PORTARIA Nº 75, DE 1º DE ABRIL DE 2025
Institui a Política de Segurança da Informação e Comunicações (PoSIC) no âmbito da Secretaria de Estado de Desenvolvimento Econômico, Trabalho e Renda do Distrito Federal, e dá outras providências.
O SECRETÁRIO DE ESTADO DE DESENVOLVIMENTO ECONÔMICO, TRABALHO E RENDA DO DISTRITO FEDERAL, no uso das atribuições que lhe conferem os incisos I e III do parágrafo único do art. 105 da Lei Orgânica do Distrito Federal;
Considerando as disposições da Portaria nº 41, de 06 de julho de 2020, que instituiu o Comitê de Gestão e Tecnologia da Informação e Comunicação - CGTIC, alterada pelas Portarias nº 31, de 20 de março de 2023, publicada no DODF nº 56, de 22 de março de 2023, página 20, e nº 37, de 06 de fevereiro de 2025, publicada no DODF nº 30, de 12 de fevereiro de 2025, página 29;
considerando que a Segurança da Informação abrange ações de proteção aos ativos informacionais em todos os ambientes;
considerando a necessidade de estabelecer diretrizes para a Política de Segurança da Informação e Comunicação da Sedet;
considerando que estas diretrizes devem ser seguidas por todos os usuários dos recursos de tecnologia da informação da Sedet;
considerando que esta Política visa fundamentar ações de proteção às informações das Unidades Administrativas do GDF, atendendo recomendações dos órgãos de controle;
considerando que a Segurança da Informação compete a todas as áreas administrativas;
considerando que as informações estão presentes em diversos meios, exigindo o comprometimento de todos os envolvidos;
considerando a necessidade de implementação de normativos para padronizar os processos institucionais de Segurança da Informação no GDF, e
considerando a instrução do Processo Administrativo nº 04035-00000705/2025-29, resolve:
Art. 1º Instituir, no âmbito da Secretaria de Estado de Desenvolvimento Econômico, Trabalho e Renda do Distrito Federal (Sedet), a Política de Segurança da Informação e Comunicações (PoSIC), regida pelos objetivos, princípios e diretrizes estabelecidos nesta Portaria.
Art. 2º Os Agentes Públicos que tiverem acesso a informações da SEDET estarão sujeitos às diretrizes e aos objetivos desta Política e serão responsáveis por garantir a segurança das informações a que tenham acesso.
Art. 3º A PoSIC/SEDET tem por objetivos:
I. estabelecer os princípios e as diretrizes que devem ser observados na elaboração das normas e na definição de procedimentos relacionados à segurança da informação e às comunicações;
II. definir instruções normativas que prontifiquem a SEDET a garantir a disponibilidade, a integridade, a confidencialidade e a autenticidade dos dados e das informações;
III. atribuir responsabilidades, bem como disseminar boas práticas para o manuseio, o tratamento, o controle e a proteção contra a divulgação, a modificação e o acesso não autorizados a dados e informações.
Art. 4º Esta Política aplica-se a todas as unidades da estrutura administrativa da SEDET e suas diretrizes, normas complementares e manuais de procedimentos devem ser observados por todos os servidores públicos, colaboradores, estagiários, consultores externos e prestadores de serviço.
