Copyright © Dia Oficial 2024 | contato@diaoficial.com

DOE 19/09/2023 - Diário Oficial do Estado do Ceará

                            96
DIÁRIO OFICIAL DO ESTADO  |  SÉRIE 3  |  ANO XV Nº176  | FORTALEZA, 19 DE SETEMBRO DE 2023
3.1.3. Garantia da segurança das informações: deve-se sempre buscar a implantação e utilização de controles que busquem garantir a confidencialidade, 
disponibilidade e integridade das informações na Sefaz e em suas unidades. Esses controles devem incluir a classificação do grau de confidencialidade, 
disponibilidade e criticidade, bem como uma política para acesso e manuseio das informações.
3.1.4. Propriedade da informação: toda informação produzida ou armazenada na Sefaz é de sua propriedade, e não de seu corpo funcional e daqueles a quem 
venham prestar-lhes serviços, exceto os casos em que a instituição atua como custodiante da informação, devendo seu uso ser destinado, exclusivamente, a 
atender aos seus interesses, respeitados os demais ditames legais vigentes.
3.1.5. Conformidade com os aspectos legais: devem ser cumpridas as normas legais e regulamentares de abrangência estadual e federal, as políticas e as dire-
trizes estabelecidas para o negócio e para as atividades do estado, com vistas a evitar, detectar e tratar qualquer desvio ou inconformidade que possa ocorrer.
4. DIRETRIZES DE SEGURANÇA DA INFORMAÇÃO
4.1. Governança: as iniciativas e os projetos das áreas de negócio devem estar alinhados com a PSI e com os princípios e diretrizes de segurança da infor-
mação, garantindo a confidencialidade, integridade e disponibilidade das informações.
4.2. Responsabilidade e Comprometimento: todos os colaboradores da Sefaz, em qualquer vínculo, função ou nível hierárquico, são responsáveis pela 
proteção e salvaguarda dos ativos físicos, tecnológicos e de informações de que sejam usuários, dos ambientes físicos e computacionais a que tenham acesso, 
independentemente das medidas de segurança implementadas.
4.3. Conflitos: na existência de conflito entre os controles de segurança e uma necessidade de negócio específica, um novo cenário de controle deve ser 
analisado e implementado a fim de viabilizar os objetivos da organização, havendo ainda a necessidade de registro da aceitação dos riscos remanescentes 
por parte da administração.
4.4. Gestão de Riscos: todos os ativos, processos, produtos e serviços desenvolvidos, adquiridos, implementados ou disponibilizados devem ser submetidos a 
um processo formal de identificação, análise, verificação de vulnerabilidades, avaliação e tratamento de riscos, visando atingir o grau de segurança adequado 
para a Sefaz, a fim de possibilitar a adoção de medidas de forma proporcional à criticidade dos riscos envolvidos.
4.5. Gestão de Continuidade: a Sefaz deve estabelecer um conjunto de estratégias e planos de ação documentados, testados e revisados periodicamente, 
de maneira a garantir que os seus serviços essenciais sejam devidamente identificados, preservados e entregues diante da ocorrência de incidentes, até a 
normalização da situação.
4.6. Classificação e Tratamento da Informação: todas as informações e os respectivos recursos tecnológicos que as suportam devem ser classificados de 
acordo com seu grau de sigilo e receberem o devido tratamento para assegurar sua proteção durante todo o ciclo de vida.
4.7. Controle de Acessos: o acesso aos ambientes físicos e lógicos da Sefaz deve ser controlado, registrado e monitorado, com base nos princípios da neces-
sidade de conhecer e do privilégio mínimo para o desempenho das atividades profissionais.
4.8. Notificação, Registro e Tratamento de Incidentes: os colaboradores da Sefaz devem reportar imediatamente, por meio da central de atendimento aos 
usuários, quaisquer incidentes de segurança que tomaram conhecimento, de modo que possam ser registrados, avaliados e tratados.
4.9. Auditoria e Conformidade: periodicamente, a Sefaz deverá auditar a prática de SI, de forma a avaliar a conformidade de ações de seus colaboradores 
em relação ao estabelecido pela PSI e pela legislação aplicável.
4.10. Monitoramento: a Sefaz reserva-se o direito de monitorar o acesso e a utilização de seus ambientes físicos, assim como dos ambientes, equipamentos 
e sistemas tecnológicos, de forma que ações indesejáveis ou não autorizadas sejam detectadas proativamente.
4.11. Treinamento e Conscientização: todos os colaboradores devem conhecer a PSI e ser capacitados regularmente por meio de campanhas de conscientização 
e treinamentos, de acordo com suas funções, garantindo assim maior efetividade e eficácia das ações de segurança da instituição.
4.12. Revisão e Análise Crítica: o conjunto de documentos que compõem a PSI da Sefaz devem passar por revisões e análises críticas periódicas, ou sempre 
que ocorrer fato ou evento relevante que motive sua revisão antecipada.
5. PAPÉIS E RESPONSABILIDADES
A Segurança da Informação é dever e compromisso de todos. Os papéis e responsabilidades são os seguintes:
5.1. Usuários
5.1.1. Respeitar integralmente a PSI;
