PLANO DE IMPLEMENTAÇÃO DE UM SGSI, BASEADO NO QNRCS, EM MUNICÍPIOS DE PEQUENA E MÉDIA DIMENSÃO

Marques, Pedro Miguel Gonçalves

http://hdl.handle.net/10400.8/10308

Use this identifier to reference this record.

Name:	Description:	Size:	Format:
MCIF_Dissertacao_PedroMiguelGoncalvesMarques_2220289_VR_cf.pdf		15.36 MB	Adobe PDF	Download

Send Feedback

Authors

Marques, Pedro Miguel Gonçalves

Advisor(s)

Santos, Leonel Filipe Simões

Antunes, Carlos Manuel Gonçalves

Abstract(s)

Os municípios de pequena e média dimensão, bem como grande parte das organizações de menor dimensão, enfrentam desafios significativos na proteção dos respetivos ativos de informação devido a diversos fatores, como veremos ao longo desta dissertação. Esta dissertação propõe, para esses municípios, um plano de implementação de um Sistema de Gestão da Segurança da Informação (SGSI), baseado no Quadro Nacional de Referência para a Cibersegurança (QNRCS), estruturado em várias linhas de ação, que abordam temas essenciais para a execução do plano. Inicialmente, é efetuada a caraterização dos municípios de pequena e média dimensão, onde se incluem referências às suas particularidades. Em seguida, discutese a norma ISO/IEC 27001 e o QNRCS e ferramentas associadas, com referência a conceitos essenciais relacionados com a Segurança da Informação, bem como a temática de Gestão de Ativos de Informação, processo de definição do Contexto e o processo de Análise de Riscos. São também revistas as normas, regulamentos e legislação aplicável à realidade específica dos municípios. Deste estudo resultou a criação de um roadmap detalhado e personalizado para a implementação do SGSI nos municípios de pequena e média dimensão, descrevendose processos como, Estratégia para gestão do SGSI, Gestão dos Ativos de Informação, Análise de Risco, Políticas, Procedimentos e Controlos de Segurança de Informação e, por fim, a estrutura documental para o SGSI. A adoção da proposta de estrutura documental apresentada, que inclui, Política Geral de Segurança da Informação, Política de Uso Aceitável (PUA) para os recursos de TI, Plano de Resposta a Incidentes, Playbook para incidente de Phishing, entre outros documentos, representa um passo importante para os municípios de pequena e média dimensão assegurarem a conformidade com os padrões de cibersegurança.