Art. 5º Para fins desta Portaria entende-se por:
I. Acesso: ato de ingressar, transitar, conhecer ou consultar a informação, bem como a possibilidade de usar os ativos de informação do órgão;
II. Acordo de Cooperação: instrumento por meio do qual são formalizadas as parcerias estabelecidas pela administração pública com organizações da sociedade civil para a consecução de finalidades de interesse público e recíproco que não envolvam a transferência de recursos financeiros;
III. Agente Público: todo aquele que exerce, ainda que transitoriamente ou sem remuneração, por eleição, nomeação, designação, contratação ou qualquer outra forma de investidura ou vínculo, mandato, cargo, emprego ou função pública. Equipara-se a agente público quem trabalha para empresa prestadora de serviços contratada ou conveniada para a execução de atividade, de qualquer natureza, desenvolvida na Secretaria de Estado de Desenvolvimento Econômico, Trabalho e Renda do Distrito Federal;
IV. Alta Administração: ocupantes dos cargos de Secretário de Estado, Chefe de Gabinete, Secretário Adjunto, Secretário Executivo e Subsecretários de Estado da SEDET;
V. Ameaça: evento que tem potencial em si próprio para comprometer os objetivos da organização, por meio de danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas;
VI. Análise de Risco: processo de identificação de ameaças e vulnerabilidades associadas a um ativo de modo a estimar a probabilidade e o impacto na ocorrência de um incidente;
VII. Ativo: é tudo aquilo que tem valor para a organização e consequentemente exige proteção;
VIII. Autenticidade: propriedade segundo a qual a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa Física, ou por um determinado sistema, órgão ou entidade. Relaciona-se com a confirmação de autoria, a certificação e a originalidade da informação;
IX. Backup / Cópia de Segurança: é o processo de cópia de dados de um dispositivo de armazenamento para outro com o objetivo de proporcionar proteção contra a perda dos originais;
X. CeTIC: é o centro de dados corporativo privado do Distrito Federal, ambiente com soluções integradas de hardware e software, que provê serviços de nuvem corporativa privada, armazenamento de dados, hospedagem de aplicações e sistemas a todos os órgãos e entidades da Administração Direta e Indireta do Distrito Federal, compreendendo os sistemas estruturantes, as bases de dados e os serviços corporativos de tecnologia da informação e comunicação;
XI. Classificação da Informação: é o processo de identificar e definir níveis e critérios de proteção adequados para as informações de forma a garantir sua confidencialidade, integridade e disponibilidade, de acordo com a importância para a organização;
XII. Confidencialidade: garantia de que a informação não esteja disponível ou seja revelada a pessoa física, sistema, órgão ou entidade não autorizado e credenciado;
XIII. Controle de Acesso: são restrições de acesso a um ativo da organização;
XIV. Controle de Segurança: são práticas de gestão de risco que podem proteger os ativos contra ameaças, reduzir ou eliminar vulnerabilidades, limitar o impacto de um incidente ou ajudar na sua detecção;
XV. Credencial de segurança / credencial de acesso: certificado, dispositivo ou recurso, tokens ou documentos, concedido por autoridade competente, que habilita determinado usuário ou processo a ter acesso a dados ou informações em diferentes graus de sigilo;
XVI. Direito de Acesso: privilégio associado a um usuário para ter acesso a um ativo;
XVII. Disponibilidade: propriedade relativa à acessibilidade e utilização da informação, sob demanda, por uma pessoa física ou determinado sistema, órgão ou entidade no momento requerido;
XVIII. Gestor da Informação: servidor que, em virtude de suas funções ou atribuições legais, tenha poder de decisão para identificar e classificar as informações geradas por sua área de gerência;
XIX. Gestor de Segurança da Informação: é o responsável pelas ações de segurança da informação e comunicações no âmbito da SEDET;
XX. Informação: conjunto de dados, textos, imagens, métodos, sistemas ou quaisquer formas de representação, dotadas de significado em determinado contexto, independentemente do suporte em que resida ou da forma pela qual seja veiculado;
XXI. Incidente de Segurança: ocorrência de um ou mais eventos de segurança da informação;
XXII. Integridade: garantia de que a informação e os métodos de processamento não sejam modificados, suprimidos ou destruídos de maneira não autorizada ou acidental, de modo a salvaguardar sua exatidão e completeza;
