Aguarde por favor...
D.O. nº27565 de 12/08/2019

Portaria nº 54 2019 Política Seg Informação

PORTARIA Nº 54/2019/JUCEMAT

Institui a Política de Segurança da Informação da JUCEMAT - Junta Comercial do Estado de Mato Grosso e dá outras providências.

A Presidente da Junta Comercial do Estado de Mato Grosso - JUCEMAT, no uso de suas atribuições legais, com fulcro no Art. 25 XVII do Decreto Federal nº 1.800/96, c/c art. 34, XVIII e do Decreto Estadual nº 2.060/2013, atinando para os princípios da legalidade, moralidade, publicidade, isonomia, impessoalidade, igualdade, eficiência, probidade administrativa e,

CONSIDERANDO as Políticas de Diretrizes de Segurança da Informação Estadual - Resolução COSINT nº 003/2010;

CONSIDERANDO a Lei nº 12.527, de 18/11/2010 e o Decreto Estadual nº 1973, de 25/10/2013;

CONSIDERANDO a necessidade de estabelecer políticas e diretrizes de Segurança da Informação no âmbito da Junta Comercial do Estado de Mato Grosso - JUCEMAT.

RESOLVE:

Art. 1º Instituir a Política de Segurança da Informação da Junta Comercial do Estado de Mato Grosso - JUCEMAT.

§1º A Política de Segurança da Informação - PSI é um documento que registra os princípios e as diretrizes que norteiam a gestão de segurança da informação a serem observados por todos os agentes públicos, independente do cargo ou função que ocupam, e por terceiros que venham a ter acesso às informações do órgão.

§2º Esta política de segurança da informação é aderente aos princípios e diretrizes da segurança da informação instituídas pelo Poder Executivo do Estado de Mato Grosso e está em conformidade com os requisitos institucionais da Junta Comercial do Estado de Mato Grosso - JUCEMAT, com as leis e regulamentações pertinentes.

Art. 2º Para efeitos desta PSI, considera-se:

I.       Agente Público: Todo aquele que, por força de lei, contrato ou de qualquer ato jurídico, preste serviços de natureza permanente, temporária ou excepcional, ainda que sem retribuição financeira, desde que ligado direta ou indiretamente a Junta Comercial do Estado de Mato Grosso.

II.      Ativo: Qualquer bem, material e imaterial, ou direito que tenha valor mensurável para a JUCEMAT.

III.     Ativo de informação: Refere-se ao ativo que armazena, transmite ou processa informações, tais como papéis, computadores, redes, discos rígidos, banco de dados, fitas, dentre outros.

IV.    Confidencialidade: Qualidade da informação que lhe garante a proteção contra revelação não autorizada ou não resguardada em lei.

V.     Custódia: Ato ou efeito de proteger ou guardar.

VI.    Disponibilidade: Conceito no qual a informação deve estar disponível para as entidades autorizadas sempre que necessário ou demandado.

VII.   Integridade: Conceito no qual somente alterações, supressões e adições autorizadas devem ser realizadas nas informações.

VIII.  Legalidade: Conceito referente à garantia de que todas as práticas de segurança da informação estão em conformidade com a legislação pertinente.

IX.    Política: Intenções e diretrizes globais formalmente expressas pela direção.

X.     Política Estadual de Segurança da Informação: É uma declaração formal do compromisso da Administração Pública do Poder Executivo Estadual com a proteção das informações de sua propriedade e/ou sob sua custódia, devendo ser cumprida por todos os Agentes Públicos e prestadores de serviços.

XI.    Processos organizacionais: Todos os processos existentes em qualquer organização, independente de porte e segmento de mercado, que viabilizam o funcionamento coordenado dos subsistemas da instituição em busca do seu desempenho geral.

XII.   Processos organizacionais críticos: Processos organizacionais que, se não executados de maneira esperada, podem impedir a JUCEMAT de cumprir a sua missão ou causar danos a terceiros.

XIII.  Proporcionalidade: O nível, a complexidade e os custos dos processos de segurança devem ser apropriados e proporcionais ao valor e à necessidade de confiança nas informações considerando a severidade, a probabilidade e a extensão de um dano potencial ou atual.

XIV.  Recurso de informação: Qualquer dispositivo de hardware ou software de apoio à informação.

Art. 3º A Política de Segurança da Informação da JUCEMAT possui como objetivo principal a função de afirmar o direcionamento estratégico acerca da segurança da informação, e ainda:

I.       Preservar a confidencialidade, a integridade e a disponibilidade das informações sob a responsabilidade da entidade;

II.      Criar, manter e aperfeiçoar conhecimentos de Segurança da Informação em todos os níveis da entidade;

III.     Aumentar o nível de conscientização dos agentes públicos e prestadores de serviços em relação à adoção de políticas, regulamentos, normas técnicas e procedimentos de segurança da informação; e

IV.    Assegurar a aderência às políticas e diretrizes do Estado de Mato Grosso referentes a questões relacionadas à segurança da informação.

