TRIBUNAL DE CONTAS DO ESTADO DE GOIÁS

 

RESOLUÇÃO ADMINISTRATIVA Nº 17/2024.

 

Dispõe sobre a Política de Segurança da Informação do Tribunal de Contas do Estado de Goiás.

 

O TRIBUNAL DE CONTAS DO ESTADO DE GOIA´S, no uso de suas atribuições constitucionais, legais e regulamentares, especificamente as constantes do art. 2º da Lei nº 16.168/2007(LOTCE-GO) e art. 3º da Resolução nº 22/2008 (RITCE-GO);

CONSIDERANDO o objetivo estratégico de “Desenvolver capacidade organizacional ampla para trabalhar com recursos tecnológicos”, previsto no Plano Estratégico 2021-2030;
CONSIDERANDO a necessidade de instituir diretrizes e normas relacionadas à Gestão da Segurança da Informação no âmbito do TCE-GO, compondo seu Sistema de Gestão Integrado;
CONSIDERANDO a necessidade de subsidiar o envolvimento de todas as áreas do TCE-GO a ações vinculadas a garantia da segurança da informação;
CONSIDERANDO a norma ABNT NBR ISO/IEC 27001:2022 - Sistema de Gestão de Segurança da Informação, a ISO/IEC 27002:2022 - Código de Prática para controles de segurança da informação, e a Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados - LGPD);
CONSIDERANDO o objetivo de instituir diretrizes, responsabilidades e competências que viabilizem a disponibilidade, integridade, confidencialidade e autenticidade das informações e comunicações de segurança, bem como a conformidade, padronização e normatização das atividades de Gestão de Segurança da Informação no TCE-GO;

 

RESOLVE:

Art. 1º Instituir, no âmbito do Tribunal de Contas do Estado de Goiás, a Política de Segurança da Informação estabelecida nesta Resolução.

Parágrafo único. Esta resolução não exclui a observância das disposições constitucionais, legais e regimentais vigentes que tratam da segurança da informação e proteção de dados.

 

CAPÍTULO I

DAS DISPOSIÇÕES PRELIMINARES

 

Art. 2º A Política de Segurança da Informação estabelece as diretrizes e normas de Segurança da Informação do TCE-GO, congregando objetivos, responsabilidades e competências para viabilizar a disponibilidade, integridade, confidencialidade e autenticidade das informações e comunicações, bem como a conformidade, padronização e normatização das atividades de gestão de segurança da informação, visando a` proteção dos ativos de informação e a prevenção de responsabilidade legal para todos os usuários, devendo serem cumpridas e aplicadas em todas as unidades organizacionais que compõem o TCE-GO.

Parágrafo único. Os usuários, colaboradores, jurisdicionados e demais partes interessadas que tenham acesso às informações do TCE-GO sujeitam-se a esta Resolução e são responsáveis por garantir a segurança das informações a que tenham acesso.

 

CAPÍTULO II

DOS OBJETIVOS

 

Art. 3º Constituem objetivos desta Resolução:

I - instituir o Sistema de Gestão de Segurança da Informação (SGSI), parte do Sistema de Gestão Integrado (SGI) do TCEGO;
II - instituir a Política de Segurança da Informação, dispondo de diretrizes e normas gerais para o estabelecimento de controles e procedimentos no TCE-GO que assegurem a preservação da informação quanto a sua integridade, confidencialidade, disponibilidade e autenticidade;
III - instituir competências, responsabilidades e obrigações para o adequado manuseio, tratamento, armazenamento, distribuição, uso e descarte da informação, bem como para o controle e proteção contra a indisponibilidade, a falta de integridade e o acesso não autorizado a dados e informações no TCE-GO.

 

CAPÍTULO III

DA ABRANGÊNCIA

 

Art. 4º As diretrizes e as normas oriundas desta Resolução aplicam-se aos recursos de Tecnologia da Informação do TCE-GO, ambientes e processos de trabalho, estabelecendo responsabilidades e obrigações a todo e qualquer usuário que tenha acesso às informações ou aos recursos de tecnologia da informação do TCE-GO.

