O Secretário de Estado da Fazenda, no uso das atribuições que lhe confere o art. 114, II, da Constituição Estadual e

Considerando a necessidade de garantir a integridade, confidencialidade e disponibilidade das informações sob gestão da Secretaria de Estado da Fazenda de Alagoas - SEFAZ/AL

Resolve:

Art. 1º Fica instituída a Política de Segurança da Informação da Secretaria de Estado de Fazenda de Alagoas - SEFAZ-AL.

§ 1º A Política de Segurança da Informação da SEFAZ-AL é constituída por um conjunto de diretrizes e normas que estabelecem os princípios de proteção, controle e monitoramento das informações processadas, armazenadas ou custodiadas por suas unidades administrativas.

§ 2º Este documento estabelece as diretrizes da Política de Segurança da Informação da SEFAZ-AL.

§ 3º As normas referentes às diretrizes constantes neste documento, detalhadas em seu anexo único, serão disciplinadas pelo Comitê Gestor de Segurança da Informação.

Art. 2º A Política de Segurança da Informação se aplica a todas as áreas, instalações, equipamentos, materiais, documentos, pessoas e sistemas de informação existentes na SEFAZ-AL, como também às atividades de todos os servidores, colaboradores, consultores externos, estagiários e prestadores de serviço que exercem atividades no âmbito desta Secretaria ou a quem quer que venha ter acesso a dados ou informações, incumbindo a cada um a responsabilidade e o comprometimento para a sua aplicação.

Art. 3º Para os efeitos deste documento ficam estabelecidos os seguintes princípios e conceitos, conforme a norma ABNT/ISO/IEC 27002 e a Lei Geral de Proteção de Dados (LEI Nº 13.709 , DE 14 DE AGOSTO DE 2018):

I - Segurança da Informação - conjunto de medidas que tem como objetivo o estabelecimento dos controles necessários à proteção das informações durante sua criação, aquisição, uso, transporte, guarda e descarte, contra destruição, modificação, comercialização ou divulgação indevidas e acessos não autorizados, acidentais ou intencionais, garantindo a continuidade dos serviços, e a preservação de seus aspectos básicos, a saber: confidencialidade, integridade, disponibilidade, autenticidade, legalidade, privacidade e proteção de dados.

II - Confidencialidade - A informação somente pode ser acessada por pessoas explicitamente autorizadas. O aspecto mais importante deste item é garantir a identificação e autenticação das partes envolvidas.

III - Disponibilidade - O ativo deve estar disponível quando for necessário;

IV - Integridade - A informação deve ser retornada em sua forma original de armazenamento. É a proteção dos dados ou informações contra modificações intencionais ou acidentais não-autorizadas. Não pode ser confundido com confiabilidade do conteúdo (seu significado) da informação. Uma informação pode ser imprecisa, mas deve permanecer integra (não sofrer alterações por pessoas não autorizadas).

V - Ativo - Qualquer coisa que tenha valor para a organização. Pode ser classificado como:

a) Ativos de Informação - Bases de dados e arquivos, contratos e acordos, processos, documentação de sistemas, informações sobre pesquisas, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade do negócio, procedimentos de recuperação, trilhas de auditoria e informações armazenadas.

b) Ativos de Software - Aplicativos, sistemas, ferramentas de desenvolvimento e utilitários.

c) Ativos Físicos - Equipamentos computacionais, equipamentos de comunicação, mídias removíveis e outros equipamentos.

d) Ativos de Serviços - Serviços de computação e comunicações, utilidades gerais, por exemplo aquecimento, iluminação, eletricidade e refrigeração.

e) Ativos de Recursos Humanos - Pessoas e suas qualificações, habilidades e experiências.

f) Ativos Intangíveis - reputação e imagem da organização.

VI - Proprietário - Identifica uma pessoa ou organismo que tenha a responsabilidade autorizada, legalmente constituída, para controlar a produção, o desenvolvimento, a manutenção, o uso e a segurança dos ativos. Não significa que a pessoa tenha qualquer direito de propriedade sobre ativo.

VII - Custodiante do ativo - Identifica uma pessoa ou organismo que cuida do ativo no dia a dia, formalmente indicado pelo respectivo Proprietário.

VIII - Usuários - funcionários, prestadores de serviços, clientes, fornecedores, bolsistas e estagiários.

IX - Dados Pessoais - Informação relacionada a pessoa natural identificada ou identificável.

X - Dados Pessoais Sensíveis - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

XI - Titulares - Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

XII - Tratamento - Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

XIII - Controlador - Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

XIV - Operador - Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

XV - Diretrizes - São as regras de alto nível que representam os princípios básicos que a SEFAZ-AL resolveu incorporar à sua gestão e servirão como base para que as normas e os procedimentos sejam criados e detalhados.

XVI - Normas - São as regras que especificam, no plano tático, os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes e servir como base para os procedimentos no plano operacional.

Art. 4º A Política de Segurança da Informação da SEFAZ-AL tem como diretrizes:

I - Políticas de Segurança da Informação - Uma Política de Segurança da Informação deve ser implementada de forma a orientar estrategicamente as ações de segurança da informação a serem executadas pelos setores da SEFAZ-AL. A Política de Segurança da Informação deverá ser acompanhada por políticas de apoio, dos mais diversos temas que envolvem a Segurança da Informação.