XXIII. Recursos de Tecnologia da Informação e Comunicação (TIC): conjunto de recursos tecnológicos integrados entre si, que proporcionam, por meio de hardware e software, a criação, o acesso, o armazenamento, a transmissão e o processamento de dados e informações;
XXIV. Rede GDFNet: É a rede corporativa metropolitana privada de comunicação de alta velocidade dos órgãos e entidades da Administração Direta e Indireta do Distrito Federal, que interliga as unidades administrativas e as unidades operacionais, permitindo a comunicação e a troca de informações seguras entre si e com o CeTIC-DF e acesso aos sistemas corporativos e à rede mundial de computadores;
XXV. Risco: é a probabilidade de uma determinada ameaça se concretizar, combinada com os impactos que ela trará;
XXVI. Segurança da Informação: é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio;
XXVII. Termo de Colaboração: instrumento por meio do qual são formalizadas as parcerias estabelecidas pela administração pública com organizações da sociedade civil para a consecução de finalidades de interesse público e recíproco propostas pela administração pública que envolvam a transferência de recursos financeiros;
XXVIII. Termo de Fomento: instrumento por meio do qual são formalizadas as parcerias estabelecidas pela administração pública com organizações da sociedade civil para a consecução de finalidades de interesse público e recíproco propostas pelas organizações da sociedade civil, que envolvam a transferência de recursos financeiros;
XXIX. Termo de Responsabilidade: termo assinado pelo usuário no qual ele manifesta concordância em contribuir com a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações a que tiver acesso, bem como assumir responsabilidades decorrentes de tal acesso;
XXX. Tratamento da informação: conjunto de ações que englobam a recepção, a produção, a reprodução, a utilização, o acesso, o transporte, a transmissão, a distribuição, armazenamento, a eliminação e o controle da informação;
XXXI. Usuário: qualquer pessoa, Física ou jurídica, ou processo em um sistema computacional que faça uso dos recursos de tecnologia da informação relativos à SEDET;
XXXII. Vulnerabilidade: fragilidade associada aos ativos que pode ser explorada por uma ou mais ameaças.
REFERÊNCIAS LEGAIS E NORMATIVAS
Art. 6º As ações de Segurança da Informação e Comunicações da Secretaria de Estado de Desenvolvimento Econômico, Trabalho e Renda do Distrito Federal deverão observar os seguintes requisitos legais e normativos:
I. Lei Federal nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais;
II. Lei Federal nº 12.965, de 23 de abril de 2014 – Estabelece princípios, garantias, direitos e deveres para uso da Internet no Brasil;
III. Lei Federal nº 12.737, de 30 de novembro de 2012 - Dispõe sobre a tipificação criminal de delitos informáticos; altera o Decreto-Lei nº 2.848, de 07 de dezembro de 1940 - Código Penal; e dá outras providências;
IV. Lei Federal nº 12.735, de 30 de novembro de 2012 - Altera o Decreto-Lei nº 2.848, de 7 de dezembro de 1940 - Código Penal;
V. Lei Federal nº 12.527, de 18 de novembro de 2011 - Regula o acesso a informações previsto no inciso XXXIII do art. 5o, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal;
VI. Decreto Federal nº 9.637, de 26 de dezembro de 2018 - Institui a Política Nacional de Segurança da Informação, dispõe sobre a governança da segurança da informação;
VII. Lei Distrital nº 4.990, de 12 de dezembro de 2012 - Regula o acesso a informações no Distrito Federal previsto no art. 5º, XXXIII, no art. 37, § 3º, II, e no art. 216, § 2º, da Constituição Federal e nos termos do art. 45, da Lei federal nº 12.527, de 18 de novembro de 2011, e dá outras providências;
VIII. Lei Distrital nº 2.572, de 20 de julho de 2000 - Dispõe sobre a prevenção das entidades públicas do Distrito Federal com relação aos procedimentos praticados na área de informática;
IX. Decreto Distrital nº 42.036, de 27 de abril de 2021 - Dispõe sobre a aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018- Lei Geral de Proteção de Dados Pessoais - LGPD, no âmbito da Administração Pública Direta e Indireta do Distrito Federal e dá outras providências;
X. Decreto Distrital nº 42.070, de 05 de maio de 2021 - Dispõe sobre o uso do meio eletrônico para a realização de atos processuais administrativos, no âmbito dos órgãos e entidades do Distrito Federal, dos serviços sociais autônomos e das organizações sociais, com contrato de gestão firmado com o Distrito Federal;
