Instrução Normativa nº 006, de 19.12.2016
imprimir
VOLTAR

INSTRUÇÃO NORMATIVA Nº 006, de 19 de dezembro de 2016.

 

Estabelece critérios para a disponibilização e administração do acesso aos recursos de tecnologia de informação para efeitos da Política de Segurança da Informação, Equipamentos e das Comunicações - POSIEC.

 

 

ANEXO ÚNICO

O SUPERINTENDENTE DE PROJETOS TECNOLÓGICOS, no uso das atribuições que lhe conferem o Art. IX, inciso I da Portaria SEFAZ nº 811, de 13 de setembro de 2016.

 

RESOLVE:

 

Art. 1o Fica estabelecido critérios para disponibilização e administração do acesso aos recursos de tecnologia de informação da SEFAZ/TO.

 

Art. 2º A criação de contas de acesso seguirá os seguintes critérios:

 

I.     Todo cadastramento de conta de acesso à rede da SEFAZ/TO deve ser efetuado mediante solicitação formal eletronicamente via sistema de chamados TI (GLPI) e autorizado pelo Superintendente de Projetos Tecnológicos ou a quem este delegar;

 

II.   Contas de acesso de terceirizados da SEFAZ/TO devem ter prazo de validade no máximo igual ao período de vigência do contrato ou período de duração de suas atividades;

 

III. As solicitações relativas à criação de cada conta devem ser mantidas registradas e armazenadas de forma segura pela SPT, sistema de gerenciamento de documentos;

 

IV. Todos os usuários devem assinar o Termo de Responsabilidade e Compromisso, descrito no anexo I, pela utilização da conta de acesso. Este termo deve ser entregue junto com a solicitação de criação de conta de acesso;

 

V.   A nomenclatura das contas de acesso de usuários deve seguir padrão definido pela SPT;

 

VI.  A chefia imediata da área a qual pertence o usuário deverá informar imediatamente a SPT qualquer anormalidade percebida pelo usuário quanto ao privilégio de seu acesso aos recursos de tecnologia da informação.

 

Art. 3º O bloqueio de contas de acesso seguirá os seguintes critérios:

 

I - Todo bloqueio de conta de acesso à rede da SEFAZ/TO deve ser efetuado mediante solicitação formal;

 

II -               O bloqueio definitivo da conta de acesso do usuário deve ser solicitada caso haja:

 

a)  Falecimento;

b)  Aposentadoria;

c)  Outros afastamentos que caracterizem encerramento do vínculo com a instituição;

 

III - O bloqueio de usuários e contas de acesso se dará nos seguintes casos:

 

a)  Contas sem utilização por mais de 1 ano;

b)  Afastamento do usuário;

c)  Licenças;

d)     Fruição de férias;

 

Parágrafo único - As contas deverão permanecer bloqueadas até que haja nova solicitação formal para desbloqueio;

 

IV - As contas de serviços utilizadas em servidores de rede, backup, correio eletrônico, banco de dados, aplicações, entre outros, devem ser utilizadas somente para execução de ações ligadas à sua natureza, de forma automática, sem intervenção manual através de logon/acesso;

 

V -   As contas com privilégio de administração de rede devem ser utilizadas somente para execução das atividades correspondentes à administração do ambiente conforme as responsabilidades atribuídas, em equipamentos previamente definidos.

 

Art. 4º As senhas de usuários, para autenticação na rede da SEFAZ/TO devem seguir os seguintes critérios mínimos:

 

I -    Toda senha deve ser constituída de, no mínimo, 8 caracteres sendo obrigatório conter letra, caracter especial e número;

 

II -   A senha não poderá conter parte do nome do usuário ou dados que o identifiquem facilmente;

 

III - A data de expiração da senha deve ser de no máximo 1 ano, caso não seja alterada, esta será bloqueada;

 

IV - É obrigatória a troca de senha ao efetuar o primeiro logon;

 

V -   É proibida a repetição das 3 últimas senhas já utilizadas;

 

VI -    Os critérios definidos acima serão auditados pela SPT, por meio de ferramentas adequadas;

 

VII -   A base de dados de senhas deve ser armazenada com criptografia;

 

VIII - O usuário poderá solicitar alteração de sua senha, caso não se recorde da mesma, mediante solicitação formal ou sistema de chamados utilizados pela SPT;

 

IX -    No caso de uso de certificados digitais é aceito que a administração de senhas seja efetuada pela autoridade certificadora;

 

Art. 5º A conta de acesso é o instrumento para identificação do usuário na rede SEFAZ/TO e caracteriza-se por ser de uso individual e intransferível e sua divulgação é vedada sob qualquer hipótese.

 

Parágrafo único - A conta de acesso somente deve ser disponibilizado aos usuários através de certificado digital ou assinatura cadastrada com fornecimento de login e senha.

 

Art. 6º A Gerência de Gestão e Desenvolvimento de Pessoas da SEFAZ/TO deve comunicar à SPT, imediatamente, os desligamentos, as aposentadorias, os afastamentos e as movimentações de usuários que impliquem mudanças de lotação;

 

Art. 7º Esta Instrução Normativa entra em vigor na data de sua publicação.

 

 

 

EDES DIVINO DE OLIVEIRA

Superintendente de Projetos Tecnológicos