Publicado no DOE - SE em 29 nov 2024
Homologa a Política de Segurança da Informação da Secretaria de Estado da Fazenda de Sergipe, conforme o Anexo Único desta Portária.
A SECRETÁRIA DE ESTADO DA FAZENDA DE SERGIPE, no uso das atribuições que lhe são outorgadas pelo art. 90, incisos I e II da Constituição Estadual e nos artigos 18 e 35, incisos II, VIII e XVI da Lei nº 9.156, de 08 de janeiro de 2023, Considerando as disposições legais relativas à estrutura orgânica da SEFAZ, estabelecida na Lei nº 9.196, de 26 de abril de 2023; e
Considerando o disposto no processo E-DOC sob o nº 18758/2024,
RESOLVE:
Art. 1º Homologar a Política de Segurança da Informação da Secretaria de Estado da Fazenda de Sergipe, conforme o Anexo Único desta Portaria.
Art. 2º Esta portaria entra em vigor na data de sua publicação.
REGISTRE-SE, PUBLIQUE-SE E CUMPRA-SE.
Aracaju, 27 de novembro de 2024; 204º da Emancipação Política de Sergipe.
Sarah Tarsila Araujo Andreozzi
Secretária de Estado da Fazenda
ANEXO ÚNICO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
SECRETÁRIA DE ESTADO DA FAZENDA DE SERGIPE
Sarah Tarsila Araújo Andreozzi
SECRETÁRIO EXECUTIVO
Laércio Marques da Afonseca Júnior
SUBSECRETÁRIO DA RECEITA ESTADUAL
Alberto Cruz Schetine
SUBSECRETÁRIO DE TESOURO
Carlos Eduardo Siqueira
SUBSECRETÁRIA DE GOVERNANÇA E TRANSFORMAÇÃO DIGITAL
Marta Auxiliadora Machado Leite
SUBSECRETÁRIO DE INTEGRIDADE E RISCOS
Mário Nogueira Carvalho da Silva
SUPERINTENDENTE DE TECNOLOGIA DA INFORMAÇÃO
Guilherme Alves Passos
Equipe Técnica de Elaboração
Adriano Marcio Santos de Lima
Antonioni Assis Andrade do Monte
Fábio do Valle Librelon
Guilherme Alves Passos
Marcos Vinicius Oliveira Veloso Furtado
Equipe Revisora
Comitê Gestor de Tecnologia da Informação
GOVERNO DE SERGIPE
SECRETARIA DE ESTADO DA FAZENDA
PORTARIA SEFAZ Nº 329
DE 27 DE NOVEMBRO DE 2024
COMITÊ DE GESTÃO DE TECNOLOGIA DA INFORMAÇÃO DA SEFAZ-SE
Cargo |
Titular da SUTEC |
Titular da SUPLAN |
Gerente da SUTEC |
Titular da SUGEP |
Titular da SUPFI |
Titular da SUFIP |
Titular da SUPLAF |
Representante da SURE |
Representante da SUIR |
Representante do gabinete da Secretaria da Fazenda |
.
DENOMINAÇÃO DO DOCUMENTO: Política de Segurança da Informação |
DATA DA PUBLICAÇÃO: 31/10/2024 |
ÁREA REPONSÁVEL: SUTEC |
CLASSIFICAÇÃO: Uso interno |
RESPONSÁVEL PELA ELABORAÇÃO: |
RESPONSÁVEL PELA APROVAÇÃO: |
Adriano Lima, Guilherme Passos, Fábio Librelon, |
Comitê de Gestão de Tecnologia da Informação |
Marcos Furtado e Antonioni do Monte |
.
Histórico de revisões |
|||
Versão |
Data |
Autores |
Descrição |
0.1 |
30/08/2024 |
Adriano Lima, Guilherme Passos, Fábio Librelon, Marcos Furtado e Antonioni do Monte |
Documento elaborado. |
0.2 |
09/10/2024 |
Adriano Lima, Guilherme Passos, Fábio Librelon, Marcos Furtado e Antonioni do Monte |
Ajustes oriundos das sugestões enviadas pelos coordenadores da SEFAZ/SE. |
0.3 |
10/10/2024 |
Adriano Lima, Guilherme Passos, Fábio Librelon, Marcos Furtado e Antonioni do Monte |
Ajustes oriundos das sugestões enviadas pelo Gartner. |
0.4 |
11/10/2024 |
Adriano Lima, Guilherme Passos, Fábio Librelon, Marcos Furtado e Antonioni do Monte |
Separação das políticas de senhas e de classificação da informação em anexos |
1.0 |
31/10/2024 |
Adriano Lima, Guilherme Passos, Fábio Librelon, Marcos Furtado e Antonioni do Monte |
Adequação ao modelo de Política de Segurança da informação do Governo Federal. |
.
Sigilo e direitos de propriedade |
As informações contidas nesse documento são propriedade da SEFAZ-SE e não poderão ser disseminadas, distribuídas ou de qualquer outra forma passadas a terceiros, sem o expresso consentimento escrito. |
Sumário
1 INTRODUÇÃO ............................................................................................... 6
2 OBJETIVO ..................................................................................................... 7
3 Escopo ........................................................................................................... 8
4 Termos e definições ....................................................................................... 8
5 Declarações da política ................................................................................ 10
CAPÍTULO I - Disposições Gerais................................................................ 10
CAPÍTULO II - Dos Princípios e Diretrizes ................................................... 11
CAPÍTULO III - Da Gestão de Segurança da Informação ............................ 14
CAPÍTULO IV – Do uso da computação móvel e trabalho remoto ............... 27
CAPÍTULO V – Do uso da Inteligência Artificial ........................................... 28
CAPÍTULO VI – Da Segurança Física .......................................................... 29
CAPÍTULO VII - Das Vedações e Disposições Finais .................................. 30
Referências Bibliográficas .................................................................................. 33
1 AVISO PRELIMINAR
Esse documento é baseado no Modelo de Política de Segurança da Informação (PPSI), de autoria da Secretaria de Governo Digital (SGD) do Ministério da Gestão e da Inovação em Serviços Públicos – MGI.
Ademais, baseia-se nas principais publicações técnicas da área de segurança da informação, notadamente:
a) Center for Internet Security (CIS);
b) International Organization for Standardization (ISO); e
c) National Institute of Standards and Technology (NIST).
