O Prefeito de Belo Horizonte, no exercício de suas atribuições legais, em especial a que lhe confere o inciso VII do art. 108 da Lei Orgânica do Município, e em atenção ao disposto no Decreto nº 14.045, de 22 de julho de 2010, e

Considerando:

- a necessidade de garantir a segurança das informações geradas, adquiridas, processadas, armazenadas e transmitidas no âmbito da Administração Municipal, de forma a atender aos princípios da confidencialidade, integridade, disponibilidade, autenticidade e legalidade;

- que os agentes públicos devem zelar pelas informações que lhes são confiadas no exercício de suas funções;

- que as ações de Segurança da Informação reduzem custos e riscos e aumentam os benefícios prestados aos cidadãos, ao permitir a oferta de processos, produtos e serviços suportados por sistemas de informações mais seguros,

Decreta:


Art. 1º Fica instituída a Política de Segurança da Informação no âmbito da Administração Pública Direta e Indireta do Município de Belo Horizonte.

§ 1º A Política de Segurança da Informação constitui um conjunto de diretrizes e normas que estabelecem os princípios de proteção, controle e monitoramento das informações processadas, armazenadas ou custodiadas pela Administração Municipal, aplicando-se a todos os órgãos e entidades do Poder Executivo Municipal.

§ 2º Compete à Secretaria Municipal de Planejamento, Orçamento e Informação a coordenação das políticas de gestão da Segurança da Informação no Município.

Art. 2º Constituem objetivos da Política de Segurança da Informação:

I - dotar os órgãos e as entidades da Administração Pública Municipal de instrumentos jurídicos, normativos e institucionais que os capacitem técnica, tecnológica e administrativamente, com vistas a assegurar a confidencialidade, a integridade, a autenticidade, o não repúdio e a disponibilidade dos dados e das informações tratadas, classificadas e sigilosas da Administração Municipal;

II - estabelecer e controlar os níveis de acesso de fornecedores externos aos sistemas, equipamentos, dispositivos e atividades vinculadas à segurança dos sistemas de informação;

III - promover a capacitação de recursos humanos para o desenvolvimento de competência científico-tecnológica em Segurança da Informação;

IV - promover intercâmbio científico e tecnológico entre os órgãos e as entidades da Administração Pública Municipal e as demais instituições públicas e privadas, no que tange às atividades de Segurança da Informação;

V - assegurar a interoperabilidade entre os sistemas de Segurança da Informação.

Art. 3º Para os fins deste Decreto, ficam estabelecidos os seguintes conceitos:

I - ativo: todo elemento tangível ou intangível que compõe o processo de comunicação, abrangendo a informação, o respectivo emissor e meio de transmissão, até o receptor;

II - autenticidade: garantia de que uma informação, produto ou documento origina-se do autor a quem se atribui;

III - Central de Serviços: ponto único de contato do usuário com a área de Tecnologia da Informação e Comunicação - TIC da Administração Municipal, responsável pelo registro, análise e acompanhamento das requisições de serviços, bem como pela conclusão do atendimento;

IV - confidencialidade: garantia do sigilo da informação, de forma que o seu acesso seja obtido somente quando autorizado;

V - disponibilidade: propriedade do ativo, o qual deve estar acessível e utilizável sob demanda por uma entidade autorizada, quando solicitado;

VI - gestor da informação: pessoa detentora de competência institucional para autorizar ou negar o acesso à determinada informação ao usuário;

VII - incidente de segurança: evento adverso, confirmado ou sob suspeita, que comprometa a integridade, a autenticidade, a conformidade ou a disponibilidade de qualquer ativo da Administração Pública Municipal;

VIII - informação: dados, processados ou não, que podem ser utilizados para produção e transmissão de conhecimento, contidos em qualquer meio, suporte ou formato;

IX - integridade: salvaguarda da exatidão e da totalidade da informação e dos métodos de processamento;

X - legalidade: conformidade das ações realizadas no âmbito da Política de Segurança da Informação com o arcabouço normativo vigente;

XI - não repúdio: garantia de que um usuário não consiga negar (dizer que não foi feito) uma operação ou serviço que modificou ou criou uma informação;

