Copyright © Dia Oficial 2025 | contato@diaoficial.com

DOMCE 19/05/2022 - Diário Oficial dos Municípios do Ceará 

                            Ceará , 19 de Maio de 2022   •   Diário Oficial dos Municípios do Estado do Ceará   •    ANO XIII | Nº 2957 
 
www.diariomunicipal.com.br/aprece                                                                               68 
 
CONSIDERANDO QUE O PREVIMIL armazena informações 
cadastrais, funcionais e financeiras dos servidores segurados 
obrigatórios do RPPS de MILAGRES-CE, de seus próprios 
funcionários, resolve através da presente PORTARIA, prover e dar 
conhecimento a todos os servidores do PREVIMIL, as regras que se 
segue: 
  
CAPÍTULO I 
DOS FUNDAMENTOS 
  
Art. 1º - Um sistema de segurança da informação baseia-se em três 
princípios básicos: 
a) Confidencialidade, 
b) Integridade e 
c) Disponibilidade. 
  
§ 1º - Se falar em segurança da informação, deve-se levar em 
consideração estes três princípios básicos, pois toda ação que venha a 
comprometer qualquer um desses princípios, atentará contra a sua 
segurança. 
  
§ 2º - Confidencialidade: A confidencialidade é a garantia de que a 
informação é acessível somente por pessoas autorizadas a terem 
acesso. Caso a informação seja acessada por uma pessoa não 
autorizada, 
intencionalmente 
ou 
não, 
ocorre 
a 
quebra 
da 
confidencialidade. A quebra desse sigilo pode acarretar danos 
inestimáveis para a empresa ou até mesmo para uma pessoa física. 
  
§ 3º - Integridade: A integridade é a garantia da exatidão e completeza 
da informação e dos métodos de processamento. Garantir a 
integridade é não permitir que a informação seja modificada, alterada 
ou destruída sem autorização; que ela seja legítima e permaneça 
consistente. Quando a informação é alterada, falsificada ou furtada, 
ocorre à quebra da integridade. A integridade é garantida quando se 
mantém a informação no seu formato original. 
  
§ 4º - Disponibilidade: A disponibilidade é a garantia de que os 
usuários autorizados obtenham acesso à informação e aos ativos 
correspondentes sempre que necessário. Quando a informação está 
indisponível para o acesso, ou seja, quando os servidores estão 
inoperantes por conta de ataques e invasões, considera-se um 
incidente de segurança da informação por quebra de disponibilidade. 
Mesmo as interrupções involuntárias de sistemas, ou seja, não 
intencionais, configuram quebra de disponibilidade. 
  
Art. 2º - Sobre o SISTEMA DE GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO (SGSI) devem-se obedecer as seguintes normas de 
Política de Segurança da Informação; 
a) Organização da segurança da informação; 
b) Gestão de ativos; 
c) Segurança em recursos humanos; 
d) Segurança física e do ambiente; 
e) Gestão das operações e comunicações; 
f) Controle de acesso; 
g) Aquisição, desenvolvimento e manutenção de sistemas de 
informação; 
h) Gestão de incidentes de segurança da informação 
i) Gestão da continuidade do negócio e conformidade; 
j) Sigilo sobre as informações acessadas pelos integrantes do 
PREVIMIL 
  
Parágrafo único - O sistema de gestão de segurança da informação é o 
resultado 
da 
sua 
aplicação 
planejada, 
diretrizes, 
políticas, 
procedimentos, modelos e outras medidas administrativas que, de 
forma conjunta, definem como são reduzidos os riscos para a 
segurança da informação. 
  
