Política Geral de Segurança da Informação Página 1 POLÍTICA GERAL DE SEGURAN ÇA DA INFORMAÇÃO Código : Vers ão : 0.1 Dat a da vers ão : 19/09/2023 Criado por : Intersec Solutions Aprov ado por : CGSI Classificação : Histórico de Revisões Da ta Vers ão Criado por Descri ção da Alteração 19/09/2023 0.1 Comitê de Segurança Documento básico 1. INTRODUÇÃO 1.1. O Município de Cotiporã tem como missão administrar com excelência os recursos públicos, servir o cidadão e promover a cidadania . 1.2. O Município de Cotiporã entende que a informação governamental é um bem essencial para suas atividades e para resguardar a qualidade e garantia dos serviços ofertados a seus munícipes e demais cidadãos . 1.3. O Município de Cotiporã compreende que a manipulação de sua informação passa por diferentes meios de suporte, armazenamento e comunicação, sendo estes vulneráveis a fatores externos e internos que podem comprometer a segurança das informações governamentais . Política Geral de Segurança da Informação Página 2 1.4. Dessa forma, o Munic ípio de Cotiporã estabelece sua POLÍTICA GERAL DE SEGURANÇA DA INFORMAÇÃO , como parte integrante do seu sistema de gestã o, alinhada as boas práticas e normas internacionalmente aceitas, com o objetivo de garantir níveis adequados de proteção a informações da organização ou sob sua responsabilidade. 2. PROPÓSITO 2.1. Esta política tem por proposito estabelecer diretrizes e normas de Segurança da Informação que permitam aos servidores do Município de Cotiporã adotar padrões de comportamento seguro, adequados às metas e necessidades d o Município de Cotiporã ; 2.2. Orientar quanto à adoção de controles e processos para atendimento dos requisitos para Segurança da Informação; 2.3. Resguardar as informações d o Município de Cotiporã garantindo requisitos básicos d e confidencialidade, integridade e disponibilidade; 2.4. Prevenir possíveis causas de incidentes e responsabilidade legal da instituição e seus servidores , munícipes e parceiros; 2.5. Minimizar os riscos de perdas financeiras, da confiança de usuários ou de qualqu er outro impacto negativo para o Município de Cotiporã como resultado de falhas de segurança. Política Geral de Segurança da Informação Página 3 3. ESCOPO 3.1. Esta política se aplica a todos os usuários da informação d o Município de Cotiporã , incluindo qualquer indivíduo ou organização que possui ou possuiu vínculo com o Município de Cotiporã , tais como servidores, ex -servidores, empregados públicos , ex -empregados públicos , prestadores de serviço, ex - prestadores de serviço, que possuíram, pos suem ou virão a possuir acesso às informações d o Município de Cotiporã e/ou fizeram, fazem ou farão uso de recursos computacionais compreendidos na infraestrutura do Município de Cotiporã . 4. DIRETRIZES 4.1. O objetivo da gestão de Segurança da Informação d o Município de Cotiporã é garantir a gestão sistemática e efetiva de todos os aspectos relacionados à segurança da informação, provendo suporte as operações críticas do negócio e minimizando riscos identificados e seus eventuais impactos a instituição. 4.2. A Ge stão Municipal e o Comitê de Implementação da LGPD no Poder Executivo Municipal estão comprometidos com uma gestão efetiva de Segurança da Informação n o Município de Cotiporã . Desta forma, adotam todas medidas cabíveis para garantir que esta política seja adequadamente comunicada, entendida e seguida em todos os níveis da organização. Revisões periódicas serão realizadas para garantir sua contínua pertinência e adequação as necessidades d o Município de Cotiporã . 4.3. É política d o Município de Cotiporã : 4.3.1. Elabor ar, implantar e seguir por completo políticas, normas e procedimentos de segurança da informação, garantindo que os requisitos básicos de confidencialidade, integridade e disponibilidade da informação d o Município de Política Geral de Segurança da Informação Página 4 Cotiporã sejam atingidos através da ado ção de controles contra ameaças provenientes de fontes tanto externas quanto internas; 4.3.2. Disponibilizar políticas, normas e procedimentos de segurança a todas as partes interessadas e autorizadas, tais como: Servidores , Empregados, terceiros contratados e demais usuários. 4.3.3. Garantir a educação e conscientização sobre as práticas adotadas pel o Município de Cotiporã de segurança da informação para Servidores , Empregados, terceiros contratados e demais usuários . 