XII - Segurança da Informação: conjunto de medidas que tem como objetivo o estabelecimento de controles necessários à proteção das informações durante sua criação, aquisição, uso, transporte, guarda e eliminação, contra destruição, modificação, comercialização ou divulgação indevidas e acessos não autorizados, acidentais ou intencionais, garantindo a continuidade dos serviços e a preservação de seus aspectos básicos, quais sejam, confidencialidade, integridade, disponibilidade, autenticidade e legalidade;

XIII - Tecnologia da Informação e Comunicação - TIC: solução ou conjunto de soluções sistematizadas baseadas no uso de recursos tecnológicos que visam resolver problemas relativos à geração, tratamento, processamento, armazenamento, veiculação e reprodução de dados, bem como subsidiar processos que convertem dados em informação;

XIV - usuário: aquele que atua em órgão ou entidade da Administração Municipal, seja servidor ou empregado público, estagiário, contratado ou terceirizado, ou que, de alguma forma, encontre-se exercendo atividade junto à Administração Municipal, desde que autorizado.

Art. 4º A Política de Segurança da Informação instituída neste Decreto reger-se-á pelos seguintes princípios:

I - tratamento da informação como patrimônio, tendo em vista que a divulgação das informações estratégicas de qualquer natureza pertencentes à Administração deve ser protegida de forma adequada, com vistas a evitar alterações, acessos ou destruição indevidos;

II - classificação da informação, garantindo-lhe o adequado nível de proteção, considerando:

a) a avaliação da necessidade e do tipo de acesso pelo usuário, adotando-se como parâmetro o grau de confidencialidade da informação;

b) a definição da confidencialidade da informação em consonância com as atividades desempenhadas pelo usuário, com vistas a garantir a adequada autorização de acesso pelo gestor da informação, que deverá conter os limites de acesso, tais como leitura, atualização, criação e remoção, entre outros;

III - controle de acesso às informações, tendo como orientação a classificação definida no inciso II do caput deste artigo, respeitando a legislação vigente e considerando, ainda, que:

a) o acesso e o uso de qualquer informação, pelo usuário, deve se restringir ao necessário para o desempenho de suas atividades;

b) no caso de acesso a sistemas informatizados, deverão ser utilizados sistemas e tecnologias autorizados pela Administração, por meio de identificador único e senha, ambos pessoais e intransferíveis;

c) o acesso, a divulgação e o tratamento da informação classificada como sigilosa ficarão restritos às pessoas que tenham necessidade de conhecê-la e que sejam devidamente credenciadas pelas autoridades competentes, conforme regulamentação contida no Decreto nº 14.906 , de 15 de maio de 2012;

IV - continuidade do uso da informação, sendo necessária, para o funcionamento dos sistemas, pelo menos uma cópia de segurança atualizada e guardada em local remoto, com o nível de proteção equivalente ao nível de proteção da informação original, observadas as seguintes regras:

a) para a definição das cópias de segurança devem ser considerados os aspectos legais, históricos, de auditoria e de recuperação de ambiente;

b) os recursos tecnológicos, de infraestrutura e os ambientes físicos utilizados para suportar os sistemas de informação devem ter controle de acesso físico, condições ambientais adequadas e ser protegidos contra situações de indisponibilidade causadas por desastres ou contingências;

c) definição do nível de disponibilidade para cada serviço prestado pelos sistemas de informação, nas situações mencionadas na alínea "b" deste inciso;

V - educação em Segurança da Informação, devendo ser observada pelo usuário a correta utilização das informações e dos recursos computacionais disponibilizados.

Art. 5º As medidas a serem adotadas para fins de proteção da informação deverão considerar:

I - os níveis adequados de integridade, confidencialidade e disponibilidade da informação;

II - as instruções e os procedimentos pertinentes, assim como a legislação vigente;

III - a compatibilidade entre a medida de proteção e o valor do ativo protegido;

IV - o alinhamento com as diretrizes estratégicas da Administração Municipal;

V - as melhores práticas para a gestão da Segurança da Informação;

VI - os aspectos comportamentais e tecnológicos apropriados.

