Norma de Classificação da Informação Página 1 NORMA DE CLASSIFICAÇÃO DA INFORMAÇÃO Código : Vers ão : 0.1 Dat a da vers ão : 19/09/2023 Criado por : Intersec Solutions Aprov ado por : Classificação : Histórico de Revisões Data Versão Criado por Descrição da Alteração 19/09/2023 0.1 Comitê de Segurança Documento básico 1. INTRODUÇÃO 1.1. A Norma de segurança da informação complementa Política Geral de Segurança da Informação, definindo as diretrizes para a classificação, rotulagem, manuseio, guarda e descarte seguro de informações em formato digital ou em suporte físico. 2. PROPÓSITO 2.1. Estabelecer diretrizes para a classificação, manuseio e rotulagem dos ativos de informação do Município de Cotiporã por seus usuários autorizados. 3. ESCOPO Norma de Classificação da Informação Página 2 3.1. Esta norma obedece ao escopo definido na Política Geral de Segurança da Informação. 4. DIRETRIZES 4.1. Classificação e rotulagem da Informação 4.1.1. Para efeitos de classificação da informação, o Município de Cotiporã utiliza as seguintes categorias: 4.1.1.1. INFORMAÇÃO PÚBLICA : Informação oficialmente liberada pel o Município de Cotiporã para o público geral. A divulgação deste tipo de informação não causa problemas a o Município de Cotiporã ou a seus contribuintes , podendo ser compartilhada livremente com o público geral, desde que seja mantida sua integridade. 4.1.1.2. INFORMAÇÃO DE USO INTERNO: Informação liberada exclusivamente para usuários e departamentos específicos d o Município de Cotiporã , não podendo ser compartilhada com o público em geral. Estas informaçõe s só podem ser compartilhadas mediante autorização expressa. 4.1.1.3. INFORMAÇÃO CONFIDENCIAL: Informação de caráter sigiloso, podendo ser comunicada exclusivamente a usuários especificamente autorizados e que necessitem conhecê -las para o desempenho de suas taref as profissionais n o Município de Cotiporã . A divulgação ou alteração não autorizada desse tipo de informação pode causar graves danos e prejuízos para o Município de Cotiporã e/ou seus contribuintes , portanto seu compartilhamento deve ser restrito e feito de maneira controlada . Norma de Classificação da Informação Página 3 4.1.2. A classificação da informação deverá ser realizada pelos gestores da informação, ou colaboradores designados por estes. Entretanto, a responsabilidade pela assertividade do nível selecionado permanece com o gestor da informaçã o; 4.1.3. Para informações classificadas como PÚBLICAS , poderá ser utilizada um rótulo simples, conforme modelos exibidos no Anexo I desta norma; 4.1.4. Para informações classificadas como USO INTERNO ou CONFIDENCIAIS , deverá constar no rótulo a sua classificação e, q uan do o acesso informação for limitado a um setor/departamento específico, o mesmo deverá ser referenciado, conforme modelos exibidos no Anexo I desta norma; 4.1.5. Para a rotulagem da informação, devem ser observados os modelos contidos no Anexo I desta norma. 4.2. Manuseio da Informação 4.2.1. O manuseio da informação d o Município de Cotiporã deverá obedecer às regras definidas na Tabela Ação x Classificação , detalhada no Anexo II desta norma; 4.2.2. Documentos confidenciais em suporte físico devem ser guardados em gavetas ou armários trancados de forma a impedir o acesso de pessoas não autorizadas; 4.2.3. Em períodos de ausência da estação de trabalho, documentos em suporte físico devem ser retirados das mesas e de outras áreas de superfície; 4.2.4. Documentos de uso interno ou confidenciais em suporte eletrônico devem ser armazenados em ambientes com acesso controlado e senhas para impedir o acesso a pessoas não autorizadas; Norma de Classificação da Informação Página 4 4.2.5. Toda não -conformidade será tratada como um incidente de segurança da informação, cabendo uma análise da infração pelo C ILGPD e aplicação das sanções e punições previstas na Política Geral de Segurança da Informação, conforme a gravidade da violação. 4.3. Descarte da Informação 4.3.1. O descarte da informação deve ser realizado de forma a impedir a recuperação da mesma , independente do seu formato de armazenamento original; 4.3.2. O descarte da informação deverá ser realizado conforme os métodos estabelecidos no Anexo III desta norma. 5. PAPÉIS E RESPONSABILIDADES 5.1. GESTOR DA INFORMAÇÃO 5.1.1. É responsabilidade dos colaboradores apontados como Gestor da Informação: 5.1.1.1. Definir a classificação das informações sob sua responsabilidade com base nas categorias de classificação constantes desta norma, mantendo um registro atualizado dos itens classificados ; 5.1.1.2. Controlar as inf ormações geradas em sua área de negócio e atuação ; 5.1.1.3. Revisar periodicamente a classificação das informações sob sua guarda . 