IMPRENSA OFICIAL - AMÉRICO DE CAMPOS
Publicado em 21 de julho de 2022 | Edição nº 1414 | Ano VIII
Entidade: Poder Executivo | Seção: Atos Oficiais | Subseção: Portarias
PORTARIA Nº. 9.574.
15 DE JULHO DE 2.022.
OBJETO: Dispõe sobre a Política de Segurança da Informação e Comunicações.
ROSENALDO RODRIGUES, Prefeito Municipal de Américo de Campos, Estado de São Paulo, no uso de suas atribuições legais conferidas pelo Art. 42, Inciso VIII da LOM e com fulcro na Lei Federal nº. 13.709, de 14 de Agosto de 2.018 – Lei Geral de Proteção de Dados (LGPD) .
CONSIDERANDO que a Prefeitura de Américo de Campos por intermédio de seus servidores públicos ativos, inativos e pensionistas da municipalidade em razão de sua natureza de atividades, traz ao conhecimento de seu corpo técnico sua Política de Segurança da Informação e Comunicações, com o intuito de garantir sua disponibilidade, integridade, confidencialidade e autenticidade.
Art. 1º - Para assegurar o cumprimento dos objetivos e a missão social da Prefeitura de Américo de Campos é fundamental que seja desenvolvida e implantada esta Política de Segurança da Informação e Comunicações, que vise combater as ameaças aos ativos de informação, bem como conscientizar os usuários, servidores, colaboradores, clientes, parceiros e fornecedores para a utilização correta e segura dos recursos de Tecnologia da Informação oferecidos pelos órgãos da administração municipal.
Art. 2º - Para efeitos dessa Política de Segurança da Informação e Comunicações, entende-se como conceitos e definições:
§ 1º - Informação: todo e qualquer conteúdo que possua valor agregado para a organização, podendo ser apresentado nas mais diversas formas, como impressa, escrita, falada, filmada, ou gravada em dispositivos eletrônicos ou magnéticos como CDs, DVDs, disquetes, discos de armazenamento, pen drives, estações de trabalho e qualquer outro meio existente.
§ 2º - Ativos de informação: meios de armazenamento, transmissão e processamento da informação, bem como os equipamentos necessários, os sistemas utilizados, os locais onde se encontram esses meios, e também os recursos humanos que a eles têm acesso.
§ 3º - Ameaça: conjunto de fatores internos e externos ou causa potencial de um incidente, que pode resultar em dano para um sistema ou organização.
§ 4º - Incidente de Segurança da Informação e Comunicações: gerado por um ou mais eventos indesejados ou inesperados, que tenham probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.
§ 5º - Disponibilidade: garantia de que a informação esteja acessível e utilizável por uma pessoa física ou determinado sistema, órgão ou entidade.
§ 6º - Integridade: garantia de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental. Salvaguarda da exatidão e completeza da informação e dos métodos de processamento.
§ 7º - Confidencialidade: garantia de que a informação não seja disponibilizada ou revelada à pessoa física, sistema, órgão ou entidade que não possuam o devido credenciamento e permissão para tal acesso.
§ 8º - Autenticidade: garantia de que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade.
§ 9º - Riscos de Segurança da Informação e Comunicações: potencial vinculado à exploração de uma ou mais vulnerabilidades de um ou mais ativos de informação, por parte de uma ou mais ameaças, com impacto negativo sobre o negócio.
§ 10. - Continuidade de Negócios: capacidade estratégica de uma organização se planejar e responder a incidentes e interrupções de negócios, minimizando seus impactos e recuperando perdas de ativos de informação, mantendo as operações críticas em um nível aceitável de funcionamento.
§ 11. - Usuários: Empregados, técnicos, analistas, diretores, conselheiros, cargos, requisitados e cedidos, desde que previamente autorizados, empregados de empresas prestadoras de serviços terceirizados, consultores, estagiários, e outras pessoas que se encontrem a serviço da Prefeitura de Américo de Campos.
Art. 3º - A Política de Segurança da Informação e Comunicações da Prefeitura de Américo de Camppos tem como objetivos:
§ 1º - Prover orientação da Direção e apoio para a segurança da informação e comunicações de acordo com os requisitos do negócio e com as Leis e Regulamentações relevantes.