A Secretaria de Estado da Fazenda de Sergipe (SEFAZ/SE) enfatiza que:
a) não representa, tampouco se manifesta em nome do CIS, da ISO e do NIST;
b) não se manifesta em nome da ANPD;
c) não é coautora das publicações internacionais abordadas;
d) não assume responsabilidade administrativa, técnica ou jurídica por usos ou interpretações inadequadas, fragmentados ou parciais do presente modelo; e
e) caso o leitor deseje se certificar de que atende integralmente os requisitos das publicações das instituições mencionadas, deverá consultar diretamente as fontes oficiais de informação ofertadas por elas, que foram listadas na seção “Referências Bibliográficas” deste documento.
2 INTRODUÇÃO
Este documento declara o comprometimento da alta gestão (Secretária de Fazenda, Secretário Executivo, Subsecretários e Superintendentes) em estabelecer a PSI - Política de Segurança da Informação da SEFAZ-SE, que é um conjunto das diretrizes, normas e procedimentos necessários à preservação e segurança dos ativos de informação utilizados na instituição.
São ativos de tecnologia da informação os seguintes componentes: dados e informações sensíveis, acessos e credenciais, sistemas aplicativos desenvolvidos e adquiridos, softwares básicos e de apoio, dados, infraestrutura de TI, instalações físicas, equipamentos de infraestrutura e documentos em qualquer forma de armazenamento.
Conforme definição da norma NBR ISO/IEC 27001, a informação é um ativo que, como qualquer outro ativo importante para os negócios, tem um valor para a organização e, consequentemente, necessita ser adequadamente protegida. A segurança da informação objetiva proteger a informação de diversos tipos de ameaças, para garantir a continuidade dos negócios, minimizando os danos e maximizando o retorno dos investimentos e as oportunidades de negócio.
A informação pode existir em muitas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou através de meios eletrônicos, mostrada em filmes ou falada em conversas. Seja qual for a forma de apresentação ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente.
3 OBJETIVO
O objetivo dessa política de segurança da informação é estabelecer diretrizes claras e abrangentes para proteger os ativos de informação da SEFAZ-SE contra ameaças e vulnerabilidades, garantindo a confidencialidade, integridade e disponibilidade dos dados. Essa política visa mitigar riscos, definir responsabilidades, e promover uma cultura organizacional de segurança, alinhando as práticas de segurança com os objetivos estratégicos da Secretaria. Além disso, a política busca assegurar o cumprimento de leis e regulamentações aplicáveis, ao mesmo tempo em que preserva a confiança dos contribuintes, parceiros e outras partes interessadas.
4 ESCOPO
Instituir a Política de Segurança da Informação (PSI), no âmbito da SEFAZ-SE, com a finalidade de estabelecer princípios e diretrizes para a implementação de ações e controles que garantam a segurança das informações e de dados pessoais, e no que couber, no relacionamento com outras entidades públicas ou privadas.
Esta Política se aplica a todos os ativos de informação da SEFAZ, incluindo dados, sistemas, aplicativos, dispositivos e redes. A Política se aplica a todos os colaboradores, funcionários, contratados, parceiros e terceiros que acessam ou processam as informações da Secretaria. Esta política se aplica em todas as instalações físicas administradas ou utilizadas pela SEFAZ-SE e entidades subsidiárias.
5 TERMOS E DEFINIÇÕES
CONFIDENCIALIDADE: propriedade pela qual se assegura que a informação não esteja disponível ou não seja revelada à pessoa, ao sistema, ao órgão ou à entidade não autorizados nem credenciados;
DADO PESSOAL: informação relacionada a pessoa natural identificada ou identificável;
DADO PESSOAL SENSÍVEL: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
DISPONIBILIDADE: propriedade pela qual se assegura que a informação esteja acessível e utilizável, sob demanda, por uma pessoa física ou determinado sistema, órgão ou entidade devidamente autorizados;
INFORMAÇÃO: dados, processados ou não, que podem ser utilizados para produção e para transmissão de conhecimento, contidos em qualquer meio, suporte ou formato;
INTEGRIDADE: propriedade pela qual se assegura que a informação não foi modificada ou destruída de maneira não autorizada ou acidental;
SEGURANÇA DA INFORMAÇÃO: ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações;
TITULAR DO DADO: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
AMEAÇA: evento que tem potencial em si próprio para comprometer os objetivos da organização, seja trazendo danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas;
VULNERABILIDADE: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.
ATIVOS DA INFORMAÇÃO: os meios de produção, armazenamento, transmissão e processamento de informações, os sistemas de informação, além das informações em si, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso;
RISCO: potencial associado à exploração de uma ou mais vulnerabilidades de um ativo de informação ou de um conjunto de tais ativos, por parte de uma ou mais ameaças, com impacto negativo no negócio da organização;
COMITÊ DE GESTÃO DE TECNOLOGIA DA INFORMAÇÃO (CGTI):
Comitê de caráter consultivo, responsável pela normatização e supervisão da segurança da informação;
USUÁRIO EXTERNO: Qualquer usuário que não esteja diretamente ligado ao quadro de colaboradores da SEFAZ e que precise ter restrições diferenciadas nos acessos aos recursos computacionais da instituição;
ACESSO EXTERNO: Qualquer acesso a um ativo da SEFAZ realizado fora das instalações físicas oficiais da instituição;
ALTA GESTÃO: Grupo de gestores formado pela Secretária de Fazenda, Secretário Executivo, Subsecretários e Superintendentes;
USUÁRIOS DE INFORMAÇÃO: Indivíduos que possuem acesso a informações em qualquer formato ou meio de armazenamento.
6 DECLARAÇÕES DA POLÍTICA
Art. 1º. Fica instituída a Política de Segurança da Informação da SEFAZ-SE, com a finalidade de estabelecer princípios, diretrizes, responsabilidades e competências para a gestão da segurança da informação.
Art. 2º. Esta Política de Segurança da Informação aplica-se a todas as unidades organizacionais da SEFAZ-SE, e deverá ser observada por todos os usuários de informação, seja servidor ou equiparado, empregado, prestador de serviços ou pessoa habilitada pela administração, por meio da assinatura de Termo de Responsabilidade, para acessar os ativos de informação sob responsabilidade desta Organização.
