0 de 42 campos preenchidos0 de 9 secções completas
1
Preâmbulo
A presente Política de Classificação de Dados estabelece os princípios, critérios e procedimentos para a classificação, marcação e proteção da informação em [Nome da Organização], garantindo a conformidade com o Regulamento Geral sobre a Proteção de Dados (RGPD) e a Diretiva NIS2.
1.1. Objetivo
Esta política visa:
Estabelecer um sistema de classificação de dados claro e consistente
Definir responsabilidades sobre a classificação e proteção de dados
Garantir que os controlos de segurança são proporcionais ao valor e sensibilidade dos dados
Assegurar conformidade com requisitos legais e regulamentares (RGPD, NIS2)
Facilitar a gestão do ciclo de vida da informação
Reduzir o risco de divulgação não autorizada ou perda de dados
1.2. Âmbito
Esta política aplica-se a:
Todos os colaboradores, contratados e terceiros com acesso a dados da organização
Toda a informação criada, processada, armazenada ou transmitida pela organização
Todos os sistemas, aplicações e infraestruturas que processam dados
Dados em formato digital e físico
Dados em todas as fases do seu ciclo de vida
1.3. Conformidade Regulamentar
2
Níveis de Classificação
A [Nome da Organização] utiliza quatro níveis de classificação de dados, baseados no impacto potencial da divulgação, modificação ou perda não autorizadas:
🌍 PÚBLICO
Informação destinada ao público em geral, cuja divulgação não causa qualquer impacto negativo à organização.
Exemplos:
Material de marketing
Comunicados de imprensa
Informação no website público
Brochuras e folhetos
Impacto da divulgação:
Nenhum ou insignificante
🏢 INTERNO
Informação destinada a uso interno da organização, cuja divulgação externa pode causar impacto baixo ou inconvenientes menores.
Exemplos:
Políticas e procedimentos internos
Organigramas
Newsletters internas
Atas de reuniões gerais
Impacto da divulgação:
Baixo - inconvenientes menores
🔒 CONFIDENCIAL
Informação sensível cuja divulgação não autorizada pode causar impacto moderado a alto, incluindo danos financeiros, reputacionais ou operacionais.
Exemplos:
Contratos com clientes
Planos estratégicos
Informação financeira
Propriedade intelectual
Listas de contactos de clientes
Impacto da divulgação:
Moderado a Alto - danos significativos
🚨 RESTRITO
Informação altamente sensível ou crítica, cuja divulgação não autorizada pode causar impacto severo ou catastrófico. Inclui dados pessoais especiais (RGPD Art. 9.º) e segredos comerciais.
Exemplos:
Dados pessoais sensíveis (saúde, biométricos)
Credenciais de sistemas críticos
Segredos comerciais
Informação bancária de clientes
Dados de infraestruturas críticas
Impacto da divulgação:
Crítico - danos graves ou irreparáveis
3
Critérios de Classificação
3.1. Árvore de Decisão para Classificação
Questão 1: A informação contém dados pessoais sensíveis (saúde, biométricos, dados financeiros, credenciais)?
✓ Sim
✗ Não
Questão 2: A divulgação desta informação pode causar danos financeiros ou reputacionais significativos?
✓ Sim
✗ Não
Questão 3: Esta informação está destinada apenas a uso interno da organização?
✓ Sim
✗ Não
3.2. Matriz de Critérios
Utilize a tabela seguinte para determinar o nível de classificação com base em múltiplos critérios:
Critério
PÚBLICO
INTERNO
CONFIDENCIAL
RESTRITO
Impacto da Divulgação
Nenhum
Baixo
Moderado a Alto
Crítico
Dados Pessoais
Não contém
Dados não sensíveis (nome, email corporativo)
Dados pessoais gerais
Categorias especiais RGPD Art. 9.º
Requisitos Legais
Públicos por lei
Sem requisitos específicos
Segredo comercial, NDA
RGPD, NIS2, segredo de justiça
Valor Comercial
Nenhum
Baixo
Médio a Alto
Crítico
Audiência
Público geral
Toda a organização
Grupos específicos internos
Indivíduos nomeados apenas
Período de Retenção
Indefinido
[X] anos
[Y] anos
[Z] anos ou conforme legislação
3.3. Calculadora de classificação
🧮 Determine o nível de classificação adequado
Responda às questões abaixo para obter uma recomendação automática:
