A MESA DA ASSEMBLEIA LEGISLATIVA DO ESTADO DE SÃO PAULO, no uso de suas atribuições regimentais,
CONSIDERANDO a necessidade de que a alta direção da Casa e os usuários tenham compromisso permanente com a segurança da informação;
CONSIDERANDO as ações de modernização da Assembleia Legislativa do Estado de São Paulo - ALESP especialmente da sua infraestrutura de tecnologia da informação e de comunicação;
CONSIDERANDO a necessidade de aderência aos normativos existentes quanto ao acesso e à divulgação da informação, em especial a Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), e a Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais);
CONSIDERANDO que a informação, em todo o seu ciclo de vida, constitui-se em bem estratégico e em ativo fundamental para o desempenho das atribuições constitucionais e para as atividades administrativas da ALESP;
CONSIDERANDO a necessidade de manter as informações íntegras, autênticas, disponíveis e, quando for o caso, sigilosas ou de acesso restrito;
CONSIDERANDO que as informações geradas, recebidas, mantidas, transmitidas e tratadas pela ALESP estão em diferentes suportes, e que é necessário prevenir incidentes, naturais ou não, de origem humana ou tecnológica, que comprometam a segurança dessas informações;
CONSIDERANDO a necessidade de instituir e manter uma política que norteie o tratamento de informações no âmbito da ALESP, quanto aos aspectos de segurança;
CONSIDERANDO a necessidade de estabelecer princípios, objetivos, diretrizes e requisitos gerais que promovam a gestão integrada e coerente de processos voltados à segurança da informação, que sejam periodicamente revistos;
CONSIDERANDO que a segurança é uma qualidade da informação que depende de todos os que com ela lidam, em qualquer etapa de seu ciclo de vida; e
CONSIDERANDO a necessidade de esclarecer e determinar aos usuários seus direitos e deveres no tocante à segurança da informação;
RESOLVE:
Artigo 1º - Fica instituída a Política de Segurança da Informação - PSI da ALESP, que compreende princípios, objetivos, diretrizes e requisitos e define atribuições e instrumentos para a gestão da segurança da informação no âmbito da ALESP.
Artigo 2º - A PSI se aplica a todos os usuários dos conteúdos informacionais e dos recursos de tecnologia da informação providos pela ALESP.
Artigo 3º - Para os fins da PSI, entende-se como:
I - Autenticação: processo pelo qual o usuário apresenta sua identificação ao recurso computacional para obtenção de acesso válido, podendo se dar por senha, dispositivo de segurança (como token ou "chaveiro digital", ou cartão digital de acesso), biometria (impressão digital, palmar ou da íris), entre outros;
II - Autenticidade: atributos que permitem atestar a proveniência, a veracidade e a fidedignidade dos conteúdos informacionais;
III - Ciclo de vida dos conteúdos informacionais: compreende, no todo ou em parte, as etapas de criação, formalização, captura, aquisição, tratamento, armazenamento, preservação, recuperação, acesso, uso, disseminação, avaliação e destinação do conteúdo informacional da ALESP;
IV - Confidencialidade: qualidade de grau de sigilo, atribuído pela autoridade competente, a dado, informação ou documento;
V - Conteúdo informacional: toda informação registrada, produzida, recebida, adquirida, capturada ou colecionada pela ALESP, no desempenho de sua missão institucional, qualquer que seja seu suporte;
VI - Controle: forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal;
VII - Disponibilidade: garantia de acesso à informação por usuários autorizados, quando necessário;
VIII - Administrador de negócio: servidor responsável por propor, homologar e aprovar requisitos de negócio implementados em sistemas informatizados, bem como por zelar pela qualidade da informação provida pelos sistemas sob sua alçada. Também é o responsável por indicar os Administradores de permissões desses sistemas;
IX - Administrador de permissões: servidor, indicado pelo administrador de negócio, responsável por conceder ou revogar permissões de acesso a dados e/ou a sistemas de informação automatizados;
X - Administrador técnico: servidor responsável por um sistema ou serviço de Tecnologia da Informação sob responsabilidade da ALESP;