6. SANÇÕES E PUNIÇÕES 6.1. Sanções e punições serão aplicadas conforme previsto na Política Geral de Segurança da Informação. Norma de Classificação da Informação Página 5 7. REVISÕES 7.1. Esta norma é revisada com periodicidade anual ou conforme o entendimento do Comitê Gestor de Segurança da Informação. 8. GESTÃO DA NORMA 8.1. A norma presente é aprovada pelo Comitê Gestor de Segurança da Informação, em conjunto com a Gestão do Municíp io de Cotiporã . 8.2. A presente norma foi aprovada no dia 19/09/2023. Ivelton Mateus Zardo Prefeito de C otiporã Joana Inês Citolin Zanovello Secretaria de Administração Norma de Classificação da Informação Página 6 ANEXO I ? MODELOS PARA ROTULAGEM DE INFORMAÇÕES Os padrões a seguir representam os rótulos aprovados que devem ser exibidos nos cabeçalhos e rodapés de documentos de acordo com seu nível de classificação. Observação: A cor, fonte e tamanho do texto podem ser ajustados para adequação a info rmação rotulada, desde que mantida a clareza e objetividade da informação 1.1. Cabeçalho Nível Rótulo Informação Pública (Rotulagem opcional) Informação Interna Informação Confidencial 1.2. Rodapé ? [INSERIR NÍVEL DE CLASSIFICAÇÃO/SETOR] Exemplo: ? Uso Interno / Departamento de Recursos Humanos Informação Pública Public Information Información Pública P Informação Interna Internal Information Información Interna I Informação Confidencial Confidential Information Información Confidencial C Norma de Classificação da Informação Página 7 ANEXO II ? TABELA AÇÃO X CLASSIFICAÇÃO AÇÃO CLASSIFICAÇÃO Pública Interna Restrita / Confidencial Cópia / Exclusão Sem restrições Sem restrições Permissão do gestor da informação Envio por e -mail Sem restrições Usar texto destaque padronizado Usar texto destaque padronizado Transmissão em rede pública Permitido Permitido Recomendável comunicação criptografada. Descarte Lixo comum Lixo comum. Recomendável uso de fragmentadora. Utilizar métodos aprovados conforme anexo desta norma. Envio a terceiros Sem restrições Aprovação do gestor da informação Aprovação do gestor da informação e termo de confidencialidade assinado pelo terceiro. Solicitação de direitos de acesso Sem restrições Aprovação do gestor da informação Aprovação do gestor da informação Correio interno e externo Envelope comum Envelope comum Envio para destinatário especifico identificado apenas dentro do envelope. Rotulagem Opcional Na capa e em todas as páginas Na capa e em todas as páginas. Registro de Acompanhamento Opcional Opcional Destinatários, cópias efetuadas, localização e endereço de todos que acessaram e destruição. Norma de Classificação da Informação Página 8 ANEXO III ? MÉTODOS DE DESCARTE PARA INFORMAÇÕES ARMAZENADAS ELETRONICAMENTE Os métodos a seguir foram selecionados como forma segura de garantir o descarte de informações d o Município de Cotiporã . Para todos os métodos que envolvem atividades técnicas, os usuários deverão encaminhar a solicitação para a área de tecnologia da informação. Método Descrição Aplicável a Sobregravar mídia Sobregravar dados em mídias de armazenamento magnético com informações não sensíveis por pelo menos 07 vezes. Essa tarefa pode ser executada com o auxílio de software/hardware especializado. Este método não destrói fisicamente a mídia, entretanto destrói todos os dad os. Discos rígidos, disquetes, fitas, flash disks, discos removíveis, CDR, DVDR e similares; Destruição física Destruição física da mídia de armazenamento com o uso de picotadores especializados, pulverizadores ou incineradores. Este método destrói comple tamente a mídia e todos os dados. Discos rígidos, disquetes, fitas, flash disks, discos removíveis. CD, CDR, DVD, DVDR. Este método também é valido para material em suporte físico como impressos e similares; Desmagnetização Desmagnetização de mídias como fitas e disquetes. Este método destrói todos os dados. Fitas e disquetes. Criptografia de caminho único (One -Way) Uso de um hash do tipo one -way para criptografar a informação de forma irrecuperável, mesmo que de posse da chave de criptografia. Discos rígidos, disquetes, fitas , flash disks, discos removíveis, CDR, DVDR e similares; Norma de Classificação da Informação Página 9 Recomenda -se o uso do hash SHA256. Este método não afeta a mídia e pode ser usado para o descarte seletivo de informações.