O Secretário da Fazenda, tendo em vista a necessidade de garantir a confidencialidade, a integridade e a disponibilidade de dados e informações institucionais mantidos pela Secretaria da Fazenda - SEFAZ,

Resolve:

Art. 1º Fica instituída a Política de Segurança da Informação da Secretaria da Fazenda - SEFAZ, com os seguintes objetivos:

I - atender às normas de proteção ao sigilo fiscal, à inviolabilidade de dados institucionais e ao sigilo da correspondência e das comunicações, nos termos previstos na Constituição Federal , na Constituição do Estado de Pernambuco, Código Tributário Nacional e Lei Geral de Proteção de Dados Pessoais - Lei nº 13.709 , de 14 de agosto de 2018;

II - adotar a segurança da informação como diretriz de programas e ações da Secretaria, provendo os meios e recursos necessários ao seu desenvolvimento;

III - proteger a confidencialidade, integridade e disponibilidade das atividades finalísticas da SEFAZ, sustentadas por serviços de tecnologia da informação;

IV - conduzir a governança da segurança da informação por meio da gestão de riscos e gestão de continuidade das áreas de negócios;

V - integrar a estratégia da segurança da informação ao planejamento estratégico da SEFAZ, no curto e longo prazo;

VI - proteger dados e informações institucionais que requeiram tratamento ou proteção especializados;

VII - promover a capacitação em tecnologias de proteção ao tratamento de dados durante todo o ciclo de vida da informação, desde a aquisição, manuseio, transporte, armazenamento e descarte;

VIII - dotar a segurança da informação de uma gestão formal, baseada em processos, ferramentas e controles recomendados na série de normas técnicas ABNT NBR ISO/IEC 27.000 e suas evoluções;

IX - criar, desenvolver e manter cultura organizacional de segurança da informação;

X - dotar os órgãos da SEFAZ de instrumentos jurídicos, normativos e organizacionais que os capacitem técnica e administrativamente a assegurar a confidencialidade, a integridade, a autenticidade, o não repúdio e a disponibilidade dos dados e das informações tratadas, classificadas e sensíveis;

XI - promover o emprego de sistemas, equipamentos, dispositivos e atividades vinculados à segurança dos sistemas de informação;

XII - promover a capacitação de recursos humanos para o desenvolvimento de competências técnica e administrativa em segurança da informação;

XIII - promover intercâmbio técnico-administrativo entre a SEFAZ e as instituições públicas e privadas, sobre as atividades de segurança da informação; e

XIV - contribuir com a interoperabilidade entre os sistemas de segurança da informação.

Art. 2º Para fins do disposto nesta Portaria, compete ao Comitê de Tecnologia da Informação:

I - revisar e propor melhorias na Política de Segurança da Informação;

II - aprovar o Plano de tratamento de riscos de Segurança da Informação;

III - propor e acompanhar planos de ação para aplicação da Política de Segurança da Informação, assim como campanhas de conscientização e educação dos usuários;

IV - avaliar relatórios e resultados de auditorias, gestão de incidentes e gestão de riscos; e

V - aprovar o Plano de Continuidade de Negócios e o Plano de Recuperação de Desastres.

Art. 3º Para fins do disposto nesta Portaria, compete à Superintendência de Tecnologia da Informação - STI:

I - planejar, executar e analisar criticamente a segurança da informação;

II - elaborar e implementar programas destinados à conscientização e à capacitação dos recursos humanos que serão utilizados na consecução dos objetivos de que trata o art. 1º, visando garantir a adequada articulação entre os órgãos e as entidades da Administração Pública;

III - estabelecer programas destinados à formação e ao aprimoramento dos recursos humanos em segurança da informação;

IV - propor a regulamentação de matérias relacionadas com a segurança da informação;

V - acompanhar a evolução das atividades inerentes à segurança da informação;

VI - orientar a condução da Política de Segurança da Informação já existente ou a ser implementada;

VII - estabelecer regras, padrões, níveis, tipos e demais aspectos relacionados ao emprego dos produtos que incorporem recursos criptográficos, de modo a assegurar a confidencialidade, a autenticidade, a integridade e o não repúdio, assim como a interoperabilidade entre os Sistemas de Segurança da Informação;

VIII - implementar gestão de riscos, para identificar, analisar, avaliar e tratar os riscos de segurança da informação; e

IX - implementar gestão de incidentes de segurança da informação, para tratar todos os incidentes que possam ocorrer na instituição.