XI - Incidente de segurança da informação: evento simples ou série de eventos de segurança da informação indesejados ou inesperados, que tenham grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação;
XII - Integridade: qualidade da informação que se encontra completa e que não sofreu nenhum tipo de dano ou alteração não autorizada ou não documentada, seja na origem, no trâmite ou na destinação;
XIII - Plano de Continuidade de Negócios: conjunto de estratégias e planos de ação preventivos que garantam o pleno funcionamento dos serviços essenciais da ALESP durante quaisquer tipos de falhas, até que a situação seja normalizada;
XIV - Processo de trabalho: conjunto de atividades da ALESP ou de suas unidades administrativas executado sistematicamente em uma lógica sequencial para a transformação de entradas (inputs) em saídas (outputs);
XV - Registros de Segurança: registros contendo atividades dos usuários, exceções e outros eventos de segurança da informação;
XVI - Risco: qualquer evento que, se ocorrer, afeta o alcance de algum objetivo organizacional;
XVII - Segurança da Informação: preservação da confidencialidade, integridade, disponibilidade e autenticidade da informação;
XVIII - Sistema de Gestão da Segurança da Informação - SGSI: conjunto que compreende estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos, pessoas e demais recursos que a ALESP utiliza para, de modo coordenado e com base na abordagem de riscos, tratar os temas da segurança da informação;
XIX - Usuário: aquele que tem acesso autorizado aos conteúdos informacionais, em qualquer etapa de seu ciclo de vida, ou aos recursos de tecnologia da informação providos pela ALESP, podendo ser unidade administrativa, Deputado, servidor da ALESP, prestador de serviços terceirizado ou estagiário, bem como pessoa física ou jurídica externa à ALESP.
Artigo 4º - São princípios da PSI:
I - a atenção e a responsabilidade de todos os usuários quanto à necessidade de segurança da informação;
II - a participação de todos os usuários e custodiantes da informação, de modo a prevenir, detectar e responder aos incidentes de segurança da informação;
III - o respeito aos legítimos interesses dos usuários no acesso e uso da informação;
IV - a observância da publicidade como preceito geral e do sigilo como exceção;
V - a contínua análise dos riscos aos quais a informação está sujeita, considerando também aspectos da cultura organizacional da ALESP;
VI - a incorporação da segurança como requisito essencial dos sistemas de informação, informatizados ou não;
VII - a gestão sistêmica da segurança da informação; e
VIII - a avaliação periódica da segurança da informação, de modo tal a realizar as modificações apropriadas à PSI, bem como às práticas, demais normas e procedimentos de segurança da informação.
Artigo 5º - Com vistas à observância aos princípios descritos no artigo 4º deste Ato, a PSI está voltada aos seguintes objetivos:
I - instituir uma cultura organizacional aderente à segurança da informação, compreendendo ações destinadas a fomentar entre os usuários a constante observância quanto às práticas destinadas à preservação dessa segurança;
II - implantar a contínua avaliação dos riscos a que a informação está sujeita, incluindo, mas não se limitando, a medição de indicadores quantificáveis;
III - estabelecer mecanismos que visem garantir a segurança da informação, em especial a confidencialidade, a integridade, a disponibilidade e a autenticidade nos projetos, processos e atividades da ALESP; e
IV - implementar e manter atualizada a governança da segurança da informação.
Artigo 6º - São diretrizes da PSI:
I - alinhamento das ações de segurança da informação às atividades institucionais e às iniciativas estratégicas da ALESP;
II - capacitação adequada dos usuários frente às necessidades de segurança da informação;
III - instituição de normas específicas e procedimentos para a segurança da informação aderentes à PSI;
IV - observância de leis, regulamentos e obrigações contratuais aos quais os processos de trabalho estão sujeitos, bem como as normas e boas práticas, aplicáveis.
