Clique para fazer o download:
Política de Segurança da Informação
RESOLUÇÃO Nº 04, DE 17 DE ABRIL DE 2018
Dispõe sobre a Política de Segurança Institucional e sobre o Sistema de Gestão de Segurança da Informação do Instituto de Previdência Social dos Servidores Municipais de Itupeva – ITUPEVA PREVIDÊNCIA.
JULIANE BONAMIGO, Diretora Presidente do INSTITUTO DE PREVIDÊNCIA SOCIAL DOS SERVIDORES MUNICIPAIS DE ITUPEVA – ITUPEVA PREVIDÊNCIA, no uso de suas atribuições legais, conforme aprovado na reunião ordinária do Conselho de Administração em 16 de março de 2018; e
Considerando que o ITUPEVA PREVIDÊNCIA produz e recebe informações no exercício de suas competências constitucionais, legais e regulamentares, e que tais informações devem permanecer íntegras e disponíveis, bem como seu eventual sigilo deve ser resguardado;
Considerando que as informações do ITUPEVA PREVIDÊNCIA são armazenadas em diferentes suportes e veiculadas por diversas formas, tais como meio impresso, eletrônico, estando, portanto, vulneráveis a incidentes como desastres naturais, acessos não autorizados, mau uso, falhas de equipamentos, extravio e furto;
Considerando que a segurança é aspecto essencial para a adequada gestão da informação;
Considerando o advento da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação – LAI), que regula o acesso a informações previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal, resolve:
CAPÍTULO I – DAS DISPOSIÇÕES PRELIMINARES
Art. 1º A Política Corporativa de Segurança da Informação (PCSI) do ITUPEVA PREVIDÊNCIA observa os princípios, objetivos e diretrizes estabelecidos nesta Resolução, bem como as disposições constitucionais, legais e regimentais vigentes.
Parágrafo único. Autoridades, servidores, colaboradores e quaisquer pessoas que tenham acesso a informações do ITUPEVA PREVIDÊNCIA sujeitam-se às diretrizes, normas e procedimentos de segurança da informação da Política de que trata esta Resolução, e são responsáveis por garantir a segurança das informações a que tenham acesso.
Art. 2º Para os efeitos desta Resolução, entende-se por:
I – informação: conjunto de dados, textos, imagens, métodos, sistemas ou quaisquer formas de representação dotadas de significado em determinado contexto, independentemente do suporte em que resida ou da forma pela qual seja veiculado;
II – segurança da informação: proteção da informação contra ameaças a sua confidencialidade, integridade, disponibilidade e autenticidade, para minimizar riscos, garantir a eficácia das ações do negócio e preservar a imagem do ITUPEVA PREVIDÊNCIA;
III – Sistema de Gestão de Segurança da Informação : parte integrante do Sistema de Gestão de Segurança Institucional do ITUPEVA PREVIDÊNCIA, baseada em riscos do negócio, que visa estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação;
IV – confidencialidade: propriedade que garante que a informação seja acessada somente pelas pessoas ou processos que tenham autorização para tal;
V – integridade: propriedade que garante a não violação das informações com intuito de protegê-las contra alteração, gravação ou exclusão indevida, acidental ou proposital;
VI – disponibilidade: propriedade que garante que as informações estejam acessíveis às pessoas e aos processos autorizados, no momento requerido;
VII – autenticidade: propriedade que assegura a correspondência entre o autor de determinada informação e a pessoa, processo ou sistema a quem se atribui a autoria;
VIII – incidente de segurança da informação: qualquer indício de fraude, sabotagem, espionagem, desvio, falha ou evento indesejado ou inesperado que tenha probabilidade de comprometer ou ameaçar a segurança da informação;
IX – gestor da informação: colegiados do ITUPEVA PREVIDÊNCIA ou de sua Diretoria Executiva, autoridade ou dirigente de unidade responsável por informação em matéria de sua competência ou inerente a sua área de atuação;
X – custodiante da informação: qualquer pessoa física ou jurídica, interna ou externa, unidade ou projeto do ITUPEVA PREVIDÊNCIA que detém a posse, mesmo que transitória, de informação produzida ou recebida pela autarquia;
XI – ciclo de vida da informação: compreende etapas e eventos de produção, recebimento, armazenamento, acesso, uso, alteração, cópia, transporte e descarte da informação; e
XII – colaborador: prestador de serviço terceirizado, estagiário ou qualquer pessoa com vínculo transitório com o ITUPEVA PREVIDÊNCIA que tenha acesso, de forma autorizada, às informações ou às dependências da autarquia.