§ 2º - Estabelecer diretrizes estratégicas que orientem e apoiem as ações organizacionais, visando preservar, em qualquer meio, a confidencialidade, integridade, disponibilidade e autenticidade da informação.
§ 3º - Promover práticas de segurança da informação e comunicações, compatíveis com o uso aceitável das informações e dos ativos que as mantém, minimizando os riscos sobre o negócio.
§ 4º - Prover mecanismos de transparência e gestão das informações.
Art. 4º - As diretrizes estabelecidas por esta Política de Segurança da Informação e Comunicações aplicam-se a:
§ 1º - Todos os ambientes físicos pertencentes ao patrimônio da Prefeitura de Américo de Campos ou sob sua custódia.
§ 2º - Todos os ambientes computacionais e ativos de informação pertencentes a Prefeitura de Américo de Campos.
§ 3º - Todos os contratos, convênios, acordos, termos e outros instrumentos congêneres celebrados pela Prefeitura de Américo de Campos.
§ 4º - Todos os empregados, técnicos, analistas, diretores, conselheiros, cargos, requisitados e cedidos, empregados de empresas prestadoras de serviços terceirizados, consultores, estagiários, e outras pessoas que se encontrem a serviço da Prefeitura de Américo de Campos.
Art. 5º - Esta Política de Segurança da Informação e Comunicações conscientiza cada colaborador de que os ambientes, sistemas, computadores e redes da Prefeitura poderão ser monitorados e gravados, conforme previsto nas legislações do País.
Art. 6º - É mandatório que cada colaborador se mantenha atualizado em relação às diretrizes, procedimentos e normas relacionadas a esta Política de Segurança da Informação e Comunicações, buscando orientação sempre que não estiver seguro quanto aos itens aqui propostos.
Art. 7º Esta Política de Segurança da Informação e Comunicações também se aplica no que for necessário, ao relacionamento da Prefeitura de Américo de Campos com outros órgãos e entidades públicos ou privados.
Art. 8º - As diretrizes gerais e específicas da Política de Segurança da Informação e Comunicações da Prefeitura de Américo de Campos, seguem elencadas nos próximos Artigos e seus dispositivos.
Art. 9º - A gestão de ativos tem como objetivos identificar os ativos da Prefeitura de Américo de Campo os e definir as devidas responsabilidades pela proteção dos mesmos. Assegurar que a informação receba um nível adequado de proteção, de acordo com a sua importância. Prevenira divulgação não autorizada, modificação, remoção ou destruição da informação armazenada nas mídias.
Art. 10. A gestão de ativos tem as seguintes diretrizes:
I. Os ativos associados à informação e aos recursos de processamento da informação devem ser identificados, estruturados e inventariados.
II. Os ativos devem ser classificados de acordo com sua importância ou criticidade, para que se possa estabelecer métodos de processamento, armazenamento, transmissão, exclusão e destruição da informação por eles suportada.
III. Todos os ativos inventariados devem possuir um responsável ou proprietário.
IV. Os responsáveis pelos ativos devem ser definidos pela alta direção da Prefeitura.
V. O responsável designado pode ser um indivíduo ou uma entidade que aprovou a responsabilidade pela gestão, para controlar todo o ciclo de vida de um ativo.
VI. Todos os colaboradores e terceiros que usam ou têm acesso aos ativos de informação da Prefeitura devem estar cientes dos requisitos de segurança da informação destes ativos.
VII. Todos os colaboradores e partes externas devem devolver todos os ativos da organização que estejam em sua posse, após o encerramento de suas atividades, do contrato ou acordo.
VIII. Toda informação gerada na Prefeitura deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para evitar modificação ou divulgação não autorizada.
IX. O nível de proteção deve ser avaliado por meio da análise de confidencialidade, integridade, disponibilidade e autenticidade.
