O Secretário de Estado da Receita, no uso das atribuições que lhe confere o art. 3º , inciso VIII, alíneas "a" e "g", da Lei nº 8.186 , de 16 de março de 2007, e

Considerando a necessidade de prover os Sistemas e Estruturas de Tecnologia da Informação - TI da Secretaria de Estado da Receita de melhor nível de segurança;

Considerando a necessidade de adequação às normas internacionais, no quesito segurança, no que tange aos procedimentos utilizados no ambiente de TI da Secretaria de Estado da Receita,

Resolve:

Art. 1º Criar o Sistema de Gestão da Segurança da Informação - SGSI, no âmbito da Secretaria de Estado da Receita.

Parágrafo único. O Sistema de Gestão da Segurança da Informação tem por finalidade instituir a política e objetivos de segurança da informação na Secretaria de Estado da Receita.

Art. 2º O Sistema de Gestão da Segurança da Informação abrangerá todas as áreas de atuação da Gerência de Tecnologia da Informação, conferindo-lhes um aspecto de Segurança Sistêmica.

Art. 3º O Sistema de Gestão da Segurança da Informação será composto de onze áreas, assim dispostas:

I - Política de Segurança da Informação;

II - Estrutura Organizacional da Segurança da Informação;

III - Gestão de Ativos;

IV - Segurança de Recursos Humanos;

V - Segurança Física e do Ambiente;

VI - Gestão das Operações e Comunicações;

VII - Controle de Acessos;

VIII - Aquisição, Desenvolvimento e Manutenção de Sistemas;

IX - Gestão de Incidentes de Segurança da Informação;

X - Gestão de Continuidade do Negócio;

XI - Conformidade.

Art. 4º As áreas citadas no art. 3º são definidas em função de seus espaços de atuação, observados os seguintes objetivos:

I - Política de Segurança da Informação - Prover orientação para a segurança da informação, de acordo com os requisitos do negócio e com as leis e regulamentações.

II - Estrutura Organizacional da Segurança de Informação - Gerenciar a segurança da informação dentro da Secretaria de Estado da Receita, mantendo a segurança dos recursos da informação, que são acessados, processados, comunicados ou gerenciados por partes externas.

III - Gestão de Ativos - Alcançar e manter a proteção adequada dos ativos de TI da Secretaria de Estado da Receita, assegurando que a informação receba o seu correspondente nível de cobertura.

IV - Segurança de Recursos Humanos - Assegurar que os servidores, fornecedores, prestadores de serviço e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis, reduzindo o risco de roubo, fraude ou mau uso de recursos, bem como que estejam conscientes das ameaças e preocupações relativas à segurança da informação e de suas responsabilidades e obrigações.

V - Segurança Física e do Ambiente - Prevenir o acesso físico não autorizado, danos e interferências nas instalações de TI e nas informações, impedindo perdas, danos, furtos ou comprometimento de ativos de TI e interrupção das atividades da Secretaria de Estado da Receita.

VI - Gestão das Operações e Comunicações - Garantir a operação segura e correta dos recursos de processamento, implementando e mantendo o nível apropriado de segurança da mesma e de entrega de serviços em consonância com os respectivos acordos, minimizando o risco de falhas nos sistemas, protegendo e mantendo a integridade dos softwares, e disponibilidade da informação, garantindo a proteção dos dados em redes e da infraestrutura de suporte, prevenindo contra a divulgação não autorizada, modificação, remoção ou destruição dos ativos de TI e interrupções das atividades da SER/PB decorrentes.

VII - Controle de Acessos - Assegurar o acesso dos usuários e prevenir contra o não autorizado a sistemas de informação, evitando o comprometimento ou furto da mesma, aos serviços de rede, sistemas operacionais, garantindo a segurança de dados quando for utilizada a computação móvel e recursos de trabalho remoto.

VIII - Aquisição, desenvolvimento e manutenção de sistemas da informação - Garantir que segurança é parte integrante de sistemas de informação, prevenindo a ocorrência de erros, perdas, modificação não autorizada ou mau uso da mesma em aplicações, protegendo a sua confidencialidade, a autenticidade ou a integridade por meios criptográficos, reduzindo riscos resultantes da exploração de vulnerabilidades técnicas conhecidas.

IX - Gestão de Incidentes de Segurança da Informação - Assegurar que fragilidades e eventos de segurança da informação, associados aos respectivos sistemas, sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil, certificando que um enfoque consistente seja aplicado à gestão de incidentes.

X - Gestão de Continuidade do Negócio - Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, assegurando a sua retomada em tempo hábil, se for o caso.

XI - Conformidade - Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação, bem como garantir conformidade dos sistemas com as políticas e normas da Secretaria de Estado da Receita, além de maximizar a eficácia e minimizar a interferência no processo de auditoria dos sistemas de informação.

Art. 5º O Sistema de Gestão da Segurança da Informação será coordenado e implementado pela Gerência de Tecnologia da Informação, através da Supervisão Técnica de Segurança da Informação.

Art. 6º Esta Portaria entra em vigor na data de sua publicação.

MARIALVO LAUREANO DOS SANTOS FILHO

Secretário de Estado da Receita