Copyright © Dia Oficial 2024 | contato@diaoficial.com

DOE 19/09/2023 - Diário Oficial do Estado do Ceará

                            102
DIÁRIO OFICIAL DO ESTADO  |  SÉRIE 3  |  ANO XV Nº176  | FORTALEZA, 19 DE SETEMBRO DE 2023
3.8. REGULAMENTAÇÃO DE CONTROLES DE CRIPTOGRAFIA
3.8.1. Devem ser avaliadas as leis aplicáveis quando do uso de hardware e software para execução de funções criptográficas, visando à conformidade com 
acordos, leis, regulamentos ou outros instrumentos adotados pelo Brasil ou por países que controlam o uso de criptografia.
4. CONFORMIDADE E ANÁLISE CRÍTICA DA SEGURANÇA DA INFORMAÇÃO
4.1. Aspectos Gerais
4.1.1. A análise crítica da segurança da informação tem por objetivo garantir que a SI seja implementada e operada de acordo com as políticas e os proce-
dimentos adotados pela Sefaz.
4.1.2. O cumprimento da PSI deve ser periodicamente submetido à análise crítica independente para garantir a adequação e a eficiência da Política e se as 
práticas dos colaboradores refletem apropriadamente o que está nela definido.
4.1.3. Devem ser implementados procedimentos informatizados necessários no sentido de ajudar a garantir a observância das políticas e normas que venham 
a ser instituídas pelo Governo do Estado do Ceará e pela Sefaz, como a PSI e todos os normativos que a integram.
4.2. ANÁLISE CRÍTICA INDEPENDENTE DA SEGURANÇA DA INFORMAÇÃO
4.2.1. O gerenciamento da SI e a sua implementação serão analisados criticamente, de forma independente, a intervalos planejados ou quando ocorrerem 
mudanças significativas.
4.2.2. A análise crítica independente será determinada pelo Comitê de Segurança da Informação e Privacidade de Dados (CSIPD), ou por provocação.
4.2.3. A análise crítica independente é necessária para assegurar a contínua pertinência, adequação e eficácia do enfoque da organização para gerenciar a SI.
4.2.4. Durante os trabalhos relativos à análise crítica independente, deverá ser efetuada a avaliação de oportunidades para a melhoria e a necessidade de 
mudanças com o enfoque na SI, incluindo a política e os objetivos de controle.
4.2.5. A análise crítica será executada por pessoas independentes da área avaliada.
4.2.5.1. A execução poderá ser realizada pela Área de Governança em SI e Privacidade de Dados ou por outra área a critério do CSIPD.
4.2.5.2. A equipe de análise crítica independente deverá ser composta, obrigatoriamente, por um profissional que possua habilidades e experiência na área 
de SI ou matéria afim às áreas analisadas desta Sefaz.
4.2.6. Os resultados da análise crítica independente serão registrados e relatados para o CSIPD e serão mantidos em arquivo seguro.
4.2.7. Identificado que a implementação para o gerenciamento da SI é inadequada ou não conforme com as orientações estabelecidas pela SI, o CSIPD 
tomará as ações corretivas, nos termos da PSI.
4.3. CONFORMIDADE COM AS POLÍTICAS E PROCEDIMENTOS DE SEGURANÇA DA INFORMAÇÃO
4.3.1. A Área de Governança em SI e Privacidade de Dados deve analisar, de forma crítica, em intervalos regulares, se os procedimentos e o processamento 
da informação da Sefaz está em conformidade com a PSI e com demais requisitos de SI.
4.3.2. Poderão ser utilizadas ferramentas de notificação e de medições automáticas para mensurar o atendimento adequado aos requisitos de SI.
4.3.3. Achado qualquer situação de não conformidade como resultado da análise crítica, o CSIPD e a Área de Governança em SI e Privacidade de Dados deverão:
4.3.3.1. Identificar as causas de não conformidade;
4.3.3.2. Avaliar a necessidade de ações para atender à conformidade;
4.3.3.3. Implementar ação corretiva apropriada;
4.3.3.4. Analisar criticamente a ação corretiva adotada, com vistas a constatar a sua eficácia e identificar quaisquer deficiências ou fragilidades.
4.3.4. Os resultados das análises críticas e das ações corretivas operadas serão registrados e mantidos em arquivo seguro.
4.4. ANÁLISE CRÍTICA DA CONFORMIDADE TÉCNICA
4.4.1. Os sistemas de informação serão analisados criticamente, em intervalos regulares, para verificar a conformidade com a PSI e suas normas regulamentares.
4.4.2. A execução poderá ser realizada pela Área de Governança em SI e Privacidade de Dados ou por outra área a critério do CSIPD.
4.4.3. A verificação da conformidade técnica envolve a análise dos sistemas operacionais para garantir que controles de hardware e software foram correta-