X. Para cada nível de proteção deve ser dado um nome que faça sentido dentro do esquema de classificação.
XI. Devem ser estabelecidos procedimentos para o tratamento, processamento, armazenamento e transmissão da informação, de acordo com sua classificação. Para tanto, consideram-se os seguintes itens:
a. Restrições de acesso baseadas no nível de classificação.
b. Proteção de cópias temporárias ou permanentes da informação.
c. Armazenamento dos ativos de TI de acordo com as especificações dos fabricantes.
XII. Toda mídia deve ser guardada de forma segura em ambiente protegido, de acordo com o nível de classificação da informação nela contida.
XIII. Quando a informação contida na mídia for confidencial, técnicas de criptografia devem ser adotadas para aumentar a proteção dos dados.
XIV. Em caso de falhas em mídias, decorrentes de degradação natural ou mau uso dos dispositivos, realizara transferência das informações críticas para novas mídias de armazenamento.
XV. Informações valiosas devem ser armazenadas em mídias separadas, para minimizar os riscos futuros de perda ou dano de mídias.
XVI. Mídias contendo informações sigilosas devem ser guardadas e destruídas de forma segura e protegida. Dependendo da informação contida, procedimentos como incineração ou trituração devem ser adotados.
XVII. Os itens que demandam descarte seguro devem ser previamente detectados.
XVIII. Em casos complexos, estudar a viabilidade de contratação de um fornecedor bem reputado, que apresente controles seguros e adequados para o descarte de mídias.
XIX. O descarte de itens sensíveis deve ser registrado, sempre que possível, para manutenção de uma trilha de auditoria.
Art. 11. O Controle de Acesso tem como objetivo limitar o acesso à informação e aos recursos de processamento da informação e garantir o acesso aos usuários autorizados e restringir aos não autorizados.
Art. 12. O Controle de Acesso tem as seguintes diretrizes:
I. Estabelecer requisitos formais para criação, inativação e remoção de usuários de acesso.
II. Estabelecer requisitos para autorização e desautorização formal de acesso aos sistemas da Prefeitura.
III. Registrar em arquivos de log todos os eventos significativos, relativos ao uso e gerenciamento dos sistemas, detectando a identidade do usuário e suas ações realizadas.
IV. Estabelecer regras de acesso privilegiado.
V. Definir regra padrão de “Tudo proibido” e criar liberações excepcionais caso a caso.
VI. Evitar utilização de usuário administrador para não comprometer processos de auditoria.
VII. Estabelecer procedimentos de autorização para determinar quem tem permissão para acessar quais redes e serviços de redes.
VIII. Definir meios seguros de acesso às redes da Prefeitura, utilizando protocolos que utilizem criptografia como SSH, SFTP, VPN IPSEC, dentre outros.
IX. Não utilizar protocolos inseguros como FTP, TELNET e quaisquer outros que não utilizem algoritmos de criptografia associados a métodos de autenticação.
X. Criar mecanismos para realizar monitoramento da disponibilidade e do uso dos serviços de rede.
XI. Todos os colaboradores e usuários devem manter a confidencialidade da informação de autenticação secreta, não fornecendo suas credenciais de acesso para outras partes, incluindo autoridades e lideranças.
XII. Os direitos de acesso dos usuários devem ser revisados e ajustados regularmente ou sempre que houver quaisquer mudanças, como promoção, remanejamento ou encerramento de contrato.
XIII. Os usuários devem evitar manter anotada a informação de autenticação secreta (por exemplo, papel, arquivos ou dispositivos móveis), a menos que ela possa ser armazenada de forma segura e o método de armazenamento esteja aprovado, como em um sistema de gerenciamento de senhas, por exemplo.
XIV. Os usuários devem requisitar ou alterar suas senhas, sempre que existir qualquer indicação de possível comprometimento do sistema ou da própria senha.
XV. Definir quais informações podem ser acessadas por cada usuário em particular e controlar os direitos de acesso com permissões, como, ler, escrever, excluir e executar.
XVI. Prover controles de acesso lógico ou físico como método de isolamento de aplicações, dados ou sistemas críticos.
XVII. Em sistemas que requerem verificação de identidade e autenticação forte, utilizar métodos alternativos de autenticação para as senhas, como meios criptográficos, smart cards, tokens ou biometria.
