenvolvimento de medidas de prote\u00e7\u00e3o, dete\u00e7\u00e3o, resposta e recupera\u00e7\u00e3o dos recursos cr\u00edticos locais;<\/p>\n<p>i) Adotar o modelo de avalia\u00e7\u00e3o para a gest\u00e3o e monitoriza\u00e7\u00e3o das medidas de seguran\u00e7a;<\/p>\n<p>j) Colaborar com o II, I. P., no processo de defini\u00e7\u00e3o normativo e nos modelos de gest\u00e3o da seguran\u00e7a a implementar;<\/p>\n<p>k) Cumprir as indica\u00e7\u00f5es a emitir por circular normativa do II, I. P., com vista \u00e0 realiza\u00e7\u00e3o do disposto na al\u00ednea l) do n.\u00ba 1 do artigo 4.\u00ba, garantindo assim toda a colabora\u00e7\u00e3o para a constitui\u00e7\u00e3o do cadastro aplicacional da \u00e1rea do Trabalho, Solidariedade e Seguran\u00e7a Social e sua atualiza\u00e7\u00e3o permanente, no espa\u00e7o m\u00e1ximo de 90 dias ap\u00f3s publica\u00e7\u00e3o do presente despacho;<\/p>\n<p>l) Reportar periodicamente ao II, I. P., todos os incidentes de seguran\u00e7a e respetivas a\u00e7\u00f5es.<\/p>\n<p>Artigo 6.\u00ba<\/p>\n<p>Aquisi\u00e7\u00e3o e gest\u00e3o de tecnologias com vista \u00e0 ciberseguran\u00e7a<\/p>\n<p>1 &#8211; Compete ao II, I. P., proceder \u00e0 agrega\u00e7\u00e3o das necessidades de aquisi\u00e7\u00e3o de todos os bens e servi\u00e7os necess\u00e1rios \u00e0 implementa\u00e7\u00e3o dos planos de ciberseguran\u00e7a, promovendo a racionaliza\u00e7\u00e3o de recursos bem como assegurar a tramita\u00e7\u00e3o pr\u00e9via dos procedimentos de aquisi\u00e7\u00e3o.<\/p>\n<p>2 &#8211; \u00c0s entidades abrangidas pelo presente despacho cumpre prever nos seus or\u00e7amentos as verbas necess\u00e1rias para acautelar os investimentos necess\u00e1rios no \u00e2mbito da moderniza\u00e7\u00e3o tecnol\u00f3gica cr\u00edtica em cada momento, que resultam da implementa\u00e7\u00e3o de uma pol\u00edtica de seguran\u00e7a e levantamento de necessidades indicadas pelo II, I. P.<\/p>\n<p>Artigo 7.\u00ba<\/p>\n<p>Auditorias e avalia\u00e7\u00f5es de ciberseguran\u00e7a<\/p>\n<p>Sem preju\u00edzo das compet\u00eancias do GNS\/CNCS, compete ao II, I. P., efetuar ou determinar auditorias e avalia\u00e7\u00f5es de ciberseguran\u00e7a \u00e0s entidades abrangidas pelo presente despacho para determinar o n\u00edvel tecnol\u00f3gico adequado a garantir o n\u00edvel de seguran\u00e7a definido, bem como a coer\u00eancia e racionaliza\u00e7\u00e3o entre iniciativas processuais e tecnol\u00f3gicas, sistemas legados e novos sistemas e as aquisi\u00e7\u00f5es futuras com vista a racionaliza\u00e7\u00e3o dos esfor\u00e7os financeiros.<\/p>\n<p>Artigo 8.\u00ba<\/p>\n<p>Financiamento<\/p>\n<p>O custo com as auditorias de ciberseguran\u00e7a que venham a ser determinadas ao abrigo do artigo 7.\u00ba \u00e9 suportado pela entidade auditada.<\/p>\n<p>Artigo 9.\u00ba<\/p>\n<p>Recursos humanos e capacita\u00e7\u00e3o<\/p>\n<p>1 &#8211; O II, I. P., disponibiliza um quadro de refer\u00eancia na forma\u00e7\u00e3o em ciberseguran\u00e7a com recursos pr\u00f3prios ou recorrendo a parcerias com universidades p\u00fablicas, e com os organismos p\u00fablicos de forma\u00e7\u00e3o, e um programa inicial de forma\u00e7\u00e3o geral sem encargos para as entidades abrangidas pelo presente despacho.<\/p>\n<p>2 &#8211; As entidades abrangidas pelo presente despacho, no \u00e2mbito das suas compet\u00eancias para gest\u00e3o dos recursos humanos, garantem a capacidade de refor\u00e7o dos quadros internos para a sensibiliza\u00e7\u00e3o em utiliza\u00e7\u00e3o segura de tecnologias de informa\u00e7\u00e3o e comunica\u00e7\u00e3o, implementa\u00e7\u00e3o das medidas e procedimentos de ciberseguran\u00e7a.<\/p>\n<p>Artigo 10.\u00ba<\/p>\n<p>Entrada em vigor<\/p>\n<p>O presente despacho entra em vigor no dia seguinte ao da sua publica\u00e7\u00e3o.<\/p>\n<p>4 de outubro de 2019. &#8211; O Ministro do Trabalho, Solidariedade e Seguran\u00e7a Social, Jos\u00e9 Ant\u00f3nio Fonseca Vieira da Silva.<\/p>\n<p>312641624<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Despacho n.\u00ba 9552\/2019, de 22 de outubro &#8211; Pol\u00edtica de Ciberseguran\u00e7a na \u00e1rea do Trabalho, Solidariedade e Seguran\u00e7a Social. Estabelece o modelo de governa\u00e7\u00e3o relativo \u00e0 implementa\u00e7\u00e3o da pol\u00edtica de ciberseguran\u00e7a no \u00e2mbito da \u00e1rea do Trabalho, Solidariedade e Seguran\u00e7a Social. https:\/\/dre.pt\/home\/-\/dre\/125560085\/details\/maximized Os sistemas de informa\u00e7\u00e3o dos servi\u00e7os e organismos da \u00e1rea do Trabalho, Solidariedade [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":347,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":""},"categories":[6,3],"tags":[],"_links":{"self":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts\/346"}],"collection":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/comments?post=346"}],"version-history":[{"count":1,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts\/346\/revisions"}],"predecessor-version":[{"id":348,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts\/346\/revisions\/348"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/media\/347"}],"wp:attachment":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/media?parent=346"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/categories?post=346"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/tags?post=346"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}