SECRETARIAS - PORTARIA Nº 723 2021
| Data de publicação | 29 Julho 2021 |
| Seção | PODER EXECUTIVO |
| Número da edição | 28052 |
PORTARIA Nº 723/2021/SEMA/MT
Institui a Política de Segurança da Informação - PSI, no âmbito da Secretaria de Estado de Meio Ambiente-SEMA/MT.
A SECRETÁRIA DE ESTADO DE MEIO AMBIENTE, no uso das atribuições legais que lhe confere o art. 71, inciso IV, da Constituição Estadual e o art. 3º, da Lei Complementar nº 612, de 28 de janeiro de 2019, que dispõe sobre a organização administrativa do Poder Executivo Estadual;
CONSIDERANDO a Lei nº 12.527, de 18 de novembro de 2011, que regula o acesso às informações.
RESOLVE:
Art. 1º Instituir a Política de Segurança da Informação - PSI no âmbito da Secretaria de Estado de Meio Ambiente - SEMA/MT, em complemento a Política estabelecida pelo Conselho Superior do Sistema Estadual de Informação e Tecnologia da Informação- COSINT, instituídas pela Resolução nº 003/2010.
Parágrafo único. Integram também a PSI as normas e os procedimentos complementares destinados à proteção da informação e à disciplina de sua utilização.
CAPÍTULO I
Dos Conceitos e Definições
Art. 2º Para os efeitos desta Portaria, entende-se por:
I - ameaça: evento que tem potencial em si próprio para comprometer os objetivos da organização, seja trazendo danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas;
II - ativos de informação: os meios de produção, armazenamento, transmissão e processamento de informações, os sistemas de informação, além das informações em si, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso;
III - autenticidade: propriedade de que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade;
IV - capacitação em SI: Desenvolvimento de aptidões, habilidades e conhecimentos mínimos em SI para o desempenho de suas funções.
V - classificação da informação: Identificação, pelo gerador da informação, do seu nível de classificação para uso dos controles de proteção necessários.
VI - Comitê de Segurança da Informação - CSI: colegiado de caráter deliberativo e multidisciplinar responsável pela normatização e supervisão da segurança da informação no âmbito da SEMA. Em caso de não existência, o CSI deverá ser estabelecido no prazo de 90 dias a partir da data de publicação da PSI;
VII - confidencialidade: propriedade de que a informação não esteja disponível ou revelada à pessoa física, sistema, órgão ou entidade não autorizada e credenciada;
VIII - conscientização em SI: saber o que é segurança da informação e aplicando em sua rotina pessoal e profissional, além de servir como multiplicador sobre o tema;
IX - controle de acesso: conjunto de normas, procedimentos, recursos e meios utilizados com a finalidade de conceder ou bloquear o acesso;
X - eventos relevantes em SI: ações que possam trazer riscos à confidencialidade, integridade, disponibilidade e autenticidade das informações.
XI - custodiante do ativo de informação: é aquele que, de alguma forma, zela pelo armazenamento, operação, administração e preservação de ativos de informação que lhe pertencem ou não, mas que estão sob sua custódia;
XII - disponibilidade: propriedade de que a informação esteja acessível e utilizável, sob demanda, por uma pessoa física ou determinado sistema, órgão ou entidade;
XIII - gestão de ativos: processo de identificação dos ativos e de definição de responsabilidades pela manutenção apropriada dos controles desses ativos;
XIV - gestão de continuidade dos negócios: processo de gestão que identifica ameaças potenciais para uma organização e os possíveis impactos nas operações de negócio, caso essas ameaças se concretizem.
XV - gerenciamento de operações: atividades, processos, procedimentos e recursos que visam disponibilizar e manter serviços, sistemas e infraestrutura que os suporta, satisfazendo os acordos de níveis de serviço;
XVI - gestor dos ativos de informação: responsável por gerenciar determinado ativo de SI;
XVII - incidente de SI: evento que tenha causado algum dano, colocado em risco algum ativo de informação crítico ou interrompido a execução de alguma atividade crítica por um período de tempo inferior ao tempo objetivo de recuperação;
XVIII - informação: conjunto de dados, textos, imagens, métodos, sistemas ou quaisquer formas de representação dotadas de significado em determinado contexto, independentemente do suporte em que resida ou da forma pela qual seja veiculado;
XIX - infraestrutura de TI: instalações prediais (energia, água, climatização, acesso físico), computadores e equipamentos, software, redes e telecomunicações, sistemas de armazenamento e recuperação de dados (arquivos e armazenamento), aplicações computacionais, cabeamento, rede sem fio e rede telefônica;
XX - integridade: propriedade de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental;
XXI - quebra de segurança: ação ou omissão, intencional ou acidental, que resulta no comprometimento da segurança da informação;
XXII - recursos criptográficos: sistemas, programas, processos e equipamento isolado ou em rede que utilizam algoritmo simétrico ou assimétrico para realizar a cifração ou decifração;
XXIII - risco de SI: potencial associado à exploração de uma ou mais vulnerabilidades de um ativo de informação ou de um conjunto de tais ativos, por parte de uma ou mais ameaças, com impacto negativo no negócio da organização;
XXIV - segurança física e do ambiente: processo que trata da proteção de todos os ativos físicos da instituição, englobando instalações físicas, internas e externas, em todas as localidades em que a organização está presente;
XXV - sensibilização em SI: disponibilizar conhecimento em SI para capacitar os envolvidos em tomar decisões ou reagir em SI;
XXVI - sistema estruturante: conjunto de sistemas informáticos fundamentais e imprescindíveis para a consecução das atividades administrativas, de forma eficaz e eficiente;
XXVII - terceiros: quaisquer pessoas, físicas ou jurídicas, de natureza pública ou privada, externos à SEMA;
XXVIII - tratamento de incidentes: é a atividade de receber, filtrar, classificar e responder às solicitações e alertas e realizar as análises dos incidentes de segurança;
XXIX - tratamento da informação: recepção, produção, reprodução, utilização, acesso, transporte, transmissão, distribuição, armazenamento, eliminação e controle da informação, inclusive as sigilosas;
XXX - vulnerabilidade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.