XVIII. Registrar, sempre que possível, as tentativas forçadas de acesso aos sistemas.
XIX. Registrar, sempre que possível, as tentativas de acesso mal e bem sucedidas aos sistemas.
XX. Garantir que as senhas não sejam transmitidas em texto claro pela rede.
XXI. As informações de autenticação secreta devem possuir requisitos de complexidade para evitar senhas fracas facilmente identificadas por ataques de dicionário.
XXII. Prover meios de controlar e impedir a utilização de programas utilitários privilegiados, utilizados para sobrepor e reduzir o nível de segurança da rede e dos sistemas.
Art. 13. Os Controles Criptográficos tem como objetivos assegurar o uso efetivo e adequado da criptografia para proteger a confidencialidade, autenticidade e integridade da informação.
Art. 14. Os Controles Criptográficos tem as seguintes diretrizes:
I. Identificar o nível de proteção exigido pelos ativos, levando em consideração uma avaliação de risco, para que seja possível definir a força e a qualidade do algoritmo de criptografia requerido.
II. Utilizar criptografia para proteger as informações críticas transportadas em dispositivos móveis, mídias removíveis ou através de redes de computadores.
III. Utilizar certificados SSL assinados por autoridades certificadoras confiáveis em sistemas web, para garantir que as informações acessadas ou transmitidas não sejam interceptadas por pessoas não autorizadas.
IV. Utilizar assinaturas digitais ou códigos de autenticação para validar a autenticidade ou integridade de informações críticas armazenadas ou transmitidas.
V. Os algoritmos criptográficos e o tamanho de chaves devem ser selecionados de acordo com o nível de criticidade das informações e dos sistemas que a suportam, para que não ocorram impactos desnecessários tanto de falta de segurança, quanto de segurança excessiva (por exemplo, causando lentidão demasiada no acesso a informações simples e pouco críticas).
VI. Todas as chaves criptográficas devem ser protegidas contra modificação e perda.
VII. As chaves privadas e secretas devem ser protegidas contra uso ou divulgação não autorizada.
VIII. As chaves devem ser distribuídas de forma segura para os usuários devidamente autorizados.
IX. Revogar chaves comprometidas ou àquelas utilizadas por usuários que não possuírem mais autorização para tal utilização.
Art. 15. A segurança física e do ambiente tem como objetivos prevenir o acesso físico não autorizado, danos e interferências nos recursos de processamento das informações e nas informações da organização.
Art. 16. A segurança física e do ambiente tem as seguintes diretrizes:
I. Definir os perímetros de segurança e garantir que a localização e capacidade de resistência de cada perímetro dependam dos requisitos de segurança dos ativos existentes no interior do perímetro.
II. Os perímetros que contenham instalações de processamento da informação devem ser fisicamente sólidos, sem brechas ou pontos que facilitem ações de invasão. Além disso, as portas externas devem possuir construção robusta e protegida adequadamente contra acessos não autorizados.
III. Implantar área de recepção, ou outro meio que possibilite o controle de acesso físico ao edifício da Prefeitura de Américo de Campos.
IV. Registrar a data e hora de entrada e saída de visitantes, bem como supervisionar a permanência dos mesmos nos interiores do prédio.
V. Garantir que somente pessoas autorizadas tenham acesso às áreas em que são processadas informações sensíveis.
VI. Prestadores de serviço terceirizado somente terão acesso às áreas seguras de processamento da informação, quando for requisitado pela Prefeitura de Américo de Campos e for realmente necessário.
VII. Escritórios, salas e instalações-chave devem ser localizados de modo a evitar o acesso do público.
VIII. As áreas seguras, não ocupadas, devem ser fisicamente trancadas e periodicamente verificadas.
IX. Proibir atos de comer, beber e fumar nas proximidades das instalações de processamento da informação.
X. Garantir condições ambientais adequadas, como temperatura e umidade, para evitar prejuízos nas instalações de processamento da informação.
XI. Proteger os equipamentos que suportam informações críticas, contra falta de energia elétrica e outras interrupções.
XII. Impedir que os equipamentos, informações ou softwares sejam retirados das dependências da Prefeitura de Américo de Campos sem autorização prévia.
