decreto_2884_44

PODER EXECUTIVO DO ESTADO
PESI, CESI E CETRIN - INSTITUIÇÃO

DECRETO Nº 2.884-R, de 21.10.2011
(DOE de 24.10.2011)

Institui a Política Estadual de Segurança da Informação no âmbito do Poder Executivo do Estado - PESI; cria o Comitê Estadual de Segurança da Informação do Poder Executivo do Estado - CESI, cria o Comitê Estadual de Tratamento e Resposta a Incidentes de Segurança da Informação do Poder Executivo do Estado - CETRIN e dá outras providências.

O GOVERNADOR DO ESTADO DO ESPÍRITO SANTO, no uso da atribuição que lhe confere o Art. 91, III da Constituição Estadual e, ainda, o que consta do processo n° 51090902/2010,

Considerando o Decreto 2123-R, de 18 de setembro de 2008, que instituiu as Políticas de Governo Eletrônico e de Tecnologia da Informação e Comunicação no âmbito do Governo do Estado;

Considerando o estado atual da infra estrutura de Segurança da Informação no Governo do Estado e a necessidade de adequação às melhores práticas de mercado e a conformidade com as Leis e Resoluções que tratam da proteção às informações, decreta:

CAPÍTULO I
DA POLÍTICA ESTADUAL DE SEGURANÇA DA INFORMAÇÃO - PESI

Art. 1º - Fica instituída a Política Estadual de Segurança da Informação - PESI com o objetivo de garantir a integridade, confidencialidade, disponibilidade e proteção das informações custodiadas ou de propriedade do Poder Executivo, descrevendo a conduta adequada do agente público e de seus colaboradores durante o exercício de suas atividades para evitar riscos de: perda, destruição, modificação, manipulação, divulgação indevida, fraude e acesso não autorizado da informação.

Art. 2º - São premissas da Política Estadual de Segurança da Informação:

I. Segurança Lógica: de forma a assegurar o controle de acesso adequado à re de corporativa, aos sistemas e às informações do Poder Executivo, do agente público, colaboradores e dos cidadãos, prevenindo e detectando acessos não autorizados e adulterações de informações;

II. Segurança de Pessoas: de forma a minimizar erros humanos, fraudes, furtos, processos judiciais ou uso inadequado das informações e demais ativos da informação do Poder Executivo;

III. Segurança Física: de forma a assegurar o controle de acesso adequado de entrada e saída de ativos da informação nos diversos ambientes críticos e/o u restritos do Poder Executivo, para prevenir perda(s) , dano (s) ou comprometimento das informações de seus órgãos;

IV. Gestão de Riscos, Incidentes e Continuidade de Serviços: de forma a prevenir, controlar e tratar riscos, incidentes ou interrupções dos processos, serviços e ativos da informação do Poder Executivo, provendo a continuidade de processos-chave.

Art. 3º - As diretrizes de segurança da informação visam nortear a criação de normas, sejam elas de usuários ou técnicas, e procedimentos complementares, os quais servirão de instrumento para que os Órgãos e Entidades do Poder Executivo estabeleçam os controles de segurança necessários à proteção das informações, pessoas, ambientes e ativos da informação de sua propriedade ou que estejam sob sua responsabilidade.

Parágrafo único - As diretrizes da Política Estadual de Segurança da Informação abrangem os seguintes temas:

I. propriedade;

II. responsabilidade;

III. acesso ;

IV. classificação da Informação;

V. auditoria e conformidade;

VI. gestão de riscos;

VII. gestão da continuidade;

VIII. conscientização do agente público ;

IX. comprometimento, violação e sanções;

X. divulgação e atualização.

Art. 4º - A Política Estadual de Segurança da Informação (PESI) será regulamentada por meio de Portaria da Secretaria de Estado e Gestão de Recursos Humanos (SEGER), no prazo de 45 (quarenta e cinco) dias conta dos da publicação deste Decreto.

CAPÍTULO II
DO COMITÊ ESTADUAL DE SEGURANÇA DA INFORMAÇÃO DO PODER EXECUTIVO DO ESTADO DO ESPÍRITOSANTO - CESI

Art. 5º - Fica instituído o Comitê Estadual de Segurança da Informação do Poder Executivo - CES I, com a finalidade de deliberar sobre a gestão da Segurança da Informação no âmbito do Poder Executivo do Estado.

