DOMFO 24/05/2019 - Diário Oficial do Município de Fortaleza - CE
DIÁRIO OFICIAL DO MUNICÍPIO
FORTALEZA, 24 DE MAIO DE 2019
SEXTA-FEIRA - PÁGINA 16
XV - Sistema de Gerenciamento de Segurança da Informação:
conjunto de políticas, normas, procedimentos e práticas que
objetivam viabilizar e assegurar a disponibilidade, a integrida-
de, a confidencialidade e a autenticidade das informações; XVI
- Sistema de Informação: um sistema, seja ele automatizado
(que pode ser denominado como Sistema Informacional Com-
putadorizado), seja manual, que abrange pessoas, máquinas
e/ou métodos organizados para coletar, processar, transmitir e
disseminar dados que representam informação para o usuário
e/ou cliente; XVII - Usuário: qualquer pessoa que utilize siste-
mas e/ou demais ativos de informação, incluindo colaboradores
e prestadores de serviço; XVIII - Gestão de Risco: conjunto de
processos que permite identificar e implementar as medidas de
proteção necessárias para minimizar ou eliminar os riscos a
que estão sujeitos os seus ativos de informação, e equilibrá-los
com os custos operacionais e financeiros envolvidos.
CAPÍTULO II
DAS DIRETRIZES
Seção I
Das Diretrizes Gerais
Art. 7º - São diretrizes da Política da Informação
da SEFIN: I - estar em conformidade com os objetivos estraté-
gicos, processos, requisitos legais e estrutura da SEFIN; II -
estabelecer medidas e procedimentos para assegurar a dispo-
nibilidade, a integridade, a confidencialidade e a autenticidade
das informações; III - elaborar e implementar mecanismos de
auditoria e conformidade, com o objetivo de garantir a exatidão
dos registros de acesso aos ativos de informação e avaliar sua
conformidade com as normas de Segurança da Informação em
vigor; IV - implementar controles de acesso lógico aos softwa-
res e redes de computadores e controles de acesso físico às
instalações, com o objetivo de preservar os ativos de informa-
ção da SEFIN; V - definir regras de uso dos ativos de informa-
ção institucionais, com o objetivo de evitar a utilização, pelos
agentes públicos ou colaboradores, para fins particulares, como
abuso de direito ou violação à imagem da entidade, em des-
respeito às leis, aos costumes e à dignidade da pessoa huma-
na; e VI - observar as boas práticas e procedimentos de Segu-
rança da Informação recomendados por órgãos e entidades
públicas e privadas responsáveis pelo estabelecimento de
padrões.
Seção II
Das Diretrizes Específicas
Art. 8º - O Comitê Técnico de Segurança da
Informação (CTSI), proporá normas e procedimentos destina-
dos a disciplinar e proteger o uso da informação no âmbito da
SEFIN, complementando os controles de gestão contidos na
Política de Segurança da Informação, sobre os seguintes
temas: I – classificação da informação; II - utilização aceitável
de recursos de tecnologia; III - gestão de identidades; IV - utili-
zação de notebooks e smartphones; V - utilização do correio
eletrônico; VI - gestão e resposta a incidentes; VII - monitora-
mento de ativos e serviços de informação; VIII - acesso remoto
externo; IX - uso de equipamentos computacionais pessoais; X
- acesso à internet e o uso de mídias sociais; XI - desenvolvi-
mento de sistemas computacionais; XII - manuseio de dados
pessoais; XIII - operação do datacenter; XIV - retenção de
dados e política de backup; XV - operação em disaster reco-
very; e XVI - gestão de antivírus.
