Copyright © Dia Oficial 2024 | contato@diaoficial.com

DOE 23/04/2024 - Diário Oficial do Estado do Ceará

                            40
DIÁRIO OFICIAL DO ESTADO  |  SÉRIE 3  |  ANO XVI Nº075  | FORTALEZA, 23 DE ABRIL DE 2024
10.3.O acesso à informação sigilosa deverá observar o princípio do privilégio mínimo, sendo concedido apenas aos colaboradores autorizados pelo 
gestor imediato e pelo gestor da área responsável pela informação.
10.4.O acesso à informação sigilosa cria a obrigação para aquele que a obteve de resguardar a confidencialidade.
10.5.A pessoa física ou entidade privada que, em razão de qualquer vínculo com a Sefaz, executar atividades de tratamento de informações sigilosas 
deve adotar as providências necessárias  para que seus empregados, prepostos ou representantes observem as medidas e procedimentos de segurança 
da informação resultante da aplicação deste Normativo.
10.6.Sempre que necessário, deverá ser gerado extrato público ou com menor grau de sigilo, de forma a que a informação sigilosa não comprometa 
a disponibilidade das que com ela estiverem armazenadas.
10.7.Para informações sigilosas, definidas nos termos deste Normativo, deve ser aplicado um conjunto de controles administrativos e tecnológicos 
compatíveis com os danos potenciais à imagem ou às operações vitais ao negócio da Sefaz, decorrentes do uso ou do acesso não autorizado à informação.
10.8.O conjunto de controles administrativos e tecnológicos de que trata o item 10.6 será objeto de ato normativo expedido pelo CSAI, por provo-
cação do Comitê de Segurança da Informação e Dados Pessoais (CSIPD).
11.EXCEÇÕES
11.1.Os casos omissos, excepcionais e eventuais dúvidas quanto à aplicação da Política de Segurança da Informação (PSI) serão resolvidos pelo 
Comitê de Segurança da Informação e Privacidade de Dados (CSIPD).
12.PENALIDADES
12.1.O não cumprimento da Norma da Gestão de Ativos e Classificação da Informação por parte dos colaboradores estará sujeito às penalidades 
previstas nas esferas administrativa, civil e penal.
13.ELUCIDÁRIO
CGAI: Comitê Gestor do Poder Executivo Estadual de Acesso à informação.
CSAI: Comitê Setorial de Acesso à Informação da Sefaz.
Classificação da Informação: ação que qualifica a informação quanto à confidencialidade.
Confidencialidade: princípio de segurança da informação que visa a garantir que a informação seja acessada somente por pessoas ou processos que tenham 
autorização para tal.
Informação de Interesse Público: toda aquela informação que não é de caráter pessoal ou classificada como sigilosa.
Informação Sigilosa: aquela submetida temporariamente à restrição de acesso público em razão de sua imprescindibilidade para a segurança da sociedade e 
do Estado, podendo ser classificada em Reservada, Secreta e Ultrassecreta.
Informação Reservada: as que ficam sob sigilo durante o prazo de 5 (cinco) anos e no caso do Estado, as que puderem colocar em risco a segurança dos 
Chefes de Poderes, inclusive Corte de Contas e Ministério Público.
Informação Secreta: as que ficam sob sigilo durante o prazo de 15 (quinze) anos.
Informação Ultrassecreta: as que ficam sob sigilo durante o prazo de 25 (vinte e cinco) anos.
Informação Pessoal: aquela relacionada à pessoa natural identificada ou identificável.
Tratamento da Informação: conjunto de ações referentes à produção, recepção, classificação, utilização, acesso, reprodução, transporte, transmissão, distri-
buição, arquivamento, armazenamento, eliminação, avaliação, destinação ou controle da informação.
ANEXO III A QUE SE REFERE A PORTARIA N°098/2024 - NORMA DE SEGURANÇA FÍSICA
1.APRESENTAÇÃO
1.1.Este documento visa estabelecer e difundir a Norma de Segurança Física no âmbito da Secretaria da Fazenda do Estado do Ceará (Sefaz), visando 
definir regras para prevenir o acesso físico não autorizado, danos e interferências nas instalações e informações, além de proteger e restringir acesso 
a informações ou sistemas que armazenem dados sigilosos da instituição.
2.ABRANGÊNCIA
2.1.Essa norma engloba as áreas internas da secretaria, proporcionando orientar os procedimentos de proteção das informações, instalações e ativos 
de TI, visando prevenir o acesso físico não autorizado aos sistemas que armazenam e processam dados da instituição, não se aplicando às áreas 
públicas externas.
2.2.Este normativo se aplica aos colaboradores, visitantes e aos prestadores de serviço que realizam atividades nas unidades da Sefaz.
3.PERÍMETRO DE SEGURANÇA
