DECRETO
Nº 49.914, DE 10 DE DEZEMBRO DE 2020.
Institui
a Política Estadual de Segurança da Informação – PESI, no âmbito da
administração pública estadual.
O GOVERNADOR DO ESTADO, no uso das atribuições que lhe são
conferidas pelo inciso IV do art. 37 da Constituição Estadual,
CONSIDERANDO
que a informação é um bem a ser adequadamente gerenciado e protegido,
necessitando para tal de um conjunto de políticas e procedimentos de forma a
preservar os serviços prestados ao cidadão;
CONSIDERANDO
o disposto no inciso VI do art. 1º-B da Lei nº 16.379,
de 6 de junho de 2018, que dispõe sobre o Sistema Estadual de Informática
de Governo – SEIG,
DECRETA:
Art.
1º Este Decreto institui a Política Estadual de Segurança da Informação – PESI
a ser implementada pelos órgãos e entidades da administração pública estadual.
Parágrafo
único. As regras estabelecidas neste Decreto aplicam-se à administração pública
estadual direta, indireta, seus servidores, funcionários e colaboradores a
qualquer título, além de pessoas jurídicas de direito privado que possuam
relação contratual com o Estado de Pernambuco.
Art.
2º A PESI tem como princípios basilares a confidencialidade, a integridade, a
disponibilidade e a autenticidade das informações, bem como:
I
- a incorporação da segurança da informação e de seus preceitos à rotina dos
órgãos e das entidades da administração pública estadual;
II
- a aculturação e a capacitação dos agentes públicos que compõem a
administração pública estadual, nos aspectos de segurança da informação; e
III
- a ampla publicidade das normas e dos procedimentos derivados desta Política,
salvo quando o sigilo seja necessário.
Art.
3° Para os efeitos deste Decreto, conceitua-se segurança da informação as
medidas de salvaguarda da confidencialidade, integridade, disponibilidade a
autenticidade das informações, estejam elas armazenadas ou em trânsito e em sua
forma eletrônica, escrita ou falada, abrangendo, inclusive, a segurança dos
recursos humanos, das áreas e instalações das comunicações, processamento e
armazenamento, assim como as medidas destinadas a prevenir, detectar, deter e
documentar eventuais ameaças e incidentes.
Art.
4º São objetivos da Política Estadual de Segurança da Informação:
I
- posicionar a segurança da informação como um dos elementos fundamentais nas
ações públicas e no planejamento estratégico da administração pública estadual;
II
- dotar os órgãos e as entidades da administração pública estadual de
instrumentos jurídicos, normativos e organizacionais que os capacitem
científica, tecnológica e administrativamente a assegurar a confidencialidade,
a integridade, a autenticidade, o não-repúdio e a disponibilidade dos dados e
das informações tratadas, classificadas e sensíveis;
III
- garantir a conformidade, a padronização e a normatização das atividades de
gestão de segurança da informação no âmbito da administração pública estadual;
IV
- promover o intercâmbio científico-tecnológico entre os órgãos e as entidades
da administração pública estadual e as instituições públicas e privadas, sobre
as atividades de segurança da informação;
V
- estabelecer um referencial de segurança de informação a fim de nortear as
aquisições e a contratação de serviços de Tecnologia da Informação - TI, no
âmbito da administração pública estadual, bem como o desenvolvimento e
respectivas evoluções dos sistemas de informação;
VI
- assegurar a interoperabilidade entre os sistemas de segurança da informação;
VII
- criar, manter e aperfeiçoar conhecimentos de segurança da informação no corpo
técnico funcional dos órgãos e das entidades públicas da administração pública
estadual;
VIII
- disseminar a cultura de segurança da informação e suas normas no âmbito da
administração pública estadual; e
IX
- garantir a continuidade das atividades do governo que dependem de informação
e sistemas de informação.
Art.
5° São diretrizes gerais da Política Estadual de Segurança da Informação -
PESI:
I
- estabelecer a proporcionalidade das medidas acerca da elaboração de normas e
procedimentos de segurança da informação baseado em classificação prévia;
II
- controlar o acesso aos sistemas, dispositivos, mídias e a quaisquer outros
meios de armazenamento, organização, exibição e transporte de informação,
observados os privilégios mínimos necessários, a efetiva gestão de identidades
e as restrições oriundas das classificações de criticidade e privacidade das
informações;
III
- realizar o registro de acessos e alterações de dados em sistemas de
informação que possibilite auditorias e investigações;
IV
- estabelecer o acompanhamento permanente do cumprimento da PESI através de
instrumentos necessários, como o monitoramento do tráfego e o armazenamento de
informação;
V
- implantar o processo de gestão de riscos de Tecnologia da Informação e
Comunicação- TIC, para análise periódica e sistemática do impacto na área de
negócio;
VI
- implantar o processo de gestão da qualidade da segurança da informação;
VII
- implantar o processo de gestão de incidentes da segurança da informação; e
VIII
- implantar o processo de gestão de continuidade de serviços da TIC.
Art.
6° Compõem a Política Estadual de Segurança da Informação - PESI, além dos
dispositivos contidos neste Decreto:
I
- normas temáticas complementares de segurança da informação adotadas no âmbito
da administração pública estadual a serem regulamentadas
por portaria da Secretária de Administração; e
II
- políticas de segurança da informação locais adotadas individualmente pelos
órgãos e entidades que compõe a administração pública estadual
a serem publicadas por portarias institucionais de cada órgão,
respeitando as diretrizes desta PESI.
Art.
7° Compete ao Comitê Técnico de Governança Digital - CTGD, além das
atribuições já definidas no art. 2º-D da Lei nº 16.379,
de 6 de junho de 2018:
I
- deliberar o plano quadrienal
estratégico para a área de segurança da informação com
acompanhamento anual de indicadores de desempenho;
II
- aprovar os complementos e evoluções da PESI; e
III
- monitorar o efetivo cumprimento da PESI.
Art.
8° A Agência Estadual de Tecnologia da Informação - ATI atuará como órgão
consultor de segurança da informação junto aos demais órgãos e entidades da
administração pública estadual.
Art.
9° Compete aos órgãos e entidades da administração pública estadual promover a
adequação de sua infraestrutura de tecnologia da informação à PESI.
Art.
10. Este Decreto entra em vigor na data da sua publicação.
Palácio do Campo das Princesas, Recife, 10 de dezembro
do ano de 2020, 204º da Revolução Republicana Constitucionalista e 199º da
Independência do Brasil.
PAULO HENRIQUE SARAIVA CÂMARA
Governador do Estado
MARÍLIA RAQUEL SIMÕES LINS
JOSÉ FRANCISCO DE MELO CAVALCANTI NETO
DÉCIO JOSÉ PADILHA DA CRUZ
ALEXANDRE REBÊLO TÁVORA
ERNANI VARJAL MEDICIS PINTO