1. A informação contém dados pessoais?
2. Qual o impacto se esta informação for divulgada publicamente?
3. Existem requisitos legais ou regulamentares específicos?
4. Quem deve ter acesso a esta informação?
Classificação Recomendada:
4
Responsabilidades
👤 Proprietário dos Dados (Data Owner)
Determinar a classificação inicial dos dados
Aprovar acessos aos dados sob sua responsabilidade
Rever periodicamente a classificação
Autorizar reclassificação quando necessário
Garantir conformidade com requisitos legais
Definir período de retenção
Exemplo:[Diretor de Departamento]
🛡️ Custodiante dos Dados (Data Custodian)
Implementar controlos de segurança apropriados
Manter sistemas de armazenamento seguros
Aplicar marcação e rotulagem
Monitorizar acessos
Realizar backups conforme classificação
Executar destruição segura de dados
Exemplo:[Equipa de TI / Segurança]
👥 Utilizadores de Dados (Data Users)
Respeitar a classificação atribuída
Manusear dados de acordo com as regras
Reportar incidentes de segurança
Não alterar classificação sem autorização
Utilizar apenas para fins autorizados
Proteger credenciais de acesso
Exemplo:[Todos os colaboradores]
🔍 Encarregado de Proteção de Dados (DPO)
Supervisionar conformidade com RGPD
Aconselhar sobre classificação de dados pessoais
Auditar cumprimento da política
Formar colaboradores
Reportar violações às autoridades
Manter registo de tratamentos
Exemplo:[Nome do DPO]
🔐 Responsável de Segurança (CISO)
Definir controlos técnicos por classificação
Monitorizar ameaças e vulnerabilidades
Gerir incidentes de segurança
Realizar avaliações de risco
Atualizar política conforme ameaças
Reportar à administração
Exemplo:[Nome do CISO]
⚖️ Direção / Administração
Aprovar política e recursos
Assegurar cumprimento organizacional
Definir sanções por violações
Rever periodicamente a eficácia
Promover cultura de segurança
Garantir conformidade legal
Exemplo:[CEO / Board]
5
Requisitos de Proteção por Nível
Cada nível de classificação requer controlos de segurança específicos e proporcionais ao risco:
🔐 Encriptação
PÚBLICO
Não obrigatória
INTERNO
Recomendada em trânsito (TLS)
CONFIDENCIAL
Obrigatória em trânsito e repouso (AES-256)
RESTRITO
Obrigatória em trânsito e repouso + gestão de chaves segura
Todos os dados devem ser claramente marcados com seu nível de classificação para facilitar o manuseamento adequado:
6.1. Templates de Etiquetas
🌍
PÚBLICO
Informação de acesso livre
🏢
INTERNO
Apenas para uso interno
🔒
CONFIDENCIAL
Informação sensível - acesso restrito
🚨
RESTRITO
Altamente confidencial - acesso por aprovação
6.2. Requisitos de Marcação
Documentos Digitais:
Adicionar classificação no cabeçalho e rodapé de cada página
Incluir nos metadados do ficheiro (propriedades)
Utilizar código de cores consistente
Nome do ficheiro deve incluir classificação: Doc-CONFIDENCIAL-Titulo.pdf
Emails:
Incluir classificação no assunto: [CONFIDENCIAL] Assunto do email
Utilizar banners automáticos no corpo do email
Configurar avisos de segurança para níveis CONFIDENCIAL e RESTRITO
Documentos Físicos:
Carimbo ou etiqueta visível com classificação
Utilizar código de cores (pastas, separadores)
Marcação em todas as páginas
Suportes Removíveis (USB, discos):
Etiqueta física com classificação
Encriptação obrigatória para CONFIDENCIAL e RESTRITO
Registo de movimentações
Sistemas e Bases de Dados:
Banners de classificação no login
Metadados em registos
Níveis de acesso baseados em classificação
6.3. Exemplos de Marcação
Documento Digital:
🚨 RESTRITO - Acesso Apenas por Autorização
[Conteúdo do documento]
RESTRITO | [Nome da Organização] | Não divulgar sem autorização
7
Gestão do Ciclo de Vida dos Dados
📝
Criação
Classificação inicial pelo proprietário
💾
Armazenamento
Proteção conforme classificação
📤
Utilização
Acesso controlado e auditado
🔄
Retenção
Período definido por nível
🗑️
Destruição
Eliminação segura certificada
7.1. Fase de Criação
