IMPRENSA OFICIAL - TUPÃ
Publicado em 21 de janeiro de 2025 | Edição nº 799 | Ano V
Entidade: Prefeitura Municipal de Tupã | Seção: Atos Oficiais | Subseção: Decretos
DECRETO Nº 10.831, DE 17 DE JANEIRO DE 2025
INSTITUI A POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DISPÕE SOBRE A GOVERNANÇA DA SEGURANÇA DA INFORMAÇÃO NO ÂMBITO DA PREFEITURA DA ESTÂNCIA TURISTICA DE TUPÃ, E DÁ OUTRAS PROVIDÊNCIAS.
RENAN VICTOR PONTELLI, Prefeito Municipal da Estância Turística de Tupã, usando das atribuições que lhe são conferidas por Lei, com fundamento no inciso XII do artigo 63 da Lei nº 3.070, de 04 de abril de 1970 – Lei Orgânica do Município de Tupã, e
CONSIDERANDO a necessidade de normatizar o uso apropriado dos recursos da tecnologia da informação no âmbito da Prefeitura da Estância Turística de Tupã, promovendo a proteção dos usuários, dos equipamentos, dos softwares, dos dados dos contribuintes e da própria Administração Pública;
CONSIDERANDO a necessidade de garantir a segurança das informações geradas, adquiridas, processadas, armazenadas e transmitidas no âmbito da Administração Municipal, de modo a atender aos princípios da legalidade, confidencialidade, integridade, disponibilidade e autenticidade;
CONSIDERANDO que os servidores públicos devem zelar pelas informações que lhes são confiadas no exercício de suas funções;
CONSIDERANDO que as ações de segurança da informação reduzem custos e riscos e aumentam os benefícios prestados aos cidadãos, ao permitir a oferta de processos, produtos e serviços suportados por sistemas de informações mais seguros;
D E C R E T A :
Art. 1º Fica instituída a Política de Segurança da Informação no âmbito da Prefeitura da Estância Turística de Tupã.
§ 1º A Política de Segurança da Informação constitui um conjunto de diretrizes e normas que estabelecem o princípio de proteção, controle e monitoramento das informações processadas, armazenadas e custodiadas pela Administração Municipal, aplicando-se a todos os órgãos do Poder Executivo Municipal.
§ 2º Compete ao responsável pela área de Tecnologia da Informação a coordenação das políticas de gestão da segurança da informação no Município.
Art. 2º. Para efeito deste Decreto ficam estabelecidos os seguintes conceitos:
I - Autenticidade: garantia que a informação é procedente e fidedigna, capaz de gerar evidências não repudiáveis da identificação de quem a criou, editou ou emitiu;
II - Confidencialidade: garantia de que as informações sejam acessadas e reveladas somente a indivíduos, órgãos, entidades e processes devidamente autorizados;
III - Dado: parte elementar da estrutura do conhecimento, computável, porém incapaz, por si só, de gerar conclusões compreensíveis ao destinatário;
IV - Disponibilidade: garantia de que as informações e os recursos de tecnologia da informação estejam disponíveis sempre que necessário e mediante a devida autorização para seu acesso ou uso;
V - Gestor da informação: pessoa detentora de competência institucional para autorizar ou negar acesso a determinada informação ao usuário;
VI - Incidente de segurança da informação: um evento ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação (ISO/ IEC 27001);
VII - Informação: conjunto de dados que, processados ou não, podem ser utilizados para produção e transmissão de conhecimento, contidos em qualquer meio, suporte ou formato;
VIII - Integridade: garantia de que as informações estejam protegidas contra manipulações e alterações indevidas;
IX - Legalidade: garantia de que todas as informações sejam criadas e gerenciadas de acordo com a legislação em vigor;
X - Log: registro de atividades gerado por programa de computador que possibilita a reconstrução, revisão e análise das operações, procedimento ou evento em sistemas de informação;
XI - Não repúdio: garantia de que um usuário não consiga negar uma operação ou serviço que modificou ou criou uma informação;
XII - Recursos da tecnologia da informação: recursos físicos e lógicos utilizados para criar, armazenar, manusear, transportar, compartilhar e descartar a informação, dentre estes podemos destacar os computadores, notebooks, tablets, pendrives, mídias, impressoras, scanners, softwares, etc.;
XIII - Risco: combinação de probabilidades da concretização de uma ameaça e seus potenciais impactos;
XIV - Segurança da informação: preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas (ISO/ IEC 27001);
XV - Senha: conjunto alfanumérico de caracteres destinado a assegurar a identidade do usuário e permitir seu nível de acesso aos recursos da tecnologia da informação não disponíveis ao público, de uso pessoal e intransferível.