Art. 4º Esta política se aplica a toda a Autarquia e demais entidades com as quais se relaciona ou venha a se relacionar e que necessitem manter contato com as informações de propriedade ou sob a custódia da JUCEMAT e se estende a todos os Agentes públicos e terceiros com acesso a informação sob a responsabilidade da entidade.

Art. 5º A Junta Comercial do Estado de Mato Grosso - JUCEMAT se direcionará pelos princípios constitucionais, organizacionais, arcabouço legislativo vigente que rege o Poder Executivo da Administração Pública Estadual, e, notadamente, os seguintes princípios:

I.       Responsabilidade: todos os agentes públicos da JUCEMAT são responsáveis pelo cumprimento das normativas de segurança da informação;

II.      Conhecimento: todos os agentes públicos da JUCEMAT tomarão ciência de todas as normativas de segurança da informação para o pleno desempenho de suas atribuições regimentais e contratuais;

III.     Legalidade: as ações de segurança da informação levarão em consideração a legislação vigente e as políticas organizacionais formalmente estabelecidas;

IV.    Proporcionalidade: o nível, a complexidade e os custos das ações de segurança serão adequados ao entendimento administrativo e ao valor do ativo da informação a proteger;

V.     Publicidade: a Política de Segurança da Informação adotada e instituída pela JUCEMAT é de conhecimento público.

Art. 6º A Política de Segurança da Informação da JUCEMAT tem como princípio nortear e proteger adequadamente as informações de sua propriedade e/ou sob sua custódia, independentemente de sua mídia e durante todo o seu ciclo de vida, em conformidade legal, devendo ter divulgação ampla e irrestrita.

I.       Para garantir a proteção adequada, as informações podem ser identificadas e classificadas, considerando os critérios de confidencialidade, integridade, disponibilidade e legalidade, conforme a necessidade e conveniência;

II.      Os dados empresariais de posse da JUCEMAT envolvem dados de pessoas naturais integrantes dos quadros sociais e empresariais. De acordo com o Art. 1º, I, da Lei nº 8.934/94 que ‘Dispõe sobre o Registro Público de Empresas Mercantis e Atividades Afins’, e ainda Art. 5º, II, do Decreto Federal nº 7.724, de 16/05/2012, esses dados são públicos. Portanto, não há necessidade de classificá-los; e

III.     As informações pessoais localizadas na área meio, constantes na Gerência de Gestão de Pessoas da Autarquia, não são públicas e têm seu acesso restrito, independentemente de classificação de sigilo, pelo prazo máximo de 100 anos a contar da sua data de produção. Ou seja, não necessitam receber o tratamento dado às informações classificadas em grau de sigilo.

Art. 7º Observe-se, relativamente à proteção de dados, que:

I.       Toda e qualquer informação interna gerada, adquirida e processada pela JUCEMAT é considerada de sua propriedade, devendo ser utilizada, exclusivamente, para atender aos seus interesses legítimos;

II.      Toda e qualquer informação de propriedade de terceiros, tais como de clientes ou de agentes públicos, gerada, adquirida, armazenada e processada pela instituição, é considerada sob sua custódia, devendo ser utilizada exclusivamente para atender aos interesses contratuais e legais do seu proprietário legítimo e a bem do interesse público;

III.     As informações de propriedade da JUCEMAT ou sob sua custódia devem ter mecanismos de proteção adequados, durante todo o ciclo de vida, em conformidade com as classificações atribuídas;

IV.    É responsabilidade pessoal e intransferível pelo sigilo, privacidade e uso de senhas de acesso aos recursos computacionais, não podendo ser compartilhadas, divulgadas ou mantidas em local visível ou de acesso não protegido;

V.     Deve-se conscientizar os servidores e colaboradores da Junta Comercial do Estado de Mato Grosso quanto às ameaças externas (vírus, interceptação de mensagens e informações, grampos e fraudes e tentativas que ensejam o roubo de senhas) que possam afetar ou ameaçar a segurança das informações da instituição;

VI.    É vedado a todo servidor ou colaborador acessar e divulgar informações que contenham material obsceno, apologia ao fanatismo, práticas religiosas, político-partidário, qualquer forma de discriminação ou material que, explícita ou implicitamente, se refira à conduta imoral; e

VII.   Cada usuário é responsável pelo controle e armazenamento seguro de informações sigilosas.

Art. 8º Quanto aos Recursos da Informação:

I.       Todo sistema de informação da JUCEMAT, bem como seus recursos de informação, são de propriedade da Autarquia, devendo ser utilizados exclusivamente para atender os seus interesses legítimos;

II.      A utilização dos recursos de informação pelos agentes públicos ou terceiros deve ocorrer conforme os padrões de segurança adotados pela JUCEMAT, de forma a preservar a confidencialidade, integridade e disponibilidade das informações;

III.     É obrigatória a adoção de proteção contra ameaças externas e internas da rede e das informações trafegadas;

IV.    Os softwares instalados devem ser formalmente aprovados, no ambiente de tecnologia da informação;

V.     Serão adotados mecanismos e medidas de segurança que evitem a subtração de componentes de equipamentos de tecnologia;

VI.    Toda movimentação física de bens de tecnologia entre departamentos/unidades, deverá ser autorizada pela unidade de Patrimônio e pela Unidade de Tecnologia da Informação, para que sejam realizadas todas as atualizações no sistema de controle patrimonial e as devidas orientações quanto ao remanejamento correto e seguro do equipamento;

VII.   Serão adotados procedimentos para remoção de informações, consideradas relevantes, dos equipamentos liberados para manutenção, descarte, cessão de uso ou reutilização;

VIII.  Serão adotados registro, controle e inspeção sistemáticos dos equipamentos de tecnologia da informação e seus componentes;

IX.    Deve ser adotado, nos contratos de prestação de serviços, o uso do Termo de Responsabilidade e Sigilo sobre cuidados e responsabilização quanto à segurança de equipamentos de tecnologia da informação que saem para manutenção;

X.     Será adotado o service desk (suporte técnico) centralizado no Departamento de Tecnologia da Informação para atendimento a todas as unidades da JUCEMAT;

XI.    Será utilizado software integrado de service desk para gestão das solicitações de serviços e atendimentos, com a criação da base de conhecimento; e

XII.   A equipe de analistas do service desk poderá realizar suporte remoto, via software específico homologado pela Unidade de Tecnologia da Informação, mediante prévia aprovação do usuário.

Art. 9º Todos os processos organizacionais críticos deverão estar devidamente documentados, e a documentação deve ser mantida atualizada e disponível para os agentes públicos envolvidos, sendo que a execução dos processos organizacionais críticos não deverá estar sob a responsabilidade de um único agente público.

Parágrafo único: Deverá ocorrer a Realização sistemática de análise e avaliação dos riscos relacionados à segurança da informação da Junta Comercial do Estado de Mato Grosso.

Art. 10 A Junta Comercial do Estado de Mato Grosso adotará mecanismos de monitoramento e controle do uso das informações e recursos das informações de sua propriedade ou custódia.

I.       Auditorias internas e externas podem ser realizadas pela Autarquia periodicamente para averiguar o cumprimento das normas de segurança da informação adotadas pela JUCEMAT;

II.      A habilitação de usuário para acesso ou manipulação de dados e informações disponibilizados em aplicativos ou sistema corporativo gerido pela Junta Comercial do Estado de Mato Grosso somente será concedida mediante a prévia assinatura de termo de compromisso específico;

III.     Ao menos uma vez a cada semestre deverá ser realizado o confronto entre os termos de compromisso, assinados pelos servidores/colaboradores, e os acessos autorizados aos sistemas corporativos, promovendo as medidas corretivas sempre que detectar alguma divergência;

IV.    Todas as unidades administrativas, ao menos a cada seis meses, deverão realizar a verificação de conformidade de seus procedimentos em relação a esta PSI;

V.     A verificação de conformidade deve também ser realizada nos contratos, convênios, acordos de cooperação e outros instrumentos do mesmo gênero celebrados com a JUCEMAT;

VI.    É necessária a troca imediata das senhas, nos casos de perda de sigilo, ou mesmo suspeita. É necessário também realizar trocas periódicas, conforme a mesma expira e a troca é solicitada ao usuário em sua estação de trabalho; e

VII.   Será feito o bloqueio imediato dos acessos aos recursos tecnológicos com perfil de usuário, nos casos de exoneração, aposentadoria, desligamentos de qualquer natureza, rescisão ou término de contrato de terceirizados, demissão e descredenciamento ou cessão de servidores a outras instituições.

Parágrafo único: A Gerência de Gestão de Pessoas e Patrimônio será responsável pela comunicação à equipe de Tecnologia da Informação sobre os desligamentos de pessoal, afastamentos, licenças e demais ocorrências que deem causa à necessidade de bloqueio dos acessos aos recursos de informação da JUCEMAT.