XI. Decreto Distrital nº 40.015, de 14 de agosto de 2019 - Dispõe sobre a obrigatoriedade de elaboração e publicação dos Planos Diretores de Tecnologia da Informação e Comunicação e sobre a centralização e utilização da rede GDFNet, da infraestrutura do Centro de Tecnologia da Informação e Comunicação do Distrito Federal - CeTIC-DF e dos sistemas de informação no âmbito da Administração Direta e Indireta do Distrito Federal, e dá outras providências;
XII. Decreto Distrital nº 38.354, de 24 de julho de 2017 - Institui a Política de Dados Abertos da Administração Pública direta, autárquica e fundacional Distrito Federal;
XIII. Decreto Distrital nº 37.085, de 27 de janeiro de 2016 - Dispõe sobre produtos institucionais de comunicação digital do Governo do Distrito Federal e dá outras providências;
XIV. Decreto Distrital nº 37.667, de 29 de setembro de 2016 - Dispõe sobre a contratação de bens e serviços de Tecnologia da Informação no âmbito da Administração Direta e Indireta do Distrito Federal, e dá outras providências;
XV. Decreto Distrital nº 35.382, de 29 de abril de 2014 - Regulamenta o art. 42, da Lei nº 4.990, de 12 de dezembro de 2012, dispõe sobre os procedimentos para credenciamento de segurança, sobre o Núcleo de Segurança e Credenciamento, institui o Comitê Gestor de Credenciamento de Segurança, e dá outras providências;
XVI. Decreto Distrital nº 34.276, de 11 de abril de 2013 - Regulamenta a Lei nº 4.990, de 12 de dezembro de 2012, que dispõe sobre o acesso a informações previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216, todos da Constituição Federal de 1988;
XVII. Decreto Distrital nº 25.750, de 12 de abril de 2005 - Regulamenta a Lei nº 2.572, de 20 de julho de 2000, que dispõe sobre a prevenção das entidades públicas do Distrito Federal com relação aos procedimentos praticados na área de informática;
XVIII. Resolução nº 03, de 06 de novembro de 2018 - Aprova a revisão da Política de Segurança da Informação e Comunicação (PoSIC) do Governo do Distrito Federal;
XIX. Norma ISO 22301:2019 - Segurança e resiliência - Sistemas de gestão de continuidade de negócios - Requisitos;
XX. Norma ISO 31000:2018 – Informações básicas, princípios e diretrizes para a implementação da gestão de riscos;
XXI. Norma ISO/IEC 27001:2013 – Tecnologia da informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Requisitos. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação documentado dentro do contexto dos riscos de negócio globais da organização;
XXII. Norma ISO/IEC 27002:2013 - Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação - estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização.
Art. 7º As ações relacionadas com a Segurança da Informação e Comunicações na SEDET são norteadas pelos seguintes princípios:
I. Auditabilidade: garantia de que uma informação é passível de auditoria, isto é, de que é possível rastrear e levantar os diversos passos do processo dessa informação, além de identificar itens como participantes, ações, data e horário de cada etapa;
II. Equidade: as normas e regras de segurança da informação devem ser obedecidas por todos, sem distinção de cargo ou função;
III. Ética: os direitos dos agentes públicos são preservados sem comprometimento da segurança da informação e comunicações;
IV. Privilégio mínimo: os usuários só devem receber os privilégios necessários para concluir a tarefa que lhes foi designada, de modo a reduzir as chances de eles consultarem ou alterarem, de forma acidental ou mal-intencionada, dados aos quais não devem ter privilégio de acesso;
V. Privacidade desde a concepção: qualquer projeto que envolva o processamento de dados pessoais deve manter a proteção e a privacidade dos dados desde o seu planejamento;
VI. Publicidade: dar transparência no tratamento das informações, observados os critérios legais. Divulgar a todos os agentes públicos da SEDET as diretrizes e a normas de segurança da informação;
VII. Resiliência: os controles de segurança deverão ser projetados para que possam resistir e se recuperar dos efeitos de um desastre;
VIII. Simplicidade: as informações e seus controles devem ser cada vez mais simples, objetivos e de fácil absorção.
Art. 8º É condição para acesso aos ativos de informação da SEDET a adesão formal aos termos desta Portaria, mediante assinatura de Termo de Responsabilidade.