CAPÍTULO II
Seção I
Do Objetivo da Política de Segurança da Informação -PSI
Art. 3º A PSI deve obedecer aos princípios constitucionais, administrativos e do arcabouço legal vigente que regem a Administração Pública Federal, Estadual e Municipal.
Art.4º A PSI objetiva garantir a confidencialidade, integridade, disponibilidade e autenticidade (CIDA) das informações produzidas ou custodiadas pela SEMA.
Parágrafo único. As diretrizes de Segurança da Informação - SI devem considerar, prioritariamente, objetivos estratégicos, processos, requisitos legais e estrutura da SEMA.
Art. 5º A SEMA deve observar as diretrizes, normas, procedimentos, mecanismos, competências e responsabilidades estabelecidas nesta PSI.
Seção II
Da Abrangência
Art. 6º As diretrizes, normas complementares e manuais de procedimentos da PSI da SEMA aplicam-se a servidores, prestadores de serviço, colaboradores, estagiários, consultores externos e a quem, de alguma forma, execute atividades vinculadas a esta Secretaria.
§1º A PSI também se aplica, no que couber, ao relacionamento da SEMA com outros órgãos e entidades públicos ou privados.
§2º Todos são responsáveis e devem estar comprometidos com a segurança da informação, seja digital ou física, sob pena de responsabilidade civil, penal e administrativa.
§3º É vedado comprometer a integridade, a confidencialidade ou a disponibilidade das informações criadas, manuseadas, armazenadas, transportadas ou custodiadas pela SEMA.
Art. 7º As unidades da Secretaria de Estado de Meio Ambiente devem adotar ou utilizar esta PSI e suas normas complementares como modelos de referência para elaboração dos seus documentos.
Art. 8º Os contratos, convênios, acordos e outros instrumentos congêneres celebrados pela SEMA devem atender a esta PSI.
Parágrafo único. Os contratos firmados pela SEMA devem conter cláusulas que determinem a observância da PSI e suas normas respectivas.
CAPÍTULO III
DIRETRIZES GERAIS
Art. 9º O cumprimento desta política de segurança e de suas normas complementares deverá ser avaliado periodicamente por meio de verificações de conformidade, realizadas por grupo de trabalho formalmente constituído pelo Comitê de Segurança da Informação - CSI, buscando a certificação do cumprimento dos requisitos de segurança da informação.
Art. 10. A SEMA, além das diretrizes estabelecidas nesta PSI, deve também se orientar pelas melhores práticas e procedimentos de SI recomendados por órgãos e entidades públicas e privadas responsáveis pelo estabelecimento de padrões.
Art. 11. Os recursos tecnológicos, instalações de infraestrutura e os sistemas de informação da SEMA devem ser protegidos contra indisponibilidade, acessos indevidos, falhas, bem como perdas, danos, furtos, roubos e interrupções não programadas.
Art. 12. Todo e qualquer incidente de SI ocorrido no âmbito da SEMA, devem ser formalmente comunicados ao Secretário Adjunto Executivo e ao CSI.
CAPÍTULO IV
Das Competências
Seção I
Do Comitê de Segurança de Informação -CSI
Art. 13. O CSI deve auxiliar a alta administração na priorização de ações e investimentos com vistas à correta aplicação de mecanismos de proteção, tendo como base as exigências estratégicas e necessidades operacionais prioritárias da Secretaria e as implicações que o nível de segurança poderá trazer ao cumprimento dessas exigências.
Art. 14. Os membros do CSI serão designados por Portaria específica a ser elaborada em até 30 dias.
Art.15. Compete ao...
Para continuar a ler
PEÇA SUA AVALIAÇÃO