5.1.2. Responder pela guarda e proteção dos recursos computacionais colocados à sua disposição para a realização das suas atividades;
5.1.3. Responder pelo uso exclusivo e intransferível de suas credenciais de acesso lógico ou físico, como senhas, biometria, crachás, tokens, dentre outros;
5.1.4. Informar ao DPO os incidentes em segurança da informação relativos ao tratamento de dados pessoais a que se refere a Lei nº 13.709, de 14 de agosto 
de 2018 (LGPD);
5.1.5. Relatar prontamente ao superior imediato ou à central de atendimento aos usuários qualquer fato ou ameaça que possa comprometer a SI, como, por 
exemplo, utilização inadequada de recursos, quebra da segurança, mau funcionamento, vulnerabilidades, etc.
5.2. Comitê de Segurança da Informação e Privacidade de Dados
5.2.1. Promover a elaboração, atualização, validação e divulgação da PSI, conforme surjam mudanças tecnológicas, operacionais, físicas e humanas que 
possam impactar os processos de negócios, de forma a garantir a continuidade do negócio nas indisponibilidades dos recursos críticos;
5.2.2. Supervisionar a execução da PSI, estabelecendo critérios que permitam o seu monitoramento e a sua avaliação, bem como o cumprimento dos controles 
envolvidos;
5.2.3. Determinar monitoramentos e auditorias da PSI, em conformidade com as principais normas de referência existentes, bem como com a eficácia e a 
efetividade dos controles adotados;
5.2.4. Promover a elaboração e a implantação de planos de continuidade de negócios e planos de recuperação de desastres;
5.2.5. Disseminar a cultura de SI em todos os ambientes da Sefaz, propondo campanhas de conscientização sobre ela;
5.2.6. Deliberar sobre assuntos relativos à aplicação do conteúdo da PSI, bem como dar encaminhamento aos casos de descumprimento dos seus normativos;
5.2.7. Instituir equipe de prevenção, tratamento e resposta a incidentes cibernéticos.
5.3. Gestor de Segurança da Informação - GSI
5.3.1. Presidir o Comitê de Segurança da Informação e Privacidade de Dados;
5.3.2. Coordenar a elaboração da PSI e das normas internas de SI da Sefaz;
5.3.3. Assessorar a alta administração na implementação da PSI;
5.3.4. Manter o CSIPD informado da ocorrência de incidentes de SI no ambiente corporativo de TIC, bem como as ações de contenção e correção adotadas, 
em caráter emergencial ou definitiva;
5.3.5. Propor ao CSIPD os recursos necessários às ações de SI;
5.3.6. Coordenar e executar as ações de SI no âmbito de sua atuação;
5.3.7. Coordenar o monitoramento e os trabalhos de auditoria sobre a gestão da SI.
5.4. Área de Governança em SI e Privacidade de Dados
5.4.1. Gerenciar e monitorar o SGSI da Sefaz, bem como propor as adaptações necessárias para garantir a melhoria contínua desse sistema de gestão;
5.4.2. Propor a edição dos atos normativos necessários à execução da PSI;
5.4.3. Apresentar ao CSIPD proposta de revisão da PSI, de modo a atualizá-la frente a novos requisitos;
5.4.4. Planejar, executar e monitorar as atividades relativas ao estabelecimento dos objetivos de segurança da informação, que devem ser consistentes com 
a PSI, mensuráveis, comunicados e atualizados conforme apropriado, definindo quais recursos serão necessários, quem serão os responsáveis, os prazos de 
conclusão e os critérios de avaliação dos resultados;
5.4.5. Apoiar as unidades da Sefaz na definição e implementação de processos de trabalho e de procedimentos necessários à proteção de suas informações;
5.4.6. Monitorar e avaliar periodicamente as práticas de SI adotadas pela Sefaz;
5.4.7. Analisar, acompanhar e avaliar os projetos e as principais iniciativas de caráter institucional, relacionadas à SI, das diferentes coordenadorias da Sefaz;
5.4.8. Elaborar e implementar programas sobre SI destinados à conscientização e à capacitação, estimulando ações de capacitação e de profissionalização 
dos colaboradores em temas relacionados à SI;
5.4.9. Coordenar, com o apoio das demais unidades competentes, ações permanentes voltadas à divulgação, treinamento, educação e conscientização sobre 
a PSI e as demais normas internas de SI do órgão;
5.4.10. Coordenar e avaliar o tratamento dos incidentes em SI, com vistas a identificar os motivos que levaram ao comprometimento da SI;
5.4.11. Articular-se com centros de prevenção, tratamento e resposta a incidentes cibernéticos, acompanhando os trabalhos da equipe de resposta, bem como 
as medidas de contenção e correção adotadas;
5.4.12. Estabelecer os requisitos mínimos de segurança para o uso dos produtos que incorporem recursos de SI, de modo a assegurar a disponibilidade, a 
integridade, a confidencialidade e a autenticidade da informação;
5.4.13. Incentivar estudos de novas tecnologias, bem como seus eventuais impactos relacionados à SI;
5.4.14. Planejar, executar e acompanhar as atividades de monitoramento e auditoria de conformidade da PSI às principais normas de referência existentes, 
bem como a eficácia e efetividade dos controles de SI adotados;
5.4.15. Acompanhar a aplicação de ações corretivas e administrativas cabíveis nos casos de violação da SI;

Fechar