Copyright © Dia Oficial 2025 | contato@diaoficial.com

DOE 09/06/2021 - Diário Oficial do Estado do Ceará

                            4
DIÁRIO OFICIAL DO ESTADO  |  SÉRIE 3  |  ANO XIII Nº134  | FORTALEZA, 09 DE JUNHO DE 2021
servirão como base para que as normas e os procedimentos sejam criados e detalhados; e
3.  Normas e Procedimentos, que especificam no plano tático os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes e 
servir como base para os procedimentos no plano operacional. Posteriormente, a partir da Política traçada neste documento, os órgãos e entidades estaduais 
deverão desenvolver suas Políticas de Segurança da Informação e Comunicação alinhadas com o Planejamento Estratégico de suas áreas e com as estratégias 
de Governo definidas com foco na modernização, inclusão digital e governança. Faz-se, portanto, necessário o acompanhamento permanente da aplicação 
dessa política pelo CGSI, considerando também o caráter dinâmico da segurança da informação e comunicação no âmbito nacional e internacional. Ela deve 
servir como guia para todos os órgãos e entidades implementarem e manterem a gestão de Segurança da Informação e Comunicação nos seus ambientes de 
Tecnologia da Informação e Comunicação – TIC.
Objetivo
O objetivo desta Política de Segurança da Informação e Comunicação dos Ambientes de TIC é estabelecer princípios e diretrizes gerais para a gestão da 
segurança da informação e comunicação dos ambientes de TIC de maneira a preservar a integridade, confidencialidade e disponibilidade das informações, 
posteriormente através de Instrução Normativa descrevendo as normas e procedimentos para o manuseio, controle e proteção das informações contra perdas, 
alterações, divulgações indevidas e acessos não autorizados.
Abrangência
A Política de Segurança da Informação e Comunicação dos Ambientes TIC deverá ser aplicada a todas as áreas, instalações, equipamentos, materiais, docu-
mentos, pessoas e sistemas de informação existentes nos Órgãos/Entidades estaduais, como também às atividades de todos os servidores, colaboradores, 
consultores externos, estagiários e prestadores de serviço que exercem atividades no âmbito do Governo do Estado do Ceará ou a quem venha a ter acesso 
a dados ou informações, incumbindo a cada um a responsabilidade e o comprometimento para a sua aplicação.
Diretrizes Gerais do Governo do Estado do Ceará para Segurança da Informação e Comunicação
Diretrizes do Princípio 1 - Alinhamento Estratégico
• Conflitos de negócios: Na existência de conflito entre os controles de segurança e uma necessidade de negócio específica, o novo cenário de controle 
deve ser analisado pelo CGSI e pelo órgão, a fim de viabilizar os objetivos da organização, havendo ainda a necessidade de registro da aceitação dos riscos 
remanescentes por parte da gestão.
• Gestão de Riscos: Os ativos, processos, produtos e serviços desenvolvidos, adquiridos, implementados ou disponibilizados do órgão/entidade devem ser 
submetidos a um processo formal de análise, avaliação e tratamento de riscos, visando atingir o grau de segurança adequado para o Governo do Estado.
• Gestão de Continuidade: Cada órgão/entidade deve estabelecer um conjunto de estratégias e planos de ação documentados, testados e revisados periodica-
mente, de maneira a garantir que os seus serviços essenciais sejam devidamente identificados, preservados e entregues, mesmo diante da ocorrência de um 
desastre até o retorno à situação normal de funcionamento da Instituição.
• Auditoria e Conformidade: O Governo do Estado por meio do CGSI reserva-se o direito de auditar periodicamente a prática da Política de Segurança da 
Informação e Comunicação dos Ambientes de TIC de forma a avaliar a conformidade das ações de seus colaboradores em relação ao estabelecido pela 
PoSIC da Instituição e pela legislação aplicável.
• Monitoramento: O Governo do Estado por meio do CGSI reserva-se o direito de monitorar o acesso e utilização de seus ambientes físicos, assim como dos 
equipamentos e sistemas tecnológicos, de forma que ações indesejáveis ou não autorizadas sejam detectadas pro ativamente.
• Fortalecer o alinhamento estratégico: A Política de Segurança da Informação e Comunicação dos Ambientes de TIC é agenda estratégica para o Governo 
do Estado do Ceará, devendo ser incluídas diretrizes e metas relacionadas ao assunto no planejamento estratégico de cada órgão/entidade para fortalecer o 
alinhamento entre o planejamento de TIC e o planejamento estratégico da instituição e do Governo do Estado no processo de planejamento e no atingimento 
das metas definidas. O objetivo é promover e motivar a criação de uma cultura de segurança da informação. Com isso, a estrutura responsável pela gestão 
da PoSIC é um dos pilares da Governança Institucional do órgão ou entidade e deve estar vinculada à alta administração.
• Objetivos estratégicos mínimos: O planejamento estratégico de cada órgão/entidade deve conter no mínimo os objetivos estratégicos “Assegurar estruturas 
e práticas de segurança da informação e comunicação” e “Fortalecer o alinhamento entre o planejamento de TIC, as estratégias do órgão/entidade e do 
Governo do Estado”.
• Responsabilidades dos gestores de TIC e de Ativos TIC: Os gestores de TIC e de ativos de TIC são responsáveis por acompanhar e seguir as Políticas de 
Segurança da Informação e Comunicação dos Ambientes de TIC do órgão/entidade e do Governo do Estado do Ceará.