Art. 6º - Compõem o CESI:

I. o subsecretario de Estado de Inovação na Gestão e Desenvolvimento de Pessoas - SUBGED/SEGER como Coordenador;

II. o Diretor Presidente do Instituto de Tecnologia da Informação e Comunicação do Espíritosanto - PRODEST como Coordenador Adjunto;

III. um representante e um suplente da Secretaria de Estado de Gestão e Recursos Humanos - SEGER;

IV. um representante e um suplente da Secretaria de Estado da Saúde - SESA;

V. um representante e um suplente da Secretaria de Estado da Fazenda - SEFAZ;

VI. um representante e um suplente da Secretaria de Estado de Economia e Planejamento - SEP;

VII. um representante e um suplente da Secretaria de Estado do Governo - SEG;

VIII. um representante e um suplente da Secretaria de Estado de Ciência e Tecnologia - SECT;

IX. um representante e um suplente da Secretaria de Estado da Educação - SEDU;

X. um representante e um suplente da Secretaria de Estado de Segurança Pública e Defesa Social - SESP;

XI. um representante e um suplente da Secretaria de Estado de Controle e Transparência - SECONT;

XII. um representante e um suplente do Instituto de Tecnologia da Informação e Comunicação do Espíritosanto - PRODEST;

XIII. um representante e um suplente do Departamento Estadual de Trânsito - DETRAN;

XIV. um representante e um suplente da Secretaria de Estado da Justiça - SEJUS;

XV. um representante e um suplente da Procurado ria Geral do Estado - PGE.

§ 1º - Os representantes e os suplentes, referidos nos incisos III a XV do Art. 6º, serão indicados dentre servidores efetivos do Órgão ou entidade correspondente e formalmente de signa dos por meio de Portaria do secretário da SEGER.

§ 2º - O CESI poderá formar grupos de trabalho temáticos de Segurança da Informação para tratar de assuntos específicos.

Art. 7º - Compete ao CESI:

I. avaliar e aprovar os documentos da Política Estadual de Segurança da Informação do Poder Executivo;

II. deliberar sobre diretrizes, normas, padrões, metodologias, planos, programas e projetos de Segurança da Informação no âmbito do Poder Executivo;

III. garantir a gestão contínua da Política Estadual de Segurança da Informação do Poder Executivo, propondo alterações sempre que necessário ;

IV. adotar ações estratégicas e táticas com vistas a manter a Segurança da Informação compatível com as necessidades operacionais do Poder Executivo;

V. instituir grupos de trabalho para estudo e análise de matérias específicas o u implementação de ações operacionais em relação à Segurança da Informação do Poder Executivo;

VI. criar e avaliar os indicadores de acompanhamento da implantação dos planos estratégicos de Segurança da Informação bem como fiscalizar sua execução e propor medidas para correção no âmbito do Poder Executivo ;

VII. avaliar e adotar as ações cabíveis para os casos de violação da Política Estadual de Segurança da Informação no âmbito do Poder Executivo encaminhadas pelo Comitê Estadual de Tratamento e Respostas a Incidentes de Segurança da Informação -CETRIN;

VIII. acompanhar e avaliar os resultados parciais e finais das ações adotadas;

IX. disseminar e manter a cultura de Segurança da Informação, por meio de campanhas de conscientização e da divulgação da Política Estadual de Segurança da informação e das ações definidas pelo CESI no âmbito do Poder Executivo;

X. adotar ações estratégicas quanto ao processo de tratamento e respostas a incidentes de segurança da Informação no âmbito do Poder Executivo;

XI. garantir a gestão do Comitê Estadual de Tratamento e Respostas a Incidentes de Segurança da Informação no âmbito do Poder Executivo;

XII. pro por medidas de padronização na área de Gestão da Segurança da Informação, no âmbito do Poder Executivo;

XIII. garantir a confidencialidade de todas as informações tratadas internamente ao CESI;

XIV. encaminhar assuntos de elevada importância ou que requeiram decisão fora de sua alçada ao Comitê Estadual de Tecnologia da Informação e Comunicação do Espíritosanto - CET/ES.

