Texto Original


  •

ATO DA MESA DIRETORA Nº 1, DE 9 DE ABRIL DE 2025.

 

Institui a Política de Segurança da Informação (PSI) da Assembleia Legislativa de Pernambuco.

 

A MESA DIRETORA DA ASSEMBLEIA LEGISLATIVA DO ESTADO DE PERNAMBUCO, no uso de suas atribuições regimentais,

 

RESOLVE:

 

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

 

Art. 1º Fica instituída a Política de Segurança da Informação da Alepe, com a finalidade de estabelecer princípios, diretrizes, responsabilidades e competências para a gestão da segurança da informação.

 

Art. 2º Esta Política de Segurança da Informação aplica-se a todas as unidades organizacionais da Casa e deverá ser observada por todos os usuários de informação, seja servidor ou equiparado, empregado, estagiário, prestador de serviços ou pessoa habilitada pela administração para acessar os ativos de informação sob a responsabilidade da Alepe.

 

Art. 3º São objetivos da Política de Segurança da Informação:

 

I - estabelecer princípios e diretrizes a fim de proteger ativos de informação e conhecimentos gerados ou recebidos;

 

II - estabelecer orientações gerais de segurança da informação e, desta forma, contribuir para a gestão eficiente dos riscos, limitando-os a níveis aceitáveis, bem como preservar os princípios da disponibilidade, integridade, confidencialidade e autenticidade das informações;

 

III - estabelecer competências e responsabilidades quanto à segurança da informação;

 

IV - nortear a elaboração das normas necessárias à efetiva implementação da segurança da informação;

 

V - promover o alinhamento das ações de segurança da informação com as estratégias de planejamento organizacional da Alepe.

 

Art. 4º Para os efeitos desta Portaria e de suas regulamentações, aplicam-se os termos do Glossário de Segurança da Informação, aprovado pela Portaria GSI/PR nº 93, de 18 de outubro de 2021.

 

CAPÍTULO II

DOS PRINCÍPIOS E DIRETRIZES

 

Art. 5º As ações de segurança da informação da Alepe são norteadas pelos princípios constitucionais e administrativos que regem a Administração Pública, bem como pelos seguintes princípios específicos:

 

I - disponibilidade, integridade, confidencialidade e autenticidade das informações;

 

II - continuidade dos processos e serviços essenciais para o funcionamento da Alepe;

 

III - economicidade da proteção dos ativos de informação;

 

IV - respeito ao acesso à informação, à proteção de dados pessoais e à proteção da privacidade;

 

IV - observância da publicidade como preceito geral e do sigilo como exceção;

 

V - responsabilidade do usuário de informação pelos atos que comprometam a segurança dos ativos de informação;

 

VI - alinhamento estratégico da Política de Segurança da Informação com o planejamento estratégico da Alepe, assim como demais normas relacionadas à segurança da informação;

 

VII - conformidade das normas e das ações de segurança da informação com a legislação regulamentos aplicáveis; e

 

VIII - educação e comunicação como alicerces fundamentais para o fomento da cultura e segurança da informação.

 

Art. 6º Estas diretrizes constituem os principais pilares da gestão de segurança da informação norteando a elaboração de políticas, planos e normas complementares no âmbito da Alepe e objetivam a garantia dos princípios básicos de segurança da informação estabelecidos nesta Política.

 

Art. 7º As normas, procedimentos, manuais e metodologias de segurança da informação da Alepe devem ter como referência, além dos normativos vigentes, as melhores práticas de segurança da informação.

 

Art. 8º As ações de segurança da informação devem:

 

I - considerar, prioritariamente, os objetivos estratégicos, os planos institucionais, a estrutura e as atribuições constitucionais e legais da Alepe;

 

II - ser tratadas de forma integrada, respeitando as especificidades e a autonomia das unidades administrativas da Alepe;

 

III - ser adotadas proporcionalmente aos riscos existentes e à magnitude dos danos potenciais, considerados o ambiente, o valor e a criticidade da informação;

 

IV - visar à prevenção da ocorrência de incidentes.

 

Art. 9º O investimento necessário em medidas de segurança da informação deve ser dimensionado de acordo com o valor do ativo a ser protegido e o risco de potenciais prejuízos à Alepe.

 

Art. 10. Toda e qualquer informação gerada, custodiada, manipulada, utilizada ou armazenada na Alepe compõe o seu rol de ativos de informação e deve ser protegida conforme normas em vigor.

 

Parágrafo único. As informações citadas no caput, que tramitem pelo ambiente computacional da Alepe, são passíveis de monitoramento e auditoria, respeitados os limites legais.

 

Art. 11. Pessoas e sistemas devem ter o menor privilégio e o mínimo acesso aos recursos necessários para realizar uma dada tarefa.