§ 1º - A Mesa Diretora deverá assegurar que a gestão de riscos esteja integrada em todas as atividades da ALESP, e deverá demonstrar liderança e comprometimento por:
1. estabelecer e manter a estrutura administrativa necessária para viabilizar a PSI;
2. emitir normas necessárias à manutenção da PSI;
3. assegurar que recursos necessários sejam alocados para gerenciar riscos;
4. atribuir autoridades, responsabilidades e responsabilização nos níveis apropriados dentro da ALESP para o sucesso da PSI.
§ 2º - A PSI deverá ser baseada em processo envolvendo a aplicação sistemática de procedimentos normatizados e de boas práticas em suas atividades.
Artigo 7º - A PSI atenderá aos seguintes requisitos:
I - estabelecimento, manutenção e contínuo aprimoramento de um SGSI, devidamente documentado e adequado ao contexto das atividades da ALESP e aos riscos enfrentados no tratamento das informações em seu âmbito;
II - estabelecimento e aplicação de uma metodologia de análise e avaliação de riscos, que dê suporte ao SGSI e que seja adequada aos requisitos legais, regulamentares e de segurança da informação identificados e aplicáveis à ALESP;
III - medição contínua da eficácia dos controles do SGSI para verificar se os requisitos de segurança da informação foram atendidos;
IV - observância da proporcionalidade entre as medidas de segurança da informação implementadas e os riscos aos quais a informação está sujeita;
V - exigência de competência e os conhecimentos necessários para os usuários aos quais forem atribuídas responsabilidades definidas no SGSI;
VI - orientação dos usuários quanto às práticas de segurança da informação.
Artigo 8º - Fica criado o Comitê Gestor de Segurança da Informação - CGSI, composto por um servidor indicado como representante de cada uma das seguintes unidades administrativas da ALESP:
I - Secretaria Geral de Administração;
II - Secretaria Geral Parlamentar;
III - Departamento Parlamentar;
IV - Departamento de Comunicação;
V - Departamento de Recursos Humanos;
VI - Departamento de Inovação e Tecnologia da Informação.
§ 1º - Cada representante será indicado com o respectivo substituto.
§ 2º - A coordenação do CGSI será exercida por servidor do Departamento de Inovação e Tecnologia da Informação.
§ 3º - Compete ao CGSI:
1. avaliar periodicamente e manter atualizadas a PSI e as normas dela decorrentes;
2. demandar às unidades administrativas a elaboração de propostas de regulamentação relacionadas à segurança da informação em suas áreas de competência;
3. receber, avaliar e validar propostas de normas relativas à segurança da informação;
4. encaminhar à Mesa Diretora para deliberação as propostas de atualização da PSI e as propostas de normas correlatas;
5. coordenar a implantação e atualização do SGSI a ser adotado pela ALESP;
6. acompanhar e avaliar o sistema implantado conforme o inciso anterior;
7. coordenar a seleção, implantação e atualização da metodologia de análise periódica de riscos a ser adotada pela ALESP, bem como a definição do escopo e abrangência dessas análises;
8. planejar e coordenar ações institucionais de segurança da informação;
9. propor a inclusão das iniciativas relacionadas à segurança e preservação da informação no planejamento institucional pertinentes e suas atualizações.
§ 4º - O CGSI poderá convidar colaboradores servidores da ALESP para apoiá-lo em suas atividades, de acordo com a necessidade.
§ 5º - A participação de colaborador convidado se dará com a anuência expressa da diretoria ou chefia correspondente à qual o servidor esteja subordinado.
§ 6º - Os integrantes e os colaboradores do CGSI não perceberão remuneração ou acréscimo financeiro pelo exercício dessa função.
§ 7º - As funções exercidas pelos integrantes e colaboradores do CGSI se darão sem prejuízo das demais atribuições do cargo.
§ 8º - As funções dos integrantes e colaboradores do CGSI serão exercidas em consonância às especialidades dos respectivos cargos que ocupam no âmbito da estrutura administrativa da ALESP.
§ 9º - As decisões serão tomadas por maioria simples e em caso de empate a questão será resolvida pelo voto do coordenador.