Art. 4º A gestão de segurança do ambiente informatizado da SEFAZ será exercida mediante:

I - normas que regulem as responsabilidades de usuários, relativamente ao uso da tecnologia da informação dentro das instalações da Secretaria;

II - mecanismos de segurança para controlar o acesso aos ambientes físicos que abriguem equipamentos ou informações sensíveis;

III - procedimentos que tornem computadores e redes mais resistentes às ameaças físicas, ambientais e humanas;

IV - gestão de operações e comunicações, dotada de normas e procedimentos para a documentação e segregação de funções no ambiente informatizado, em especial quanto a:

a) gerenciamento de serviços terceirizados;

b) planejamento e aceitação de sistemas;

c) proteção contra códigos maliciosos e códigos móveis;

d) cópias de segurança;

e) segurança em rede;

f) manuseio de mídias; e

g) monitoramento do ambiente informatizado;

V - controles de acesso para normatizar e regular o acesso dos usuários aos sistemas informatizados, às redes da organização, aos sistemas operacionais, às aplicações e à informação, bem como à computação móvel e ao teletrabalho, de forma que todos os acessos sejam rastreáveis e permitam a identificação individual do usuário (log);

VI - normas e procedimentos para aquisição, desenvolvimento e manutenção de sistemas de informação, inclusive definição de requisitos para a respectiva segurança, bem como para o processamento correto de aplicações, controles criptográficos, segurança de arquivos dos sistemas, segurança em processo de desenvolvimento e suporte, além de gestão de vulnerabilidades técnicas;

VII - Sistema de Tratamento de Incidentes, sob a responsabilidade das equipes competentes da STI, que receba, processe e resolva incidentes de segurança nos ativos tecnológicos da SEFAZ;

VIII - Gestão da Continuidade do Negócio, que assegure a operação e a recuperação de ativos de informação em situações de emergência, de acordo com as necessidades e prazos específicos, composta de:

a) Plano de Continuidade de Negócios - documento que especifica quais atividades uma determinada unidade da Secretaria deve realizar para manter a continuidade de suas operações, enquanto afetada por um incidente crítico nos sistemas da STI; e

b) Plano de Recuperação de Desastre - documento que especifica quais atividades uma determinada unidade da Secretaria deve realizar, durante e após a restauração de serviços afetados por incidente crítico nos sistemas da STI; e

IX - Auditoria de Sistemas, que identifique violações a dispositivos legais, regulamentos ou obrigações contratuais, cujo objeto envolva o uso ou operação de ativos tecnológicos e não tecnológicos.

Art. 5º Aplica-se a Política de Segurança da Informação a todos os ativos tecnológicos e não tecnológicos, em especial a:

I - processos da SEFAZ, digitais e físicos; e

II - ativos de tecnologia da informação, como computadores, dispositivos de armazenamento e comunicação, que processem ou guardem informações institucionais.

Art. 6º Para os efeitos desta Portaria ficam estabelecidas as seguintes conceituações:

I - segurança da informação: proteção à disponibilidade, confidencialidade e integridade de sistemas de informação; proteção às áreas e instalações que abrigam artefatos de comunicações e computação; e proteção às áreas destinadas a prevenir, detectar, deter e documentar eventuais ameaças à operação dos sistemas;

II - usuários: pessoas que trabalham na SEFAZ, que sejam oriundas do quadro próprio da Secretaria, de outros órgãos e entidades da Administração Pública, titulares de cargos comissionados, prestadores de serviço, pessoas físicas e jurídicas que tenham contrato administrativo ou de estágio, bem como contribuintes e cidadãos que acessam e utilizam sistemas fazendários;

III - confidencialidade: princípio de segurança que visa à garantia de que o acesso à informação seja obtido somente por pessoas autorizadas;

IV - integridade: princípio de segurança que visa à salvaguarda da exatidão e confiabilidade da informação e dos métodos de processamento;

V - disponibilidade: princípio de segurança que visa à garantia de que pessoas autorizadas obtenham acesso à informação e aos recursos correspondentes, sempre que necessário;

VI - análise de risco: avaliação da natureza e nível do risco e suas características; consideração detalhada de incertezas, fontes de risco, consequências, probabilidade, eventos, cenários, controles e sua eficácia; e

VII - ativo tecnológico: bem dotado de expressão financeira que processa ou armazena dados, podendo ser material, como computadores, dispositivos de armazenamento e comutação de dados; ou imaterial, como sistemas de informação, direitos de licença de software, dados sensíveis ou protegidos pelo sigilo fiscal, entre outros.

Art. 7º Esta Portaria entra em vigor na data de sua publicação.

Art. 8º Revoga-se a Portaria SF nº 82 , de 27.04.2012.

DECIO JOSÉ PADILHA DA CRUZ

Secretário da Fazenda