XVI - Tecnologia da informação e comunicação: solução ou conjunto de soluções sistematizadas baseadas no uso de recursos tecnológicos que visam resolver problemas relativos à geração, tratamento, processamento, armazenamento, veiculação e reprodução de dados, bem como subsidiar processos que convertem dados em informação;
XVII - Usuário: funcionário, servidor, comissionado, estagiário, prestador de serviço, terceirizado, conveniado, credenciado, fornecedor ou qualquer outro individuo ou organização que venham a ter relacionamento, direta ou indireta, com os órgãos e entidades da Administração Municipal;
XVIII - Violação: qualquer atividade que desrespeite as diretrizes estabelecidas nesta Política ou em quaisquer das demais normas que a complemente.
Art. 3°. Constituem como objetivos da Política de Segurança da Informação:
I - Dotar a Prefeitura da Estância Turística de Tupã de instrumento jurídico, normativo e institucional que a capacite de forma técnica e administrativa, com o objetivo de assegurar a confidencialidade, a integridade, a autenticidade, o não repudio e a disponibilidade dos dados e das informações tratadas, classificadas e sigilosas da Administração Municipal;
II - Estabelecer e controlar os níveis de acesso de fornecedores extemos aos sistemas, equipamentos, dispositivos e atividades vinculadas a segurança dos sistemas de informação;
III - Assegurar a interoperabilidade entre os sistemas de segurança da informação;
IV - Incorporação da cultura da segurança da informação, por todos os usuários, como um elemento essencial em seus hábitos e atitudes dentro e fora da Administração Municipal.
Art. 4°. A Política de Segurança da Informação instituída neste Decreto reger-se-á pelos seguintes princípios:
I - Tratamento da informação como patrimônio, tendo em vista que a divulgação das informações estratégicas de qualquer natureza pertencentes a Administração Municipal deve ser protegida de forma adequada, com vistas a evitar alterações, acessos ou destruição indevidas;
II - Classificação da informação, garantindo-lhe o adequado nível de proteção, considerando:
a) a avaliação;
b) a necessidade do tipo de acesso pelo usuário, adotando-se como parâmetro o grau de confidencialidade da informação; e
c) a definição de confidencialidade da informação em consonância com as atividades desempenhadas pelo usuário, com vistas a garantir a adequada autorização de acesso pelo gestor da informação, que deverá conter os limites de acesso, tais como leitura, atualização, criação e remoção, entre outros.
Ill - Controle de acesso as informações, tendo como orientação a classificação definida no inciso II deste artigo, respeitando a legislação vigente e considerando, ainda, que:
a) o acesso e o uso de qualquer informação, pelo usuário, devem se restringir ao necessário para o desempenho de suas atividades; e
b) no caso de acesso a sistemas informatizados, deverão ser utilizados sistemas e tecnologias autorizadas pela Administração Municipal.
IV - Continuidade do uso da informação, sendo necessária, para o funcionamento dos sistemas, pelo menos uma cópia de segurança atualizada e guardada em local remoto, com nível de proteção equivalente ao nível de proteção da informação original, observada as seguintes regras:
a) para a definição das cópias de segurança devem ser considerados os aspectos legais, históricos, de auditoria e de recuperação de ambiente;
b) os recursos tecnológicos, de infraestrutura e os ambientes físicos utilizados para suportar os sistemas de informação devem ter controle de acesso físico, conduções ambientais adequadas e ser protegidos contra situações de indisponibilidade causadas por desastres ou contingências; e
c) definição do nível de disponibilidade para cada serviço prestado pelos sistemas de informação, nas situações mencionadas na alínea “b” deste inciso.
V - Educação em segurança da informação, devendo ser observado pelo usuário a correta utilização das informações e dos recursos computacionais disponibilizados.
Art. 5°. As medidas a serem adotadas para fins de proteção da informação deverão considerar:
I - Os níveis adequados de integridade, confidencialidade e disponibilidade da informação;
II - A compatibilidade entre a medida de proteção e o valor do ativo protegido;
III - O alinhamento com as diretrizes da Administração Municipal;
IV - As melhores práticas para a gestão da segurança da informação; e
V - Os aspectos comportamentais e tecnológicos apropriados.
