DOE 23/04/2024 - Diário Oficial do Estado do Ceará
42
DIÁRIO OFICIAL DO ESTADO | SÉRIE 3 | ANO XVI Nº075 | FORTALEZA, 23 DE ABRIL DE 2024
13.8.Perímetro de segurança - Consiste em segmentar os ambientes físicos a fim de proporcionar diferentes níveis de proteção prevenindo contra
possíveis ameaças.
13.9.Dados - Codificação dos fatos em sua forma bruta ou natural, registrando uma ocorrência atual ou histórica. Todos os elementos que servem
de base para a formação de opiniões ou para a tomada de decisões. Um dado é apenas um índice, um registro, uma manifestação objetiva, passível
de análise, exigindo interpretação da pessoa para sua manipulação. Em si, os dados têm pouco valor, mas quando classificados, armazenados e
relacionados entre si, eles permitem a obtenção de informações. A informação apresenta significado e intencionalidade, aspectos que a diferenciam
do conceito de dados.
ANEXO IV A QUE SE REFERE A PORTARIA N°098/2024 - NORMA DE RESPONSABILIDADE PARA OS GESTORES
1.APRESENTAÇÃO
1.1.Este documento visa estabelecer e difundir a Norma de Responsabilidade para Gestores no âmbito da Secretaria da Fazenda do Estado do Ceará
(Sefaz), definindo critérios, controles e responsabilidades que devem ser conhecidos e seguidos por todos os colaboradores que exerçam funções
gerenciais na instituição, sem prejuízo das responsabilidades atribuídas aos gestores previstas em outras normas.
2.ABRANGÊNCIA
2.1.A Norma de Responsabilidades para Gestores deve ser aplicada a todos os ocupantes de cargos ou funções comissionadas gerenciais da Sefaz.
2.2.Entende-se por cargos ou funções comissionadas gerenciais, os cargos de Secretário, Secretário Executivo, Coordenador, Orientador, Supervisor,
Administrador ou qualquer outro cargo de natureza gerencial criado no âmbito da Secretaria da Fazenda.
3.RESPONSABILIDADES DOS GESTORES
3.1.O controle e autorização do uso dos recursos de segurança da informação, da Sefaz ou de terceiros, disponíveis em sua área somente podem ser
utilizados por pessoa autorizada e seu uso deve ser limitado aos assuntos de interesse da instituição.
3.2.A supervisão adequada dos recursos sob sua responsabilidade, visando preservar a integridade física, o seu bom funcionamento, além da correta
e eficiente utilização de tais instrumentos, respeitando as recomendações do fornecedor e de acordo com as normas em vigor.
3.3.A autorização de entrada e saída de todo e qualquer recurso relacionado à Segurança da Informação em sua área ou delegar oficialmente essa
atribuição a outro colaborador.
3.4.A análise periódica dos treinamentos relacionados à Segurança da Informação (SI) necessários para a correta e eficiente execução dos trabalhos
da área.
3.5.A definição de um ou mais responsáveis para classificação das informações (gestor da informação) geradas na sua área visando definir o grau
de confidencialidade e criticidade para a Sefaz, para o Estado e para o público.
3.6.A concessão de acesso às informações ou aos recursos de informação deve ser solicitada formalmente pelo gestor do colaborador.
3.7.Caso ocorra mudança do colaborador para outro setor, os perfis de acesso aos recursos devem ser readequados, conforme solicitação do novo
gestor imediato. Os acessos antigos devem ser imediatamente cancelados conforme solicitação do antigo gestor imediato.
3.8.Revisar periodicamente, quando solicitado, o perfil de acesso aos ativos, sistemas e dispositivos de processamento de informações na Sefaz.
3.9.Nos casos de desligamento, o gestor da lotação do colaborador deverá formalizar e comunicar o desligamento ou transferência à área de Gestão
de Pessoas.
3.10.Comunicar toda e qualquer ocorrência que não esteja em consonância com os procedimentos de segurança estabelecidos pela PSI .
3.11.Ao terem ciência, ou ao serem notificados sobre incidentes que envolvam recursos ou informações sob sua responsabilidade, colaborar com
eventuais investigações e tratar os incidentes com a devida urgência e acordos de nível de serviço pré definidos.
3.12.Disseminar permanentemente a Política de Segurança da Informação (PSI).
4.COMPETÊNCIAS DOS GESTORES
4.1.Cabe ao Gestor autorizar:
4.1.1.A restauração das cópias de segurança das informações sob sua gestão, devendo encaminhar solicitação formal à Ceiti.