4.3.4. Atender integralmente requisitos de segurança da informação aplicáveis ou exigidos por regulamentações, leis e/ou cláusulas contratuais; 4.3.5. Tratar integralmente incidentes de segurança da informação, garantindo que os mesmos sejam adequadamente registrados, classifi cados, investigados, corrigidos, documentados e quando necessário, comunicado as autoridades apropriadas; 4.3.6. Garantir a continuidade do negócio através da adoção, implantação, teste e melhoria contínua de planos de continuidade e recuperação de desastres; 4.3.7. M elhorar continuamente a Gestão de Segurança da Informação através da definição e revisão sistemática de objetivos de segurança em todos os níveis da organização. 5. PAPÉIS E RESPONSABILIDADES 5.1. COMI SSÃO DE IMPLEMENTAÇÃO DA LGPD (CILGPD) Política Geral de Segurança da Informação Página 5 5.1.1. Fica constituíd a a COMISSÃO DE IMPLEMENTAÇÃO DA LGPD , contando com a participação de, pelo menos, um representante d o Gabinete e um membro das seguintes áreas: Tecnologia da Informação, Segurança da Informação, Administração , Fazenda, Saúde, Educação, Jurídico e Assessoria de Imprensa . 5.1.2. É responsabilidade do C ILGPD : 5.1.2.1. Analisar, revisar e propor a aprovação de políticas e normas relacionadas à segurança da informação; 5.1.2.2. Garantir a disponibilidade dos recursos necessários para uma efetiva Gestão de Segurança da Informação; 5.1.2.3. Garantir que as atividades de segurança da informação sejam executadas em conformidade com a PGSI; 5.1.2.4. Promover a divulgação da P GSI e tomar as ações necessárias para disseminar uma cultura de segurança da informação no ambiente d o Município de Cotiporã . 5.2. SEGURANÇA DA INFORMAÇÃO 5.2.1. É responsabilidade da Segurança da Informação: 5.2.1.1. Conduzir a Gestão e Operação da segurança da informação, tendo como base esta política e demais resoluções do C ILGPD ; 5.2.1.2. Apoiar a CILGPD em suas deliberações; 5.2.1.3. Elaborar e propor a C ILGPD as normas e procedimentos de segurança da informação, necessários para se fazer cumprir a PGSI; Política Geral de Segurança da Informação Página 6 5.2.1.4. Identificar e avaliar as principais ameaças à segurança da informação, bem como propor e, quando aprovado, implantar medidas corretivas para reduzir o risco; 5.2.1.5. Tomar as ações cabíveis para se fazer cumprir os termos desta política; 5.2.1.6. Realizar a gestão dos incidentes de segurança da informação, garantindo tratamento adequado. 5.3. GESTORES DA INFORMAÇÃO 5.3.1. É responsabilidade dos Gestores da Informação: 5.3.1.1. Gerenciar as inf ormações geradas ou sob a responsabilidade da sua área de negócio durante todo o seu ciclo de vida, incluindo a criação, manuseio e descarte conforme as normas estabelecidas pel o Município de Cotiporã ; 5.3.1.2. Identificar, classificar e rotular as informações geradas ou sob a responsabilidade da sua área de negócio conforme normas, critérios e procedimentos adotados pel o Município de Cotiporã ; 5.3.1.3. Periodicamente revisar as informações geradas ou sob a responsabilidade da sua área de negócio, ajustando a classificação e rotulagem delas conforme necessário; 5.3.1.4. Autorizar e revisar os acessos à informação e sistemas de informação sob sua responsabilidade; Política Geral de Segurança da Informação Página 7 5.3.1.5. Solicitar a concessão ou revogação de acesso à informação ou sistemas de informação de acordo com os procedimentos adotados pel o Município de Cotiporã . 5.4. USUÁRIOS DA INFORMAÇÃO 5.4.1. É responsabilidade dos Usuários da Informação: 5.4.1.1. Ler, compreender e cumprir integralmente os termos da Política Geral de Segurança da Informação, bem como as demais normas e procedimentos de segurança aplicáveis; 5.4.1.2. Encaminhar quaisquer dúvidas e/ou pedidos de esclarecimento sobre a Política Geral de Segurança da Informação, suas normas e procedimentos a Segurança da Informação ou, quando pertinente, a CILGPD ; 5.4.1.3. Comunicar à Segur ança da Informação qualquer evento que viole esta Política ou coloque/possa vir a colocar em risco a segurança das informações ou dos recursos computacionais d o Município de Cotiporã ; 5.4.1.4. Assinar o Termo de Uso de Sistemas de Informação d o Município de Cotipo rã, formalizando a ciência e o aceite integral das disposições da Política Geral de Segurança da Informação, bem como as demais normas e procedimentos de segurança, assumindo responsabilidade pelo seu cumprimento; 5.4.1.5. Responder pela inobservância da Política Geral de Segurança da Informação, normas e procedimentos de segurança, conforme definido no item sanções e punições. Política Geral de Segurança da Informação Página 8 6. SANÇÕES E PUNIÇÕES 6.1. As violações, mesmo que por mera omissão ou tentativa não consumada, desta política, bem como demais normas e procedimentos de segurança, serão passíveis de penalidades que incluem advertência, suspensão, demissão, cassação de aposentadoria e disponibilidade, destituição de cargo ou função de confiança, de acordo com o Art. 1 45 da Lei Municipal nº 2. 