Art. 3º A segurança da informação no ITUPEVA PREVIDÊNCIA alinha-se às estratégias organizacionais e aos princípios da segurança institucional e tem como princípios:
I – garantia da integridade e da autenticidade das informações produzidas;
II – preservação da integridade e da autenticidade das informações recebidas;
III – transparência das informações públicas;
IV – proteção adequada às informações com necessidade de restrição de acesso;
V – planejamento das ações de segurança da informação por meio de uma abordagem baseada em riscos; e
VI – garantia da disponibilidade das informações custodiadas.
Parágrafo único. A segurança da informação no ITUPEVA PREVIDÊNCIA abrange aspectos físicos, tecnológicos e humanos da autarquia previdenciária.
CAPÍTULO II – DO SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO (SGSI)
Art. 4º Fica Instituída a Política Corporativa de Segurança da Informação (PCSI) que integra o Sistema de Gestão de Segurança da Informação do ITUPEVA PREVIDÊNCIA sendo composta pelos seguintes processos:
I – classificação da informação;
II – gestão de riscos de segurança da informação;
III – gestão de incidentes em segurança da informação;
IV – controle de acesso à informação;
V – segurança da informação em recursos humanos e conscientização em segurança da informação; e
VI – segurança em tecnologia da informação e comunicações.
- 1º Os processos do SGSI são interdependentes e devem ser estruturados e monitorados de forma a permitir sua melhoria contínua.
- 2º A gestão tem por objetivo, em relação à segurança da informação, garantir níveis adequados de disponibilidade, integridade, confidencialidade e autenticidade das informações essenciais ao funcionamento dos processos críticos do ITUPEVA PREVIDÊNCIA.
- 3º A segurança física tem por objetivo, em relação à segurança da informação, prevenir danos e interferências nas instalações do ITUPEVA PREVIDÊNCIA que possam causar perda, roubo ou comprometimento das informações.
Art. 5º A classificação da informação tem por objetivo assegurar que a informação receba um nível adequado de proteção.
Parágrafo único. A informação deve ser classificada para indicar a necessidade, prioridades e o nível esperado de proteção quanto ao tratamento da informação durante todo o seu ciclo de vida.
Art. 6º A gestão de riscos de segurança da informação tem por objetivo identificar os riscos que possam comprometer a confidencialidade, a integridade, a disponibilidade ou a autenticidade da informação, priorizando seu tratamento com base em critérios para aceitação de riscos compatíveis com os objetivos institucionais.
- 1º Os controles de segurança da informação devem ser planejados, aplicados, implementados e, periodicamente, avaliados de acordo com os objetivos institucionais e os riscos para o ITUPEVA PREVIDÊNCIA.
Art. 7º A gestão de incidentes em segurança da informação tem por objetivo assegurar que fragilidades e incidentes em segurança da informação sejam identificados, para permitir a tomada de ação corretiva em tempo hábil.
Parágrafo único. Autoridades, servidores e quaisquer colaboradores do ITUPEVA PREVIDÊNCIA são responsáveis por:
I – informar imediatamente à Presidência e área de Tecnologia da Informação-TI- sobre incidentes em segurança da informação de que tenham ciência ou suspeita; e
II – colaborar, na respectiva área de competência, na identificação e no tratamento de incidentes em segurança da informação.
Art. 8º O processo de controle de acesso à informação tem por objetivo garantir que o acesso físico e lógico à informação seja franqueado exclusivamente a pessoas autorizadas, com base nos requisitos de negócio e de segurança da informação.