CAPÍTULO I - Disposições Gerais
Art. 3º. São objetivos da Política de Segurança da Informação:
I. proteger as informações contra acesso, modificação, destruição ou divulgação não autorizada;
II. assegurar que os recursos colocados à disposição dos colaboradores sejam utilizados apenas para as finalidades aprovadas pela organização;
III. estabelecer princípios e diretrizes a fim de proteger ativos de informação e conhecimentos gerados ou recebidos;
IV. estabelecer orientações gerais de segurança da informação e, desta forma, contribuir para a gestão eficiente dos riscos, limitando-os a níveis aceitáveis, bem como preservar os princípios da disponibilidade, integridade, confiabilidade e autenticidade das informações;
V. estabelecer competências e responsabilidades quanto à segurança da informação;
VI. nortear a elaboração das normas necessárias à efetiva implementação da segurança da informação;
VII. promover o alinhamento das ações de segurança da informação com as estratégias de planejamento organizacional da SEFAZ-SE.
Art. 4º. Para os efeitos desta Política e de suas regulamentações, aplicam-se os termos do Glossário de Segurança da Informação, aprovado pela Portaria GSI/PR nº 93, de 18 de outubro de 2021.
CAPÍTULO II - Dos Princípios e Diretrizes
Art. 5º. As ações de segurança da informação da SEFAZ-SE são norteadas pelos princípios constitucionais e administrativos que norteiam a Administração Pública Estadual, bem como pelos seguintes princípios:
I. disponibilidade, integridade, confidencialidade e autenticidade das informações;
II. continuidade dos processos e serviços essenciais para o funcionamento da SEFAZ-SE;
III. economicidade da proteção dos ativos de informação;
IV. respeito ao acesso à informação, à proteção de dados pessoais e à proteção da privacidade;
V. observância da publicidade como preceito geral e do sigilo como exceção;
VI. responsabilidade do usuário de informação pelos atos que comprometam a segurança dos ativos de informação;
VII. alinhamento estratégico da Política de Segurança da Informação com o planejamento estratégico, assim como demais normas específicas de segurança da informação da Administração Pública Estadual;
VIII. conformidade das normas e das ações de segurança da informação com a legislação regulamentos aplicáveis; e
IX. educação e comunicação como alicerces fundamentais para o fomento da cultura e segurança da informação.
Art. 6º. Estas diretrizes constituem os principais pilares da gestão de segurança da informação norteando a elaboração de políticas, planos e normas complementares no âmbito desta Secretaria e objetivam a garantia dos princípios básicos de segurança da informação estabelecidos nesta Política.
Art. 7º. As normas, procedimentos, manuais e metodologias de segurança da informação da SEFAZ-SE devem considerar, como referência, além dos normativos vigentes, as melhores práticas de segurança da informação.
Art. 8º. As ações de segurança da informação devem:
I. considerar, prioritariamente, os objetivos estratégicos, os planos institucionais, a estrutura e a finalidade da SEFAZ-SE;
II. ser tratadas de forma integrada, respeitando as especificidades e a autonomia das unidades da SEFAZ-SE;
III. ser adotadas proporcionalmente aos riscos existentes e à magnitude dos danos potenciais, considerados o ambiente, o valor e a criticidade da informação;
IV. visar à prevenção da ocorrência de incidentes.
Art. 9º. O investimento necessário em medidas de segurança da informação deve ser dimensionado segundo o valor do ativo a ser protegido e de acordo com o risco de potenciais prejuízos à SEFAZ-SE.
Art. 10. Toda e qualquer informação gerada, custodiada, manipulada, utilizada ou armazenada na SEFAZ-SE compõe o seu rol de ativos de informação e deve ser protegida conforme normas em vigor.
Parágrafo único. As informações citadas no caput, que tramitem pelo ambiente computacional da SEFAZ-SE, são passíveis de monitoramento e auditoria pela SEFAZ-SE, respeitados os limites legais.
Art. 11. Pessoas e sistemas devem ter o menor privilégio e o mínimo acesso aos recursos necessários para realizar uma dada tarefa.
Parágrafo único. É condição para acesso aos recursos de tecnologia da informação da SEFAZ-SE a assinatura, preferencialmente eletrônica, de Termo de Responsabilidade indicando a ciência aos termos desta Política, as responsabilidades e os compromissos em decorrência deste acesso, bem como as penalidades cabíveis pela inobservância das regras previstas nas normas de segurança da informação da SEFAZ-SE.
Art. 12. A Política de Segurança da Informação e suas atualizações, bem como normas específicas de segurança da informação da SEFAZ-SE, devem ser divulgadas amplamente a todos os Usuários de Informação, a fim de promover sua observância, seu conhecimento, bem como a formação da cultura de segurança da informação.
§ 1º Os Usuários de Informação devem ser continuamente capacitados nos procedimentos de segurança e no uso correto dos ativos de informação quando da realização de suas atribuições, de modo a minimizar possíveis riscos à segurança da informação.
§ 2º As ações de capacitação previstas no § 1º devem ser conduzidas de modo a possibilitar o compartilhamento de materiais educacionais sobre segurança da informação.
Art. 13. Todos os contratos de prestação de serviços firmados pela SEFAZ-SE conterão cláusula específica sobre a obrigatoriedade de atendimento à esta Política de Segurança da Informação, bem como se suas normas decorrentes.
CAPÍTULO III - Da Gestão de Segurança da Informação
Art. 14. A estrutura de Gestão de Segurança da Informação é composta por:
I. Alta Gestão;
II. Comitê de Gestão de Tecnologia da Informação;
III. Área de Segurança da Informação;
IV. Gestores de Tecnologia da Informação e Comunicação;
V. Encarregado pelo Tratamento de Dados Pessoais;
VI. Usuários de Informação.
Art. 15. Compete à Alta Gestão:
I. fornecer os recursos necessários para assegurar o desenvolvimento e a implementação da Gestão de Segurança da Informação da SEFAZ-SE, bem como com o tratamento das ações e decisões de segurança da informação em um nível de relevância e prioridade adequados;
