INSTRUÇÃO NORMATIVA SEA nº 20/2021

 

Disciplina a elaboração da Política de Segurança da Informação – POSIN, prevista no Decreto Estadual nº 1.184, de 1º de março de 2021, em seu artigo 1º, inciso VI.

 

A SECRETARIA DE ESTADO DA ADMINISTRAÇÃO, como órgão coordenador do Comitê Gestor de Proteção de Dados (CGPD), no uso das atribuições que lhe confere o Decreto Estadual nº 844, de 18 de setembro de 2020,

 

RESOLVE:

 

CAPÍTULO I

DA ABRANGÊNCIA E ALINHAMENTO ESTRATÉGICO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

 

Art. 1º A elaboração da Política de Segurança da Informação – POSIN, observará o disposto nesta Instrução Normativa.

 

Parágrafo único. A Política de Segurança da Informação – POSIN deverá ser elaborada e implementada nos órgãos e nas entidades elencados no artigo 1º do Decreto nº 1.184, de 1º de março de 2021.

 

Art. 2º A Política de Segurança da Informação será instituída no respectivo órgão ou entidade, com o objetivo de estabelecer diretrizes, responsabilidades, competências e subsídios para a gestão da segurança da informação.

 

Parágrafo único. O órgão ou a entidade é responsável por garantir os recursos necessários para a execução da Política de Segurança da Informação no âmbito de sua organização.

 

Art. 3º A Política de Segurança da Informação deve ser elaborada sob a coordenação do Encarregado de Dados e do grupo de trabalho interno do órgão ou entidade designados para implementação das normas relacionadas à proteção de dados, de acordo com a legislação em vigor.

 

Art. 4º Cabe ao órgão ou a entidade, a ampla divulgação da Política, das normas internas de segurança da informação e de suas atualizações, de forma abrangente e acessível, a todos os servidores, aos usuários e aos prestadores de serviço, a fim de que esses tomem conhecimento de tais instrumentos.

 

CAPÍTULO II

DA COMPOSIÇÃO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

 

Art. 5º A elaboração da Política de Segurança da Informação deve levar em consideração a natureza, a finalidade e a complexidade dos serviços prestados pelo órgão ou entidade.

 

Art. 6º O desenvolvimento da POSIN estará baseado nas diretrizes determinadas nos seguintes planos:

 

I. Plano de Continuidade de Negócio (PCN);

 

II. Plano de Gestão de Ativos de Informação;

 

III. Plano de Gestão de Riscos de Segurança da Informação;

 

IV. Plano de Gestão de Contratos;

 

V. Plano de Controle de Acesso à Informação;

 

VI. Plano de Consentimento de Dados;

 

VII. Plano de Proteção de Dados Pessoais baseado na LGPD;

 

VIII. Plano de Treinamento e Conscientização dos Usuários sobre Segurança da Informação.

 

§ 1º Os planos deverão ser publicados em repositório próprio, não havendo obrigatoriedade de publicação em Diário Oficial;

 

§ 2º Os meios e as estratégias para acompanhamento dos resultados dos planos supraditos podem ser escolhidos a critério do órgão ou da entidade, desde que sejam registrados e que possam ser extraídos em caso de solicitação de autoridade superior.

 

CAPÍTULO III

DAS DISPOSIÇÕES FINAIS E TRANSITÓRIAS

 

Art. 7º A Política de Segurança da Informação que trata o caput desta Instrução Normativa tem caráter permanente. Todavia as diretrizes mencionadas nos planos poderão sofrer revisões, ensejando a revisão da Política de Segurança da Informação.

 

Art. 8º Os casos omissos referentes à implementação da Política de Segurança da Informação serão dirimidos pelo Comitê Gestor de Proteção de Dados – CGPD.

 

Art. 9º Revogam-se as disposições em contrário.

 

Art. 10. Esta Instrução Normativa entra em vigor na data de sua publicação.

 

JORGE EDUARDO TASCA

Secretário de Estado da Administração

 

FELIX FERNANDO DA SILVA

Diretor de Tecnologia e Inovação

 

Republicada