Art. 11 As áreas que armazenam informações e/ou recursos de informação que são críticos para a JUCEMAT devem ser identificadas e protegidas de acordo com a classificação das informações armazenadas.

I.       Serão adotados procedimentos formais de backup (cópia de segurança) e restore (recuperação) para todo o acervo de software e informações sob a responsabilidade da Junta Comercial do Estado de Mato Grosso, de acordo com o perfil e especificidades de utilização; e

II.      O armazenamento dos backups deve ser em local e ambiente adequado, seguro e distinto em relação ao local das informações originais ou em produção.

Art. 12 Com vistas ao controle de acessos a sistemas corporativos e ambientes virtuais da JUCEMAT, dispõe-se que:

Um novo usuário será cadastrado apenas após o comunicado e solicitação da Unidade de Gestão de Pessoas

I.       Caberá à Unidade de Gestão de Pessoas, notificar à administração do serviço de correio eletrônico as alterações de dados cadastrais relacionadas aos servidores da JUCEMAT; e

II.      Todo login será preferencialmente criado da seguinte forma: Nome seguido do último sobrenome. Em caso de duplicidade será utilizada o penúltimo nome, e assim sucessivamente, ignorando-se as partículas "Junior", "Filho", "Neto" e outras semelhantes para se formar o login.

Art. 13 O acesso à rede mundial de computadores através de recursos de informação de propriedade da JUCEMAT é limitado àqueles endereços eletrônicos que se prestam à execução das atividades meio ou fim desta instituição e serão catalogados conforme perfil de acesso do agente público.

Art. 14 O email corporativo da JUCEMAT deverá ser utilizado exclusivamente para fins institucionais, sendo que as comunicações por ele encaminhadas possuem valor oficial e deverão ser utilizados como única forma de comunicação interna oficial.

Art. 15 O controle e monitoramento do uso dos acessos aos emails corporativos, impressões nas impressoras da instituição e acesso à internet será feito através de verificações periódicas e por amostragem, a serem conduzidas pela equipe de Tecnologia da Informação.

Art. 16 Esta política deve ser revisada e atualizada, periodicamente, a cada 4 (quatro) anos, desde que não ocorram eventos ou fatos relevantes que exijam uma revisão antecipada.

Art. 17.  Para garantir o cumprimento e a disseminação das questões relativas à segurança da informação, a Entidade contará com um Comitê Gestor da Segurança da Informação da JUCEMAT, competindo a ele:

I.       Deliberar sobre questões relativas à segurança da informação, a fim de garantir a confidencialidade, integridade e disponibilidade das informações proprietárias e custodiadas pela JUCEMAT, de acordo com a legislação e a ética;

II.      Propor a instituição, elaboração e revisões dos instrumentos normativos referentes à segurança da informação;

III.     Definir as principais iniciativas para a melhoria contínua das medidas de proteção das informações;

IV.    Apoiar e recomendar a priorização da implantação de soluções para eliminar ou minimizar os riscos de segurança das informações;

V.     Acompanhar os planejamentos de ações de segurança da informação e dos recursos de informação nas unidades setoriais da JUCEMAT;

VI.    Propor ações preventivas, corretivas e disciplinares cabíveis no caso de quebra de segurança;

VII.   Estabelecer uma relação consistente das políticas e estratégias institucionais da Autarquia e da tecnologia da informação com os aspectos de segurança;

VIII.  Participar de foros de debates com as instituições que desenvolvam projetos de pesquisa ou estudos sobre segurança da informação, bem como ser difusor dessas participações junto à Entidade;

IX.    Constituir grupos de trabalho e comissões para realizar estudos, propor soluções, bem como, desenvolver atividades relativas à segurança da informação;

X.     Convidar especialistas externos para colaborar com as ações do comitê;

XI.    Dirimir dúvidas e deliberar questões não contempladas na Política de Segurança da Informação e em normas relacionadas;

XII.   Gerenciar e avaliar os resultados de auditorias de conformidade de segurança da informação e de aspectos legais relacionados à proteção das informações;

XIII.  Orientar a adoção de medidas e providências para eliminação ou mitigação de riscos relacionados á segurança da informação;

XIV.  Acompanhar os procedimentos das diligências judiciais referentes à suspeitas de quebras de segurança em informações e recursos de informações, sob a responsabilidade da JUCEMAT; e

XV.   Acompanhar as avaliações e auditorias realizadas pelos órgãos de controles e fiscalizadores, internos e externos, no âmbito da segurança da informação.

Art. 18 Esta Portaria entrará em vigor na data de sua publicação, revogando-se as disposições em contrário.

Art. 19 Registrada e publicada cumpra-se.

Cuiabá-MT, 09 de agosto de 2019

Gercimira Ramos Moreira Rezende

Presidente