Instrução Normativa nº 004, de
19.12.2016
|
INSTRUÇÃO NORMATIVA Nº 004, de 19 de dezembro de 2016.
Estabelece requisitos e regras para classificação e tratamento da informação para efeitos da Política de Segurança da Informação, Equipamentos e das Comunicações - POSIEC.
O SUPERINTENDENTE DE PROJETOS TECNOLÓGICOS, no uso das atribuições que lhe conferem o Art. IX, inciso I da Portaria SEFAZ nº 811, de 13 de setembro de 2016.
RESOLVE:
Art. 1o Fica estabelecido os requisitos e regras para classificação e tratamento da informação no ambiente computacional da SEFAZ/TO que seguirá as seguintes diretrizes:
I - Todo o ativo de informações utilizadas pela SEFAZ/TO é um bem que tem valor e estão sob proteção institucional. Deve ser protegido, cuidada e gerenciada adequadamente com o objetivo de garantir a sua disponibilidade, integridade, confidencialidade, autenticidade e auditabilidade, independente do meio de armazenamento, processamento ou transmissão que esteja sendo utilizado;
II - Cada usuário deve acessar apenas as informações e os ambientes previamente autorizados. Qualquer tentativa de acesso a ambientes não autorizados será considerada uma violação dessa norma;
III - O acesso da informação armazenada e processada no ambiente de tecnologia é individual e intransferível. Esse acesso acontece através da identificação e autenticação do usuário;
IV - O ambiente do sistema computacional destinado à execução dos sistemas e o ambiente de produção não devem ser utilizados para testes. Os testes devem ser feitos em ambiente apropriado e gerenciado;
V - A passagem de programas e dados para o ambiente de produção deve ser controlada de maneira a garantir integridade, disponibilidade e guarda de versões desse ambiente para sua execução, além da documentação garantindo os testes de homologação pelos especialistas e usuários em seus ambientes apropriados (ambiente de teste e homologação);
VI - Todos os procedimentos que possibilitam a proteção da informação e a continuidade de seu uso devem ser documentados, de tal forma que possibilite que a organização continue a operacionalização desses procedimentos;
VII - Todos os usuários são responsáveis pela inserção, tratamento e deleções segura de informações armazenadas em estações de trabalho e/ou outros dispositivos de armazenamento, como formatação de máquinas ou desmagnetização de discos, quando o equipamento for transferido para outro usuário ou descartado pela SEFAZ/TO para algum outro destino.
VIII - O Gestor de Segurança da Informação, Equipamentos e das Comunicações é a pessoa responsável pela autorização de acesso, validação de uso e definição dos demais controles sobre a informação;
IX - A destruição de dados sigilosos deve ser feita por método que sobrescreva as informações armazenadas, com autorização formal do Gestor de Segurança da Informação, Equipamentos e das Comunicações. Se não estiver ao alcance do órgão a destruição lógica, deverá ser providenciada a destruição física por incineração dos dispositivos de armazenamento;
X - Toda informação crítica para o funcionamento da SEFAZ/TO deve possuir, pelo menos, uma cópia de segurança atualizada e guardada em local remoto, com proteção adequada.
XI - O Gestor de Segurança da Informação, Equipamentos e das Comunicações é responsável pela definição desta criticidade.
Art. 2º Esta Instrução Normativa entra em vigor na data de sua publicação.
EDES DIVINO DE OLIVEIRA
Superintendente de Projetos Tecnológicos