Instrução Normativa nº 008, de 19.12.2016
imprimir
VOLTAR

INSTRUÇÃO NORMATIVA Nº 008, de 19 de dezembro de 2016.

 

Estabelece critérios para o funcionamento da Equipe de Tratamento e Resposta a Incidentes - ETRI e estabelece procedimentos acerca do tratamento de incidentes para efeitos da Política de Segurança da Informação, Equipamentos e das Comunicações - POSIEC.

 

O SUPERINTENDENTE DE PROJETOS TECNOLÓGICOS, no uso das atribuições que lhe conferem o Art. IX, inciso I da Portaria SEFAZ nº 811, de 13 de setembro de 2016.

 

RESOLVE:

 

Art. 1o  A Equipe de Tratamento e Resposta a Incidentes – ETRI será coordenada pelo Gestor de Segurança da Informação, Equipamentos e das Comunicações e será composta pelos gerentes de cada área da Superintendência de Projetos Tecnológicos;

 

Art. 2o A Equipe de Tratamento e Resposta a Incidentes – ETRI terá como competências:

 

I -    Gerenciar de tratamento e resposta a incidentes na rede corporativa e dos recursos computacionais da SEFAZ/TO;

 

II -   Detectar e acompanhar a análise de ameaças aos recursos computacionais da SEFAZ/TO, buscando as causas, danos, responsáveis e as soluções em cada caso;

 

III - Coordenar, executar e acompanhar a avaliação, auditoria e testes das condições de segurança da rede corporativa da SEFAZ/TO;

 

IV - Coordenar, executar e acompanhar a análise dos ativos de informação e estruturas constitutivas dos ambientes de tecnologia da informação, presentes na SEFAZ/TO;

 

V -   Participar na proposição de recursos necessários às ações de segurança da informação e comunicações;

 

VI - Manter em condições adequadas de segurança o acervo de informações relativas aos incidentes da rede corporativa da SEFAZ/TO;

 

VII -      Participar da definição e acompanhar os indicadores de incidentes, a eficácia das medidas de segurança e da relação custo-benefício dos controles de segurança na rede corporativa da SEFAZ/TO;

 

VIII - Participar na proposição de recursos necessários às ações de segurança da informação, equipamentos e comunicações;

 

IX - Propor regras para ações disciplinatórias no caso de condutas que violem as políticas estabelecidas ou que comprometam a segurança das informações da organização;

 

X -   Obter informações quantitativas acerca dos incidentes ocorridos que descrevam: sua natureza, as causas, a data de ocorrência, a sua frequência e os custos resultantes.

 

XI - Executar outras atividades correlatas que lhe forem demandadas.

 

Art. 3o Para efeitos da POSIEC são considerados incidentes quaisquer falhas, anomalias, indisponibilidades, ameaças ou vulnerabilidades observadas na rede de recursos computacionais da SEFAZ/TO.

 

Art. 4º Esta Instrução Normativa entra em vigor na data de sua publicação.

 

 

 

EDES DIVINO DE OLIVEIRA

Superintendente de Projetos Tecnológicos