Art. 6°. Compete ao responsável pela área de Tecnologia da Informação:
I - Elaborar e revisar continuamente os procedimentos e a normatização relacionada ao processo de gestão da segurança da informação;
II - Avaliar propostas de modificação da Política de Segurança da Informação encaminhadas pelos demais órgãos administrativos da Administração Municipal;
III - Planejar, elaborar e propor estratégias e ações para institucionalização da política, normas e procedimentos relativos à segurança da informação;
IV - Avaliar a eficácia dos procedimentos relacionados à segurança da informação, propondo e implementando medidas que visem a melhoria do processo de gestão da segurança da informação no âmbito da Administração Municipal;
V - Apurar os incidentes de segurança críticos e dar o encaminhamento adequado; e
VI - Promover a conscientização, o treinamento e a educação em segurança da informação.
Art. 7°. Ao perder o vínculo com a Prefeitura Municipal todos os acessos do usuário aos recursos da tecnologia da informação serão excluídos, suas contas de e-mails canceladas e seu conteúdo apagado.
Parágrafo único. Fica o responsável pela área de Recursos Humanos, o envio para o responsável pela área de Tecnologia da Informação, a qualquer tempo, as demissões/exonerações, do quadro de funcionários, para que as providencias acima sejam tomadas.
Art. 8°. É dever do usuário, em consonância com a Política de Segurança da Informação estabelecida neste Decreto:
I - Zelar pelo sigilo da sua senha;
II - Zelar pela segurança das informações, fechando ou bloqueando o acesso aos equipamentos de informática ou softwares quando estiver utilizando;
III - Comunicar imediatamente ao seu superior hierárquico qualquer suspeita de que estejam sendo executados atos em seu nome por meio dos recursos da tecnologia da informação;
IV - Zelar pela integridade física dos equipamentos de informática utilizados, evitando submetê-los a condições de riscos, mantendo-os afastados de líquidos e alimentos, não danificando as placas de patrimônio, não colando qualquer tipo de adesivo nos equipamentos ou qualquer material e/ ou utensilio que possa danificá-los, e comunicando ao órgão competente qualquer anormalidade ou defeito; e
V - Zelar pela segurança da informação que esteja sob sua custódia em razão de seu exercício funcional.
Art. 9º. E proibido aos usuários:
I - Fornecer por qualquer motivo, seu login e senha para acesso a outrem;
II - Fazer uso do login e da senha de terceiro;
III - Utilizar os recursos da tecnologia da informação em desacordo com os princípios éticos da Administração Pública;
IV - Visualizar, acessar, expor, armazenar, distribuir, editar ou gravar material de natureza pornográfica, racista, jogos, música, filmes e outros relacionados, por meio de uso de recursos de computadores da Prefeitura da Estância Turística de Tupã;
V - Acessar sites ou serviços que representem risco aos dados ou a estrutura de redes da Prefeitura da Estância Turística de Tupã;
VI - Fazer cópias não autorizadas dos softwares desenvolvidos ou adquiridos pela Prefeitura da Estância Turística de Tupã.
Art. 10. E vedado o uso de equipamentos de informática particulares conectados à rede de informática da Prefeitura da Estância Turística de Tupã, sem a prévia autorização do responsável pela área de Tecnologia da Informação.
Art. 11. São considerados usos inadequados dos equipamentos de informática:
I - Instalar hardware em computador da Prefeitura Municipal;
II - Instalar softwares de qualquer espécie em computador da Prefeitura Municipal;
III - Reconfigurar a rede corporativa ou inicializá-la sem prévia autorização expressa;
IV - Efetuar montagem, alteração, conserto ou manutenção em equipamentos da Prefeitura Municipal sem o conhecimento do responsável pela área de Tecnologia da Informação;
V - Alterar o local de instalação dos equipamentos/hardwares de informática, sem prévia autorização;
VI - Instalar dispositivo ou utilizar internet móvel, sem prévia autorização expressa;
VII - Conectar equipamento particular na rede de computadores da Prefeitura, sem prévia autorização expressa;
VIII - Utilizar mecanismos para burlar o usuário/administrador, concedendo privilégios aos demais usuários; e
IX - Utilizar dispositivos de armazenamento externos tais como pendrive, HD externo, sem prévia autorização.
Art. 12. Mesmo com a devida autorização do responsável pela área de Tecnologia da Informação, este não será responsabilizado por danos ou avarias em equipamentos particulares que possam ocorrer durante sua utilização.
Art. 13. Compete exclusivamente ao responsável pela área de Tecnologia da Informação realizar backup diário dos dados armazenados nos servidores internos da Prefeitura da Estância Turística de Tupã.
Parágrafo único. Não compete ao responsável pela área de Tecnologia da Informação fazer backup diário ou periódico de informações armazenadas localmente nos computadores dos usuários, porém, o mesmo deverá orientá-los quanto as melhores práticas para realização de backups para aplicativos instalados em computadores locais e quanto a importância de salvar os arquivos relevantes na rede da Prefeitura Municipal.