Art. 3º - CLASSIFICANDO AS INFORMAÇÕES 
a) A principal razão em classificar as informações, é de que elas não 
possuem o mesmo grau de confidencialidade, ou então as pessoas 
podem ter interpretações diferentes sobre o nível de confidencialidade 
da informação. 
b) Antes de se iniciar o processo de classificação é necessário 
conhecer o processo de negócio da organização, compreender as 
atividades realizadas e, a partir disso, iniciar as respectivas 
classificações. 
c) As informações podem ser classificadas em informações públicas, 
quando não necessita de sigilo algum; informações internas, quando o 
acesso externo as informações deve, ser negado; e informações 
confidenciais, quando essas devem ser confidenciais tanto dentro da 
empresa quanto fora dela e protegidas contra tentativas de acesso 
interno e/ou externo. 
  
Art. 4º - A definição clássica é que o ativo compreende ao conjunto de 
bens e direitos de uma entidade. Entretanto, atualmente, um conceito 
mais amplo tem sido adotado para se referir ao ativo como tudo aquilo 
que possui valor para a empresa. 
  
Parágrafo único - A informação ocupa um papel de destaque no 
ambiente das organizações empresariais, e também adquire um 
potencial de valorização para as empresas e para as pessoas, passando 
a ser considerado o seu principal ativo. 
  
Art. 5º - A ameaça pode ser considerada um agente externo ao ativo 
de informação, pois se aproveita de suas vulnerabilidades para quebrar 
um ou mais dos princípios básicos da segurança da informação – a 
confidencialidade, integridade e/ou disponibilidade. 
  
Parágrafo único - As ameaças podem ser divididas em dois tipos 
básicos: As naturais - são aquelas que se originam de fenômenos da 
natureza; As involuntárias - são as que resultam de ações desprovidas 
de intenção para causar algum dano, e; As intencionais - são aquelas 
deliberadas, que objetivam causar danos, tais como às realizadas pelos 
hackers ou crackers. 
  
Art. 6º - A vulnerabilidade é definida como uma fragilidade de um 
ativo ou grupo de ativos que pode ser explorada por uma ou mais 
ameaças. Vulnerabilidade são as fraquezas presentes nos ativos, que 
podem ser exploradas, seja ela intencionalmente ou não, resultando 
assim na quebra de um ou mais princípios da segurança da 
informação. 
  
§ 1º - Após terem sido identificadas as vulnerabilidades ou os pontos 
fracos, é possível dimensionar os riscos ao qual o ambiente está 
exposto e assim definir medidas de segurança apropriadas para sua 
correção. 
  
§ 2º - As vulnerabilidades podem advir de vários aspectos: instalações 
físicas desprotegidas contra incêndios, inundações, desastres naturais; 
material inadequado empregado nas construções; ausência de política 
de segurança para RH; funcionários sem treinamento e/ou locais de 
trabalho insatisfatórios; ausência ou não utilização de procedimento 
de controle de acesso e/ou utilização de equipamentos por pessoal 
contratado sem a observância dos requisitos citados anteriormente ou 
desautorizados; equipamentos obsoletos, sem manutenção e sem 
restrições para sua utilização; além de softwares sem patch de 
atualização e/ou sem licença de funcionamento. 
  
Art. 7º - Com relação à segurança, os riscos são compreendidos como 
condições que criam ou aumentam os potenciais de danos e perdas. É 
medido pela possibilidade de um evento vir a acontecer e produzir 
perdas. 
  
Art. 8º - Para evitar possíveis perdas de informações, que dependendo 
do seu grau de sigilo, poderá levar a empresa a problemas graves, é 
necessária a elaboração de uma gestão de riscos, onde os riscos são 
determinados e classificados, sendo depois realizado um conjunto 
equilibrado de medidas de segurança que permitirá reduzir ou 
eliminá-los a que o órgão possa estar sujeito além de garantir melhor 
eficiência nas ações preventivas. 
  
Art. 9º - O backup dos sistemas deve ser armazenado periodicamente 
em outra mídia, e guardado o mais longe possível do ambiente atual, 
como em outro setor (cofre da instituição, por exemplo). O 
procedimento de backup é um dos recursos mais efetivos para 
assegurar a continuidade das operações em caso de paralisação por 
conta da ocorrência de algum sinistro.

Fechar