XIII. Realizar registro da retirada e devolução de ativos das dependências da Prefeitura de Américo de Campos.
Art. 17. Tópicos relacionados aos usuários tem com objetivos garantir o uso aceitável dos recursos da Prefeitura de Américo de Campos por parte dos usuários, adotando medidas e bons hábitos em segurança da informação e comunicações, prevenindo eventos indesejados que gerem impactos sobre o negócio.
Art. 18. Os tópicos relacionados aos usuários tem as seguintes diretrizes:
I. Os usuários colaboradores e partes externas devem estar conscientes dos requisitos de segurança da informação e comunicações dos ativos da organização, associados à informação e aos recursos de processamento da informação.
II. Os usuários colaboradores ou externos são responsáveis pelo uso de qualquer recurso de tecnologia da informação que estejam sob sua posse ou uso.
III. O uso de equipamentos e recursos computacionais, incluindo os pessoais, conectados às redes da Prefeitura é controlado, estando sujeito a inspeções eventuais.
IV. Todas as mensagens produzidas e transmitidas utilizando recursos de comunicação da organização são de propriedade da Prefeitura.
V. A utilização dos recursos corporativos como e-mail, comunicação unificada, Intranet e Internet, deve ser orientada para as atividades de interesse da Prefeitura.
VI. As redes sociais acessadas por meio da rede corporativa devem ter como finalidade principal a prestação de serviços público sao cidadão.
VII. As informações sensíveis, em papel ou em mídia de armazenamento eletrônica, devem ser guardadas em local seguro.
VIII. Em casos de ausência do usuário responsável, os equipamentos utilizados pelo mesmo, devem ser mantidos desligados ou protegidos com mecanismo de travamento de tela e teclados controlados por senha, token ou mecanismo de autenticação semelhante.
IX. Documentos contendo informações sensíveis e críticas devem ser imediatamente, removidos de impressoras após a impressão.
X. Papéis, livros, lembretes, anotações ou qualquer informação confidencial não devem ser deixados na mesa.
XI. Informações confidenciais ou pessoais devem ser mantidas em local apropriado, preferencialmente trancadas.
XII. É proibido que funcionários, fornecedores e partes externas comprometam a Prefeitura, através de, por exemplo, difamação, assédio, falsa identidade, retransmissão de “correntes”, compras não autorizadas, entre outros.
XIII. Evitar retransmissão automática de mensagens eletrônicas corporativas de e-mail para endereços externos.
XIV. Os usuários colaboradores devem se atentar para não manterem conversas confidenciais em locais públicos, escritórios abertos, canais de comunicação inseguros e locais de reunião.
XV. É proibido divulgar ou compartilhar indevidamente, informações sigilosas através de dispositivos móveis.
XVI. Os dispositivos móveis devem ser utilizados de forma adequada, prevenindo ações que possam danificar, sobrecarregar ou inutilizar os recursos tecnológicos da Prefeitura.
XVII. Os usuários são pessoalmente responsáveis por todas as atividades realizadas por seus dispositivos móveis ao utilizar às redes e recursos da Prefeitura.
XVIII. Os usuários somente podem realizar acesso remoto aos recursos de tecnologia da Prefeitura, quando previamente autorizados e suas atividades estejam relacionadas com a função exercida.
XIX. Os equipamentos dos usuários que utilizam acesso remoto aos recursos da Prefeitura devem estar devidamente atualizados e protegidos por firewall e soluções de antivírus.
XX. Todo acesso remoto configurado deve prover alto nível de segurança, com autenticação e criptografia forte.
XXI. Os usuários são expressamente proibidos de instalar qualquer programa nos computadores da Prefeitura, incluindo atualizações que possam comprometer o correto funcionamento dos sistemas organizacionais. As solicitações referentes à instalação de software devem ser dirigidas à Divisão de Informática, por meio dos gestores dos setores requisitantes.
Art. 19. Proteção contra malware tem como objetivos garantir que as informações e os recursos de processamento da informação estejam protegidos contra malware.