Art. 14. É considerado uso inadequado da internet:
I - Acessar informações consideradas inadequadas ou não relacionadas as atividades administrativas, especialmente sites de conteúdo agressivo (racismo, pedofilia, nazismo, etc.), de drogas, pornografia e outros relacionados;
II - Fazer download de arquivos e outros que possam tornar a rede local vulnerável a invasões externas e ataques a programas de código malicioso em suas diferentes formas;
III - Violar os sistemas de segurança da Prefeitura Municipal;
IV - Tentar ou efetivamente burlar as regras definidas de acesso à internet;
V - Alterar os registros de acesso à internet;
VI - Realizar ataque ou invadir computadores da Prefeitura Municipal;
VII - Utilizar acesso à internet provido pela Prefeitura Municipal para transferência de arquivos que não estejam relacionados as suas atividades;
VIII - Divulgar informações confidenciais da Prefeitura da Estância Turística de Tupã em grupos de discussão, listas ou bate-papos, não importando se a divulgação foi deliberada ou inadvertida, sendo possível sofrer as penalidades previstas na forma da Lei.
Art. 15. O chefe imediato do usuário deverá comunicar quaisquer ações que comprometam a segurança, a integridade, o desempenho e a descaracterização de equipamentos e redes da Prefeitura Municipal.
Art. 16. O usuário, a critério de seu chefe imediato e de acordo com a necessidades do seu serviço, poderá ter acesso a uma conta de correio eletrônico.
§ 1º. As contas oficiais de e-mail devem ser utilizadas, exclusivamente, para transmitir e receber informações relacionadas as atividades administrativas.
§ 2º. As contas de e-mail particulares não terão suporte, podendo ser bloqueado o acesso sem prévio aviso.
Art. 17. As contas de e-mail terão espaço limitado para armazenamento de mensagens, devendo o usuário efetuar a exclusão das mensagens inutilizadas, sob pena de ficar impedido automaticamente de enviar e receber novas mensagens, devendo casos excepcionais serem encaminhados ao responsável pela área de tecnologia da Prefeitura da Estância Turística de Tupã para análise e deliberação.
§ 1º. As mensagens enviadas ou recebidas, incluindo seus anexos, tem limitação de tamanho, sendo automaticamente bloqueados quando ultrapassarem esse limite.
§ 2º. Os anexos às mensagens enviadas e recebidas não devem conter arquivos que não estejam relacionados às atividades administrativas ou que ponham em risco a segurança do ambiente da rede local.
§ 3º. A conta de e-mail não será de uso individual, devendo o acesso ser exclusivo ao departamento ou comissões que o usuário faz parte.
§ 4º. Como exemplo de padronização do endereço eletrônico, será o nome do departamento ou de sua abreviação, seguida de “@tupa.sp.gov.br”.
Art. 18. É considerado uso inadequado ao serviço de e-mail institucional da Prefeitura da Estância Turística de Tupã:
I - Acessar contas de e-mail de outros usuários;
II - Enviar material ilegal ou não ético, comercial com mensagens do tipo corrente, spam, entretenimento e outros que não sejam de interesse da Prefeitura Municipal, bem como campanhas político partidárias e que tenham finalidade eleitoreira; e
III - Enviar mensagens que possam afetar de forma negativa a Prefeitura Municipal e seus servidores públicos.
Art. 19. Não será considerado uso inadequado do e-mail institucional a veiculação de campanhas internas de caráter social ou informativo, desde que previamente aprovado pelo Prefeito Municipal.
Art. 20. Todo caso de exceção as determinações da Política de Segurança da Informação devem ser analisadas de forma individual, aplicável apenas ao seu solicitante, dentro dos limites e motivos que o fundamentaram.
Art. 21. A não observância da Política de Segurança da Informação pelos usuários configura descumprimento de dever funcional, indisciplina ou insubordinação, conforme o caso, sujeitando o infrator a incidência das sanções cabíveis, nos termos da legislação vigente.
Art. 22. Este Decreto entra em vigor na data de sua publicação.
PREEITURA DA ESTÂNCIA TURISTICA TUPÃ, 17 DE JANEIRO DE 2025
RENAN VICTOR PONTELLI
Prefeito da Estância Turística de Tupã
Publicado e registrada no Departamento de Apoio Técnico e Operacional da Secretaria Municipal de Governo, publicado no Diário Oficial do Município – DiOE e no lugar público de costume, por afixação.
DAVID ANTONIO DE CASTRO JÚNIOR
Subsecretário de Gestão e Controle de Atos Oficiais
Este conteúdo não substitui o publicado na versão certificada.