Art. 6º Compete ao Comitê Gestor de Tecnologia da Informação e Comunicação - CGTIC-PBH, em conformidade com o disposto no Decreto nº 14.045/2010:

I - aprovar a Política de Segurança da Informação da Administração Municipal, bem como suas revisões;

II - assegurar que a implementação da Política de Segurança da Informação tenha uma coordenação e que suas ações permeiem toda a Administração Municipal;

III - autorizar o emprego dos recursos necessários à implementação da Política de Segurança da Informação instituída neste Decreto;

IV - estabelecer a estrutura necessária para a gestão de Segurança da Informação, incluindo os grupos temáticos do CGTIC-PBH e a Gerência de Segurança de Informação da Empresa de Informática e Informação do Município de Belo Horizonte - Prodabel.

Art. 7º Compete à Gerência de Segurança de Informação da Prodabel:

I - elaborar e revisar continuamente os procedimentos e a normatização relacionada ao processo de gestão da Segurança da Informação;

II - avaliar propostas de modificação da Política de Segurança da Informação encaminhadas pelos demais órgãos e entidades da Administração Municipal;

III - garantir que os registros de auditoria de eventos de Segurança da Informação sejam produzidos e mantidos em conformidade com as normas vigentes;

IV - planejar, elaborar e propor estratégias e ações para a institucionalização da política, normas e procedimentos relativos à Segurança da Informação, em consonância com o deliberado no âmbito do CGTIC-PBH;

V - subsidiar o CGTIC-PBH na compatibilização de estratégias, planos e ações desenvolvidos no âmbito da Administração Municipal relativos à Segurança da Informação;

VI - realizar análise de riscos em processos, em consonância com os objetivos e ações estratégicos estabelecidos pelo Executivo, e atualizá-la periodicamente;

VII - promover estudos e projetos visando estimular o aperfeiçoamento tecnológico e científico em Segurança da Informação;

VIII - avaliar a eficácia dos procedimentos relacionados à Segurança da Informação, propondo e implementando medidas que visem a melhoria do processo de Gestão de Segurança da Informação no âmbito da Administração Municipal;

IX - recepcionar, organizar, armazenar e tratar adequadamente as informações de eventos e incidentes de segurança, determinando aos respectivos gestores as ações corretivas ou de contingência em cada caso;

X - relatar os incidentes de Segurança da Informação à chefia da unidade central ou descentralizada, para que sejam tomadas as devidas providências;

XI - apurar os incidentes de segurança críticos e dar o encaminhamento adequado;

XII - promover a conscientização, o treinamento e a educação em Segurança da Informação.

Art. 8º Compete ao gestor da informação, complementarmente às demais diretrizes estabelecidas neste Decreto:

I - subsidiar o processo de classificação da informação, de forma a viabilizar a correta definição a ela relacionada;

II - responsabilizar-se pela exatidão, integridade e atualização da informação sob sua custódia.

Art. 9º É dever do usuário, em consonância com a Política de Segurança da Informação estabelecida neste Decreto:

I - responsabilizar-se, no âmbito de sua atuação, pela proteção e segurança da informação que lhe é confiada, devendo conhecer, entender e cumprir a Política estabelecida neste Decreto, bem como as diretrizes e instruções correlatas, zelando por sua correta aplicação;

II - fazer uso correto e responsável dos recursos tecnológicos, pautando-se pela legalidade e conduta ética, sempre em conformidade com os princípios da Segurança da Informação;

III - comunicar ao seu superior hierárquico qualquer incidente de segurança ou situação de risco no âmbito de sua atuação, cientificando a Prodabel para as devidas providências.

Art. 10. A não observância da Política de Segurança da Informação pelos usuários configura descumprimento de dever funcional, indisciplina ou insubordinação, conforme o caso, sujeitando o infrator à incidência das sanções cabíveis, nos termos da legislação vigente.

Art. 11. Os procedimentos relacionados à Segurança da Informação serão objeto de normatização complementar e, uma vez divulgados, passarão a integrar a Política de Segurança da Informação.

Art. 12. Este Decreto entra em vigor na data de sua publicação.

Art. 13. Fica revogado o Decreto nº 13.573 , de 20 de maio de 2009.

Belo Horizonte, 19 de dezembro de 2013

Marcio Araujo de Lacerda

Prefeito de Belo Horizonte