 

Art. 12. A Política de Segurança da Informação e suas atualizações, bem como normas específicas de segurança da informação da Alepe, devem ser divulgadas amplamente a todos os usuários de Informação, a fim de promover sua observância, seu conhecimento, bem como a formação da cultura de segurança da informação.

 

Parágrafo único. A Alepe deverá promover ações educativas para promoção da segurança da informação, divulgação dos procedimentos de segurança e no uso correto dos ativos de informação quando da realização de suas atribuições, de modo a minimizar possíveis riscos à segurança da informação.

 

Art. 13. Todos os contratos de prestação de serviços firmados pela Alepe conterão cláusula específica sobre a obrigatoriedade de observância desta Política de Segurança da Informação, bem como de outras normas correlatas.

 

CAPÍTULO III

DA GESTÃO DE SEGURANÇA DA INFORMAÇÃO

 

Art. 14. A estrutura de Gestão de Segurança da Informação da Alepe é composta por:

 

I - Mesa Diretora;

 

II - Comitê de Segurança da Informação;

 

III - Superintendência de Tecnologia da Informação (STI);

 

IV - Encarregado pelo Tratamento de Dados Pessoais;

 

V - Auditoria;

 

VI - Equipe de Prevenção, Tratamento e Respostas a Incidentes Cibernéticos; e

 

VII - Usuários de Informação.

 

Art. 15. Compete à Mesa Diretora:

 

I - fornecer os recursos necessários para assegurar o desenvolvimento e a implementação da Gestão de Segurança da Informação da Alepe, bem como com o tratamento das ações e decisões de segurança da informação em um nível de relevância e prioridade adequados;

 

II - formalizar e aprovar a Política de Segurança da Informação da Alepe, bem como suas alterações e atualizações.

 

Art. 16. Compete ao Comitê de Segurança da Informação:

 

I - assessorar a Mesa Diretora na formulação, alteração e execução de políticas e normativos internos relacionados à segurança da informação;

 

II - discutir temas e propor soluções específicas sobre segurança da informação na Casa;

 

III - acompanhar a execução desta Política e demais normas relacionadas à segurança da informação na Alepe;

 

IV - deliberar sobre consultas relacionadas à segurança da informação na Alepe.

 

Parágrafo único. A composição, estrutura e funcionamento do Comitê de Segurança da Informação serão definidos em Ato específico da Mesa Diretora.

 

Art. 17. Compete à Superintendência de Tecnologia da Informação (STI):

 

I - coordenar o Comitê de Segurança da Informação;

 

II - assessorar a Mesa Diretora na implementação desta Política de Segurança da Informação;

 

III - planejar, implementar e melhorar continuamente os controles de privacidade e segurança da informação em soluções de tecnologia da informação e comunicações, considerando a cadeia de suprimentos relacionada à solução;

 

IV - promover a divulgação da política e das normas internas de segurança da informação do órgão a todos os servidores, usuários e prestadores de serviços que trabalham na Alepe;

 

V - incentivar estudos de novas tecnologias e seus eventuais impactos relacionados à segurança da informação;

 

VI - acompanhar os trabalhos da Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos;

 

VII - verificar os resultados dos trabalhos de auditoria sobre a gestão da segurança da informação;

 

VIII - acompanhar a aplicação de ações corretivas e administrativas cabíveis nos casos de violação da segurança da informação.

 

Art. 18. Compete ao Encarregado pelo Tratamento dos Dados Pessoais, dentre outras atribuições dispostas na legislação vigente e por outros normativos internos - em especial a LGPD, a Política de Proteção de Dados Pessoais da Alepe e normativos e orientações da Autoridade Nacional de Proteção de Dados (ANPD) - conduzir o diagnóstico de privacidade, bem como orientar, no que couber, os gestores proprietários dos ativos de informação, responsáveis pelo planejamento, implementação e melhoria contínua dos controles de privacidade em ativos de informação que realizem o tratamento de dados pessoais ou dados pessoais sensíveis.

 

Art. 19. Compete à Auditoria, dentre outras atribuições dispostas na legislação vigente:

 

I - apoiar e monitorar as atividades desenvolvidas pelas outras instâncias da Gestão de Segurança da Informação na Casa;

 

II - avaliar periodicamente o cumprimento deste Ato e demais normativos relacionados à Segurança da Informação na Alepe.

 

Art. 20. Compete à Equipe de Prevenção, Tratamento e Respostas a Incidentes Cibernéticos:

 

I - facilitar, coordenar e executar as atividades de prevenção, tratamento e resposta a incidentes cibernéticos na Alepe;

 

II - monitorar as redes computacionais;

 

III - detectar e analisar ataques e intrusões;

 

IV - tratar incidentes de segurança da informação;

 

V - identificar vulnerabilidades e artefatos maliciosos;

 

VI - recuperar sistemas de informação;

 

VII - promover a cooperação com outras equipes, e participar de fóruns e redes relativas à segurança da informação.