Art. 8º - A estrutura de gestão, objetivos, atribuições, estruturas de funcionamento, diretrizes, regimentos e princípios orientadores do CESI serão regulamentados por meio de Portaria da SEGER no prazo de 45 (quarenta e cinco ) dias contados da publicação deste Decreto.

CAPÍTULO III
DO COMITÊ ESTADUAL DE TRATAMENTO E RESPOSTAS A INCIDENTES DE SEGURANÇA DA INFORMAÇÃO DO PODER EXECUTIVO DO ESTADO DO ESPÍRITOSANTO - CETRIN

Art. 9º - Fica instituído o Comitê Estadual de Tratamento e Respostas a Incidentes de Segurança da Informação do Poder Executivo - CETRIN, subordinado ao Comitê Estadual de Segurança da Informação do Poder Executivo - CESI, com a finalidade de administrar o processo de tratamento e respostas a incidentes de Segurança da Informação no âmbito do Poder Executivo do Estado;

Art. 10 - Compõem o Comitê Estadual de Tratamento e Respostas a Incidentes de Segurança da Informação do Poder Executivo - CETRIN:

I. o Diretor Técnico PRODEST como Coordenador;

II. o subsecretario de Estado de Controle da SECONT como Coordenador Adjunto;

III. um representante e um suplente da SECONT;

IV. um representante e um suplente da SEGER;

V. um representante e um suplente da SEFAZ;

VI. um representante e um suplente da SESP;

VII. um representante e um suplente do PRODEST.

Parágrafo único - Os representantes e os suplentes referidos nos incisos III a XII do artigo 10 serão indicados dentre servidores efetivos do Órgão ou entidade correspondente e formalmente designados por meio de Portaria da SEGER.

Art. 11 - Compete ao CETRIN:

I. analisar criticamente e monitorar os incidentes de segurança da informação no âmbito do Poder Executivo reportados ao CETRIN;

II. apoiar, incentivar e contribuir para a capacitação no tratamento e resposta a incidentes de segurança da informação no âmbito do Poder Executivo;

III. analisar, abrir, encaminhar, acompanhar e fechar o processo de tratamento e resposta a incidentes de segurança da informação no âmbito do Poder Executivo;

IV. elaborar e divulgar o fluxo operacional para abertura e o tratamento de Incidente de Segurança da Informação no âmbito do Poder Executivo;

V. propor medidas que permitam a avaliação dos danos ocasionados por incidentes de segurança da informação no âmbito do Poder Executivo;

VI. pro por revisões no funcionamento do CETRIN;

VII. Propor normas e procedimentos para o processo de gestão de incidentes de segurança da informação no âmbito do Poder Executivo do Estado;

VIII. analisar tecnicamente os incidentes de segurança da informação no âmbito do Poder Executivo com a finalidade de estabelecer métricas e/ ou alertas de segurança;

IX. compilar e organizar os resultados do processo de tratamento e respostas a incidentes de segurança da informação no âmbito do Poder Executivo do Estado;

X. apurar indicadores do processo de gestão de incidentes de segurança da informação no âmbito do Poder Executivo definidos pelo CESI;

XI. garantir a gestão contínua do processo de tratamento e respostas a incidentes de segurança da Informação no âmbito do Poder Executivo, propondo alterações sempre que necessário;

XII. solicitar ao CESI a criação de grupo de trabalho para tratar de assuntos específicos;

XIII. informar os resultados da gestão de incidentes de segurança da informação no âmbito do Poder Executivo ao CESI.

Parágrafo único - Os Órgãos e Entidades do Poder Executivo de verão conscientizar os seus agentes públicos para reportar qualquer incidente de segurança da informação ao CETRIN.

Art. 12 - Este Decreto entra em vigor na data de sua publicação.

Palácio Anchieta, em Vitória, aos 21 dias de outubro de 2011; 190º da Independência; 123º da República; e, 477º do Início da Colonização do solo Espiritossantense.

José Renato Casagrande
Governador do Estado