Art. 20. A proteção contra malware tem as seguintes diretrizes:
I. É expressamente proibida a utilização de softwares não autorizados.
II. Controles através de firewalls de aplicação devem ser configurados, para prevenir e detectar o uso de software não autorizado.
III. Restringir e registrara tentativa de acesso a websites maliciosos ou suspeitos, por parte dos usuários.
IV. Os usuários devem adotar precauções de examinar com ferramenta antivírus, arquivos e softwares importados de redes ou mídias externas.
V. Deve-se instalar e atualizar periodicamente software de detecção e remoção de malware para a varredura de computadores e mídias magnéticas.
VI. Isolar, ao máximo possível, ambientes críticos que possam ser contaminados por malwares para evitar impactos catastróficos às atividades do negócio.
VII. Configurar varreduras automáticas e completas, para serem realizadas regularmente por soluções de antivírus.
Art. 21. A segurança nas comunicações tem com objetivos garantir a proteção das informações e dos recursos de processamento que as suportam dentro dos meios de comunicação disponibilizados pela Prefeitura de Américo de Campos.
Art. 22. A segurança nas comunicações tem as seguintes diretrizes:
I. Meios devem ser adotados para estabelecer a proteção da confidencialidade e integridade dos dados que trafegam sobre as redes públicas ou sobre as redes sem fio, bem como dos sistemas e aplicações a elas conectados.
II. Aplicar mecanismos apropriados de registro e monitoração para habilitar a gravação e detecção de ações que possam afetar, ou ser relevantes para segurança da informação.
III. Todos os sistemas organizacionais utilizados através de redes devem requerer autenticação e criptografia apropriada.
IV. Utilizar ferramentas e soluções de segurança como firewalls e sistemas de detecção e prevenção de intrusão.
V. Segregar redes tanto cabeadas quanto sem fio, estabelecendo políticas de acesso apropriadas tanto quando o acesso for direcionado para Internet quanto entre as próprias redes segregadas.
VI. Mensagens de correio eletrônico (e-mail) são inseguras e não garantem sigilo e entrega, portanto, informações confidenciais e críticas não devem utilizar este meio de comunicação.
Art. 23. Relacionamento na cadeia de suprimento tem como objetivos prover a proteção dos ativos da Prefeitura de Américo de Campos que são acessados pelos fornecedores, assim como assegurar que os serviços prestados estão sendo entregues em consonância com os acordos contratuais estabelecidos.
Art. 24. O relacionamento na cadeia de suprimento tem as seguintes diretrizes:
I. Definir tipos de acesso à informação a diferentes tipos de fornecedores com regras de segurança bem definidas e monitoramento das atividades desempenhadas pelos fornecedores.
II. Aplicar treinamento de conscientização para os usuários da Prefeitura de Américo de Campos envolvidos com aquisição, relativo aos procedimentos, processos e políticas aplicáveis.
III. Estabelecer condições sob as quais os controles e requisitos de segurança da informação serão documentados em um acordo, assinado por ambas as partes.
IV. Os acordos com os fornecedores devem ser documentados para assegurar que não existam desentendimentos entre a Prefeitura de Américo de Campos e o fornecedor, com relação à obrigação de ambas as partes com o cumprimento dos requisitos de segurança da informação e comunicações.
V. É importante, que no acordo com o fornecedor, conste uma lista explícita do pessoal do fornecedor autorizado a acessar ou receber as informações da Prefeitura de Américo de Campos ou as condições e procedimentos para autorização e remoção de acesso ou recebimento de tais informações pelo pessoal do fornecedor.
VI. Obter garantia de que os produtos de tecnologia da informação e comunicação entregues pelos fornecedores estão funcionando conforme esperado, sem quaisquer características não desejadas ou não esperadas.
VII. Os serviços executados pelos fornecedores serão monitorados, analisados criticamente e auditados a intervalos regulares.
VIII. A monitoração e análise crítica dos serviços executados pelos fornecedores devem garantir que os termos e condições dos acordos de segurança da informação sejam cumpridos e que os incidentes e problemas de segurança da informação e comunicações sejam gerenciados deforma apropriada.
