Portaria nº 811 de 13.09.2016
imprimir
VOLTAR

PORTARIA SEFAZ No 811, de 13 de setembro de 2016.

(Republicado para Correção)

 

Dispõe sobre a Política de Segurança da Informação, Equipamentos e das Comunicações – POSIEC no âmbito da Secretaria da Fazenda e dá outras providências.

 

O SECRETÁRIO DA FAZENDA, no uso da atribuição que lhe confere o art. 42, § 1o, inciso II, da Constituição do Estado,

 

RESOLVE:

 

Art. 1º Fica instituída a Política de Segurança da Informação, Equipamentos e das Comunicações – POSIEC no âmbito da Secretaria da Fazenda do Estado do Tocantins - SEFAZ/TO.

 

Art. 2º A POSIEC é um documento formal acerca do compromisso com a proteção e manuseio das informações, equipamentos, comunicações, gestão dos riscos e responsabilidade as quais todos os usuários (servidores, agentes políticos e externos) se submetem.

 

Art. 3º A POSIEC será estruturada em Instruções Normativas que tratarão individualmente da gestão dos recursos de tecnologia da informação necessária aos recursos computacionais e disporá sobre os conceitos de informática para efeitos desta política.

 

Art. 4º São princípios da POSIEC:

 

I - Confidencialidade - proteger os dados, equipamentos, informações e conhecimentos produzidos na SEFAZ/TO classificados como sigilosos ou não;

 

II - Autenticidade - garantir o direito pessoal e coletivo, ao sigilo das comunicações, identidade dos usuários e interesses da SEFAZ/TO;

 

III - Integridade - a proteção das ferramentas tecnológicas corporativas, de propriedade da SEFAZ/TO ou licenciadas, disponibilizadas aos seus usuários;

 

IV - Disponibilidade – prevenir interrupções na operação do sistema, rede, de forma a garantir a continuidade do negócio;

 

V - Legalidade – garantir a conformidade das informações e processos com os preceitos da legislação vigente.

 

Art. 5º São diretrizes gerais da POSIEC:

 

I - descrever a conduta considerada adequada para o manuseio, controle e proteção das informações, equipamentos e comunicações da SEFAZ/TO contra a destruição, modificação, divulgação indevida e acessos não autorizados, sejam acidentais ou intencionais;

 

II - manter o plano de gerenciamento de incidentes e recuperação de desastres periodicamente testados, para garantir a continuidade das atividades críticas e o retorno à situação de normalidade;

 

III - o usuário deve ter acesso apenas aos ativos necessários e indispensáveis ao seu trabalho, respeitando as recomendações de sigilo de normas e legislação específica;

 

IV - o controle operacional de uma atividade crítica não pode ser atribuição exclusiva de uma única pessoa;

 

V - a responsabilização do usuário pelos atos que comprometam a segurança dos sistemas, equipamentos e comunicações da SEFAZ/TO;

 

VI - todo ativo produzido pelo usuário com os recursos computacionais da SEFAZ/TO deve ser mantido, garantindo o reconhecimento da propriedade do acervo para a corporação.

 

Art. 6º A POSIEC é o instrumento que regula a proteção dos dados, equipamentos, informações e conhecimentos da SEFAZ/TO, com vistas à garantia de confidencialidade, autenticidade, integridade, disponibilidade e legalidade, observando-se que:

 

I - todos os mecanismos de proteção utilizados para a segurança da informação devem ser mantidos para preservar a continuidade regular do exercício das funções institucionais;

 

II - o gerenciamento dos ativos de informação deverão observar normas operacionais e procedimentos específicos, a fim de garantir sua operação segura e contínua;

 

III - o cumprimento desta POSIEC, instruções normativas e procedimentos de segurança da informação será auditado periodicamente, de acordo com os critérios definidos pela Superintendência de Projetos Tecnológicos;

 

IV - as medidas de proteção devem ser planejadas e os investimentos devem ser compatíveis com valor do ativo protegido;

 

V - o acesso às informações, sistemas, equipamentos e instalações depende da apresentação de identificador único, pessoal, intransferível e com validade estabelecida, que permita de maneira clara e indiscutível o seu reconhecimento;

 

VI - a aquisição, contratação de serviços de desenvolvimento, instalação e uso de sistemas e equipamentos devem ser homologados e/ou autorizados pela Superintendência de Projetos Tecnológicos;

 

VII - para garantir o cumprimento das normas, os responsáveis pelas unidades deverão auxiliar no controle do uso dos recursos computacionais e na identificação dos mesmos;

 

VIII - os requisitos de segurança da informação devem estar explicitamente citados em todos os termos de compromisso celebrados entre a SEFAZ, seus usuários e terceiros;

 

IX - para acesso aos sistemas, dados, informações e equipamentos da SEFAZ/TO, todos os usuários devem assinar Termo de Compromisso e utilizar, exclusivamente, conta de e-mail corporativo @sefaz.to.gov.br;

 

X - é vedada a instalação de quaisquer sistemas, equipamentos ou dispositivos sem autorização prévia da Superintendência de Projetos Tecnológicos, que possam comprometer a integridade e segurança do banco de dados, rede, aplicações e equipamentos da SEFAZ/TO;

 

Parágrafo único – Serão imediatamente desligados e recolhidos quaisquer equipamentos e dispositivos não pertencentes ao patrimônio da SEFAZ/TO ou não autorizados formalmente pela Superintendência de Projetos Tecnológicos - SPT, para que se apurem responsabilidades.