Parágrafo único. As diretrizes e as normas determinadas nesta Resolução para o Sistema de Gestão de Segurança da Informação (SGSI) do TCE-GO abrangem e integram o atual Sistema de Gestão Integrado (SGI).

Art. 5º As diretrizes e as normas abrangem tanto o ambiente informatizado quanto os meios convencionais de processamento, comunicação e armazenamento da informação, seguindo determinações e critérios padronizados em processos de trabalho que compõem o SGI.

 

CAPÍTULO IV

DO COMPROMISSO COM A PROTEÇÃO DAS INFORMAÇÕES

 

Art. 6º A presente Política confere a declaração formal do TCE-GO acerca de seu compromisso com a proteção das informações de sua propriedade e/ou sob sua guarda, possuindo caráter norteador à implementação de medidas de proteção e segurança que deverão ser aplicadas a toda e qualquer informação, independentemente de onde ela se encontre, com vistas ao resguardo da imagem e dos objetivos institucionais do TCE-GO.

Parágrafo único. As orientações previstas nesta Resolução devem ser lidas, entendidas, seguidas e cumpridas em todos os níveis hierárquicos, para que seu maior patrimônio - a informação, tenha o grau de confidencialidade, integridade, disponibilidade e autenticidade exigidos.

Art. 7º Os critérios para gestão da segurança da informação observam o disposto nesta Resolução, tendo como base os requisitos da NBR ISO/IEC 27001:2022 associado a requisitos legais aplicáveis e subscritos pelo TCE-GO.

 

CAPÍTULO V

DOS PRINCÍPIOS E DEFINIÇÕES

 

Art. 8º O TCE-GO adota os seguintes princípios de segurança da informação:

I - autenticidade: garantia de que a informação foi produzida, expedida, modificada ou destruída dentro de preceitos legais e normativos, por pessoa física, ou por sistema, órgão ou entidade vinculada ao TCE-GO;
II - celeridade: as ações de segurança da informação devem oferecer respostas rápidas a incidentes e falhas de segurança, ou qualquer tipo de violação;
III - confidencialidade: garantia de que a informação não esteja disponível ou revelada a` pessoa física, sistema, órgão ou entidade não autorizada pelo TCE-GO;
IV - conhecimento: os usuários devem conhecer e respeitar diretrizes e normas determinadas e demais regulamentações sobre segurança da informação do TCE/GO;
V - clareza: as regras de segurança da informação, devem ser precisas, concisas de fácil entendimento;
VI - disponibilidade: garantia de que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade vinculada ao TCE-GO;
VII - ética: os direitos e interesses legítimos dos usuários devem ser preservados, sem comprometimento da segurança e comunicação da informação;
VIII - integridade: garantia de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental, seja na sua origem, no trânsito e no seu destino;
IX - privacidade: garantia ao direito pessoal e coletivo, a` intimidade e ao sigilo da correspondência e das comunicações individuais;
X - responsabilidade: as responsabilidades pela segurança dos ativos do TCE-GO e pelo cumprimento de processos de segurança devem ser claramente definidas.

Art. 9º Para os fins de uniformidade, considera-se os seguintes conceitos e definições, não substituindo termos e definições especificados na norma ISO/IEC 27000:2022:

I - diretrizes e normas: conjunto de políticas de segurança da informação;
II - dados: são registros documentados;
III - informação: é todo conjunto de dados que tenha sido tratado, agrupado, transformado e/ou consolidado, possuindo valor para o TCE-GO, seu negócio, seus produtos e/ou para seus servidores, colaboradores, parceiros de negócios, fornecedores, jurisdicionados e demais partes interessadas;
IV - ativo: qualquer componente que sustenta um ou mais processos de trabalho do TCE-GO. Os ativos podem ser do tipo de Informação, de Softwares, Físicos, de Serviços, de Pessoas e de Organização;
V - conformidade: cumprimento de requisitos legais e outros subscritos de organização, assim como diretrizes, normas, procedimentos operacionais dentre outros considerados pelo SGI;
VI - grau de confidencialidade do ativo: ato de se atribuir grau de classificação ao ativo, sendo este do tipo: Reservado, Pessoal, Sigiloso ou Público. O grau de classificação está diretamente relacionado a determinações inseridas na Resolução Normativa nº 10/2017 e Resolução Administrativa nº 3/2024, as quais dispõem sobre os critérios para promover a classificação das informações confidenciais e reservadas produzidas ou custodiadas pelo TCE-GO;
VII - ciclo de vida do ativo: caracterizado pelo ciclo formado desde sua criação ou obtenção, passando por seu uso, manipulação, compartilhamento, armazenamento, transporte e descarte;
VIII - incidente de segurança da informação: qualquer indício de fraude, sabotagem, desvio, falha ou, ainda, evento indesejado ou inesperado que possui uma probabilidade significativa de comprometer as operações de negócios e ameaçar a segurança da informação;
IX - criptografia: conjunto de técnicas pelas quais a informação pode ser transformada da sua forma original para outra ilegível, de forma que possa ser identificada apenas por seu destinatário, detentor da chave secreta de acesso restrito;
X - proprietário: uma pessoa ou organismo que tenha uma responsabilidade autorizada para controlar a produção, o desenvolvimento, a manutenção, o uso e a segurança de ativos;
XI - usuário: qualquer indivíduo como servidor público, colaborador, estagiário, prestador de serviço, jurisdicionado, interessado ou qualquer outro que obtiver autorização do proprietário para acesso aos ativos da instituição;
XII - colaborador: qualquer indivíduo, estatutário, contratado CLT ou terceirizado prestador de serviço por intermédio de pessoa jurídica ou não, que exerça alguma atividade dentro do TCE-GO;
XIII - gestor de informação: qualquer indivíduo ou grupo de indivíduos designados, que serão responsáveis pela gestão da informação. Esse gestor deve ter postura exemplar em relação a` segurança da informação, servindo como modelo de conduta para os usuários sob a sua gestão. Os gestores das unidades organizacionais do TCE-GO são também gestores das informações que por elas trafegam.

 

CAPÍTULO VI

DAS DIRETRIZES E NORMAS GERAIS

 

Art. 10. É de responsabilidade de todos os usuários, em conjunto com a Diretoria de TI, que acessam recursos tecnológicos do TCE-GO:

I - Promover a segurança de seu usuário, bem como de seus respectivos dados e credenciais de acesso;
II - Seguir, de forma colaborativa, as orientações fornecidas pelos setores competentes em relação ao uso dos recursos tecnológicos e informacionais do TCE-GO;
III - Utilizar de forma ética, legal e consciente os recursos tecnológicos e informacionais do TCE-GO;
IV - Salvaguardar a integridade e confidencialidade das informações a que tenha acesso em virtude do cargo ou função exercida.

Parágrafo único. O TCE-GO poderá, a qualquer tempo, revogar credenciais de acesso concedidas a usuários em virtude do descumprimento de diretrizes, normas, políticas e demais processos operacionais específicos de segurança e comunicação da informação.

Art. 11. É de responsabilidade de cada usuário (interno e externo) todo prejuízo ou dano que vier a sofrer ou causar ao TCE-GO em decorrência do não cumprimento às diretrizes e normas aqui determinadas e demais processos operacionais vinculados a Segurança da Informação.

Parágrafo único. É proibida a criação, a modificação, a execução ou a retransmissão de quaisquer instruções ou programas de computador com o intuito de obter acesso não autorizado a um recurso, equivalendo, no caso, em tentativa de “quebra” da segurança de sistemas, passível de responsabilização ao usuário infrator (interno e externo).