4.1.2.A liberação do login do usuário em caso de impossibilidade de acesso à rede.
4.1.3.Caso ocorra a expiração ou bloqueio da senha, o colaborador fica impedido de acessar os recursos de informática correspondentes, cabendo
ao gestor de sua unidade solicitar o desbloqueio ou a geração de uma nova senha à Ceiti.
4.2.Cabe ao Secretário, Secretários Executivos, Coordenadores, além das previstas neste normativo e em outros:
4.2.1.Garantir o cumprimento da PSI, inclusive disponibilizando recursos necessários para tanto.
5.EXCEÇÕES
5.1.Os casos omissos, excepcionais e eventuais dúvidas quanto à aplicação da PSI serão resolvidos pelo Comitê de Segurança da Informação e
Privacidade de Dados (CSIPD).
6.PENALIDADES
6.1.O não cumprimento da Norma de Responsabilidades para Gestores por parte dos gestores estará sujeito às penalidades previstas nas esferas
administrativa, civil e penal.
7.ELUCIDÁRIO
7.1.Ativo de informação - Tudo aquilo que armazene e/ou manipule direta ou indiretamente uma informação. Em termos de segurança das infor-
mações, um ativo pode ser um computador, bases de dados e arquivos, uma impressora, um fichário na mesa da secretária, o próprio usuário, etc.
Não deve ser confundido com o ativo patrimonial.
7.2.Colaboradores: servidores, terceirizados, consultores externos, estagiários, prestadores de serviços ou a quem quer que venha a ter acesso a
dados ou informações da Sefaz.
7.3.Servidor: todos aqueles que mantêm vínculo de trabalho profissional com os órgãos e entidades governamentais, integrados em cargos ou empregos.
7.4.Gestor: todo aquele que administra uma área responsável pelos recursos do seu ambiente.
7.5.Cargo comissionado gerencial: os cargos de Secretário, Secretário Executivo, Coordenador, Orientador, Articulador, Supervisor, Administrador
ou qualquer outro cargo comissionado de natureza gerencial criado no âmbito da Secretaria da Fazenda.
7.6.Recursos de segurança da informação: os dispositivos, sistemas e canais de comunicação que processem, armazenem ou trafegam dados da
Sefaz, sejam tais recursos de propriedade da instituição, ou de propriedade particular.
ANEXO V A QUE SE REFERE A PORTARIA N°098/2024 - NORMA DE GESTÃO DE INCIDENTE DE SEGURANÇA DA INFORMAÇÃO
1. APRESENTAÇÃO
1.1.Este documento visa a estabelecer a Norma de Gestão de Incidentes de Segurança da Informação no âmbito da Secretaria da Fazenda do Estado
do Ceará (SEFAZ), visando a definir as diretrizes para assegurar a aplicação de um enfoque consistente e efetivo na gestão de incidentes de segu-
rança da informação (SI).
2.ABRANGÊNCIA
2.1.A Norma de Gestão de Incidentes de Segurança da Informação:
2.1.1.Tem alcance a todas as áreas da SEFAZ no que se refere à prevenção e tratamento de incidentes de segurança de informação, visando à
minimização do impacto; e
2.1.2.Fornece diretrizes para registro, coleta e análise de evidências, contenção de incidentes de segurança da informação, bem como recuperação
e atividades pós-incidentes.
3.GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO
3.1.Para fins deste normativo, incidente de segurança da informação é o evento adverso, confirmado ou sob suspeita, resultante de ação ou omissão,
relacionado a sistema de informação analógico ou computacional, que ameace ou comprometa os princípios de segurança da informação, que
possa resultar em ações indevidas ou não autorizadas para o acesso, divulgação, modificação, produção ou destruição de informação. Incidentes de
segurança de informação incluem, mas não estão limitados a:
3.1.1.Violações à Lei Geral de Proteção de Dados Pessoais (LGPD);
3.1.2.Documentação sensível armazenada sem proteção adequada;
3.1.3.Violação da política de segurança da informação;
3.1.4.Disseminação indevida ou evasão de informações;
3.1.5.Discussão de assuntos sigilosos em ambientes públicos;
3.1.6.Perdas ou extravios externos de dispositivos de acesso, como chaves, tokens, ou cartões de identificação;
3.1.7.Sabotagem de processos, instalações ou sistemas;
3.1.8.Mudanças no ambiente computacional de produção sem o devido registro e aprovação;
3.1.9.Intrusão de ambientes computacionais;
Fechar