mente implementados, o que exige conhecimentos técnicos especializados pela equipe realizadora de testes de invasão e de avaliação de vulnerabilidades.
4.4.4. A verificação de conformidade técnica será analisada de maneira crítica, preferencialmente, com o apoio de uma ferramenta automática, a qual gerará 
relatórios técnicos para a interpretação pelos especialistas técnicos.
4.4.4.1. Como modo alternativo, análises críticas manuais (auxiliadas por ferramentas de software apropriadas, se necessário) podem ser realizadas por um 
colaborador com experiência em sistemas ou contratado que possua qualificação técnica adequada e experiência em análise em sistemas de informação.
4.4.4.2. Testes de invasão ou avaliação de vulnerabilidades poderão ser realizados para aferir a conformidade e a confiabilidade dos sistemas de informação, 
bem como a eficiência na prevenção de acessos não autorizados.
4.4.4.3. Os testes de invasão ou de avaliação de vulnerabilidades deverão ser planejados, documentados e repetidos.
4.4.4.4. No caso de realização dos testes, a unidade administrativa gestora tomará as precauções necessárias, para que tais atividades não conduzam a 
comprometimento da segurança do sistema.
4.4.5. Os testes de invasão e as avaliações de vulnerabilidades não substituem a avaliação de risco, por fornecer retrato instantâneo para um tempo específico, 
bem como limitam-se para as partes do sistema realmente testadas.
5. AUDITORIA DE SEGURANÇA DA INFORMAÇÃO
5.1. A Auditoria de Segurança da Informação tem por objetivo verificar os controles existentes em SI da Sefaz, suas regras de negócio e a aderência à 
legislação pertinente.
5.2. A necessidade de Auditoria de SI deve ser verificada regularmente, produzindo um relatório de auditoria. Essa verificação deve contemplar, entre outros:
5.2.1. Análise dos documentos que compõem a PSI;
5.2.2. Resultados de auditorias anteriores;
5.2.3. Indicadores de SI;
5.2.4. Análise dos incidentes de SI registrados;
5.2.5. Informações relativas a análises de risco.
5.3. Requisitos e atividades de Auditoria de SI devem ser planejados para minimizar o risco de interrupção dos processos de negócio envolvidos, devendo 
o planejamento contemplar, dentre outros:
5.3.1. Áreas, usuários, processos e sistemas que serão auditados;
5.3.2. Controles de SI que serão auditados;
5.3.3. Estratégia de comunicação com todos os envolvidos;
5.3.4. Identificação dos auditores;
5.3.5. Independência dos auditores em relação às atividades auditadas;
5.3.6. Cronograma de execução da auditoria.
5.4. A Auditoria de SI será regulamentada por normativas, que, além de observar à legislação vigente, à PSI e a este documento, tratarão dos responsáveis 
pela sua condução, o planejamento, o plano de ações, o procedimento, o relatório a ser gerado e os resultados de auditoria para a adoção das medidas cabíveis.
6. EXCEÇÕES
6.1. Os casos omissos, excepcionais e eventuais dúvidas quanto à aplicação da PSI serão resolvidos pelo CSIPD.
7. PENALIDADES
7.1. O não cumprimento da Norma de Conformidade por parte dos colaboradores estará sujeito às penalidades previstas nas esferas administrativa, civil e penal.
8. ELUCIDÁRIO
8.1. Ativos de informação: os meios de armazenamento, transmissão e processamento, os sistemas de informação, bem como os locais onde se encontram 
esses meios e as pessoas que a eles têm acesso.
8.2. Autoridade Nacional de Proteção de Dados (ANPD): autarquia de natureza especial, dotada de autonomia técnica e decisória, com patrimônio próprio 
e com sede e foro no Distrito Federal.
8.3. Criptografia: conjunto de técnicas pensadas para proteger uma informação de modo que apenas o emissor e receptor consigam compreendê-la.
8.4. Colaboradores: servidores, consultores externos, estagiários, prestadores de serviços ou a quem quer que venha a ter acesso a dados ou informações da Sefaz.
8.5. Funções criptográficas: formas de criptografar uma informação de modo que apenas o emissor e o receptor consigam compreendê-la.
8.6. Processos de negócio: modo como a Sefaz se organiza internamente para atingir seus objetivos e conseguir oferecer um produto ou serviço de qualidade.
8.7. Sistemas de informação: todo mecanismo projetado com a finalidade de coletar, processar, armazenar e transmitir informações, de maneira a facilitar o 
acesso de usuários interessados, solucionando problemas e atendendo suas necessidades.

Fechar