Art. 12. São responsabilidades dos gestores de informação, inclusive pela disponibilização do acesso às informações sob sua administração, tendo como outras responsabilidades:

I - informar à Diretoria de Tecnologia da Informação (Diretoria de TI) do TCE-GO das respectivas necessidades de acesso aos recursos pelos servidores/colaboradores ou contratados;
II - promover a classificação dos ativos sob sua responsabilidade, bem como validar, liberar e cancelar o acesso dos servidores aos ativos da sua área/unidade quando necessário;
III - supervisionar adequadamente os ativos sob sua responsabilidade, de forma a preservar sua integridade física e o bom funcionamento;
IV - estabelecer, quando necessário, acordos de confidencialidade e de acesso a dados e informações por parte de terceiros e parceiros.

Art. 13. São responsabilidades da Diretoria de TI:

I - Quanto a gestão da segurança da informação:

a) zelar pela eficácia dos controles de segurança da informação utilizados informando aos responsáveis diretos, à Diretoria de Governança, Planejamento e Gestão (DI-PLAN) e demais interessados os riscos residuais considerados significativos ao SGI, os quais integram a política de gestão de riscos;
b) promover a instrução e capacitação acerca de temas vinculados a segurança da informação, destacando informações referentes a violação e respostas a incidentes de segurança;
c) configurar os recursos informacionais e computacionais concedidos aos usuários com todos os controles necessários para cumprir os requisitos de segurança estabelecidos nas diretrizes, normas, procedimentos e demais documentos que compõem o Sistema de Gestão de Segurança da Informação do TCE-GO;
d) garantir segurança especial para sistemas com acesso público, fazendo guarda de evidências que permitam a rastreabilidade para garantia de conformidade;
e) administrar e proteger cópias de segurança de sistemas e dados relacionados aos processos vinculados ao Sistema de Gestão de Segurança da Informação do TCE-GO.

II - A Diretoria de TI também se responsabiliza por:

a) remover dos servidores as informações que estejam desatualizadas, que não sejam mais necessárias ao desempenho do trabalho, ou que se refiram a assuntos alheios aos interesses do TCE-GO;
b) atos e acessos realizados com sua identificação no ambiente informatizado;
c) manter o sigilo sobre as informações, conforme classificações dos ativos realizadas.

Art. 14. São responsabilidades de parceiros e terceiros a adoção de padrões elevados de integridade na condução dos seus negócios, cujas atividades por eles realizadas devem possuir zelo quanto às informações pertinentes ao TCE-GO que venham a ter conhecimento, tratando-as com sigilo, confidencialidade e promovendo recursos para proteção aos direitos de propriedade intelectual durante e após o período de vigência do contrato, convênio, ou instrumento congênere. Parágrafo único. Eventuais acordos de confidencialidades e de acesso a dados e informações devem estar presentes no contrato, convênio ou instrumento congênere, para observância e cumprimento.

 

CAPÍTULO VII

DAS COMPETÊNCIAS NA GESTÃO DE SEGURANÇA DA INFORMAÇÃO

 

Art. 15. Compete à Presidência do TCE-GO a aprovação de diretrizes e normas específicas de segurança da informação, de modo a garantir o cumprimento em toda a instituição.

Art. 16. Quanto às demais competências:

I - Acerca da segurança das informações no trabalho remoto e no uso de dispositivos móveis, cabe à Secretaria Administrativa, com suporte da Diretoria de TI, a propositura de diretrizes e normas, bem como a determinação e implementação de procedimentos para garantir a segurança da informação no desenvolvimento do trabalho remoto e no uso de dispositivos móveis.
II - Acerca da gestão de ativos, cabe ao Comitê de Segurança da Informação (CSI), coordenado pela Diretoria de TI, a propositura de diretrizes e normas, bem como a determinação e implementação de procedimentos para promover a identificação, controle e monitoramento dos ativos do TCE-GO.
III - Acerca da gestão de acesso:

a) Quanto à gestão de acesso físico, compete à Assessoria de Segurança Institucional do TCE-GO a propositura de diretrizes e normas, bem como a determinação e implementação de procedimentos que permitam o estabelecimento de padrões vinculados a segurança física;
b) Quanto à gestão de acesso virtual, compete à Diretoria de TI a propositura de diretrizes e normas, bem como a determinação e implementação de procedimentos que padronizem o controle de acesso virtual, considerando todo gerenciamento de acesso às redes e aos serviços de rede do TCE-GO.