• Responsabilidades da alta gestão: A alta gestão formada pelos dirigentes máximos do órgão/entidade é responsável por acompanhar e seguir as PoSIC da 
instituição e do Governo do Estado do Ceará, tendo como referência: Prover os recursos necessários à PoSIC; Promover o desenvolvimento de Políticas de 
Segurança da Informação e Comunicações dos Ambientes de TIC; Estimular a adoção de práticas de governança de segurança da informação e comunicações; 
Implementar práticas de gerenciamento de riscos e continuidade de negócios.
Objetivos Estratégicos relacionados às Diretrizes do Princípio 1 - Alinhamento Estratégico:
Objetivo Estratégico: Desenvolver e implantar uma Política de Segurança da Informação e Comunicação nos órgãos/entidades do Governo do Estado do Ceará.
 Ações Prioritárias
1. Adotar mecanismos para promover a elaboração, revisão, atualização, divulgação, conscientização e validação dos princípios, diretrizes, normas e proce-
dimentos da Política de Segurança da Informação e Comunicação nos órgãos/entidades estaduais;
2. Elaborar plano estratégico de segurança da informação e comunicação para viabilizar todos os recursos necessários para o cumprimento das Políticas de 
Segurança da Informação e Comunicação;
3. Selecionar mecanismos de segurança da informação e comunicação considerando fatores de riscos, tecnologias e custos;
4. Criar grupo responsável pela elaboração, implantação, acompanhamento, auditoria e revisão da Política de Segurança da Informação e Comunicação;
5. Criar comitê de gestão de segurança da informação para coordenar a política de segurança da informação e comunicação da instituição, e
6. Estabelecer mecanismos que possibilitem o processo de coleta, recuperação, análise e correlacionamento de dados para investigação de questões cíveis, 
criminais e administrativas, para proteger os usuários e recursos de TIC.
Objetivo Estratégico: Comunicar oficialmente e capacitar os usuários na Política de Segurança da Informação e Comunicação dos Ambientes de TIC adotada 
pelo Governo do Estado do Ceará, para garantir a conscientização e a prática.
Ações Prioritárias
1. Definir mecanismos para garantir a disseminação da cultura de segurança da informação e comunicação nos órgãos/entidades estaduais;
2. Estabelecer medidas para que a política de segurança da informação e Comunicação dos Ambientes de TIC seja cumprida de forma que as diretrizes, 
normas e procedimentos de segurança sejam aplicados por todos os usuários, e
3. Prover mecanismos de capacitação nos procedimentos de segurança e uso correto dos recursos de TIC para todos os usuários.
Diretrizes do Princípio 2 -  Diversidade Organizacional
• Alinhamento da política de segurança da informação e comunicação: A política de segurança da informação e comunicação dos órgãos/entidades deve estar 
alinhada com a política de segurança da informação e Comunicação dos Ambientes de TIC do Governo do Estado do Ceara.
• Natureza e finalidade das atividades: Deve ser respeitada a natureza e finalidade das atividades de cada órgão/entidade, quanto à elaboração de Políticas, 
Normas, Procedimentos e controles de segurança corporativa.
• Leis e regimentos: A Política de Segurança da Informação e comunicação deve respeitar as leis e regimentos inerentes a cada órgão/entidade.
Objetivos Estratégicos relacionados as Diretrizes do Princípio 2 -  Diversidade Organizacional:
Objetivo Estratégico: Desenvolver e implementar plano de contingência e respostas a incidentes, considerando a diversidade das atividades das Instituições, 
respeitando a natureza e finalidade de cada órgão/entidade de forma a assegurar a continuidade do negócio, bem como o seu reestabelecimento em situação 
de anormalidade.
Ações Prioritárias
1. Definir os processos e recursos críticos realizando análise de impacto de riscos para elaboração do plano de continuidade do negócio;
2. Estabelecer processos de proteção contra falhas e danos que comprometam as atribuições do Governo do Estado do Ceará;
3. Definir mecanismos formais e periodicamente testados para garantir a continuidade das atividades críticas e o retorno à situação de normalidade, e
4. Definir processo e criar procedimentos para gestão de incidentes.
Diretrizes do Princípio 3 - Garantia da Segurança das Informações
• Responsabilidade e Comprometimento: Todos os colaboradores do Governo do Estado do Ceará, em qualquer vínculo, função ou nível hierárquico, são 
responsáveis pela proteção e salvaguarda dos ativos físicos, tecnológicos e informações de que sejam usuários, dos ambientes físicos e computacionais a que 
tenham acesso, independente das medidas de segurança implementadas.
• Segurança das Comunicações: Garantir a segurança das comunicações entre os órgãos e entidades que compõem o Governo do Estado.
• Controle de Acessos: Os acessos aos ambientes físicos e computacionais devem ser controlados, registrados e monitorados, com base na necessidade de 
conhecer ações desenvolvidas e do privilégio de acesso mínimo para o desempenho das atividades profissionais.
• Notificação, Registro e Tratamento de Incidentes: Todos os colaboradores do Governo do Estado do Ceará, em qualquer vínculo, função ou nível hierár-
quico têm a obrigação de reportar imediatamente, por meio dos processos definidos no órgão/entidade, quaisquer incidentes de segurança que tomarem

Fechar