II. formalizar e aprovar a Política de Segurança da Informação da SEFAZ-SE, bem como suas alterações e atualizações.
III. Aprovar os investimentos necessários para manter a segurança dentro da organização;
IV. Tomar as decisões administrativas referentes aos casos de descumprimento da Política e/ou de suas Normas encaminhados pelo Comitê de Gestão de Tecnologia da Informação;
Art. 16. Compete ao Comitê de Gestão de Tecnologia da Informação:
I. assessorar na implementação das ações de segurança da informação;
II. constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre segurança da informação;
III. participar da elaboração da Política de Segurança da Informação e das normas internas de segurança da informação;
IV. propor alterações à Política de Segurança da Informação e às normas internas de segurança da informação;
V. deliberar sobre normas internas de segurança da informação;
VI. avaliar as ações propostas pela área de segurança da informação.
VII. definir a classificação das informações pertencentes ou sob a guarda da SEFAZ-SE, com base no inventário de informações apresentado pela Área de TI e nos critérios de classificação constantes de Norma específica;
VIII. analisar os casos de violação desta Política e das Normas de Segurança da Informação, encaminhando-os à alta gestão, quando for o caso;
IX. propor projetos e iniciativas relacionados à melhoria da segurança da informação;
X. propor o planejamento e a alocação de recursos financeiros, humanos e de tecnologia, no que tange à segurança da informação;
XI. determinar a elaboração de relatórios, levantamentos e análises que deem suporte à gestão de segurança da informação e à tomada de decisão;
XII. acompanhar o andamento dos principais projetos e iniciativas relacionados à segurança da informação e propor a relação de “proprietários” das informações;
XIII. promover a cultura de segurança da informação em todos os níveis da organização, incentivando boas práticas e garantindo que a segurança da informação seja uma prioridade estratégica.
Parágrafo único. A composição, estrutura, recursos e funcionamento do Comitê de Gestão de Tecnologia da Informação será definido em ato administrativo próprio emitido pela SEFAZ-SE, de acordo com a legislação vigente.
Art. 17. Compete à Área de Segurança da Informação:
I. convocar, coordenar, lavrar atas e prover apoio às reuniões do Comitê;
II. prover todas as informações de gestão de segurança da informação solicitadas pelo Comitê;
III. assessorar a Alta Gestão na implementação da Política de Segurança da Informação;
IV. estimular ações de capacitação e de profissionalização de recursos humanos em temas relacionados à segurança da informação;
V. oferecer orientação e treinamento recorrente sobre segurança da informação e sobre a Política de Segurança da Informação e suas Normas a todos os colaboradores;
VI. promover a divulgação da política e das normas internas de segurança da informação do órgão a todos os servidores, usuários e prestadores de serviços que trabalham no órgão;
VII. incentivar estudos de novas tecnologias, e seus eventuais impactos relacionados à segurança da informação;
VIII. verificar os resultados dos trabalhos de auditoria sobre a gestão da segurança da informação;
IX. acompanhar a aplicação de ações corretivas e administrativas cabíveis nos casos de violação da segurança da informação;
X. propor projetos e iniciativas relacionados ao aperfeiçoamento da segurança da informação, mantendo-se atualizada em relação às melhores práticas existentes no mercado e em relação às tecnologias disponíveis;
XI. avaliar a aderência dos sistemas e processos de desenvolvimento de software aos padrões de segurança previamente definidos para mitigar os riscos oriundos de explorações de vulnerabilidades relacionadas às aplicações disponibilizadas em ambientes de produção;
XII. estabelecer procedimentos e realizar a gestão dos sistemas de controle de acesso, incluindo os processos de concessão, manutenção, revisão e suspensão de acessos aos usuários;
XIII. analisar os riscos relacionados à segurança da informação e apresentar relatórios trimestrais sobre tais riscos ao CGTI, acompanhados de proposta de aperfeiçoamento do ambiente de controle, quando for o caso;
XIV. realizar trabalhos de análise de vulnerabilidade, com o intuito de aferir o nível de segurança dos sistemas de informação e dos demais ambientes em que circulam as informações;
XV. requisitar informações às demais áreas (subsecretarias, superintendências, gerências etc.), realizar testes e averiguações em sistemas e equipamentos com o intuito de verificar o cumprimento da Política e das Normas de Segurança da Informação e estabelecer mecanismo de registro e controle de não conformidade a esta Política e às Normas de Segurança da Informação, comunicando sempre ao Comitê.
XVI. configurar os bloqueios de acesso à Internet não permitindo o acesso a conteúdo improdutivo, seja através de websites, redes sociais ou ferramentas de comunicação instantânea não homologadas pela instituição;
XVII. configurar o acesso remoto dos colaboradores aos serviços da rede da SEFAZ-SE, e-mails, sistemas, ferramentas de comunicação etc., conforme o regime de trabalho específico e da forma mais segura possível. As exceções serão tratadas pontualmente;
XVIII. auditar os computadores dos visitantes em relação a ferramenta de antivírus atualizada e conexão em segmento de rede separado, quando for preciso se conectar na rede da SEFAZ-SE;
XIX. criar um perfil de acesso, detalhando todas as permissões necessárias em todos os sistemas, para cada colaborador ou prestador de serviço da SEFAZ-SE;
XX. definir a forma como os órgãos e entidades externas acessam os dados da SEFAZ. Será preciso mapear os serviços externos e como estão acessados.
Art. 18. Compete aos Gestores de Tecnologia da Informação e Comunicação, dentre outras atribuições dispostas na legislação vigente, planejar, implementar e melhorar continuamente os controles de privacidade e segurança da informação em soluções de tecnologia da informação e comunicações, considerando a cadeia de suprimentos relacionada à solução e as necessidades específicas dos contribuintes.
