DECRETO Nº 1271/2022
De 30 de março de 2022
“Institui a Política de Segurança da Informação no âmbito da administração direta e indireta no Município de Iacanga e cria o comitê gestor da tecnologia da informação e comunicação da Prefeitura Municipal de Iacanga.”
Eli Doniseti Cardoso, prefeito do Município de Iacanga, usando das atribuições que lhe são conferidas por lei;
CONSIDERANDO a necessidade de garantir a segurança das informações geradas, adquiridas, processadas, armazenadas e transmitidas no âmbito da administração municipal, de forma a atender aos princípios da confidencialidade, integridade, disponibilidade, autenticidade e legalidade;
CONSIDERANDO a necessidade de normatizar o uso apropriado dos recursos da tecnologia da informação no âmbito da Prefeitura do Município de Iacanga, promovendo a proteção dos usuários e prestadores de serviços, sistemas e serviços, incluindo os trabalhos executados externamente ou por terceiros que utilizem o ambiente de processos da administração pública;
CONSIDERANDO que os agentes públicos devem zelar pelas informações que lhes são confiadas no exercício de suas funções;
CONSIDERANDO que é dever de todos na Prefeitura Considerar a informação como sendo um bem da organização, um dos recursos críticos para a realização do negócio, que possui grande valor para a Prefeitura e deve sempre ser tratada profissionalmente;
CONSIDERANDO que as ações de Segurança da Informação reduzem custos e riscos e aumentam os benefícios prestados aos cidadãos, ao permitir a oferta de processos, produtos e serviços suportados por sistemas de informações mais seguros,
DECRETA:
Art.1º – Fica instituída a Política de Segurança da Informação no âmbito da Administração Pública Direta e Indireta do Município de Iacanga.
§ 1º A Política de Segurança da Informação constitui um conjunto de diretrizes e normas que estabelecem os princípios de proteção, controle e monitoramento das informações processadas, armazenadas ou custodiadas pela Administração Municipal, aplicando-se a todos os órgãos e entidades do Poder Executivo Municipal.
§ 2º O Setor de Informática é responsável pela aplicação da Política da Prefeitura em relação a definição de compra e substituição de “software” e “hardware”. Qualquer necessidade de novos programas (“softwares”) ou de novos equipamentos de informática (hardware) deverá ser discutida com o responsável pelo setor de Informática. Não é permitido a compra ou o desenvolvimento de “softwares” ou “hardwares” diretamente pelos usuários.
Art.2º – Constituem objetivos da Política de Segurança da Informação:
I – dotar os órgãos e as entidades da Administração Pública Municipal de instrumentos jurídicos, normativos e institucionais que os capacitem técnica, tecnológica e administrativamente, com vistas a assegurar a confidencialidade, a integridade, a autenticidade, o não repúdio e a disponibilidade dos dados e das informações tratadas, classificadas e sigilosas da Administração Municipal;
II – estabelecer e controlar os níveis de acesso de fornecedores externos aos sistemas, equipamentos, dispositivos e atividades vinculadas à segurança dos sistemas de informação;
III – promover a capacitação de recursos humanos para o desenvolvimento de competência científico-tecnológica em Segurança da Informação;
IV – promover intercâmbio científico e tecnológico entre os órgãos e as entidades da Administração Pública Municipal e as demais instituições públicas e privadas, no que tange às atividades de Segurança da Informação;
V – assegurar a interoperabilidade entre os sistemas de Segurança da Informação.
Art.3º – Para os fins deste decreto, ficam estabelecidos os seguintes conceitos:
I – ativo: todo elemento tangível ou intangível que compõe o processo de comunicação, abrangendo a informação, o respectivo emissor e meio de transmissão, até o receptor;
II – autenticidade: garantia de que uma informação, produto ou documento origina-se do autor a quem se atribui;
III – Central de Serviços: ponto único de contato do usuário com a área de Tecnologia da Informação e Comunicação – TIC da Administração Municipal, responsável pelo registro, análise e acompanhamento das requisições de serviços, bem como pela conclusão do atendimento;
IV – confidencialidade: garantia do sigilo da informação, de forma que o seu acesso seja obtido somente quando autorizado;
V – disponibilidade: propriedade do ativo, o qual deve estar acessível e utilizável sob demanda por uma entidade autorizada, quando solicitado;
VI – gestor da informação: pessoa detentora de competência institucional para autorizar ou negar o acesso à determinada informação ao usuário;
VII – incidente de segurança: evento adverso, confirmado ou sob suspeita, que comprometa a integridade, a autenticidade, a conformidade ou a disponibilidade de qualquer ativo da Administração Pública Municipal;
VIII – informação: dados, processados ou não, que podem ser utilizados para produção e transmissão de conhecimento, contidos em qualquer meio, suporte ou formato;
IX – integridade: salvaguarda da exatidão e da totalidade da informação e dos métodos de processamento;
X – legalidade: conformidade das ações realizadas no âmbito da Política de Segurança da Informação com o arcabouço normativo vigente;
XI – não repúdio: garantia de que um usuário não consiga negar (dizer que não foi feito) uma operação ou serviço que modificou ou criou uma informação;
XII – Segurança da Informação: conjunto de medidas que tem como objetivo o estabelecimento de controles necessários à proteção das informações durante sua criação, aquisição, uso, transporte, guarda e eliminação, contra destruição, modificação, comercialização ou divulgação indevidas e acessos não autorizados, acidentais ou intencionais, garantindo a continuidade dos serviços e a preservação de seus aspectos básicos, quais sejam, confidencialidade, integridade, disponibilidade, autenticidade e legalidade;
XIII – Tecnologia da Informação e Comunicação – TIC: solução ou conjunto de soluções sistematizadas baseadas no uso de recursos tecnológicos que visam resolver problemas relativos à geração, tratamento, processamento, armazenamento, veiculação e reprodução de dados, bem como subsidiar processos que convertem dados em informação;
XIV – usuário: aquele que atua em órgão ou entidade da Administração Municipal, seja servidor ou empregado público, estagiário, contratado ou terceirizado, ou que, de alguma forma, encontre-se exercendo atividade junto à Administração Municipal, desde que autorizado.
