DOMFO 05/06/2019 - Diário Oficial do Município de Fortaleza - CE
DIÁRIO OFICIAL DO MUNICÍPIO
FORTALEZA, 05 DE JUNHO DE 2019
QUARTA-FEIRA - PÁGINA 21
vam viabilizar e assegurar a disponibilidade, a integridade, a
confidencialidade e a autenticidade das informações; XVI -
Sistema de Informação: um sistema, seja ele automatizado
(que pode ser denominado como Sistema Informacional Com-
putadorizado), seja manual, que abrange pessoas, máquinas
e/ou métodos organizados para coletar, processar, transmitir e
disseminar dados que representam informação para o usuário
e/ou cliente; XVII - Usuário: qualquer pessoa que utilize siste-
mas e/ou demais ativos de informação, incluindo colaboradores
e prestadores de serviço; XVIII - Gestão de Risco: conjunto de
processos que permite identificar e implementar as medidas de
proteção necessárias para minimizar ou eliminar os riscos a
que estão sujeitos os seus ativos de informação, e equilibrá-los
com os custos operacionais e financeiros envolvidos.
CAPÍTULO II
DAS DIRETRIZES
Seção I
Das Diretrizes Gerais
Art. 7º - São diretrizes da Política de Segurança
da Informação da SEFIN: I - estar em conformidade com os
objetivos estratégicos, processos, requisitos legais e estrutura
da SEFIN; II - estabelecer medidas e procedimentos para as-
segurar a disponibilidade, a integridade, a confidencialidade e a
autenticidade das informações; III - elaborar e implementar
mecanismos de auditoria e conformidade, com o objetivo de
garantir a exatidão dos registros de acesso aos ativos de infor-
mação e avaliar sua conformidade com as normas de Seguran-
ça da Informação em vigor; IV - implementar controles de aces-
so lógico aos softwares e redes de computadores e controles
de acesso físico às instalações, com o objetivo de preservar os
ativos de informação da SEFIN; V - definir regras de uso dos
ativos de informação institucionais, com o objetivo de evitar a
utilização, pelos agentes públicos ou colaboradores, para fins
particulares, como abuso de direito ou violação à imagem da
entidade, em desrespeito às leis, aos costumes e à dignidade
da pessoa humana; e VI - observar as boas práticas e proce-
dimentos de Segurança da Informação recomendados por
órgãos e entidades públicas e privadas responsáveis pelo es-
tabelecimento de padrões.
Seção II
Das Diretrizes Específicas
Art. 8º O Comitê Técnico de Segurança da Infor-
mação (CTSI), proporá normas e procedimentos destinados a
disciplinar e proteger o uso da informação no âmbito da SEFIN,
complementando os controles de gestão contidos na Política
de Segurança da Informação, sobre os seguintes temas: I –
classificação da informação; II - utilização aceitável de recursos
de tecnologia; III - gestão de identidades; IV - utilização de
notebooks e smartphones; V - utilização do correio eletrônico;
VI - gestão e resposta a Incidentes; VII - monitoramento de
ativos e serviços de informação; VIII - acesso remoto externo;
IX - uso de equipamentos computacionais pessoais; X - acesso
à internet e o uso de mídias sociais; XI - desenvolvimento de
sistemas computacionais; XII - manuseio de dados pessoais;
XIII - operação do datacenter; XIV - retenção de dados e políti-
ca de backup; XV - operação em disaster recovery; e XVI -
gestão de antivírus.
CAPÍTULO III
DA ESTRUTURA E SUAS RESPONSABILIDADES
Art. 9º - A estrutura da presente Política de Segu-
rança da Informação está organizada nos seguintes níveis: I -
Nível estratégico - Política de Segurança da Informação: consti-
tuída pela presente Portaria, define as normas de alto nível que
representam os princípios básicos incorporados pela organiza-
ção para o alcance dos objetivos de segurança da informação.