Art. 19. Compete ao Encarregado pelo Tratamento dos Dados Pessoais:
I. contribuir na Definição das Políticas e Diretrizes do Programa de Governança em Privacidade;
II. assegurar o cumprimento das políticas de Segurança, Privacidade e Proteção de Dados através de auditorias recorrentes;
III. articular a aderência do corpo diretivo com as políticas, estratégias, diretrizes e regulações referentes à proteção de dados pessoais;
IV. gerir a Revisão da posição da organização como agente de tratamento de Dados Pessoais;
V. auxiliar na definição e gerir o fluxo de atendimento a requisições de direitos dos Titulares de Dados Pessoais;
VI. revisar práticas de Segurança da Informação voltadas a tratamento de Dados Pessoais e Dados Pessoais Sensíveis;
VII. propor oportunidades de Anonimização e Pseudoanonimização dos dados pessoais tratados pela SEFAZ/SE;
VIII. revisar e propor melhorias no Processo de Gestão de Incidentes voltado a Dados Pessoais e Dados Pessoais Sensíveis;
IX. revisar e propor métodos de armazenamento e compartilhamento de dados seguros;
X. auxiliar na definição e gerir processo de mapeamento de ciclo de vida dos dados, aplicações e terceiros;
XI. realizar avaliação do relatório de impacto da proteção de dados (RIPD), de acordo com a metodologia definida e com os requisitos da LGPD;
XII. acompanhamento e apoio nos projetos de software que envolvem Gestão de Privacidade de Dados Pessoais e Dados Pessoais Sensíveis;
XIII. aconselhar sobre proteção de dados na arquitetura de TI na organização;
XIV. aconselhar programadores e administradores de sistemas sobre a proteção prática de sistemas de acordo com as boas práticas;
XV. aconselhar sobre tecnologias de aprimoramento da privacidade, incluindo criptografia, anonimização e pseudonimização;
XVI. atender as solicitações dos titulares dos Dados através de plataforma contratada e dentro dos SLAs acordados;
XVII. coletar informações de violações de segurança;
XVIII. ajudar a SEFAZ-SE a manter, armazenar e documentar as revogações da gestão de consentimento dos titulares dos dados;
XIX. apoiar nas decisões do Comitê de Gestão de Tecnologia da Informação e acompanhar as ações relacionados aos incidentes;
XX. apoiar SEFAZ-SE na investigação de incidentes de segurança e privacidade;
XXI. notificar a Agência de Proteção e Dados sobre uma violação de segurança dentro do prazo estabelecido em Lei;
XXII. notificar os titulares dos dados da violação de segurança;
XXIII. garantir a conformidade com os requisitos da LGPD;
XXIV. realizar controle anual de conformidade de segurança de TI para Dados Pessoais e Dados Pessoais Sensíveis;
XXV. apresentar relatórios de acompanhamento de nível de conformidade com a LGPD e segurança da TI para a alta gestão.
Art. 20. Compete aos Usuários de Informação:
I. conhecer, cumprir e fazer cumprir esta Política e às demais normas específicas de segurança da informação da SEFAZ-SE.
II. Ser responsável por qualquer atividade desenvolvida através de suas contas na SEFAZ-SE e pelos eventuais problemas dela decorrentes em atividades não autorizadas;
III. Usar os recursos computacionais sem constranger, assediar, ofender, caluniar ou ameaçar qualquer pessoa.
IV. não realizar distribuição voluntária de mensagens não desejadas, como circulares, manifestos políticos, correntes de cartas ou outros sistemas que possam prejudicar o trabalho de terceiros, causar excessivo tráfego na rede ou sobrecarregar os sistemas computacionais;
V. não ligar ou desligar fisicamente ou eletricamente recursos computacionais da SEFAZ-SE, especialmente as estações de trabalho, e componentes externos, como cabos, impressoras, discos ou sistemas de vídeo, exceto os computadores nos quais tenham posse temporária em virtude de assinatura do termo de responsabilidade;
VI. não utilizar os recursos computacionais da SEFAZ-SE para benefício financeiro direto ou indireto, próprio ou de terceiros fora da instituição, sujeitando-se o infrator a imediata suspensão de sua conta, sem prejuízo da aplicação das demais penalidades cabíveis previstas nas legislações da instituição;
VII. utilizar os ativos e materiais de TI somente em atividades profissionais previstas para o interesse da SEFAZ. Não é permitido o uso, para fins particulares ou de recreação, de serviços que sobrecarreguem as redes de computadores da SEFAZ-SE, tais como: streaming de vídeo, jogos, páginas de animação e serviços não associados as atividades do colaborador. Somente será liberado o uso de streaming de vídeos para finalidades institucionais, sempre com prazo que deverá ser definido pelo superior imediato e formalizado à SUTEC.
VIII. não utilizar qualquer material de consumo de informática da SEFAZ-SE para fins particulares;
IX. comunicar ao CGTI qualquer evidência de violação das normas em vigor, não podendo acobertar, esconder ou ajudar a esconder violações de terceiros.
X. não efetuar ou tentar efetuar qualquer tipo de acesso não autorizado a dados dos recursos computacionais da SEFAZ-SE, ou tentar sua alteração, como por exemplo, ler mensagens pessoais de terceiros ou acessar arquivos confidenciais;
XI. não violar ou tentar violar os sistemas de segurança dos recursos computacionais da SEFAZ-SE, como quebrar ou tentar adivinhar identificação ou senhas de terceiros;
XII. bloquear as suas estações de trabalho toda vez que precisarem se ausentar da sua mesa;
XIII. não interceptar ou tentar interceptar transmissão de dados não destinados ao seu próprio acesso, seja monitorando barramentos de dados, seja através da rede;
XIV. ser responsável pelo certificado digital, devendo arcar com eventuais custos de reposição nos casos de perda ou esquecimento de senha. A SEFAZ se obriga a repor apenas nos casos de roubo, furto, expiração da validade, caso fortuito ou força maior.
XV. não passar as suas credenciais de acesso (senhas, tokens, cartões de identificação etc.) para outras pessoas;
XVI. não instalar "softwares" e/ ou pacotes aditivos aos "softwares" pré-instalados, sejam eles licenciados ou não; sem a autorização da TI;
XVII. não instalar qualquer software de propriedade da SEFAZ-SE em computadores pessoais usados na SEFAZ/SE ou fora dela sem prévia autorização da Superintendência de Tecnologia da Informação;
XVIII. solicitar aprovação de toda aquisição de software e hardware pela SUTEC, como forma de garantir a sua compatibilidade, com o ambiente de software atual, e possibilitar a aquisição com melhores preços e garantias de suporte.
XIX. comunicar à SUTEC, sempre que for informado de que seu ambiente de proteção de vírus esteja desatualizado.
XX. comunicar imediatamente à SUTEC/ARSOP (Área de Suporte de Operação) qualquer dano ou extravio de material de consumo e mobiliário diretamente ligado à informática.
XXI. não utilizar qualquer referência à SEFAZ-SE, sem expressa autorização da alta gestão, em mídias sociais, propagandas ou eventos;
XXII. assinar o termo de responsabilidade para recebimento de computadores, monitores e notebooks, indicando que entende e concorda com a PSI.