CAPÍTULO III
DA ESTRUTURA E SUAS RESPONSABILIDADES
Art. 9º - A estrutura da presente Política de Segu-
rança da Informação está organizada nos seguintes níveis: I –
Nível estratégico – Política de Segurança da Informação: cons-
tituída pela presente Portaria, define as normas de alto nível
que representam os princípios básicos incorporados pela orga-
nização para o alcance dos objetivos de segurança da informa-
ção. Serve de orientação e fundamento para que as regras e
procedimentos sejam criados e detalhados; II – Nível tático -
Normas de Segurança da Informação: contemplam obrigações
a serem seguidas de acordo com as diretrizes estabelecidas na
Política de Segurança da Informação. Especificam os controles
que deverão ser implementados para alcançar os objetivos de
segurança da informação definidos na PSI; III -Nível operacio-
nal - Procedimentos de segurança da informação: detalham o
disposto na política e normas, permitindo a direta aplicação nas
atividades da organização. Art. 10 - Os documentos que inte-
gram os níveis da estrutura da presente Política de Segurança
devem ser revisados e aprovados, conforme o caso, nos se-
guintes prazos: I - Política de Segurança: aprovação pelo Se-
cretário e revisão sempre que necessário, não excedendo o
período máximo de 2 (dois) anos; II - Normas de segurança da
informação: aprovação pela Comissão Técnica de Segurança
da Informação - CTSI e revisão sempre que necessário, não
excedendo o período máximo de 2 (dois) anos; e III - Procedi-
mentos: aprovação pelo gerente de Célula e revisão sempre
que necessário, não excedendo o período máximo de 01 (um)
ano.
Seção I
Dos deveres e competências
Art. 11 - É dever do usuário em geral de tecnolo-
gia da informação na SEFIN: I - conhecer e cumprir os princí-
pios, diretrizes e responsabilidades desta Portaria e demais
normas e procedimentos relacionados à Política de Segurança;
II - atender aos requisitos de controle especificados pelos ges-
tores e custodiantes da informação; III - zelar pela proteção das
informações da organização contra acesso, destruição ou di-
vulgação não autorizada; IV - proteger suas credenciais de
acesso (por exemplo: senhas de acesso); V - assegurar que os
recursos (computacionais ou não) colocados à sua disposição
sejam utilizados apenas para as finalidades definidas pela
organização; VI - cumprir com as leis e normas que regulamen-
tam os aspectos de propriedade intelectual; e VII - comunicar
ao setor apropriado qualquer descumprimento da Política de
Segurança da Informação e/ou das normas e procedimentos.
Art. 12 - É dever das empresas prestadores de serviço de mão
de obra terceirizada, em relação a seus empregados: I – provi-
denciar a assinatura de termos de Confidencialidade e Res-
ponsabilidade, de seus empregados e prepostos, antes que
estes tenham acesso aos recursos computacionais da SEFIN;
II – orientar para o zelo e proteção das informações da SEFIN
contra acesso, destruição ou divulgação não autorizada; III –
proteger suas credenciais de acesso, a exemplo de crachás,
login e senhas; IV - assegurar que os recursos (computacionais
ou não) colocados à sua disposição ou de seus empregados
sejam utilizados apenas para as finalidades definidas pela
SEFIN; V - cumprir com as leis e normas que regulamentam os
aspectos de propriedade intelectual; e VI - comunicar ao setor
apropriado qualquer descumprimento da Política de Segurança
da Informação e das normas e procedimentos. Art. 13 - É dever
dos assessores, coordenadores, gerentes e supervisores, em
relação à unidade organizacional que gerencia: I - verificar a
aderências desta Política, Normas e Procedimentos de segu-
rança da informação na abrangência de sua área/unidade,
comunicando àComissão Técnica de Segurança Técnica ou à
Coordenadoria de Gestão Estratégica da Tecnologia da Infor-
mação - COGETI, eventuais irregularidades; II - assegurar que
suas equipes possuam acesso à Política, Normas e Procedi-
mentos de segurança da informação; e III - revisar periodica-
mente os direitos de acesso de suas equipes, conforme solici-
tação da área de TI. Art. 14 - Compete à COGETI, de acordo
com sua Célula de atuação: I - operacionalizar os normativos e
procedimentos provenientes da Política de Segurança da In-
formação relacionados aos recursos de TI; II - manter os regis-
tros, de acordo com o que exige as normas, procedimentos e
legislação aplicável, de trilhas de auditoria, cópias de seguran-
ça, logs, e demais medidas, que tenham por objetivo dar ras-
treabilidade as informações; e III - apoiar as iniciativas para a
melhoria do nível de segurança da informação da organização.
Art. 15. À Comissão Técnica de Segurança da Informação
(CTSI) compete: I – recomendar a elaboração e alteração de
Fechar