Copyright © Dia Oficial 2025 | contato@diaoficial.com

DOE 09/06/2021 - Diário Oficial do Estado do Ceará

                            5
DIÁRIO OFICIAL DO ESTADO  |  SÉRIE 3  |  ANO XIII Nº134  | FORTALEZA, 09 DE JUNHO DE 2021
conhecimento, de modo que possam ser registrados, avaliados e tratados.
• Treinamento e Conscientização: Todos os colaboradores devem conhecer esta Política de Segurança da Informação e Comunicação dos Ambientes de TIC e 
serem capacitados regularmente por meio de campanhas de conscientização e treinamentos, de acordo com suas funções, garantindo assim maior efetividade 
e eficácia das ações de segurança da Informação e comunicação.
• Revisão e análise crítica: Os conjuntos de documentos que compõem a Política de Segurança da Informação e Comunicação dos Ambientes de TIC devem 
passar por revisões e análises críticas periódicas em no máximo 4 (quatro) anos, ou sempre que ocorrer fato ou evento relevante que motive sua revisão 
antecipada.
• Proteção Física: Toda proteção física deve ser compatível com o risco identificado.
• Ameaças Externas: Deve ser estabelecida também a proteção contra ameaças externas e do meio ambiente, como proteção contra incêndios e enchentes 
ou outras formas de desastres naturais.
• Cópias de Segurança: Gerar no mínimo cópias de segurança dos dados classificados como críticos e sua respectiva restauração em tempo aceitável, a fim 
de não prejudicar o bom andamento das atividades do órgão/entidade com uso preferencial do ambiente de nuvem.
• Suporte jurídico: A implantação de uma PoSIC deve contar com suporte jurídico ou de profissionais qualificados sobre os aspectos legais e seus requisitos.
Objetivos Estratégicos relacionados as Diretrizes do Princípio 3 - Garantia da Segurança das Informações:
Objetivo Estratégico: Definir procedimentos de rotina para a execução de cópias de segurança e disponibilização dos recursos de reserva.
Ações Prioritárias
1. Implantar rotina de backup (cópias), armazenamento, testes de integridade e recuperação de dados (restore) preferencialmente utilizando o ambiente de nuvem;
2. Implantar normas e responsabilidades sobre o controle das mídias de software.
Objetivo Estratégico: Garantir de forma segura o acesso e manuseio das informações no âmbito do Governo do Estado do Ceará.
Ações Prioritárias
1. Definir normas e procedimentos de acesso a dados, informações e conhecimentos por pessoas do próprio órgão/entidade, por outros órgãos/entidades e 
terceiros.
Objetivo Estratégico: Assegurar que os sistemas de processamento em operação e em implantação possuam documentação suficiente para garantir sua 
manutenibilidade, instalação e utilização.
Ações Prioritárias
1. Definir e implantar metodologias de desenvolvimento de sistemas implementando requisitos de segurança.
2. Implantar a cultura de documentação de sistemas de processamento como manuais técnicos e operacionais, e
3. Definir procedimentos para controle de liberação de ativos de TIC.
Objetivo Estratégico: Garantir que apenas pessoas autorizadas tenham acesso a funcionalidades e informações dos sistemas de processamento.
Ações Prioritárias
1. Manter controle de acesso a todos os sistemas utilizando identificação de uso pessoal e intransferível e com validade estabelecida, que permita de maneira 
clara o seu reconhecimento;
2. Prever trilhas de auditoria nos sistemas de processamento críticos, e
3. Definir controles para que usuários detenham acesso apenas aos recursos necessários e imprescindíveis ao desenvolvimento do seu trabalho.
Diretrizes do Princípio 4 - Propriedade da informação
• Uso de Correio: Assegurar que o uso do Correio Eletrônico institucional seja disciplinado, ficando claro para os usuários o conceito de não privacidade no 
seu uso, sendo utilizado preferencialmente serviços em nuvem.
• Uso da internet: Assegurar que o acesso à Internet, provido pelo Governo do Estado, seja disciplinado, ficando claro para os usuários o conceito de não 
privacidade no seu uso.
• Proprietários e Ativos de TIC: Os ativos de TIC devem ser identificados, assim como seus respectivos proprietários. Aos proprietários desses ativos deve 
ser atribuída a responsabilidade pela manutenção da sua segurança.
• Informações sensíveis: Funcionários com acesso a informações sensíveis devem ser adequadamente analisados antes da liberação de acesso.
• Direitos de Acesso: Deve ser prevista também uma forma de retirar direitos de acesso e de devolução de ativos, caso o vínculo empregatício do colaborador 
(funcionário, terceirizado ou comissionado) seja encerrado.
• Informações Críticas: O processamento de informações críticas ou sensíveis deve ser mantido em áreas seguras, com controle de acesso apropriado, prefe-
