Copyright © Dia Oficial 2025 | contato@diaoficial.com

DOE 08/10/2019 - Diário Oficial do Estado do Ceará

                            e Uso de Senhas, Boas Práticas no Uso dos Recursos Computacionais, etc.
Os Procedimentos Operacionais documentarão como os vários procedimentos 
técnicos devem ser executados, estabelecendo atribuições e responsabilidades 
de agentes públicos específicos, tanto para autorização como para execução 
dos mesmos.
2 O que é Segurança da Informação
A informação é um ativo essencial para os negócios de uma organização 
e como tal necessita ser adequadamente protegida. Isto é especialmente 
importante em ambientes corporativos, cada vez mais interconectados. Como 
resultado desse processo de interconexão, a informação está, cada vez mais, 
exposta a um grande número de ameaças.
A informação pode existir em diversas formas. Pode ser impressa, escrita em 
papel, armazenada eletronicamente, transmitida pelo correio ou por meios 
eletrônicos, apresentada em filmes ou falada em conversas. Seja qual for a 
forma apresentada ou o meio através do qual a informação é compartilhada 
ou armazenada, é recomendado que esteja sempre protegida adequadamente.
Segurança da Informação é a proteção da informação de vários tipos de 
ameaças para garantir a continuidade do negócio, minimizar o risco, maximizar 
o retorno sobre investimentos e aproveitar oportunidades.
Assim, a PoSIC visa estabelecer diretrizes que permitam aos colaboradores 
e clientes da Seplag seguirem padrões de comportamento, relacionados à 
Segurança da Informação, adequados às necessidades de negócio e de proteção 
legal do órgão e do indivíduo.
A PoSIC objetiva assegurar que as informações tenham:
• Integridade: propriedade de que a informação não foi modificada ou destruída 
de maneira não autorizada ou acidental;
• Confidencialidade: propriedade de que a informação não esteja disponível 
ou revelada à pessoa física, sistema, órgão ou entidade não autorizado e 
credenciado;
• Disponibilidade: propriedade de que a informação esteja acessível e utilizável 
sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade;
3 Importância da Segurança da Informação
A Segurança da Informação é importante para os negócios, tanto no setor 
público como no setor privado, e para proteger as infraestruturas críticas. 
Em ambos os setores, a função da Segurança da Informação é viabilizar os 
negócios e evitar ou reduzir os riscos relevantes. A interconexão de redes 
públicas e privadas e o compartilhamento de recursos de informação aumentam 
a dificuldade de se controlar o acesso.
A informação e os processos de apoio, sistemas e redes de computadores são 
importantes ativos para os negócios de uma organização. Definir, alcançar, 
manter e melhorar a Segurança da Informação podem ser atividades essenciais 
para assegurar o bom desempenho, o atendimento aos requisitos legais e a 
imagem da organização perante a sociedade.
As organizações, seus sistemas de informações e redes de computadores são 
expostos a diversos tipos de ameaças, incluindo fraudes eletrônicas, espio-
nagem, sabotagem, vandalismo, incêndio, inundação, etc. Danos causados 
por código malicioso e hackers são freqüentes, estando esses cada vez mais 
ambiciosos e incrivelmente mais sofisticados.
Muitos sistemas de informação não são projetados de forma segura. A Segu-
rança da Informação que pode ser alcançada por meios técnicos é limitada e 
deve ser apoiada por uma gestão e por procedimentos apropriados. A identi-
ficação de controles a serem implantados requer um planejamento cuidadoso 
e uma atenção aos detalhes.
4 Objetivo
Estabelecer diretrizes para a Segurança da Informação e utilização dos recursos 
de Tecnologia da Informação e Comunicação (TIC) da Seplag, de acordo 
com seus requisitos de negócio e com as leis e regulamentos pertinentes.
5 Abrangência
A PoSIC deverá ser aplicada a todos os setores que compõem a Seplag, bem 
como as vinculadas e as entidades externas que fazem uso de sua infraes-
trutura, como também a todos os agentes públicos que exerçam atividades 
nessa secretaria, cabendo a cada um a responsabilidade e o comprometimento 
para sua aplicação.
6 Fatores Críticos de Sucesso para implantação da PoSIC
· Comprometimento e apoio visível da alta gestão e de todos os níveis geren-
ciais.
· Bom entendimento dos requisitos de Segurança da Informação e da gestão 
de riscos.
· Divulgação eficiente da Segurança da Informação para todos os gestores, 
agentes públicos e outras partes envolvidas, por meio de palestras, treinamento 
e educação adequados para se alcançar a conscientização.
· Provisão de recursos financeiros para as atividades da gestão de Segurança 
da Informação.
· Estabelecimento de um eficiente processo de gestão de incidentes de Segu-
rança da Informação.
7 Siglas, Conceitos e Definições
7.1 Siglas
ABNT (NBR) 
Associação Brasileira de Normas Técnicas (Norma 
Brasileira).
Cotec 
 