Proprietário determina classificação inicial
Aplicar marcação imediatamente
Definir controlos de acesso apropriados
Registar nos sistemas de gestão documental
Aplicar encriptação se CONFIDENCIAL ou RESTRITO
7.2. Fase de Armazenamento
Armazenar em localizações aprovadas para cada nível
Implementar backups conforme criticidade
Aplicar proteções físicas e lógicas
Manter segregação entre níveis de classificação
Monitorizar integridade
7.3. Fase de Utilização
Acesso apenas por utilizadores autorizados
Auditoria de todos os acessos
Proteção durante processamento
Controlos sobre cópia e impressão
Canais seguros para partilha
7.4. Fase de Retenção
Rever periodicamente necessidade de retenção
Manter controlos de segurança durante todo o período
Considerar reclassificação se aplicável
Cumprir requisitos legais mínimos
Aplicar princípio da minimização (RGPD)
7.5. Fase de Destruição
Destruição segura conforme nível de classificação
Documentar certificado de destruição
Verificar eliminação de todas as cópias
Atualizar registos de tratamento
Notificar proprietário dos dados
8
Reclassificação de Dados
A classificação de dados não é estática e deve ser revista periodicamente ou quando ocorrem mudanças significativas.
8.1. Quando Reclassificar
⬆️ Classificação Superior
Novos requisitos legais
Aumento de sensibilidade
Incidentes de segurança
Fusões ou aquisições
⬇️ Classificação Inferior
Informação tornada pública
Expiração de confidencialidade
Fim de requisitos legais
Dados anonimizados
8.2. Processo de Reclassificação
Identificação da necessidade - Proprietário ou utilizador identifica mudança de contexto
Avaliação - Proprietário avalia novos critérios de classificação
Aprovação - DPO/CISO aprovam se elevação para RESTRITO ou redução significativa
Atualização - Custodiante atualiza marcações e controlos
Comunicação - Notificar utilizadores sobre nova classificação
Auditoria - Verificar implementação dos novos controlos
8.3. Revisão Periódica
Classificação
Frequência de Revisão
Responsável
PÚBLICO
Anual
Proprietário
INTERNO
Anual
Proprietário
CONFIDENCIAL
Semestral
Proprietário + DPO
RESTRITO
Trimestral
Proprietário + DPO + CISO
9
Conformidade e Auditoria
9.1. Monitorização de Conformidade
A [Nome da Organização] implementa os seguintes mecanismos de monitorização:
9.2. Indicadores de Desempenho (KPIs)
Indicador
Meta
Frequência
% de documentos corretamente classificados
95%
Trimestral
% de colaboradores com formação atualizada
100%
Anual
Tempo médio de reclassificação
5 dias úteis
Mensal
Incidentes de classificação incorreta
< 5 por ano
Anual
% de revisões periódicas realizadas no prazo
100%
Trimestral
9.3. Violações e Sanções
⚠️ Consequências de Não Conformidade
O incumprimento desta política pode resultar em:
Advertência verbal ou escrita - Primeira violação não intencional
Suspensão de privilégios de acesso - Violações repetidas ou negligência
Medidas disciplinares - Conforme código de conduta da organização
Rescisão de contrato - Violações graves ou intencionais
Responsabilidade civil ou criminal - Conforme legislação aplicável
Todas as violações serão investigadas e documentadas.
9.4. Reporte de Incidentes
Qualquer suspeita de classificação incorreta ou violação de segurança deve ser reportada imediatamente através de:
Email: [security@organizacao.pt]
Portal interno: [URL do portal de incidentes]
Telefone: [+351 XXX XXX XXX]
Em pessoa: [Gabinete do CISO/DPO]
9.5. Aprovação e Revisão
Função
Nome
Assinatura
Data
Elaborado por (CISO)
_______________
Revisto por (DPO)
_______________
Aprovado por (CEO/Board)
_______________
📌 Nota Importante
Este documento é um template que deve ser customizado para refletir as necessidades específicas, contexto regulamentar e perfil de risco da sua organização.
Recomenda-se consulta jurídica e de segurança da informação antes da implementação formal desta política.
Versão do template: 1.0 | Última atualização: [Data]