rencialmente em ambiente de nuvem.
• Acessibilidade, Disponibilidade e Integridade: Garantir a acessibilidade, disponibilidade e integridade das informações para o acesso público.
• Interoperabilidade: Viabilizar a interoperabilidade e acessibilidade entre os órgãos e entidades que compõem o Governo do Estado.
• Certificação Digital: Incentivar e apoiar o estudo e implantação de soluções de segurança e certificação digital, observando o cumprimento de requisitos 
de segurança mínimos e a interoperabilidade entre todos os órgãos e entidades que compõem o Governo do Estado, sendo essas soluções baseadas preferen-
cialmente em código aberto quando aplicável.
Objetivos Estratégicos relacionados as Diretrizes do Princípio 4 - Propriedade da informação:
Objetivo Estratégico: Estabelecer que as condições e termos de licenciamento de softwares e direitos de propriedade intelectual devam ser respeitados.
Ações Prioritárias
1. Definir normas para instalação de softwares com objetivo de combater o uso de cópia ilegal;
2. Garantir o controle das licenças de softwares utilizados pelo órgão/entidade;
3. Adotar procedimentos para que a instalação e uso de softwares e sistemas computacionais, devam ser homologados e autorizados pelo setor competente 
do órgão/entidade, e
4. Definir mecanismos para cessão de softwares e sistemas computacionais no âmbito do Governo do Estado do Ceará.
Objetivo Estratégico: Adotar critérios relacionados ao uso de ativos de TIC no Governo do Estado do Ceará.
 Ações Prioritárias
1. Manter os ativos de TIC críticos em áreas seguras e adequadas, protegidos contra perigos ambientais e com implantação de controles de acesso, prefe-
rencialmente utilizando o ambiente de nuvem;
2. Inventariar os ativos, classificando-os quanto à importância, prioridade e nível de proteção;
3. Proteger os ativos de TIC de roubo e modificação, definindo controles de forma a minimizar a perda ou dano;
4. Adotar controles de acesso físico e lógico para uso de ativos no âmbito do Governo do Estado do Ceará;
5. Estabelecer processos de aquisição de bens e serviços baseados em preceitos legais;
6. Aprimorar e/ou definir critérios de seleção, movimentação ou desligamento de pessoal que impactam na segurança da informação e comunicação, e
7. Implementar mecanismos de registro de históricos dos ativos de TI, garantindo a sua rastreabilidade.
Objetivo Estratégico: Estabelecer responsabilidades e requisitos básicos de utilização da Internet e correio eletrônico no âmbito do Governo do Estado do Ceará.
Ações Prioritárias
1. Elaborar plano de comunicação para conscientização de que o uso da internet e correio eletrônico não é um direito e sim uma concessão;
2. Disseminar o conceito de não privacidade do uso da Internet e correio eletrônico.
Objetivo Estratégico: Assegurar que todos os usuários ao utilizarem esses serviços deverão fazê-los no estrito interesse dos órgãos e entidades mantendo 
uma conduta profissional, especialmente em se tratando da utilização de bem público.
Ações Prioritárias
1. Implantar mecanismos de autenticação e monitoramento, que determinem a titularidade de todos os acessos à Internet e correio eletrônico, e
2. Criar mecanismos de controle da demanda e da disponibilidade, garantindo a qualidade do serviço.
Diretrizes do Princípio 5 - Alinhamento com os aspectos legais
• Conformidade Legal – Aderência às leis: Assegurar que os órgãos e entidades, cumpram e façam cumprir as leis que vigoram no país, em especial as leis 
de combate à pedofilia, preconceito racial, pirataria de software e do direito autoral.
• Conformidade Legal - A gestão da segurança da informação e comunicação: Deve atender aos requisitos legais dos órgãos regulatórios de segurança da 
informação e comunicação do Governo Municipal, Estadual e Federal, assim como, às normas ABNT de segurança da informação, aplicáveis ao negócio 
da instituição.
• Conformidade Legal - Cumprimento do decreto estadual vigente: Devem ser adotadas medidas para o cumprimento do decreto estadual vigente, que esta-
belece a Política de Segurança da Informação e Comunicação dos Ambientes de TIC para o Governo do Estado do Ceará.
• Conformidade Legal - Aderência às normas técnicas e boas práticas: Deve-se buscar aderência às normas técnicas e boas práticas que regem a Gestão da 
Segurança da Informação e Comunicação. Devem ser consideradas as legislações específicas de cada setorial.
• Classificação e Tratamento da Informação: Todas as informações e os respectivos recursos tecnológicos que as suportam devem ser classificados de acordo 
com seu grau de sigilo e receber o devido tratamento para assegurar sua proteção durante todo o ciclo de vida. A Classificação de Informação como sigilosa

Fechar