 

Parágrafo único. A composição e funcionamento da Equipe de Prevenção, Tratamento e Respostas a Incidentes Cibernéticos serão definidos pelo gestor da Superintendência de Tecnologia da Informação (STI).

 

Art. 21. Compete aos usuários de informação conhecer, cumprir e fazer cumprir esta Política e as demais normas específicas de segurança da informação da Alepe.

 

Parágrafo único. Todos os usuários de informação são responsáveis pela segurança dos ativos de informação que estejam sob a sua responsabilidade.

 

Art. 22. A Política de Segurança da Informação e demais normativos relacionados a este Ato integram o arcabouço normativo da Gestão de Segurança da Informação.

 

Art. 23. A Gestão da Segurança da Informação é constituída, no mínimo, pelos seguintes processos:

 

I - tratamento da informação;

 

II - segurança física e do ambiente;

 

III - gestão de incidentes em segurança da informação;~

 

IV - gestão de ativos;

 

V - gestão do uso dos recursos operacionais e de comunicações, tais como e-mail, acesso à internet, mídias sociais e computação em nuvem;

 

VI - controles de acesso;

 

VII - gestão de riscos;

         

VIII - gestão de continuidade;

 

IX - auditoria e conformidade.

 

§ 1º O Comitê de Segurança da Informação poderá definir outros processos de Gestão de Segurança da Informação, desde que alinhados aos princípios e às diretrizes desta Política e destinados à implementação de ações de segurança da informação.

 

§ 2º Para cada um dos processos que constituem a Gestão de Segurança da Informação, deve ser observada a pertinência de elaboração de políticas, normas, procedimentos, orientações ou manuais que disciplinem ou facilitem o seu entendimento em conformidade com a legislação vigente e boas práticas de segurança de informação.

 

Art. 24. As políticas, normas, procedimentos, orientações ou manuais de Segurança da Informação devem abordar, no mínimo, aspectos relacionados:

 

I - a conformidade com as diretrizes dispostas na LGPD e demais normativos e orientações emitidas pela ANPD;

 

II - a proteção dos dados contra acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;

 

III - ao uso aceitável da informação e a utilização de mídias de armazenamento;

 

IV - a entrada e saída de ativos de informação das instalações da organização;

 

V - aos perímetros de segurança da organização;

 

VI - aos controles de acesso baseados no princípio do menor privilégio;

 

VII - as etapas de identificação, contenção, erradicação e recuperação e atividades pós incidente;

 

VIII - aos critérios para a comunicação de incidentes aos titulares de dados pessoais e a ANPD;

 

IX - ao Plano de Gestão de Incidentes de Segurança;

 

X - a Política de Gestão de Ativos da Casa;

 

XI - a utilização adequada dos recursos operacionais e de comunicações fornecidos pela Alepe, a serem utilizados para fins profissionais, relacionados às atividades da Casa, em conformidade com os princípios éticos e profissionais da Alepe, evitando comportamentos antiéticos, discriminatórios, ofensivos ou que possam comprometer a reputação da Alepe;

 

XII - aos procedimentos para o uso de e-mail, o envio de informações confidenciais, a instalação de software antivírus e a abertura de anexos de e-mail;

 

XIII - o acesso à internet, o download de arquivos da internet, vedado o uso de sites inadequados e a instalação de software não autorizado;

 

XIV - o uso de mídias sociais, a divulgação de informações nas mídias sociais, o uso de contas pessoais para fins profissionais e a interação com estranhos nas mídias sociais;

 

XV - as políticas e procedimentos para o uso da computação em nuvem, a seleção de provedores de serviços em nuvem, a segurança dos dados na nuvem e a conformidade com as leis e regulamentos aplicáveis;

 

XVI - as políticas e procedimentos para o controle de acesso, tais como o uso de Múltiplo Fator de Autenticação (MFA), controles de autorização, baseados no princípio do menor privilégio, controles de segregação de funções, trilhas de auditoria, rastreamento, acompanhamento, controle e verificação de acessos para os ativos de informação, desligamento ou afastamento de colaboradores e parceiros que utilizam ou operam os ativos de informação da Alepe;

 

XVII - as políticas e procedimentos para a gestão dos riscos de segurança da informação que possam afetar seus ativos de informação, abordando a análise do ambiente da Alepe, dos seus ativos de informação e das ameaças à segurança da informação; a adoção de uma metodologia estruturada para identificar riscos, a documentação dos riscos identificados, incluindo sua descrição, origem, impacto potencial e probabilidade de ocorrência; a avaliação de riscos, de forma a determinar o risco a se concretizar e o impacto potencial nos ativos de informação, bem como quais riscos devem ser priorizados para tratamento; o tratamento dos riscos identificados e avaliados, o que pode incluir a mitigação de riscos, por meio da implementação de controles de segurança, ou a aceitação de riscos;

 

XVIII - as políticas e procedimentos para Gestão de Continuidade de Negócios da organização, incluindo o Plano de Continuidade para garantir que a Alepe possa continuar suas atividades em caso de um incidente de segurança da informação e a realização de testes e exercícios periódicos baseados no Plano de Continuidade para garantir sua eficácia.