- 1º O acesso às informações produzidas ou custodiadas pelo que não sejam públicas deve permanecer restrito às pessoas que tenham necessidade de conhecê-las.
- 2º O acesso a informações não públicas por quaisquer colaboradores é condicionado ao aceite de termo de sigilo e responsabilidade.
- 3º O acesso às informações produzidas ou custodiadas pelo ITUPEVA PREVIDÊNCIA se submete a controles administrativos e tecnológicos definidos de acordo com a respectiva classificação.
Art. 9º A segurança da informação tem por objetivo garantir que quaisquer pessoas que tenham vínculo estatutário, funcional, contratual ou processual com o ITUPEVA PREVIDÊNCIA entendam suas responsabilidades e atuem em consonância com os preceitos da PCSI, para que o risco de furto, fraude ou mal uso de informações seja reduzido.
Parágrafo único: A conscientização em segurança da informação tem por objetivo internalizar conceitos e boas práticas de segurança da informação na cultura do ITUPEVA PREVIDÊNCIA, por meio de ações permanentes de divulgação, treinamento e educação, para minimizar riscos de segurança da informação.
Art. 10. A segurança em tecnologia da informação e comunicações tem por objetivo adotar medidas e controles tecnológicos para proteger as informações em meio eletrônico.
Parágrafo único. As diretrizes e os procedimentos para o uso de recursos de tecnologia, tais como dispositivos móveis e pessoais, computação em nuvem (cloud computing) e redes sociais, sujeitam-se, no que couber, aos comandos da PCSI e serão objeto de normativo do ITUPEVA PREVIDÊNCIA.
CAPÍTULO III – DAS COMPETÊNCIAS E RESPONSABILIDADES
Art. 11. A Diretoria Executiva do ITUPEVA PREVIDÊNCIA e os responsáveis pela área de Tecnologia da Informação –TI- em caráter permanente, têm por finalidade quanto ao disposto nesta Resolução:
I – formular e conduzir diretrizes para o Sistema de Gestão de Segurança da Informação (SGSI) e a Política Corporativa de Segurança da Informação (PCSI), bem como analisar periodicamente sua efetividade;
II – propor ajustes no SGSI e nas ações necessárias a sua implementação, com subsídio no monitoramento e na avaliação periódica das práticas de segurança da informação;
III – propor a elaboração e a revisão de normas e de procedimentos inerentes à segurança da informação;
IV – manifestar-se sobre propostas de alteração ou de revisão da PSCI, bem como sobre minutas de normativo e iniciativas de natureza estratégica ou que necessitem de cooperação entre unidades, que versem sobre segurança da informação;
V – manifestar-se sobre matérias atinentes à segurança da informação que lhe sejam submetidas;
VI- gerenciar e monitorar, bem como propor as adaptações necessárias para garantir a melhoria contínua desse sistema de gestão;
VII- coordenar e acompanhar a implementação do SGSI e das normas complementares de segurança da informação;
VIII – apresentar proposta de revisão da PCSI de modo a atualizá-la frente a novos requisitos corporativos;
IX – apoiar as unidades do ITUPEVA PREVIDÊNCIA na definição de processos de trabalho e de procedimentos operacionais necessários à proteção de suas informações;
X – monitorar e avaliar periodicamente as práticas de segurança da informação adotadas pelo ITUPEVA PREVIDÊNCIA;
XI – coordenar, com o apoio de especialistas, ações permanentes de divulgação, treinamento, educação e conscientização dos servidores e demais colaboradores do ITUPEVA PREVIDÊNCIA, em relação aos conceitos e às práticas de segurança da informação em toda sua abrangência;
XII – coordenar o tratamento dos incidentes em segurança da informação, com vistas a identificar os motivos que levam ao comprometimento da segurança da informação; e
- 1º. A aplicação das competências indicadas neste artigo observa, no que couber, as competências inerentes às demais unidades do ITUPEVA PREVIDÊNCIA.
- 2º. O exame de aspectos que perpassem as demais dimensões da segurança institucional deve ser realizado em reunião da qual emane deliberação única, garantida a representação das diversas áreas de negócio do ITUPEVA PREVIDÊNCIA.