IX. Os fornecedores devem garantir que a capacidade de serviço seja suficiente, para assegurar que os níveis de continuidade do serviço acordados sejam mantidos, no caso de um desastre ou falha dos serviços principais.
Art. 25. O tratamento de incidentes de segurança da informação tem como objetivos gerir os incidentes de segurança da informação, incluindo a comunicação sobre a vulnerabilidades e eventos de segurança da informação.
Art. 26. O tratamento de incidentes de segurança da informação tem a seguintes diretrizes:
I. É necessário que sejam estabelecidas responsabilidades e procedimentos para tratamento de incidentes, como forma de garantir respostas rápidas e efetivas.
II. Implantar um canal de comunicação de incidentes de segurança da informação, de modo que todos os funcionários e colaboradores possam notificar sobre os eventos detectados.
III. Implantar ferramentas de monitoramento de sistemas, que sejam versáteis e capazes de emitir alertas de vulnerabilidades e indisponibilidade dos serviços e sistemas organizacionais da Prefeitura de Américo de Campos.
IV. Todos os funcionários e colaboradores são responsáveis por notificar qualquer evento de segurança da informação, assim que esses eventos forem detectados, ou o mais breve possível.
V. Os conhecimentos obtidos de análise e resolução de incidentes anteriores devem ser utilizados para reduziras possibilidades de ocorrência ou impacto de incidentes futuros.
VI. Planejar e implantar planos de contingência, como resposta aos incidentes, para manter a continuidade do negócio em um nível aceitável.
Art. 27. Conformidade tem como objetivos impedir a violação de quaisquer normas legais, regulamentares ou contratuais relacionadas à segurança da informação.
Art. 28. Conformidade tem as seguintes diretrizes:
I. É necessário que os gestores identifiquem toda a legislação aplicável à Prefeitura de Américo de Campos, para atendender aos requisitos relativos à natureza do negócio desempenhado pelo órgão.
II. Adquirir apenas softwares de fontes conhecidas e bem reputadas, para garantir que o direito autoral não esteja sendo violado.
III. Implementar controles que garantam que o número máximo de usuários por licença de software, não esteja sendo excedido.
IV. Os sistemas de informação da Prefeitura de Américo de Campos devem ser analisados a intervalos regulares, para verificar a conformidade com as normas e políticas de segurança da informação do órgão.
V. Todas as atividades, sistemas e serviços desenvolvidos e prestados pela Prefeitura de Américo de Campos devem estar em consonância com as Leis, normas e regulamentações jurídicas municipais, estaduais e federais vigentes.
Art. 29. O colaborador que não respeitar ou infringir qualquer diretriz elencada por esta Política estará sujeito a penalidades que vão desde o bloqueio de todos os seus acessos aos sistemas e recursos da Prefeitura de Américo de Campos, até àquelas previstas em Lei e nos regulamentos internos da Prefeitura de Américo de Campos.
Art. 30. A Política de Segurança da Informação e Comunicações da Prefeitura de Américo de Campos deve ser transmitida a todos os colaboradores, através de um processo de conscientização constante. Todas as ações de divulgação e conscientização dos colaboradores deverão ser coordenadas pela alta gestão da Prefeitura da Americo de Campos, apoiada pela Divisão de Informática e demais setores competentes.
Art. 31. A Política de Segurança da Informação e Comunicações da Prefeitura de Américo de Campos deverá ser revisada e atualizada, a intervalos regulares de pelo menos um ano, ou quando eventos relevantes ocorrerem que justifiquem tal atualização.
Art. 32. Esta Portaria entrará em vigência na data de sua publicação, com efeitos retroativos para o dia 11 de Julho de 2.022.
Art. 33. Ficam revogadas as disposições contrárias.
Cumpre-se, Registre-se e Publique-se.
Prefeitura de Américo de Campos/|SP,
15 de Julho de 2.022.
ROSENALDO RODRIGUES
Prefeito Municipal
Registrado no Livro de Atos Oficiais e Publicado no diário Oficial Eletrônico de Américo de Campos, data supra
LUÍS CARLOS SARAIVA
Diretor Estratégico
Departamento Municipal de Planejamento e Gestão Pública
Este conteúdo não substitui o publicado na versão certificada.