Art. 4º – A Política de Segurança da Informação instituída neste decreto reger-se-á pelos seguintes princípios:
I – tratamento da informação como patrimônio, tendo em vista que a divulgação das informações estratégicas de qualquer natureza pertencentes à Administração deve ser protegida de forma adequada, com vistas a evitar alterações, acessos ou destruição indevidos;
II – classificação da informação, garantindo-lhe o adequado nível de proteção, considerando:
a) a avaliação da necessidade e do tipo de acesso pelo usuário, adotando-se como parâmetro o grau de confidencialidade da informação;
b) a definição da confidencialidade da informação em consonância com as atividades desempenhadas pelo usuário, com vistas a garantir a adequada autorização de acesso pelo gestor da informação, que deverá conter os limites de acesso, tais como leitura, atualização, criação e remoção, entre outros;
III – controle de acesso às informações, tendo como orientação a classificação definida no inciso II do caput deste artigo, respeitando a legislação vigente e considerando, ainda, que:
a) o acesso e o uso de qualquer informação, pelo usuário, deve se restringir ao necessário para o desempenho de suas atividades;
b) no caso de acesso a sistemas informatizados, deverão ser utilizados sistemas e tecnologias autorizados pela Administração, por meio de identificador único e senha, ambos pessoais e intransferíveis;
c) o acesso, a divulgação e o tratamento da informação classificada como sigilosa ficarão restritos às pessoas que tenham necessidade de conhecê-la e que sejam devidamente credenciadas pelas autoridades competentes.
IV – continuidade do uso da informação, sendo necessária, para o funcionamento dos sistemas, pelo menos uma cópia de segurança atualizada e guardada em local remoto, com o nível de proteção equivalente ao nível de proteção da informação original, observadas as seguintes regras:
a) para a definição das cópias de segurança devem ser considerados os aspectos legais, históricos, de auditoria e de recuperação de ambiente;
b) os recursos tecnológicos, de infraestrutura e os ambientes físicos utilizados para suportar os sistemas de informação devem ter controle de acesso físico, condições ambientais adequadas e ser protegidos contra situações de indisponibilidade causadas por desastres ou contingências;
c) definição do nível de disponibilidade para cada serviço prestado pelos sistemas de informação, nas situações mencionadas na alínea “b” deste inciso;
V – educação em Segurança da Informação, devendo ser observada pelo usuário a correta utilização das informações e dos recursos computacionais disponibilizados.
Art.5º – As medidas a serem adotadas para fins de proteção da informação deverão considerar:
I – os níveis adequados de integridade, confidencialidade e disponibilidade da informação;
II – as instruções e os procedimentos pertinentes, assim como a legislação vigente;
III – a compatibilidade entre a medida de proteção e o valor do ativo protegido;
IV – o alinhamento com as diretrizes estratégicas da Administração Municipal;
V – as melhores práticas para a gestão da Segurança da Informação;
VI – os aspectos comportamentais e tecnológicos apropriados.
Art. 6º – É dever do usuário, em consonância com a Política de Segurança da Informação estabelecida neste decreto:
I – responsabilizar-se, no âmbito de sua atuação, pela proteção e segurança da informação que lhe é confiada, devendo conhecer, entender e cumprir a Política estabelecida neste decreto, bem como as diretrizes e instruções correlatas, zelando por sua correta aplicação;
II – fazer uso correto e responsável dos recursos tecnológicos, pautando-se pela legalidade e conduta ética, sempre em conformidade com os princípios da Segurança da Informação;
III – comunicar ao seu superior hierárquico qualquer incidente de segurança ou situação de risco no âmbito de sua atuação.
Art.7º – A não observância da Política de Segurança da Informação pelos usuários configura descumprimento de dever funcional, indisciplina ou insubordinação, conforme o caso, sujeitando o infrator à incidência das sanções cabíveis, nos termos da legislação vigente.
Art.8º – Os procedimentos relacionados à Segurança da Informação serão objeto de normatização complementar e, uma vez divulgados, passarão a integrar a Política de Segurança da Informação.
Art. 9º – As despesas decorrentes da execução do presente decreto correrão por dotações constantes no orçamento vigente, suplementadas se necessário.
Art. 10 – Este decreto entra em vigor na data de sua publicação.
Iacanga, 30 de março de 2022.
Eli Doniseti Cardoso
Prefeito
Registrado e publicado de acordo com a lei vigente.
Décio Spera Junior
Secretário Municipal de Gabinete