Coordenadoria de Tecnologia da Informação e Comu-
nicação
IEC 
 
International Electrotechnical Commission.
IN 
 
Instrução Normativa.
ISO 
 
International Organization of Standardization.
PO 
 
Procedimento Operacional.
PoSIC  
 
Política de Segurança da Informação e Comunicação
Seplag 
 
Secretaria do Planejamento e Gestão.
7.2 Conceitos e Definições
Agente Público: todo aquele que exerce, ainda que transitoriamente ou sem 
remuneração, por eleição, nomeação, designação, contratação ou qualquer 
outra forma de investidura ou vínculo, mandato, cargo, emprego ou função 
em órgão público. (definição adaptada da Lei de Improbidade Administrativa 
nº 8429/92).
Ativo de Informação: qualquer pessoa, tecnologia, processo ou ambiente 
que processe, armazene, transporte ou descarte informação institucional.
Autenticidade: propriedade de que a informação foi produzida, expedida, 
modificada ou destruída por uma determinada pessoa física, ou por um deter-
minado sistema, órgão ou entidade.
Conformidade legal: atender a todos os requisitos legais aplicáveis ao negócio 
e estipulados em legislações, resoluções, normas técnicas e outros disposi-
tivos legais.
Diretriz: conjunto de instruções ou indicações que orientam o que deve ser 
feito para que os objetivos estabelecidos na política sejam alcançados.
Disponibilidade: propriedade de que a informação esteja acessível e utilizável 
sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade.
Equipe de Tratamento e Resposta a Incidentes: grupo de pessoas com a 
responsabilidade de receber, analisar e responder a notificações e atividades 
relacionadas a incidentes de segurança em computadores.
Incidente de Segurança: qualquer evento indesejado ou inesperado, que 
comprometa as operações ou ameace a Segurança da Informação.
Informação de Caráter Sigiloso: são informações que recebem classificação 
de segurança, que não devem ser de conhecimento público, às quais somente 
possuem acesso determinadas pessoas ou grupo de pessoas da instituição.
Fornecedor: pessoa física ou jurídica, pública ou privada, nacional ou estran-
geira, bem como entes despersonalizados, que desenvolvem atividades de 
produção, montagem, criação, construção, transformação, importação, expor-
tação, distribuição ou comercialização de produtos ou prestação de serviços. 
(conforme definição do Art. 3º do Código de Defesa do Consumidor - CDC).
Gestão de Continuidade de Negócios em Segurança da Informação: processo 
abrangente de gestão que identifica ameaças potenciais para uma organização 
e os possíveis impactos nas operações de negócio caso estas ameaças se 
concretizem. Este processo fornece uma estrutura para que se desenvolva uma 
resiliência organizacional capaz de responder efetivamente e salvaguardar 
os interesses das partes interessadas, a reputação e a marca da organização, 
e suas atividades de valor agregado.
Gestão de Riscos de Segurança da Informação: conjunto de processos que 
permite identificar e implementar as medidas de proteção necessárias para 
minimizar ou eliminar os riscos a que estão sujeitos os seus ativos de infor-
mação e equilibrá-los com os custos operacionais e financeiros envolvidos.
Gestor de Sistema: responsável por coordenar, durante todo o ciclo de vida 
do sistema, os trabalhos relativos ao sistema de informação que trata da sua 
área de negócio e/ou conhecimento, bem como definir os requisitos funcionais 
que o sistema deve atender.
Malware: (abreviatura para “software malicioso”) considerado um tipo de 
software “maligno” que pretende acessar secretamente um dispositivo sem 
o conhecimento do usuário. Os tipos de malware incluem spyware, adware, 
phishing, vírus, Cavalos de Tróia, worms, rootkits, ramsoware e sequestra-
dores de navegador.
Metodologia de Desenvolvimento de Sistemas: processo padrão para desen-
volvimento de sistemas de informação.
Quebra de Segurança: ação ou omissão, intencional ou acidental, que resulta 
no comprometimento da Segurança da Informação.
Responsável pela Segurança da Informação: profissional que tem como 
responsabilidade zelar pelo cumprimento da PoSIC, bem como tomar deci-
sões, dar encaminhamento e tratamento a casos relacionados ao tema. Essa 
função será desempenhada pelo Coordenador da Cotec ou por profissional 
por ele designado.
Spam: termo usado para referir-se aos e-mails não solicitados, que geralmente 
são enviados para um grande número de pessoas.
Terceiros: agentes externos que não possuem relação direta com as ações 
desempenhadas pela Seplag.
Termo de Responsabilidade: documento por meio do qual o agente público, 
seja ele servidor de carreira, terceirizado ou outra forma de contratação, 
assume o compromisso de manter confidencialidade e sigilo sobre todas as 
informações a que tiver acesso em razão do exercício de suas atribuições.
8 Diretrizes Gerais da PoSIC
8.1 Do Alinhamento Estratégico
A PoSIC deve contribuir para a realização da missão e a obtenção dos resul-
tados estratégicos almejados pela Seplag.
8.2 Do Gerenciamento de Operações e Comunicações
a. Devem-se adotar medidas para que os meios de computação e comuni-
cação disponibilizados pela Seplag não sejam usados para infringir as leis 
que vigoram no país.
b. Devem-se adotar medidas para que o uso dos recursos ofertados aos agentes 
públicos da Seplag, tais como correio eletrônico, internet, microcomputadores, 
impressoras e outros, seja disciplinado tendo como fim principal a realização 
das atividades da instituição.
c. Fica estabelecido que todo conteúdo armazenado ou trafegado nos meios 
de computação disponibilizados pela Seplag devem estar de acordo com esta 
PoSIC, sendo passíveis de inspeção automatizada ou manual.
d. Fica estabelecido que todo equipamento ou serviço disponibilizado para 
os agentes públicos da Seplag é fornecido em caráter de concessão de uso.
8.3 Da Conformidade Legal
a. A PoSIC tem que estar em conformidade com requisitos legais, visando 
evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou 
obrigações contratuais e de quaisquer requisitos de Segurança da Informação.
b. Devem ser adotadas medidas para o cumprimento do decreto estadual 
vigente que estabelece a Política de Segurança da Informação para o Governo 
do Estado do Ceará, ficando estabelecido que toda a normatização contida no 
101
DIÁRIO OFICIAL DO ESTADO  |  SÉRIE 3  |  ANO XI Nº191  | FORTALEZA, 08 DE OUTUBRO DE 2019

Fechar