Debates Parlamentares - Diário 161, p. 269 (2015-07-02)

O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.

Não foi possivel carregar a página pretendida. Reportar Erro

2 DE JULHO DE 2015 269

Artigo 38.º

Dados a transmitir ao Portal dos Contratos Públicos

As plataformas eletrónicas devem transmitir ao Portal dos Contratos Públicos dados relativos à formação e

à execução dos contratos públicos, nos termos a definir por portaria do membro do Governo que tutela o IMPIC,

IP.

SECÇÃO III

Requisitos de segurança das plataformas eletrónicas

Artigo 39.º

Implementação e gestão da segurança

1 - No desenvolvimento da sua atividade, as empresas gestoras implementam um sistema de gestão de

segurança da informação baseado na Norma ISO/IEC 27001.

2 - Para efeitos do disposto no número anterior, as empresas gestoras fornecem ao GNS documentação

comprovativa, nomeadamente:

a) Da realização de uma avaliação exaustiva dos riscos que identifique o âmbito de aplicação do sistema e

assinale o impacto na atividade em caso de violação da garantia da informação;

b) Da identificação das ameaças e vulnerabilidades da plataforma eletrónica, e a produção de um documento

de análise de riscos onde se enumerem igualmente contramedidas para evitar tais ameaças, e as medidas

corretivas a tomar caso a ameaça se concretize, bem como a apresentação de uma lista hierarquizada de

melhorias a introduzir;

c) Da identificação dos riscos residuais por escrito.

3 - As empresas gestoras selecionam os controlos de segurança adequados com base na análise de riscos

prevista na alínea a) do número anterior, e na norma ISO/IEC 27002, nas seguintes áreas da segurança:

a) Avaliação de risco, adotando-se para o efeito a norma ISO/IEC 27005 ou outra metodologia de avaliação

de riscos equivalente;

b) Segurança física e ambiental;

c) Segurança dos recursos humanos;

d) Gestão de comunicações e operações;

e) Medidas normalizadas de controlo do acesso;

f) Aquisição, desenvolvimento e manutenção dos sistemas de informação;

g) Gestão de incidentes no domínio da segurança das informações;

h) Medidas para corrigir e mitigar violações dos sistemas de informação suscetíveis de causar a destruição,

a perda acidental, a alteração, ou a divulgação ou acesso não autorizados dos dados pessoais a tratar;

i) Conformidade;

j) Segurança de redes informáticas, recomendando-se para o efeito a norma ISO/IEC 27033.

4 - A aplicação destas normas pode cingir-se apenas às partes da organização que são relevantes para a

atividade das plataformas eletrónicas.

Artigo 40.º

Gestão de utilizadores, perfil de acesso e privilégios

1 - A plataforma eletrónica deve suportar perfis com diferentes privilégios, incluindo, no mínimo, os seguintes:

a) Administrador de segurança;

b) Administrador de sistemas;

c) Operador de sistemas;

d) Auditor de sistemas.

2 DE JULHO DE 2015 269 Artigo 38.º Dados a transmitir ao Portal dos Contratos Públicos As plataformas eletrónicas devem transmitir ao Portal dos Contratos Públicos dados relativos à formação e à execução dos contratos públicos, nos termos a definir por portaria do membro do Governo que tutela o IMPIC, IP. SECÇÃO III Requisitos de segurança das plataformas eletrónicas Artigo 39.º Implementação e gestão da segurança 1 - No desenvolvimento da sua atividade, as empresas gestoras implementam um sistema de gestão de segurança da informação baseado na Norma ISO/IEC 27001. 2 - Para efeitos do disposto no número anterior, as empresas gestoras fornecem ao GNS documentação comprovativa, nomeadamente: a) Da realização de uma avaliação exaustiva dos riscos que identifique o âmbito de aplicação do sistema e assinale o impacto na atividade em caso de violação da garantia da informação; b) Da identificação das ameaças e vulnerabilidades da plataforma eletrónica, e a produção de um documento de análise de riscos onde se enumerem igualmente contramedidas para evitar tais ameaças, e as medidas corretivas a tomar caso a ameaça se concretize, bem como a apresentação de uma lista hierarquizada de melhorias a introduzir; c) Da identificação dos riscos residuais por escrito. 3 - As empresas gestoras selecionam os controlos de segurança adequados com base na análise de riscos prevista na alínea a) do número anterior, e na norma ISO/IEC 27002, nas seguintes áreas da segurança: a) Avaliação de risco, adotando-se para o efeito a norma ISO/IEC 27005 ou outra metodologia de avaliação de riscos equivalente; b) Segurança física e ambiental; c) Segurança dos recursos humanos; d) Gestão de comunicações e operações; e) Medidas normalizadas de controlo do acesso; f) Aquisição, desenvolvimento e manutenção dos sistemas de informação; g) Gestão de incidentes no domínio da segurança das informações; h) Medidas para corrigir e mitigar violações dos sistemas de informação suscetíveis de causar a destruição, a perda acidental, a alteração, ou a divulgação ou acesso não autorizados dos dados pessoais a tratar; i) Conformidade; j) Segurança de redes informáticas, recomendando-se para o efeito a norma ISO/IEC 27033. 4 - A aplicação destas normas pode cingir-se apenas às partes da organização que são relevantes para a atividade das plataformas eletrónicas. Artigo 40.º Gestão de utilizadores, perfil de acesso e privilégios 1 - A plataforma eletrónica deve suportar perfis com diferentes privilégios, incluindo, no mínimo, os seguintes: a) Administrador de segurança; b) Administrador de sistemas; c) Operador de sistemas; d) Auditor de sistemas.

Descarregar páginas