Art. 21. A Política de Segurança da Informação e demais normativos decorrentes desta Política integram o arcabouço normativo da Gestão de Segurança da Informação. Os seguintes documentos são parte integrante dessa política e devem ter todo o seu conteúdo respeitado como todas as regras e diretrizes aqui descritas, tais como:
I. Política de Privacidade Interna;
II. Política de Privacidade Externa;
III. Política de Proteção de Dados Pessoais;
IV. Termo de Confidencialidade dos Colaboradores;
V. Termo de Responsabilidade;
VI. Contrato de Trabalho;
VII. Contratos com Fornecedores;
VIII. Política de senhas;
IX. Política de classificação de dados;
Art. 22. A Gestão da Segurança da Informação é constituída, no mínimo, pelos seguintes processos:
I. tratamento da informação;
II. segurança física e do ambiente;
III. gestão de incidentes em segurança da informação;
IV. gestão de ativos;
V. gestão do uso dos recursos operacionais e de comunicações, tais como e-mail, acesso à internet, mídias sociais e computação em nuvem;
VI. controles de acesso;
VII. gestão de riscos;
VIII. gestão de continuidade;
IX. auditoria e conformidade;
§ 1º O Comitê de Gestão de Tecnologia da Informação poderá definir outros processos de Gestão de Segurança da Informação, desde que alinhados aos princípios e às diretrizes desta Política e destinados à implementação de ações de segurança da informação.
§ 2º Para cada um dos processos que constituem a Gestão de Segurança da Informação, deve ser observada a pertinência de elaboração de políticas, normas, procedimentos, orientações ou manuais que disciplinem ou facilitem o seu entendimento em conformidade com a legislação vigente e boas práticas de segurança de informação.
Art. 23. As políticas, normas, procedimentos, orientações ou manuais existentes na SEFAZ-SE devem abordar, no mínimo, aspectos relacionados:
I. a conformidade com as diretrizes dispostas na LGPD e demais normativos e orientações emitidas pela ANPD;
II. a classificação da informação de acordo com seu nível de confidencialidade e criticidade, entre outros fatores, com vistas a determinar os controles de segurança adequados;
III. a proteção dos dados contra acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
IV. ao uso aceitável da informação e a utilização de mídias de armazenamento;
V. a entrada e saída de ativos de informação das instalações da organização;
VI. aos perímetros de segurança da organização;
VII. aos controles de acesso baseados no princípio do menor privilégio;
VIII. as etapas de identificação, contenção, erradicação e recuperação e atividades pós incidente;
IX. aos critérios para a comunicação de incidentes aos titulares de dados pessoas e a ANPD;
X. ao Plano de Gestão de Incidentes de Segurança, de forma a considerar diferentes cenários;
XI. a Política de Gestão de Ativos da organização, abordando aspectos relacionados à proteção dos ativos, sua classificação de acordo com a criticidade do ativo para o a organização; a manutenção de inventario atualizado de ativos da organização, contendo o tipo de ativo, sua localização, seu proprietário ou custodiante e seu status de segurança; uso aceitável de ativos, vedado o uso para fins particulares de seu responsável; o mapeamento de vulnerabilidades, ameaças e suas respectivas interdependências; o monitoramento de ativos, de acordo com os princípios legais de Segurança da Informação e privacidade; a investigação de sua operação e uso quando houver indícios de quebra de segurança e/ou privacidade;
XII. a utilização adequada dos recursos operacionais e de comunicações fornecidos pela SEFAZ-SE, a serem utilizados para fins profissionais, relacionados às atividades da SEFAZ-SE, em conformidade com os princípios éticos e profissionais da SEFAZ-SE, evitando comportamentos antiéticos, discriminatórios, ofensivos ou que possam comprometer a reputação da SEFAZ-SE;
XIII. aos procedimentos para o uso de e-mail, o envio de informações confidenciais, a instalação de software antivírus e a abertura de anexos de e-mail;
XIV. o acesso à internet, o download de arquivos da internet, vedado o uso de sites inadequados e a instalação de software não autorizado;
XV. o uso de mídias sociais, a divulgação de informações nas mídias sociais, o uso de contas pessoais para fins profissionais e a interação com estranhos nas mídias sociais;
XVI. as políticas e procedimentos para o uso da computação em nuvem, a seleção de provedores de serviços em nuvem, a segurança dos dados na nuvem e a conformidade com as leis e regulamentos aplicáveis;
XVII. as políticas e procedimentos para o controle de acesso, tais como o uso de Múltiplo Fator de Autenticação (MFA), controles de autorização, baseados no princípio do menor privilégio, controles de segregação de funções, trilhas de auditoria, rastreamento, acompanhamento, controle e verificação de acessos para os ativos de informação, desligamento ou afastamento de colaboradores e parceiros que utilizam ou operam os ativos de informação da SEFAZ-SE;
XVIII. as políticas e procedimentos para a gestão dos riscos de segurança da informação que possam afetar seus ativos de informação, abordando a análise do ambiente da SEFAZ-SE, dos seus ativos de informação e das ameaças à segurança da informação; a adoção de uma metodologia estruturada para identificar riscos, a documentação dos riscos identificados, incluindo sua descrição, origem, impacto potencial e probabilidade de ocorrência; a avaliação de riscos, de forma a determinar o risco a se concretizar e o impacto potencial nos ativos de informação, bem como quais riscos devem ser priorizados para tratamento; o tratamento dos riscos identificados e avaliados, o que pode incluir a mitigação de riscos, por meio da implementação de controles de segurança, ou a aceitação de riscos;
XIX. as políticas e procedimentos para Gestão de Continuidade de Negócios da organização, incluindo o Plano de Continuidade para garantir que a SEFAZ-SE possa continuar suas atividades em caso de um incidente de segurança da informação e a realização de testes e exercícios periódicos baseados no Plano de Continuidade para garantir sua eficácia;
XX. as políticas e procedimentos para a Gestão de Mudanças nos ativos de informação da organização, respaldado pelas informações dos relatórios de avaliação e tratamento de risco de segurança da informação, com a designação de papéis e responsabilidades para a avaliação, aprovação e implementação de mudanças e a criação de um processo formal para solicitação e documentação de mudanças;
XXI. as políticas e procedimentos para a auditoria e conformidade da organização, abordando o Plano de Verificação de Conformidade, que considere as unidades abrangidas, os aspectos para verificação da conformidade, as ações e atividades a serem realizadas,
§ 1º As unidades organizacionais da SEFAZ-SE devem realizar periodicamente auditorias internas de sua segurança da informação para assegurar que ela esteja em conformidade com esta Política e com outros requisitos de segurança da informação aplicáveis.
