NIS2 Portugal

Progresso: 0%

Plano de Auditoria Interna de Segurança

Planificação anual de auditorias de segurança da informação

1. Informações do Plano

[Nome da Organização]
[2025]
[Chief Audit Executive]
[Comité de Auditoria / Board]
[15/12/2024]
[€ 75.000]

2. Objetivos e Âmbito

[Avaliar a eficácia dos controlos de segurança da informação e conformidade com NIS2, ISO 27001 e RGPD]
[Toda a organização, incluindo sistemas críticos, processos de negócio e fornecedores]
[ISO 27001, NIS2, NIST CSF, CIS Controls]
[Auditorias trimestrais + auditorias ad-hoc]

3. Calendário Anual de Auditorias

Distribuição de auditorias pelos quatro trimestres:

Q1 2025 (Jan-Mar)
Auditoria de Controlos de Acesso
15-26 Janeiro
João Silva
10
Auditoria RGPD
10-21 Fevereiro
Maria Costa
10
Teste de Penetração Interno
10-14 Março
Pedro Santos
5
Q2 2025 (Abr-Jun)
Auditoria de Gestão de Incidentes
7-18 Abril
Ana Ferreira
10
Auditoria de Backups e DR
12-23 Maio
Carlos Oliveira
10
Auditoria de Fornecedores
9-20 Junho
Sofia Rodrigues
10
Q3 2025 (Jul-Set)
Auditoria de Segurança Cloud
7-18 Julho
Miguel Alves
10
Auditoria de Desenvolvimento Seguro
1-12 Setembro
Rita Sousa
10
Q4 2025 (Out-Dez)
Auditoria de Conformidade NIS2
6-24 Outubro
João Silva
15
Auditoria de Segurança Física
4-15 Novembro
Paulo Martins
10
Auditoria Anual ISO 27001
2-13 Dezembro
Maria Costa
10

4. Áreas de Auditoria

Categorização dos domínios a auditar:

Controlos Técnicos
  • Gestão de acessos e identidades
  • Segurança de rede e perímetro
  • Criptografia e proteção de dados
  • Segurança de endpoints
  • Gestão de vulnerabilidades
  • Logging e monitorização
Controlos Administrativos
  • Políticas e procedimentos
  • Gestão de risco
  • Formação e awareness
  • Gestão de incidentes
  • Business continuity
  • Gestão de fornecedores
Controlos Físicos
  • Controlo de acessos físicos
  • Segurança de datacenters
  • Proteção de equipamentos
  • Clean desk policy
  • Destruição segura de dados
  • Controlo ambiental
Conformidade
  • NIS2 compliance
  • RGPD compliance
  • ISO 27001 conformity
  • Requisitos contratuais
  • Regulamentação sectorial
  • Licenciamento software

5. Alocação de Recursos

Equipa de auditoria e distribuição de esforço:

Auditor Especialização Auditorias Atribuídas Dias Totais Custo Estimado (€)
João Silva Lead Auditor ISO 27001 3 35 17.500
Maria Costa RGPD & Compliance 2 20 10.000
Pedro Santos Pentester / Técnico 1 5 5.000
Ana Ferreira Incident Response 1 10 5.000
Carlos Oliveira Infrastructure & DR 1 10 5.000
Sofia Rodrigues Third-Party Risk 1 10 5.000
Miguel Alves Cloud Security 1 10 6.000
Rita Sousa Secure Development 1 10 5.000
Paulo Martins Physical Security 1 10 4.500
TOTAL 120 63.000
Ferramentas e Licenças 8.000
Consultoria Externa (se necessário) 4.000
ORÇAMENTO TOTAL 75.000

6. Matriz de Priorização Baseada em Risco

Critérios de priorização das auditorias:

Scoring de Prioridade

Área
Impacto no Negócio
Risco Inerente
Última Auditoria
Prioridade
Conformidade NIS2
Crítico
Alto
Nunca
Alta
Gestão de Incidentes
Crítico
Alto
2023
Alta
Controlos de Acesso
Crítico
Médio
2024
Alta
RGPD
Crítico
Médio
2024
Média
Segurança Cloud
Alto
Alto
2023
Alta
Backups & DR
Crítico
Médio
2024
Média
Fornecedores
Alto
Médio
2023
Média
Segurança Física
Médio
Baixo
2024
Baixa

7. Metodologia de Auditoria

[Risk-based audit approach]
[Planeamento → Fieldwork → Reporting → Follow-up]
[Entrevistas, revisão documental, testes técnicos, observação]
[Nessus, Burp Suite, compliance scanners, GRC platform]
[Eficaz / Parcialmente Eficaz / Ineficaz / Não Aplicável]
[Crítico / Alto / Médio / Baixo / Informativo]

8. Deliverables e Timeline

Auditoria Relatório Preliminar Relatório Final Plano de Ação Follow-up
Controlos de Acesso 31 Jan 15 Fev 28 Fev 31 Mai
RGPD 28 Fev 15 Mar 31 Mar 30 Jun
Gestão de Incidentes 30 Abr 15 Mai 31 Mai 31 Ago
Conformidade NIS2 31 Out 15 Nov 30 Nov Q1 2026

9. Plano de Comunicação com Stakeholders