 

Art. 7º As responsabilidades pela segurança da informação devem ser definidas em ato do Secretário da Fazenda, com as descrições de cargos e funções, bem como nos termos e condições das contratações que envolvam o manuseio de dados, informações, equipamentos da SEFAZ/TO, e:

 

I - é responsabilidade do gestor da unidade organizacional da SEFAZ/TO garantir que o nível de acesso aos sistemas e equipamentos de seus colaboradores, devendo comunicar imediatamente a Superintendência de Projetos Tecnológicos sobre eventuais mudanças de lotação ou vínculo funcional;

 

II - quando da efetivação do desligamento de usuário, a chefia imediata deverá comunicar à SPT para que sejam extintos todos os direitos de acesso e uso dos ativos a ele atribuído.

 

Art. 8º Compete ao Secretário da Fazenda assegurar:

 

I - a implementação efetiva da POSIEC em toda a SEFAZ/TO;

 

II - os recursos necessários para a implementação e gestão da POSIEC;

 

III - os recursos financeiros necessários para a contínua renovação dos recursos computacionais, manutenção e atualização de licenças dos softwares utilizados pela SEFAZ/TO.

 

Art. 9º Compete ao Superintendente de Projetos Tecnológicos da Secretaria da Fazenda:

 

I - editar as Instruções Normativas necessárias ao regulamento e pleno cumprimento da POSIEC;

 

II - subsidiar o Secretário da Fazenda e CTI com informações necessárias para traçar diretrizes em tecnologia da informação de forma a assegurar o pleno desenvolvimento dos sistemas, equipamentos e da POSIEC;

 

III - designar o Gestor de Segurança da Informação, Equipamentos e das Comunicações no âmbito da SEFAZ/TO, que coordenará a Equipe de Tratamento e Resposta a Incidentes - ETRI;

 

IV - analisar e aprovar todo o procedimento preliminar e final para a aquisição de bens e serviços em tecnologia da informação e comunicação, relativo à SEFAZ/TO;

 

V - promover cultura de segurança da informação, equipamentos e comunicações;

 

VI - autorizar todos os acessos aos sistemas, redes, banco de dados e equipamentos no âmbito da SEFAZ/TO;

 

VII - acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança;

 

VIII - realizar e acompanhar estudos de novas tecnologias, quanto a possíveis impactos na segurança da informação e comunicações;

 

IX - propor normas complementares, procedimentos e modificações à Política de Segurança da Informação, Equipamentos e das Comunicações - POSIEC;

 

X - planejar e coordenar a execução dos programas, planos, projetos e ações de segurança;

 

XI - supervisionar, analisar e avaliar a efetividade dos processos, procedimentos, sistemas e dispositivos de segurança da informação.

 

Parágrafo único - As atividades relacionadas nos incisos VI ao XI deste artigo, podem ser delegadas pelo Superintendente de Projetos Tecnológicos.

 

Art. 10 Compete a Equipe de Tratamento e Resposta a Incidentes - ETRI:

 

I - manter a análise de risco atualizada, refletindo o estado corrente da organização;

 

II - identificar controles físicos, administrativos e tecnológicos para mitigação de risco;

 

III - apurar os incidentes de segurança e indisponibilidade, registrar, tratar e encaminhar os fatos apurados para ao Superintendente de Projetos Tecnológicos;

 

IV - propor normas relativas à segurança da informação e comunicações.

 

Art. 11 O usuário que agir em desacordo com os termos desta Política de Segurança da Informação, Equipamentos e Comunicações - POSIEC ficará sujeito à aplicação das penalidades previstas na Lei Federal nº 10.406/2002, na Lei Estadual nº 1.818/2007 e no Decreto-Lei no 2.848/1940, e alterações vigentes.

 

Art. 12 Os casos omissos e as dúvidas surgidas na aplicação desta política serão submetidos ao Comitê de Tecnologia da Informação - CTI que, se for o caso, encaminhará para a análise e deliberação do Secretário da Fazenda.

 

Art. 13 Até a unificação do banco de dados ORACLE, os mecanismos de acesso ao banco ADABAS permanecem sob os mesmos critérios a usuários individuais e suas permissões.

 

Art. 14 Esta Portaria entra em vigor na data de sua publicação.

 

 

PAULO ANTENOR DE OLIVEIRA

Secretário da Fazenda

 

 

EDES DIVINO DE OLIVEIRA

Superintendente de Projetos Tecnológicos