Serve de orientação e fundamento para que as regras e proce-
dimentos sejam criados e detalhados; II - Nível tático - Normas
de Segurança da Informação: contemplam obrigações a serem
seguidas de acordo com as diretrizes estabelecidas na Política
de Segurança da Informação. Especificam os controles que
deverão ser implementados para alcançar os objetivos de se-
gurança da informação definidos na PSI; III - Nível operacional
- Procedimentos de segurança da informação: detalham o
disposto na política e normas, permitindo a direta aplicação nas
atividades da organização. Art. 10 - Os documentos que inte-
gram os níveis da estrutura da presente Política de Segurança
da Informação devem ser revisados e aprovados, conforme o
caso, nos seguintes prazos: I - Política de Segurança: aprova-
ção pelo Secretário e revisão sempre que necessário, não
excedendo o período máximo de 2 (dois) anos; II - Normas de
Segurança da Informação: aprovação pela Comissão Técnica
de Segurança da Informação - CTSI e revisão sempre que
necessário, não excedendo o período máximo de 2 (dois) anos;
e III - Procedimentos: aprovação pelo gerente de Célula e revi-
são sempre que necessário, não excedendo o período máximo
de 01 (um) ano.
Seção I
Dos deveres e competências
Art. 11 - É dever do usuário em geral de tecnolo-
gia da informação na SEFIN: I - conhecer e cumprir os princí-
pios, diretrizes e responsabilidades desta Portaria e demais
normas e procedimentos relacionados à Política de Segurança
da Informação; II - atender aos requisitos de controle especifi-
cados pelos gestores e custodiantes da informação; III - zelar
pela proteção das informações da organização contra acesso,
destruição ou divulgação não autorizada; IV - proteger suas
credenciais de acesso (por exemplo: senhas de acesso); V -
assegurar que os recursos (computacionais ou não) colocados
à sua disposição sejam utilizados apenas para as finalidades
definidas pela organização; VI - cumprir com as leis e normas
que regulamentam os aspectos de propriedade intelectual; e
VII - comunicar ao setor apropriado qualquer descumprimento
da Política de Segurança da Informação e/ou das normas e
procedimentos. Art. 12 - É dever das empresas prestadores de
serviço de mão de obra terceirizada, em relação a seus empre-
gados: I - providenciar a assinatura de termos de Confidenciali-
dade e Responsabilidade, de seus empregados e prepostos,
antes que estes tenham acesso aos recursos computacionais
da SEFIN; II - orientar para o zelo e proteção das informações
da SEFIN contra acesso, destruição ou divulgação não autori-
zada; III - proteger suas credenciais de acesso, a exemplo de
crachás, login e senhas; IV - assegurar que os recursos (com-
putacionais ou não) colocados à sua disposição ou de seus
empregados sejam utilizados apenas para as finalidades defi-
nidas pela SEFIN; V - cumprir com as leis e normas que regu-
lamentam os aspectos de propriedade intelectual; e VI - comu-
nicar ao setor apropriado qualquer descumprimento da Política
de Segurança da Informação e das normas e procedimentos.
Art. 13 - É dever dos assessores, coordenadores, gerentes e
supervisores, em relação à unidade organizacional que geren-
cia: I - verificar a aderência desta Política, Normas e Procedi-
mentos de segurança da informação na abrangência de sua
área/unidade, comunicando à Comissão Técnica de Segurança
Técnica ou à Coordenadoria de Gestão Estratégica da Tecno-
logia da Informação - COGETI, eventuais irregularidades; II -
assegurar que suas equipes possuam acesso à Política, Nor-
mas e Procedimentos de Segurança da Informação; e III - revi-
sar periodicamente os direitos de acesso de suas equipes,
conforme solicitação da área de TI. Art. 14 - Compete à
COGETI, de acordo com sua Célula de atuação: I - operaciona-
lizar os normativos e procedimentos provenientes da Política de
Segurança da Informação relacionados aos recursos de TI; II -
manter os registros, de acordo com o que exige as normas,
procedimentos e legislação aplicável, de trilhas de auditoria,
cópias de segurança, logs, e demais medidas, que tenham por
objetivo dar rastreabilidade as informações; e III - apoiar as
iniciativas para a melhoria do nível de segurança da informação
da organização. Art. 15 - À Comissão Técnica de Segurança da
Informação (CTSI) compete: I - recomendar a elaboração e
Fechar