098 /11 . 6.2. A ap licação de sanções e punições será realizada conforme consta no Estatuto dos Servidores Públicos, Lei Municipal nº 2. 098 /11 . 6.3. No caso de terceiros contratados ou prestadores de serviço , a efetivação das sanções e punições serão aplicadas conforme termos previstos em contrato; 6.4. Para o caso de violações que impliquem em atividades ilegais, ou que possam incorrer em dano a o Município de Cotiporã , o infrator será responsabilizado pelos preju ízos, cabendo aplicação das medidas judiciais pertinentes sem prejuízo aos termos descritos nos itens 6.1, 6.2 e 6.3 desta política. 7. CASOS OMISSOS 7.1. Os casos omissos serão avaliados pel a CILGPD para posterior deliberação. 7.2. As diretrizes estabelecidas nest a política e nas demais normas e procedimentos de segurança, não se esgotam em razão da contínua evolução tecnológica e constante surgimento de novas ameaças. Desta forma, não se constitui rol enumerativo, sendo obrigação do usuário da informação d o Municí pio de Cotiporã adotar, sempre que possível, outras medidas de segurança além das aqui previstas, com o objetivo de garantir proteção as informações d o Município de Cotiporã . Política Geral de Segurança da Informação Página 9 8. GLOSSÁRIO 8.1. Ameaça : Causa potencial de um incidente, que pode vir a prejudicar o Município de Cotiporã ; 8.2. Ativo: Tudo aquilo que possui valor para o Município de Cotiporã ; 8.3. Ativo de informação: Patrimônio intangível d o Município de Cotiporã , constituído por suas informações de qualquer natureza, incluindo de caráter estratégico, técnico, administrativo, financeiro, mercadológico, de recursos humanos, legal natureza, bem como quaisquer informações criadas ou adquiridas por meio de parceria, aquisição, licenciamento , compra ou confiadas ao Município de Cotiporã por parceiros, clientes, empregados e terceiros, em formato escrito, verbal, físico ou digitalizado, armazenada, trafegada ou transitando pela infraestrutura computacional d o Município de Cotiporã ou por infra estrutura externa contratada pela organização, além dos documentos em suporte físico, ou mídia eletrônica transitados dentro e fora de sua estrutura física. 8.4. Confidencialidade: Propriedade dos ativos da informação d o Município de Cotiporã , de não serem dis ponibilizados ou divulgados para indivíduos, processos ou entidades não autorizadas. 8.5. Controle: Medida de segurança adotada pel o Município de Cotiporã para o tratamento de um risco específico. 8.6. Disponibilidade: Propriedade dos ativos da informação d o Munic ípio de Cotiporã , de serem acessíveis e utilizáveis sob demanda, por partes autorizadas. Política Geral de Segurança da Informação Página 10 8.7. Gestor da Informação: Usuário da informação que ocupe cargo especifico, ao qual foi atribuída responsabilidade sob um ou mais ativos de informação criados, adquiridos, manipulados ou colocados sob a responsabilidade de sua área de atuação. 8.8. Incidente de segurança da informação: Um evento ou conjunto de eventos indesejados de segurança da informação que tem possibilidade significativa de afetar as operações ou ameaçar as informações d o Município de Cotiporã . 8.9. Integridade: Propriedade dos ativos da informação d o Município de Cotiporã , de serem exatos e completos. 8.10. Risco de segurança da informação: Efeito da incerteza sobre os objetivos de segurança da informação do Município de Cotiporã . 8.11. Segurança da informação: A preservação das propriedades de confidencialidade, integridade e disponibilidade das informações d o Município de Cotiporã . 8.12. Usuário da informação: Empregados com vínculo empregatício de qualquer área d o Município de Cotiporã ou terceiros alocados na prestação de serviços a o Município de Cotiporã , indiferente do regime jurídico a que estejam submetidos, assim como outros indivíduos ou organizações devidamente autorizados a utilizar manipu lar qualquer ativo de informação d o Município de Cotiporã para o desempenho de suas atividades profissionais. 8.13. Vulnerabilidade: Causa potencial de um incidente de segurança da informação, que pode vir a prejudicar as operações ou ameaçar as informações d o Município de Cotiporã . Política Geral de Segurança da Informação Página 11 9. REVISÕES 9.1. Esta política é revisada com periodicidade anual ou conforme o entendimento da CILGPD . 10. GESTÃO DA POLÍTICA 10.1. A Política Geral de Segurança da Informação é aprovada pel a CILGPD , em conjunto com o Prefeito do Município de Cotiporã . 10.2. A presente política foi aprovada no dia 19/09/2023. Ivelton Mateus Zardo Prefeito de Cotiporã Joana Inês Citolin Zanovello Secretaria de Administração