Art. 12. São responsabilidades do gestor da informação, no que concerne às informações sob sua gestão, produzidas ou custodiadas pelo ITUPEVA PREVIDÊNCIA:
I – garantir a segurança das informações;
II – classificar as informações e definir procedimentos e critérios de acesso, observados os dispositivos legais e regimentais relativos à confidencialidade e a outros critérios de classificação pertinentes;
III – propor regras específicas para o uso das informações; e
IV – definir os requisitos de segurança da informação necessários ao negócio, com base em critérios de aceitação e tratamento de riscos inerentes aos processos de trabalho.
- 1º A Diretoria Executiva, os Membros dos Conselhos Administração, Fiscal e Comitê de Investimentos do ITUPEVA PREVIDÊNCIA podem indicar, orientar e autorizar, a qualquer tempo, procedimentos que visem garantir a segurança da informação nos processos e documentos de sua competência, a serem seguidos pelos gestores da informação.
- 2º Em caso de dúvida na identificação do gestor da informação, compete à Diretoria Executiva defini-lo.
Art. 13. São responsabilidades do custodiante da informação:
I – garantir a segurança da informação sob sua posse, conforme os critérios definidos pelo respectivo gestor da informação;
II – comunicar tempestivamente ao gestor da informação sobre situações que comprometam a segurança das informações sob custódia; e
III – comunicar ao gestor da informação eventuais limitações para o cumprimento dos critérios por ele definidos com vistas à proteção da informação.
Art. 14. São responsabilidades dos dirigentes das unidades e demais gestores do ITUPEVA PREVIDÊNCIA, no que se refere à segurança da informação:
I – conscientizar servidores e quaisquer colaboradores sob sua supervisão em relação aos conceitos e às práticas de segurança da informação;
II – incorporar aos processos de trabalho de sua unidade, ou de sua área, práticas inerentes à segurança da informação; e
III – tomar as medidas administrativas necessárias para que sejam adotadas ações corretivas em tempo hábil em caso de comprometimento da segurança da informação.
CAPÍTULO IV – DAS DISPOSIÇÕES FINAIS
Art. 15. As informações produzidas por servidores e quaisquer colaboradores do ITUPEVA PREVIDÊNCIA, no exercício de suas atribuições, são patrimônio intelectual do ITUPEVA PREVIDÊNCIA e não cabe a seus criadores qualquer forma de direito autoral, ressalvado o reconhecimento da autoria, se for o caso.
- 1º Quando as informações forem produzidas por colaboradores do ITUPEVA PREVIDÊNCIA para uso exclusivo pela autarquia, instrumento próprio estabelecerá as obrigações dos criadores, inclusive no que se refere à eventual confidencialidade das informações.
- 2º É vedada a utilização das informações a que se refere o parágrafo anterior em projetos ou atividades diversas daquelas estabelecidas pelo ITUPEVA PREVIDÊNCIA, salvo autorização específica da Diretoria Executiva do ITUPEVA PREVIDÊNCIA.
Art. 16. Os contratos, convênios, acordos de cooperação e outros instrumentos congêneres celebrados pelo ITUPEVA PREVIDÊNCIA devem observar, no que couber, as disposições da PCSI.
Art. 17. A não observância dos dispositivos da PCSI sujeita os infratores, isolada ou cumulativamente, a sanções administrativas, civis e penais, nos termos da legislação pertinente, assegurados aos envolvidos o contraditório e a ampla defesa.
Art. 18. A PCSI será revista no máximo a cada cinco anos, de modo a atualizá-la frente a novos requisitos corporativos.
Art. 19. Esta Resolução entra em vigor na data de sua publicação.
JULIANE BONAMIGO
Diretora Presidente do Itupeva Previdência
Publicada no Diário Oficial dos Municípios e registrada no Instituto de Previdência Social dos Servidores Municipais de Itupeva – Itupeva Previdência, aos dezessete dias do mês de abril de dois mil e dezoito.
KATTIA RODRIGUES DO MORAES
Diretora do Departamento Administrativo