§ 2º Todas as ações, realizadas pelas unidades da SEFAZ-SE, que envolvem a segurança da informação devem estar em conformidade com as leis e regulamentos aplicáveis à esta temática.
§ 3º As atividades, produtos e serviços desenvolvidos na SEFAZ-SE devem estar em conformidade com requisitos de privacidade e proteção de dados pessoais constantes de leis, regulamentos, resoluções, normas, estatutos e contratos jurídicos vigentes
CAPÍTULO IV – Do uso da computação móvel e trabalho remoto (publicado separadamente)
Art. 24. O acesso remoto é qualquer tipo de acesso à rede corporativa da SEFAZ, através de uma rede não controlada pela SEFAZ, independentemente do meio de comunicação que esteja sendo utilizado. Assim, é de responsabilidade dos usuários, com privilégio de acesso remoto à rede corporativa da SEFAZ, a observância das regras de segurança adotadas para a rede local, independentemente do tipo de conexão. É de inteira responsabilidade do usuário remoto o controle para quaisquer outras pessoas não viole as normas de segurança adotadas pela SEFAZ.
É proibido ao usuário fornecer os dados da conta e senha de acesso remoto a qualquer pessoa. Além disso, é altamente recomendado que o usuário não deixe senhas salvas em meios físicos ou digitais.
Art. 25. Os trabalhos remotos, sempre que necessários, só estão liberados através de acesso VPN, de acordo com a necessidade. Para os colaboradores, só será permitido esse acesso em situações especiais e com aprovação prévia do superintendente de cada área e da superintendência de tecnologia da informação, observando o período, os horários em que os acessos serão permitidos obedecendo todas as normas vigentes, inclusive a Portaria 308/2023 que regulamenta o trabalho remoto na SEFAZ/SE. Todo acesso poderá ser auditado.
Art. 26. Para os órgãos e entidades externas, o acesso só será permitido depois da criação de credenciais que permitam a execução das atividades precípuas. As contas devem ser desabilitadas imediatamente após a conclusão dos trabalhos e por padrão só poderão ocorrer em horário comercial. Casos especiais serão tratados pontualmente. O usuário deve evitar, conectar a VPN em redes públicas de alto tráfego como aeroportos, rodoviárias, shoppings, supermercados, entre outros. Se houver necessidade de acessos nesses locais o recomendado é que o servidor utilize a própria internet móvel.
CAPÍTULO V – Do uso da Inteligência Artificial (publicado separadamente)
Art. 27. Todos os dados utilizados em treinamentos de IA, especialmente dados sensíveis ou pessoais, devem ser adequadamente anonimizados ou pseudonimizados para proteger a privacidade dos indivíduos.
Art. 28. Sistemas de IA devem ser desenvolvidos e operados em conformidade com as práticas de segurança cibernética vigentes, garantindo a proteção contra acessos não autorizados, manipulação de dados e outras ameaças.
Art. 29.O desenvolvimento e o uso de IA devem respeitar os princípios éticos, evitando vieses que possam resultar em discriminação ou decisões injustas.
Art. 30. Os resultados e as decisões automatizadas pelos sistemas de IA devem ser auditáveis e explicáveis, permitindo que os usuários e as partes interessadas entendam as bases das decisões tomadas.
Art. 31. Todos os sistemas de IA devem estar em conformidade com as leis e regulamentos aplicáveis, incluindo, mas não se limitando à Lei Geral de Proteção de Dados (LGPD) e outras normas de proteção de dados e privacidade.
Art. 32. Antes da implementação de qualquer sistema de IA, uma avaliação de impacto na proteção de dados (DPIA) deve ser realizada pelo DPO para identificar e mitigar riscos.
Art. 33. Deve ser realizado um processo contínuo de avaliação e gestão de riscos relacionados à IA, identificando potenciais vulnerabilidades e impactos que possam comprometer a segurança da informação ou a conformidade legal.
Art. 34. Procedimentos de resposta a incidentes devem ser estabelecidos para lidar rapidamente com falhas ou violações envolvendo sistemas de IA.
Art. 35. Todos os funcionários envolvidos no desenvolvimento e uso de sistemas de IA devem receber treinamento adequado sobre segurança da informação, ética em IA, e conformidade regulatória.
CAPÍTULO VI – Da Segurança Física
Art. 36. A segurança física tem como objetivo proteger equipamentos e informações contra usuários não autorizados, prevenindo o acesso a esses recursos.
As seguintes regras devem ser obedecidas por todos:
I. Todos os visitantes, colaboradores e prestadores de serviço devem usar o crachá de identificação em local visível;
II. Os visitantes não podem ficar circulando nas dependências da Secretaria. Devem ser conduzidos da portaria diretamente para o setor que deseja visitar;
III. Só será permitido o acesso do visitante após autorização do servidor com quem tenha horário agendado.
IV. Todo e qualquer equipamento ou material só poderá ser retirado das instalações da SEFAZ-SE com a devida autorização dos gestores ou da superintendência;
V. Todas as áreas de circulação, incluindo as salas de reunião, devem ser monitoradas através de circuitos internos de TV;
VI. A sala dos servidores e equipamentos de TI, Datacenter, tem acesso reservado aos funcionários desse setor. É terminantemente proibido o uso de qualquer tipo de alimentos ou líquidos devido aos riscos de dano aos ativos existentes;
VII. As portarias de acesso à SEFAZ devem ser monitoradas continuamente por profissionais de empresa especializada em segurança;
VIII. Todos os colaboradores devem manter a política da mesa limpa, evitando que informações confidenciais fiquem expostas e possam ser observadas por pessoas não autorizadas;
IX. Uma cópia das mídias de backups semanais, mensais e anuais devem ser removidas continuamente das instalações da SEFAZ-SE para garantir a continuidade dos negócios em caso de incidentes com a estrutura física;
X. Ao encaminhar qualquer equipamento para assistência técnica, as informações existentes nas mídias de armazenamento devem ser definitivamente excluídas para evitar acesso indevido;
CAPÍTULO VII - Das Vedações e Disposições Finais
Art. 37. É vedada a utilização dos recursos de tecnologia da informação disponibilizados pela SEFAZ-SE para acesso, guarda e divulgação de material incompatível com ambiente do serviço, que viole direitos autorais ou que infrinja a legislação vigente.