II - Análise e Tratamento de Riscos - Deve ser executada periodicamente uma Análise de Riscos e Vulnerabilidades, identificando, quantificando, avaliando os impactos e definindo o tratamento a ser dado aos possíveis eventos que ameacem os negócios e ativos da SEFAZ-AL resultantes de falhas de segurança (incidentes de segurança);

III - Gestão de Ativos de Informação - As informações geradas, adquiridas, armazenadas, processadas, transmitidas e descartadas pelas unidades administrativas da SEFAZ-AL devem ter mecanismos de gerenciamento e proteção adequados, de forma a resguardar sua confidencialidade, integridade, disponibilidade, autenticidade, legalidade e privacidade.

IV - Utilização dos Recursos de Tecnologia da Informação e Comunicação - A CSGII deve estabelecer e gerenciar um conjunto de regras que possibilitem a utilização adequada da Internet, correio eletrônico e quaisquer outros serviços e recursos de Tecnologia da Informação e Comunicação no Âmbito da SEFAZAL.

V - Segurança em Recursos Humanos - A SEFAZ-AL deverá conscientizar seus servidores, fornecedores e terceiros sobre suas responsabilidades e obrigações para com a segurança da informação, antes, durante e após o encerramento da relação de trabalho, fazendo-os se comprometerem mediante a assinatura de temo de confidencialidade e/ou através de cláusulas contratuais, com o cumprimento da Política de Segurança da Informação da instituição, regulamentações vigentes e com o uso aceitável dos seus ativos de informação.

VI - Segurança Física do Ambiente e dos Equipamentos de Processamento da Informação - As instalações de processamento da informação críticas ou sensíveis devem ser mantidas em áreas seguras, protegidas por perímetros de segurança definidos, com barreiras de segurança e controles de acesso apropriados. Convém que sejam fisicamente protegidas contra o acesso não autorizado, danos, interferências, ameaças físicas e do meio ambiente. Convém também que sejam adotadas regras de comportamento próximo a equipamentos ou ao utilizar mídias removíveis.

VII - Gestão de Continuidade do Negócio - A SEFAZ-AL é responsável por elaborar e manter um plano de continuidade de negócios, de acordo com a sua necessidade, de forma a reduzir os impactos decorrentes da interrupção de serviços causada por desastres ou falhas da segurança. A Continuidade também envolve medidas de contingência e proteção para cópias de segurança e backup.

VIII - Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação - Técnicas e normas relativas ao desenvolvimento, aquisição, implantação e testes de sistemas computacionais devem garantir a interoperabilidade e a obtenção de níveis de segurança adequados.

IX - Controle de Acessos - É necessário aplicar métodos e elaborar normas para garantir a segurança no que tange ao provisionamento, manutenção, restrição, revisão e retirada de direitos de acessos de usuários nos sistemas de processamento de informação da SEFAZ-AL.

X - Conformidade - Os mecanismos de proteção aqui adotados devem estar em conformidade com a legislação vigente, com o Código de Conduta Ética do Servidor Público e da Alta Administração Estadual, com a Lei Geral de Proteção de Dados e demais leis relevantes e relacionadas à confidencialidade, segurança e privacidade, e com a versão vigente da norma NBR ISO/IEC 27002. Devem evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação.

Art. 5º Para os fins deste documento compete:

I - Ao Comitê Gestor de Segurança da Informação:

a) Deliberar sobre assuntos relacionados ao planejamento, políticas e estratégias em Segurança da Informação.

b) Estabelecer critérios de classificação da informação a serem observados pela SEFAZ-AL.

c) Regulamentar esta Política.

II - À Gestão de Segurança da Informação:

a) Definir, elaborar, divulgar, treinar, implementar e administrar o Sistema de Gestão de Segurança da Informação (SGSI) da SEFAZ-AL, de acordo com os requisitos do negócio e com as leis e regulamentações relevantes;

b) Coordenar a infraestrutura organizacional responsável pelo tratamento da segurança (Comitê de Segurança da Informação);

c) Participar da definição da política de captação, armazenamento, gestão, segurança, integridade e controle de acesso das informações do ambiente computacional da SEFAZ-AL, e das demais informações utilizadas e geradas pelos diversos setores da Secretaria;

d) Colaborar com as Unidades da SEFAZ-AL na implementação da política de segurança.

III - Área de Tecnologia da Informação:

a) Identificar necessidades específicas de Segurança da Informação e propor as implementações necessárias.

b) Elaborar documentos necessários à Segurança da Informação.

c) Elaborar e manter indicadores de Segurança da Informação.

d) Cumprir as diretrizes indicadas neste documento e assegurar, na medida do possível, a sua implementação.

IV - Área de Corregedoria:

a) Verificar o cumprimento da Política de Segurança da Informação da SEFAZ-AL e recomendar as ações corretivas necessárias.

Art. 6º O não cumprimento da Política de Segurança da Informação da SEFAZAL está sujeito às penalidades previstas na legislação vigente.

Art. 7º Esta Portaria entra em vigor na data de sua publicação.

Art. 8º Revogam-se as disposições em contrário.

SECRETARIA DE ESTADO DA FAZENDA, em Maceió, 07 de março de 2022.

GEORGE ANDRÉ PALERMO SANTORO

Secretário de Estado da Fazenda

ANEXO ÚNICO