Copyright © Dia Oficial 2024 | contato@diaoficial.com

DOE 19/09/2023 - Diário Oficial do Estado do Ceará

                            100
DIÁRIO OFICIAL DO ESTADO  |  SÉRIE 3  |  ANO XV Nº176  | FORTALEZA, 19 DE SETEMBRO DE 2023
3.2. É responsabilidade da Célula de Infraestrutura de Tecnologia da Informação e Comunicação (Ceiti) a execução e a documentação de um processo de 
cópias de segurança dos ativos de informação que sustentam os sistemas de negócio da instituição, que deverá ser periodicamente revisado.
3.3. A documentação do processo de cópia de segurança deverá conter, pelo menos, as seguintes informações:
3.3.1. A abrangência do plano de cópia de segurança, com as respectivas justificativas de inclusão ou exclusão de algum dado e/ou sistema;
3.3.2. O plano para garantir os requisitos específicos de segurança da informação (SI) para as cópias de segurança. Tal plano deve contemplar ações para 
garantir, principalmente, a confidencialidade, a integridade e a disponibilidade das informações;
3.3.3. A frequência de realização das cópias de segurança e as respectivas justificativas para as periodicidades escolhidas;
3.3.4. Os tipos de cópia a serem realizadas, podendo ser do tipo completa, incremental ou diferencial;
3.3.5. O plano de teste de recuperação/restauração, a fim de detectar eventuais falhas lógicas e físicas, a periodicidade destes e as equipes que participarão 
dos testes;
3.3.6. O tempo de retenção das cópias de segurança, baseado em requisitos legais e na Norma de Gestão de Ativos e Classificação de Informação;
3.4. Cópias de segurança de dados e de software de servidores, e de outros sistemas essenciais devem ser regularmente produzidas e armazenadas, preferen-
cialmente em ambiente externo, de forma a garantir a recuperação, no caso de uma falha em um equipamento ou em mídia de armazenamento.
3.5. A salvaguarda dos dados em formato digital pertencentes a serviços de tecnologia da informação (TI) da Sefaz, mas custodiados por outras entidades, 
públicas ou privadas, como nos casos de serviços em nuvem, deve estar garantida nos acordos ou contratos que formalizam a relação entre os envolvidos.
3.6. Todos os sistemas críticos, a serem definidos pelas áreas de negócios, devem possuir procedimentos de contingência específicos formalmente definidos 
que devem ser testados e reavaliados periodicamente.
3.7. A frequência da geração das cópias de segurança deve ser determinada de acordo com a criticidade da informação para as operações de negócios da 
Sefaz, definidos na Norma de Gestão de Ativos e Classificação da Informação.
3.8. Cópias de segurança devem ser produzidas, preferencialmente, quando houver uma baixa utilização da rede e dos demais sistemas de informação.
3.9. Os recursos necessários à execução das cópias de segurança devem ser verificados de forma antecipada pela área responsável e garantidos durante todo 
o processo.
3.10. O grau de proteção aplicado às informações armazenadas em cópias de segurança deve ser igual ao aplicado à informação original em ambiente de 
produção.
3.11. Todas as cópias de segurança devem identificar a origem da informação e quaisquer outras informações que possibilitem a sua identificação única.
4. ARMAZENAMENTO DE CÓPIAS DE SEGURANÇA
4.1. O armazenamento e o acesso às cópias de segurança devem seguir os padrões definidos nas Norma de Controle de Acesso Lógico e Norma de Segurança 
Física.
4.2. O armazenamento de cópia de segurança dos ativos de informação deve preservar os requisitos de segurança da informação, em especial, confidencia-
lidade, integridade e a disponibilidade das informações.
4.3. As cópias de segurança devem ser armazenadas: fora do ambiente da Sefaz em salas-cofre especiais que garantam a proteção em caso de incêndio, 
enchentes e vazamentos de gases, em instituições aprovadas e com os mesmos níveis de proteção da localidade original ou em instalações da própria Sefaz, 
distintas da localidade original, mas que apresentem os mesmos requisitos previamente definidos, ou ainda em serviços em nuvem que devem garantir os 
níveis de segurança acordados em contrato.
4.4. As cópias de segurança devem ser armazenadas em ambiente compatível às especificações estabelecidas pelo fabricante das mídias utilizadas, tais como 
limites de temperatura e umidade.
4.5. O armazenamento de cópias de segurança deve levar em consideração o tempo de vida útil da mídia utilizada, conforme informado por seu fabricante.
5. CÓPIAS DE SEGURANÇA DE SISTEMAS EM DESENVOLVIMENTO
5.1. Durante a fase do desenvolvimento ou manutenção de software, o código-fonte de um sistema deve ser resguardado por cópia de segurança.
5.2. O responsável pelo ativo deverá definir quais repositórios de códigos-fonte deverão ser incluídos no processo de cópia e a frequência que as mesmas 
ocorrerão.