 

§ 1º As unidades organizacionais da Alepe devem realizar periodicamente auditorias internas de sua segurança da informação para assegurar que ela esteja em conformidade com esta Política e com outros requisitos de segurança da informação aplicáveis.

 

§ 2º Todas as ações, realizadas pelas unidades da Alepe, que envolvem a segurança da informação devem estar em conformidade com as leis e regulamentos aplicáveis à esta temática.

 

§ 3º As atividades, produtos e serviços desenvolvidos pela Alepe devem estar em conformidade com requisitos de privacidade e proteção de dados pessoais constantes de leis, regulamentos, resoluções, normas, estatutos e contratos jurídicos vigentes.

 

CAPÍTULO IV

DAS VEDAÇÕES E DISPOSIÇÕES FINAIS

 

Art. 25. É vedada a utilização dos recursos de tecnologia da informação disponibilizados pela Alepe para acesso, guarda e divulgação de material incompatível com ambiente do serviço, que viole direitos autorais ou que infrinja a legislação vigente.

 

Art. 26. São vedados o uso e a instalação de recursos de tecnologia da informação que não tenham sido homologados ou adquiridos pela STI.

 

Art. 27. É vedada a divulgação a terceiros de mecanismos de identificação, autenticação e autorização baseados em conta e senha ou certificação digital, de uso pessoal e intransferível, que são fornecidos aos usuários.

 

Art. 28. É vedada a exploração de eventuais vulnerabilidades, exceto pelas equipes responsáveis por análises de vulnerabilidades e testes de invasão, as quais devem ser comunicadas às instâncias superiores assim que identificadas.

 

Art. 29. As unidades organizacionais da Alepe devem promover ações de treinamento e conscientização para que os seus colaboradores entendam suas responsabilidades e procedimentos voltados à segurança da informação e à proteção de dados.

 

Parágrafo único. A conscientização, a capacitação e a sensibilização em segurança da informação devem ser adequadas aos papéis e responsabilidades dos colaboradores.

 

Art. 30. As denúncias de violação a esta Política podem ser comunicadas:

 

I - ao Comitê de Segurança da Informação, em qualquer caso;

 

II - ao encarregado de proteção de dados pessoais, quando a violação envolver dados pessoais controlados pela Alepe.

 

Art. 31. O cumprimento desta Política, bem como dos normativos que a complementam devem ser avaliados pela Alepe periodicamente por meio de verificações de conformidade, buscando a certificação do cumprimento dos requisitos de segurança da informação e da garantia de cláusula de responsabilidade e sigilo constantes de termos de responsabilidade, contratos, convênios, acordos e instrumentos congêneres.

 

Art. 32. A não observância do disposto nesta Política, bem como em seus instrumentos normativos correlatos, sujeita o infrator à aplicação de sanções administrativas conforme a legislação vigente, sem prejuízo das responsabilidades penal e civil, assegurados sempre aos envolvidos o contraditório e a ampla defesa.

 

Art. 33. Esta Política será revisada periodicamente, pelo menos a cada quatro anos, ou com maior frequência se necessário, para refletir as mudanças no ambiente organizacional da Alepe, nos riscos à segurança da informação e nas melhores práticas de segurança da informação.

 

Art. 34. Os casos omissos e as dúvidas sobre a Política de Segurança da Informação e seus documentos devem ser submetidas ao Comitê de Segurança da Informação.

 

Art. 35. Este Ato entra em vigor na data de sua publicação.

 

Sala Torres Galvão, em 9 de abril de 2025.

 

Deputado Álvaro Porto

Presidente

 

Deputado Rodrigo Farias

1º Vice-Presidente

 

Deputado Aglailson Victor

2º Vice-Presidente

 

Deputado Francismar Pontes

1º Secretário

 

Deputado Claudiano Martins Filho

2º Secretário

 

Deputado Romero Sales Filho

3º Secretário

 

Deputado Izaías Régis

4º Secretário

 

Este texto não substitui o publicado no Diário Oficial do Estado.


Legislação por Tipo

Normas em Destaque


Calendário Oficial
do Estado de Pernambuco

Legislação Estadual
Municípios Pernambucanos

(81) 3183.2211

Informe algum erro nesta página
brasao da Assembleia Legislativa de Pernambuco
brasao da Assembleia Legislativa de Pernambuco