Art. 38. São vedados o uso e a instalação de recursos de tecnologia da informação que não tenham sido homologados ou adquiridos com aprovação da SUTEC.
Art. 39. É vedada a divulgação a terceiros de mecanismos de identificação, autenticação e autorização baseados em conta e senha ou certificação digital, de uso pessoal e intransferível, que são fornecidos aos usuários.
Art. 40. É vedada a exploração de eventuais vulnerabilidades, as quais devem ser comunicadas às instâncias superiores assim que identificadas.
Art. 41. A unidades organizacionais da SEFAZ-SE devem promover ações de treinamento e conscientização para que os seus colaboradores entendam suas responsabilidades e procedimentos voltados à segurança da informação e à proteção de dados.
Parágrafo único. A conscientização, a capacitação e a sensibilização em segurança da informação devem ser adequadas aos papéis e responsabilidades dos colaboradores.
Art. 42. Para garantir que todos os novos processos e soluções de Tecnologia da Informação (TI) sejam implementados de forma segura e em conformidade com as regulamentações de proteção de dados, mitigando riscos à segurança da informação e à privacidade, é obrigatório obter um parecer formal e positivo da área de Segurança da Informação e do Data Protection Officer (DPO). Este parecer deve avaliar os aspectos de segurança cibernética, privacidade e conformidade regulatória, assegurando que a nova solução atenda aos padrões estabelecidos pela organização e pelas leis aplicáveis.
Art. 43. As denúncias de violação a esta Política podem ser comunicadas ao Comitê de Gestão de Tecnologia da Informação, através do seguinte endereço de e-mail: cgti@fazenda.se.gov.br.
Art. 44. O cumprimento desta Política, bem como dos normativos que a complementam devem ser avaliados pela SEFAZ-SE periodicamente por meio de verificações de conformidade, buscando a certificação do cumprimento dos requisitos de segurança da informação e da garantia de cláusula de responsabilidade e sigilo constantes de termos de responsabilidade, contratos, convênios, acordos e instrumentos congêneres.
Art. 45. A não observância do disposto nesta Política, bem como em seus instrumentos normativos correlatos, sujeita o infrator à aplicação de sanções administrativas conforme a legislação vigente, sem prejuízo das responsabilidades penal e civil, assegurados sempre aos envolvidos o contraditório e a ampla defesa.
Art. 46. Esta Política será revisada periodicamente, pelo menos anualmente, ou com mais frequência se necessário, para refletir as mudanças no ambiente da SEFAZ-SE, nos riscos à segurança da informação e nas melhores práticas de segurança da informação.
Art. 47. Os casos omissos e as dúvidas sobre a Política de Segurança da Informação e seus documentos devem ser submetidas ao Comitê de Gestão de Tecnologia da Informação.
Referências Bibliográficas
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS: ABNT NBR ISO/IEC 27701:2019: Técnicas de segurança — Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação — Requisitos e diretrizes. Rio de Janeiro, 2019.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS: ABNT NBR ISO/IEC 27001:2022: Segurança da informação, segurança cibernética e proteção à privacidade — Sistemas de gestão da segurança da informação — Requisitos. Rio de Janeiro, 2022.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS: ABNT NBR ISO/IEC 27002:2022: Segurança da informação, segurança cibernética e proteção à privacidade — Controles de segurança da informação— Requisitos. Rio de Janeiro, 2023.
BRASIL. Presidência da República. Casa Civil. Subchefia para Assuntos Jurídicos.
Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 02 jul. 2024.
BRASIL. Presidência da República. Casa Civil. Instituto Nacional de Tecnologia da Informação.
Portaria N° 79, de 31 de dezembro de 2018. Política de Segurança da Informação e Comunicações do Instituto Nacional de Tecnologia da Informação. Disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm. Acesso em: 02 jul. 2024.
BRASIL. Presidência da República. Gabinete de Segurança Institucional.
Decreto nº 9.637, de 26 de dezembro de 2018. Política Nacional de Segurança da Informação –PNSI. Disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Decreto/D9637.html. Acesso em: 17 jun. 2024.
BRASIL. Presidência da República. Gabinete de Segurança Institucional.
Portaria nº 93, de 26 de setembro de 2019. Glossário de Segurança da Informação. Disponível em: https://www.in.gov.br/en/web/dou/-/portaria-n-93-de-26-de-setembro-de-2019-%20219115663. Acesso em: 01 jul. 2024.
BRASIL. Presidência da República. Gabinete de Segurança Institucional.
Departamento de Segurança da Informação e Comunicações. Instrução Normativa nº 01, de 27 de maio de 2020. Brasília, DF, GSI/PR, 2020. Disponível em: https://www.gov.br/gsi/ptbr/composicao/SSIC/dsic/legislacao/copy_of_IN01_consolidada.pdf. Acesso em: 01 jul. 2024.
BRASIL. Presidência da República. Gabinete de Segurança Institucional.
Departamento de Segurança da Informação e Comunicações. Instrução Normativa nº 03, de 28 de maio de 2021. Brasília, DF, GSI/PR, 2021. Disponível em: https://www.gov.br/gsi/ptbr/ssic/legislacao/copy_of_IN03_consolidada.pdf. Acesso em: 01 jul. 2024.
DIRETORIA DE PRIVACIDADE E SEGURANÇA DA INFORMAÇÃO DA SECRETARIA DE GOVERNO DIGITAL – DPSI/SGD. Guia do Framework de Privacidade e Segurança da Informação. Março 2024. Disponível em:https://www.gov.br/governodigital/pt-br/privacidade-ehttps://www.gov.br/governodigital/pt-br/privacidade-e-seguranca/ppsi/guia_framework_psi.pdfseguranca/ppsi/guia_framework_psi.pdf. Acesso em: 25 jun. 2024.
BRASIL. Presidência da República. Agência Nacional de Proteção de Dados - ANPD. Guia Orientativo - Tratamento de dados pessoais pelo Poder Público. Junho 2023.Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/documentos-de-publicacoes/guiahttps://www.gov.br/anpd/pt-br/documentos-e-publicacoes/documentos-de-publicacoes/guia-poder-publico-anpd-versao-final.pdfpoder-publico-anpd-versao-final.pdf. Acesso em: 01 jul. 2022.