§ 10 - A Procuradoria indicará um representante para assessorar os trabalhos nas reuniões do CGSI.
Artigo 9º - Compete à Secretaria Geral de Administração, no que diz respeito à PSI:
I - supervisionar sua implantação e execução;
II - assegurar a adequada alocação de recursos humanos, materiais, orçamentários e financeiros necessários à sua implantação e execução;
III - promover a cultura da segurança da informação e o envolvimento de todas as unidades administrativas da ALESP na consecução dos objetivos, diretrizes e requisitos da PSI.
Artigo 10 - Compete conjuntamente ao Departamento de Inovação e Tecnologia da Informação e ao Departamento de Comunicação:
I - coordenar a divulgação da PSI, bem como as normas dela derivadas, e de suas atualizações;
II - assessorar as unidades administrativas da ALESP quanto à implementação da segurança da informação em seus processos de trabalho;
III - propor, validar e implementar os requisitos de segurança da informação para os conteúdos informacionais e os recursos computacionais da ALESP, em articulação com as unidades administrativas responsáveis pelos processos de trabalho.
Artigo 11 - São atribuições das unidades administrativas da ALESP:
I - participar da implantação e da execução da PSI;
II - zelar pela segurança da informação no âmbito dos processos de trabalho e atividades sob sua responsabilidade;
III - elaborar propostas de regulamentação relacionadas à segurança da informação em seus processos de trabalho, em consonância com a PSI, submetendo-os à apreciação do CGSI;
IV - participar da definição e validar os requisitos e funcionalidades de segurança da informação dos aplicativos e sistemas de informação vinculados aos seus processos de trabalho.
Artigo 12 - São atribuições dos usuários:
I - zelar pelos requisitos de confidencialidade, integridade, disponibilidade e autenticidade, no tocante aos conteúdos informacionais e aos recursos computacionais com os quais lidam;
II - observar as normas e procedimentos relacionados à segurança da informação.
Artigo 13 - São direitos dos servidores da ALESP, em relação à PSI:
I - receber treinamento adequado ao exercício de suas atribuições;
II - propor aperfeiçoamento desta Política e de seus instrumentos de gestão.
Parágrafo único - É dever do servidor comunicar a chefia imediata sobre violações identificadas em relação à PSI e às normas e procedimentos dela decorrentes.
Artigo 14 - As demandas iniciais do CGSI às unidades administrativas da ALESP competentes para elaboração e revisão de normas e procedimentos relativos à segurança da informação terão como prioridade os seguintes temas, sem prejuízo de eventuais necessidades prementes:
I - acesso, proteção e guarda da informação, em especial a informação sigilosa e a informação pessoal;
II - aquisição, desenvolvimento e manutenção de sistemas informatizados;
III - autenticação e controle de acesso à rede de dados, aos serviços de tecnologia da informação e comunicação e aos sistemas de informação da ALESP;
IV - classificação da informação, observado o disposto na Lei n.º 12.527, de 18 de novembro de 2011, e em sua regulamentação específica no âmbito da ALESP;
V - coleta e preservação de registros de segurança;
VI - cópias de segurança de dados e de sistemas informatizados;
VII - gestão de incidentes de segurança da informação;
VIII - inventário dos recursos computacionais e dos conteúdos informacionais, em consonância com o Programa de Gestão de Documentos da Assembleia Legislativa instituído pelo Ato da Mesa nº 2, de 1º de março de 2013, enfatizando os aspectos de responsabilidades e de uso aceitável;
IX - Plano de Continuidade de Negócio;
X - segregação de ambientes de tecnologia da informação e comunicação, com a implementação de ambientes distintos de desenvolvimento, teste, homologação e produção de sistemas computacionais, feita em atendimento ao princípio da separação de funções, com a definição de papéis e responsabilidades específicos para cada ambiente;
XI - segurança das instalações que hospedam os conteúdos informacionais e os recursos computacionais para os quais a normatização seja necessária.
Artigo 15 - Este Ato entra em vigor na data de sua publicação