5.3. Para os sistemas em produção, nos servidores localizados na estrutura centralizada, a cópia de segurança deve ser atualizada diariamente.
5.4. Os níveis dos controles de segurança aplicados às cópias de segurança dos ambientes de desenvolvimento e de homologação devem ser equivalentes 
aos do ambiente de produção.
6. CÓPIAS DE SEGURANÇA DE SERVIDORES, EQUIPAMENTOS DE REDE E DISPOSITIVOS MÓVEIS
6.1. As cópias de segurança de servidores remotos (que não estejam localizados na estrutura centralizada) deverão ser definidas caso a caso, considerando 
a infraestrutura local de cada uma delas e os recursos disponíveis. As cópias que não puderem aproveitar a infraestrutura existente na estrutura centralizada 
deverão possuir alternativas locais de infraestrutura para atender aos requisitos da PSI, em especial, desta norma.
6.2. Informações críticas armazenados off-line em dispositivos móveis, como por exemplo: celulares, notebooks, tablets etc., devem ser transferidos pelo 
responsável para o local apropriado na rede o quanto antes, de modo a assegurar a sua atualização e a devida salvaguarda por meio da cópia de segurança 
corporativa. Dados armazenados em ambiente fora do padrão estabelecido na Norma de Uso de Recursos de Informática não serão incluídos no processo de 
cópias de segurança e ficarão a cargo do responsável pelo ativo que os contém.
6.3. A Ceiti será responsável por manter atualizado e executar um procedimento para a realização de cópias de segurança das configurações de equipamentos 
que desempenham tarefas críticas, tais como ativos de conectividade e servidores.
6.4. As configurações de ativos deverão ser armazenadas em conformidade com o padrão estabelecido pela Norma de Uso de Recursos de Informática.
7. TESTES DAS CÓPIAS DE SEGURANÇA
7.1. A Ceiti será responsável por realizar testes regulares de restauração das cópias de segurança, a fim de detectar eventuais falhas lógicas e físicas e poderá 
solicitar que o proprietário do ativo participe da validação do processo.
7.2. Caso os testes detectem mídias com problema, deve haver um processo para análise e substituição das mesmas, uma nova cópia de segurança deve ser 
realizada e armazenada em outra mídia e um novo teste deve ser realizado no menor prazo possível.
7.3. Os testes devem recuperar toda a informação armazenada nos volumes testados ou validar a condição física da mídia.
7.4. Os testes devem ser evidenciados através da geração de um relatório operacional contendo a descrição do processo executado, listagem dos problemas 
encontrados, data, hora e a identificação das mídias que foram testadas. O relatório deve conter também a identificação do executante, bem como a aprovação 
da Ceiti.
7.5. Os relatórios operacionais devem ser armazenados em repositório com acesso controlado e deve ser retido por um período mínimo de 12 (doze) meses.
8. DESCARTE DE CÓPIAS DE SEGURANÇA
8.1. O descarte de mídias utilizadas para armazenar cópias de segurança deve seguir o padrão estabelecido pela Norma de Gestão de Ativos e Classificação 
da Informação, considerando a classificação das informações nelas contidas.
8.2. As atividades de descarte de mídias utilizadas para armazenar cópias de segurança devem ser formalmente aprovadas e registradas de forma a produzir 
trilhas de auditoria.
9. EXCEÇÕES
9.1. Os casos omissos, excepcionais e eventuais dúvidas serão resolvidos pelo Comitê de Segurança da Informação e Privacidade de Dados (CSIPD).
10. PENALIDADES
10.1. O não cumprimento da Norma de Cópias de Segurança por parte dos colaboradores estará sujeito às penalidades previstas nas esferas administrativa, 
civil e penal.
11. ELUCIDÁRIO
11.1. Confidencialidade: Propriedade da informação pela qual não estará disponível ou divulgada a indivíduos, entidades ou processos sem autorização. É a 
garantia do resguardo das informações dadas pessoalmente em confiança e proteção contra a sua revelação não autorizada.
11.2. Cópia de Segurança Completa: Modalidade de cópia na qual todos os dados são copiados integralmente.
11.3. Cópia de Segurança Diferencial: Modalidade de cópia na qual somente os arquivos novos e modificados desde a última cópia de segurança completa 
são copiados.
11.4. Cópia de Segurança Incremental: Modalidade de cópia na qual somente os arquivos novos e modificados desde a última cópia de segurança são copiados.
11.5. Disponibilidade: Qualidade da informação que pode ser conhecida e utilizada por indivíduos, equipamentos ou sistemas autorizados.
11.6. Informação Crítica: Informações cuja perda de suas propriedades possam causar grande impacto à instituição.
11.7. Integridade: Qualidade da informação não modificada, inclusive quanto à origem, trânsito e destino.
11.8. Sistemas Críticos: Sistemas da área de negócio que geram grande impacto às atividades finalísticas da instituição caso sofram parada por tempo prolongado.

Fechar