Art. 9º Todos os agentes públicos da SEDET são responsáveis pela segurança dos ativos de informação e comunicações que estejam sob a sua responsabilidade e por todos os atos executados com suas identificações, tais como: identificação de usuário da rede, crachá, carimbo, endereço de correio eletrônico ou assinatura digital.
Art. 10. Os recursos de TIC disponibilizados pela SEDET devem ser utilizados estritamente dentro do seu propósito.
Art. 11. Os contratos de prestação de serviços, termos de colaboração, termos de fomento e acordos de cooperação firmados pela SEDET conterão cláusula específica sobre a obrigatoriedade de atendimento às diretrizes desta PoSIC, devendo, ainda, exigir da(s) entidade(s) contratada(s)/parceira(s) a assinatura de Termo de Manutenção do Sigilo.
Art. 12. Esta Política aplica-se tanto no ambiente informatizado quanto nos meios convencionais de processamento, comunicação e armazenamento da informação e rege-se pelas seguintes diretrizes:
I - Propriedade da Informação:
a) toda informação criada, armazenada, transportada ou descartada pelos agentes públicos da SEDET, no exercício de suas atividades, é de propriedade do órgão e é protegida segundo as diretrizes descritas na PoSIC/SEDET e nas regulamentações em vigor;
b) o Gestor da Informação deverá providenciar a documentação formal relativa à cessão ou autorização de acesso antes da cessão de bases de dados nominais e de informação custodiada ou de propriedade da SEDET a terceiros;
c) nos casos de obtenção de informações de terceiros, o gestor da área na qual a informação será utilizada deverá, se necessário, providenciar com a concedente a documentação formal relativa à cessão de direitos sobre informações de terceiros antes de seu uso.
II - Tratamento da Informação:
a) toda informação criada, manuseada, armazenada, transportada, descartada ou custodiada pela SEDET é de sua responsabilidade e é classificada e protegida adequadamente, quanto aos aspectos de confidencialidade, integridade, autenticidade e disponibilidade, de forma explícita ou implícita, conforme o Decreto nº 34.276, de 11 de abril de 2013;
b) a classificação da informação é atribuição do Gestor da Informação;
c) toda informação institucional, se eletrônica, estará armazenada nos servidores de arquivo e bases de dados sob gestão do CeTIC e administração da área de TIC da SEDET. Se não eletrônica, a informação será mantida em local que a salvaguarde adequadamente;
d) toda informação institucional, sob a forma eletrônica, estará salvaguardada por meio de cópia de segurança sob administração do CeTIC e mantida em local que a proteja adequadamente e garanta sua recuperação em caso de perda da informação original;
e) no descarte de informações institucionais, são observados os procedimentos internos, as Política, a classificação e as normas atinentes à informação, bem como a temporalidade prevista na legislação.
III - Tratamento de Incidentes em Rede:
a) cabe ao CeTIC a responsabilidade pela infraestrutura necessária para fins de registro e resposta aos incidentes de segurança da informação no âmbito da rede corporativa GDFNet;
b) todo agente público da SEDET é responsável por notificar imediatamente à área de TIC da SEDET sobre incidentes que afetem a segurança da informação, para que as causas possam ser sanadas.
IV - Auditoria e Conformidade:
a) o uso dos recursos de TIC disponibilizados pela SEDET é passível de monitoramento e auditoria, e serão implementados e mantidos, sempre que possível, mecanismos que permitam a rastreabilidade desse uso;
b) serão mantidos procedimentos como trilhas de auditoria, rastreamento, acompanhamento, controle e verificação de acessos para todos os sistemas corporativos e para a rede interna da SEDET.
a) o agente público da SEDET que utilizar os recursos de TIC terá uma conta, única e intransferível, cuja concessão de acesso será regulamentada em norma específica, expedida pela Subsecretaria de Administração Geral;
b) o gestor da informação é responsável pela concessão e revogação dos privilégios de acesso às informações, considerando sempre o princípio do menor privilégio;
c) a identificação do agente público, qualquer que seja o meio e a forma, é pessoal e intransferível e permite o reconhecimento de maneira inequívoca.
a) o correio eletrônico da SEDET tem seu uso exclusivo por servidores públicos no exercício de suas funções. As regras de acesso e utilização são definidas por norma específica, em conformidade com esta PoSIC/SEDET e demais orientações e diretrizes de governo.
a) o acesso à Internet no ambiente de trabalho da SEDET está condicionado às necessidades dos agentes públicos no exercício de suas atribuições e será regido por norma específica, em conformidade com esta PoSIC/SEDET, demais orientações governamentais e legislação em vigor.