3.1.A definição de perímetros de segurança deve levar em consideração a classificação dos ambientes em 3 (três) diferentes áreas:
3.1.1.Área Pública - Áreas que correspondem ao perímetro externo às dependências da instituição, tais como ruas, avenidas e áreas circunvizinhas.
3.1.2.Área Protegida - Áreas que correspondem às dependências de trabalho tais como escritórios, salas e instalações de processamento de infor-
mações, áreas de entrega, entre outros.
3.1.3.Área Segura - Áreas que contenham informações, dispositivos ou serviços imprescindíveis aos negócios, tais como salas de servidores, salas 
de operação e monitoramento, cofres, arquivos, salas e armários com informações sensíveis e locais com equipamentos, infraestrutura e utilidades 
de TI (switches, roteadores, storage, dispositivos elétricos, de dados e voz, nobreaks, entre outros).
3.2.Perímetros de segurança devem ser definidos em todas as unidades da Sefaz de forma a evitar o acesso ao público externo sem prévia autorização 
às áreas protegidas e às áreas seguras.
3.3.Os perímetros de segurança devem proteger de forma apropriada contra acessos não autorizados do público externo às dependências da Sefaz, 
utilizando para este fim controles físicos como, por exemplo, recepção, catracas, biometria,  portas com trancas, entre outros.
3.4.Todas as portas de incêndio dentro do perímetro devem possuir dispositivo para fechamento automático.
3.5.Em áreas seguras, que possuem acesso restrito, devem ser afixados avisos, normalmente na respectiva porta de acesso, facilmente visíveis, 
alertando sobre as restrições ao acesso à área, indicando que somente pessoal autorizado tem acesso.
4.CONTROLES DE ENTRADA FÍSICA
4.1.Procedimentos de controle de acesso físico devem ser implementados de forma a restringir o acesso às áreas protegidas e seguras. Os procedi-
mentos de controle de acesso devem, quando necessário, contemplar, entre outros:
4.1.1.A utilização de dispositivos de identificação pessoal (crachá);
4.1.2.Circuito Fechado de TV - CFTV;
4.1.3.Restrições de horários de acesso e permanência;
4.1.4.Controle de acesso de colaboradores e visitantes;
4.1.5.Movimentação de bens ou ativos entrando ou saindo das dependências da Sefaz.
4.2.Nas unidades da Sefaz nas quais funciona o sistema de controle eletrônico de acesso de pessoas (catraca), o acesso de servidores, prestadores de 
serviço terceirizados e visitantes, dar-se-á, por meio do seu registro de acesso no sistema, que será definido em portaria específica.
4.3.Os registros de monitoramento tais como gravações em vídeo, relação de pessoas que tiveram acesso a uma área segura, entre outros, devem 
ser mantidos e controlados em conformidade com a legislação vigente.
4.4.A entrada e saída de equipamentos de informática tais como computadores, notebooks, servidores, switches, impressoras, entre outros, deve ser 
registrada e controlada conforme portaria específica.
4.5.Áreas de entrega, carregamento, estacionamento, assim como outros pontos em que pessoas não autorizadas possam entrar na Sefaz devem ser 
controlados e monitorados.
5.AMBIENTES DE PROCESSAMENTO DE INFORMAÇÕES
5.1.Entende-se por ambientes de processamento de informações os locais, dentro de uma área protegida ou de uma área segura, nos quais as infor-
mações sob custódia da Sefaz são processadas.
5.2.Os locais de armazenagem de informações sensíveis ou críticas devem ser protegidos a fim de evitar o acesso não autorizado e, caso essas 
informações estejam armazenadas em suporte físico, o mesmo deve ser armazenado em armários trancados adequados e/ou em outras formas de 
mobiliário de segurança, quando não estiverem em uso, especialmente fora do horário do expediente.
5.3.Ao utilizar áreas comuns, tais como salas de reunião, os colaboradores devem zelar para a retirada de todas as informações e materiais utilizados, 
bem como descartar informações impressas e apagar de forma adequada anotações feitas em quadros e flipcharts.
5.4.Devem ser adotados controles para minimizar o risco de ameaças físicas potenciais, tais como furto, incêndio, explosivos, fumaça, água (ou falha 
do suprimento de água), poeira, vibração, efeitos químicos, interferência com o suprimento de energia elétrica, interferência com as comunicações, 
radiação eletromagnética e vandalismo.
5.5.As condições ambientais como temperatura e umidade devem ser monitoradas para a detecção de condições que possam afetar negativamente 
os recursos de processamento da informação.
6.ÁREAS SEGURAS

Fechar