🔍 Avaliação de Segurança de Fornecedores
Questionário simplificado para avaliação de riscos de segurança de terceiros - Conformidade NIS2
ℹ️
Sobre este template: Este questionário foi desenvolvido para avaliar rapidamente o nível de segurança de fornecedores críticos. Contém 30 questões divididas em 5 categorias principais, com sistema de pontuação automática e análise de risco.
Progresso: 0/30 questões
0%
1. Informações do Fornecedor
2. Questionário de Segurança
Responda às 30 questões abaixo. Cada resposta "Sim" vale 2 pontos, "Parcial" vale 1 ponto, "Não" vale 0 pontos.
Governança e Políticas de Segurança
1
A organização possui uma política de segurança da informação documentada e aprovada?
2
Existe um responsável designado para a segurança da informação (CISO ou equivalente)?
3
São realizadas revisões periódicas das políticas de segurança (pelo menos anualmente)?
4
Existe um programa de formação em segurança para todos os colaboradores?
5
A organização realiza avaliações de risco de segurança regulares?
6
Existe segregação de funções para tarefas críticas de segurança?
Gestão de Vulnerabilidades e Patches
7
Existe um processo formal de gestão de patches e atualizações de segurança?
8
São realizadas scans de vulnerabilidades regularmente (mensal ou trimestral)?
9
Patches críticos são aplicados dentro de prazos definidos (ex: 30 dias)?
10
Existe um inventário atualizado de todos os ativos de TI?
11
São realizados testes de penetração anuais por entidades externas?
12
Existe um processo de secure coding e revisão de código nas aplicações desenvolvidas?
Controlo de Acessos
13
É implementada autenticação multifator (MFA) para acessos privilegiados?
14
Existe um processo formal de concessão, revisão e revogação de acessos?
15
São aplicados princípios de menor privilégio e segregação de funções?
16
Existe política de passwords forte (complexidade, expiração, histórico)?
17
Contas privilegiadas são monitorizadas e auditadas regularmente?
18
Existe um processo de offboarding que garante revogação imediata de acessos?
Gestão de Incidentes e Continuidade
19
Existe um plano formal de resposta a incidentes de segurança?
20
Existem procedimentos documentados para notificação de incidentes às autoridades?
21
São realizados exercícios de simulação de incidentes regularmente?
22
Existe um plano de continuidade de negócio (BCP) e recuperação de desastres (DR)?
23
São realizados backups regulares e testada a sua recuperação?
24
Existe monitorização contínua de logs e eventos de segurança?
Conformidade e Certificações
25
A organização possui certificação ISO 27001 ou equivalente?
26
Existe conformidade com RGPD para tratamento de dados pessoais?
27
São realizadas auditorias de segurança externas regularmente?
28
Existe seguro de cibersegurança ou responsabilidade civil para incidentes?
29
Contratos com subfornecedores incluem cláusulas de segurança e conformidade?
30
Existe documentação comprovativa das medidas de segurança implementadas?
3. Pontuação Automática
0
Pontuação Total (max 60)
0%
Percentagem
0/30
Questões Respondidas
Aguardando cálculo
4. Análise de Risco
ℹ️
Critérios de classificação:
• Crítico (<24 pts): Riscos graves, não recomendado
• Alto (24-36 pts): Riscos significativos, requer mitigação obrigatória
• Médio (36-48 pts): Alguns riscos, mitigação recomendada
• Baixo (>48 pts): Risco aceitável, monitorização regular
• Crítico (<24 pts): Riscos graves, não recomendado
• Alto (24-36 pts): Riscos significativos, requer mitigação obrigatória
• Médio (36-48 pts): Alguns riscos, mitigação recomendada
• Baixo (>48 pts): Risco aceitável, monitorização regular
5. Plano de Mitigação
Defina ações específicas para mitigar os riscos identificados.
| Risco / Gap Identificado | Ação de Mitigação | Responsável | Prazo |
|---|---|---|---|