VIII - Gestão de Ativos de Informação:
a) a Subsecretaria de Administração Geral e as unidades responsáveis pela gestão patrimonial manterão um processo de Inventário e Mapeamento dos Ativos de Informação objetivando a segurança das infraestruturas críticas que garantam suas informações;
b) o processo de Inventário e Mapeamento de Ativos de Informação subsidiará o conhecimento, valoração, proteção e manutenção de seus ativos de informação, assim como será dinâmico, periódico, e estruturado, para manter a Base de Dados de Ativos de Informação atualizada.
a) o uso dos dispositivos móveis portáteis pelos agentes públicos usuários da rede da SEDET deverá ser realizado no interesse do órgão;
b) todo dispositivo móvel usado para acessar a rede corporativa da SEDET estará submetido aos padrões estabelecidos pelo CeTIC;
c) O CeTIC proverá uma rede segregada da rede corporativa para acesso à Internet pelos visitantes.
a) o ambiente de computação em nuvem, sua infraestrutura e seu canal de comunicação devem adequar-se às diretrizes e normas de SIC, estabelecidas pelas legislações vigentes
b) o contrato de prestação de serviço, quando for o caso, deverá conter cláusulas que garantam a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações hospedadas na nuvem, em especial aquelas sob custódia e gerenciamento do prestador de serviço.
a) o uso institucional das redes sociais nos aspectos relacionados à Segurança da Informação e Comunicações deverá ser objeto de norma interna expedida pela Subsecretaria de Administração Geral;
b) a normatização interna de uso seguro das redes sociais deverá estabelecer diretrizes, critérios, limitações e responsabilidades na gestão do uso seguro das redes sociais por usuários que tenham permissão para administrar perfis institucionais ou que possuam credencial de acesso para qualquer rede social a partir da infraestrutura das redes de computadores da SEDET.
XII - Desenvolvimento de Software Seguro - DSS:
a) deverão ser identificados os responsáveis pela definição e validação dos requisitos de segurança que o software deve atender;
b) logo no início de qualquer projeto de desenvolvimento de software, deverão ser definidos os requisitos de segurança que observem, no mínimo, os 10 principais riscos de segurança para aplicações web, segundo o “Open Web Application Security Project” (OWASP);
c) deverá ser definida a execução de testes e homologação antes da instalação do software em ambiente de produção;
d) os sistemas mantidos pela SEDET disponibilizados na Internet deverão possuir certificado digital válido;
e) o tratamento das vulnerabilidades constitui um dos requisitos para a aceitação do sistema.
XIII - Preservação de Evidências:
a) os equipamentos servidores de rede, bem como todo e qualquer outro ativo de informação semelhante, devem ser configurados para armazenar registros históricos de eventos (Logs) em formato que permita a completa identificação dos fluxos de dados e das operações de seus administradores;
b) os registros devem ser armazenados pelo período mínimo de 6 (seis) meses, sem prejuízo de outros prazos previstos em normativos específicos;
c) os ativos de informação devem ser configurados de forma a armazenar seus registros de auditoria não apenas localmente, como também remotamente, por meio de tecnologia aplicável.
COMPETÊNCIAS E RESPONSABILIDADES
Art. 13. Compete à alta administração da SEDET:
I. apoiar e exigir o cumprimento da Política, normas e procedimentos de segurança da informação e comunicação;
II. zelar para que contratos, convênios e outros instrumentos similares elaborados pela SEDET estejam alinhados à presente Política e suas normas adjacentes;
III. fomentar a capacitação continua dos servidores, de modo a promover a aptidão para gestão e execução das atividades de segurança da informação e comunicação.
Art. 14. Compete ao(a) Subsecretário(a) da Subsecretaria de Administração Geral:
I. designar a Comitê de Segurança da Informação - CSIC da SEDET;
II. designar o(a) Gestor(a) da Segurança da Informação e Comunicação.
DO COMITÊ DE SEGURANÇA DA INFORMAÇÃO
Art. 15. O Comitê de Segurança da Informação - CSIC é responsável por:
I. elaborar e atualizar a PoSIC/SEDET, em conformidade com as normas, objetivos estratégicos e com as leis e regulamentos pertinentes;
II. elaborar e aprovar Normas e Procedimentos de Segurança da Informação e Comunicação;
III. coordenar a execução da PoSIC, mediante a mobilização dos gestores para o cumprimento da Política;
IV. promover a cultura de segurança da informação e comunicação;
V. estabelecer tanto mecanismo de registro e controle de não conformidade desta Política quanto Normas e Procedimentos de Segurança da Informação e Comunicação.
DO GESTOR DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO
Art. 16. Ao Gestor da Segurança da Informação e Comunicação compete:
I. coordenar a Comitê de Segurança da Informação - CSIC ;
II. monitorar as investigações e as avaliações dos danos decorrentes de quebras de segurança;
III. propor recursos necessários às ações de segurança da informação e comunicações;
IV. realizar e acompanhar estudos de novas tecnologias concernentes a possíveis impactos na SIC.
Art. 17. São obrigações do usuário:
I. observar rigorosamente esta PoSIC/SEDET, bem como as normas e procedimentos a ela aplicados;
II. assegurar o uso racional dos recursos de tecnologia da informação colocados à sua disposição, de modo a priorizar o interesse público e institucional;
III. comunicar à área de tecnologia da SEDET quaisquer riscos ou incidentes de segurança sobre os quais tome conhecimento;
IV. assegurar que suas senhas e credenciais para acesso aos ativos de processamento e de informações estejam de acordo com os procedimentos estabelecidos, que elas sejam protegidas e confidenciais e que não sejam compartilhadas;
V. manter, obrigatoriamente, os dados críticos da Secretaria nos compartilhamentos de rede, disponibilizados pela área de TIC.
DA ÁREA DE TECNOLOGIA DA INFORMAÇÃO
Art. 18. São obrigações da unidade administrativa da SEDET responsável pela área de TIC:
I. assegurar o pleno e efetivo funcionamento dos recursos de tecnologia da informação disponibilizados pela SEDET;
II. assegurar a integridade e disponibilidade dos ativos que se encontram no ambiente computacional da SEDET;
III. dar assistência ao CSIC na elaboração de normas e procedimentos de Segurança da Informação;
IV. realizar trabalhos de análise de vulnerabilidade, a fim de aferir o nível de segurança dos sistemas de informação que se encontram no ambiente da SEDET;
V. requisitar informações às demais áreas da SEDET e realizar testes e averiguações em sistemas e equipamentos, no intuito de verificar o cumprimento da Política e das Normas de Segurança da Informação e Comunicação.
Art. 19. A PoSIC/SEDET, bem como suas normas e regulamentos, deverá ser disponibilizada e agrupada, com a data de sua publicação e/ou revisão, em sítio institucional, em local de fácil acesso, com vistas a proporcionar ampla difusão e atualização simplificada.
Art. 20. A SEDET deverá promover ações permanentes de capacitação dos servidores públicos visando à disseminação das diretrizes e normas estabelecidas nesta Política. Parágrafo único. Os gestores responsáveis pelos processos inerentes à gestão da segurança da informação devem receber capacitação especializada.
Art. 21. A PoSIC/SEDET e as normas e procedimentos que dela se originem devem ser atualizadas sempre que se fizer necessário, o que não deve exceder o período máximo de 2 (dois) anos.
Art. 22. O descumprimento das diretrizes desta PoSIC/SEDET, assim como das suas normas e procedimentos vinculados, acarretará sanções administrativas, sem prejuízo das demais medidas administrativas, cíveis e criminais cabíveis.
Art. 23. Esta Portaria entra em vigor na data de sua publicação.
Art. 24. Revogam-se as disposições em contrário.
Este texto não substitui o publicado no DODF nº 64, seção 1, 2 e 3 de 03/04/2025 p. 20, col. 2