IV - Acerca da gestão de Mudanças, compete à DI-PLAN a coordenação junto às áreas envolvidas, acerca da propositura de diretrizes e normas, bem como a determinação e implementação de procedimentos que permitam que qualquer mudança no ambiente operacional de segurança da informação seja homologada e testada, gerando documentação e registro.
V - Acerca da gestão de backup, compete à Diretoria de TI a propositura de diretrizes e normas, bem como a determinação e implementação de procedimentos que padronizem a gestão operacional vinculada a rotinas de backup, considerando testes e simulados necessários.
VI - Acerca da gestão de mecanismos de comunicação, compete à Diretoria de Comunicação a propositura de diretrizes e normas, bem como a determinação e implementação de procedimentos que garantam a segurança da informação em redes sociais. A normatização interna de uso seguro das redes sociais devera´ estabelecer critérios, limitações e responsabilidades na gestão do uso seguro das redes sociais por usuários que tenham permissão para administrar perfis institucionais ou que possuam credencial de acesso para qualquer rede social a partir da infraestrutura das redes de computadores do TCE-GO.
VII - Acerca da gestão de incidentes de segurança da informação e de continuidade do negócio, cabe à Diretoria de TI a propositura de diretrizes e normas, bem como a determinação e implementação de procedimentos que padronizem respostas e tratamentos a incidentes de segurança da informação, visando reduzir a possibilidade de interrupção causada por desastres ou falhas nos recursos de tecnologia da informação que suportam as operações do TCE-GO.
VIII - Acerca do uso de controles criptográficos, cabe à Diretoria de TI a propositura de diretrizes e normas, bem como a determinação e implementação de procedimentos para o uso de controles criptográficos para a proteção da informação, considerando o uso, proteção e tempo de vida das chaves criptográficas.
IX - Acerca do conceito de “mesa limpa e tela limpa”, cabe a` Secretaria Administrativa, a propositura de diretrizes e normas, bem como a determinação e implementação de procedimentos a fim de garantir práticas que visem proteger dados e informações, em formato digital ou impresso, do acesso, divulgação ou uso não autorizados, bem como perda, fraude ou outro tipo de dano, por meio do conceito de “mesa limpa e tela limpa”.

 

CAPÍTULO VIII

DO TRATAMENTO DE DADOS PESSOAIS

 

Art. 17. No âmbito do TCE-GO, em atendimento ao estabelecido no art. 41, da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados - LGPD), compete à Presidência definir o Encarregado pelo Tratamento de Dados Pessoais (Data Protection Officer - DPO).

Parágrafo único. As responsabilidades do DPO devem estar de acordo com as definições da LGPD, em especial, seu art. 41, e consistem em:

I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

 

CAPÍTULO IX

DO COMITÊ DE SEGURANÇA DA INFORMAÇÃO

 

Art. 18. O Comitê de Segurança da Informação deve ser instituído bienalmente pela Presidência.

§ 1º A coordenação do Comitê de Segurança da Informação ficará a cargo da Diretoria de TI.
§ 2º Dada a transversalidade temática, o Comitê de Segurança da Informação deve ser composto, no mínimo, por representantes das seguintes unidades organizacionais: Diretoria de Tecnologia da Informação; Secretaria Administrativa; Secretaria de Controle Externo; Secretaria Geral; Diretoria de Governança, Planejamento e Gestão; Diretoria de Comunicação; Escola Superior de Controle Externo Aélson Nascimento; e Assessoria de Segurança Institucional.
§ 3º É de responsabilidade do Comitê de Segurança da Informação:

I - coordenar o SGSI;
II - a análise e o monitoramento de requisitos legais aplicáveis a segurança da informação no âmbito do TCE-GO, de modo a garantir a conformidade legal, em especial no tocante aos requisitos da NBR ISO/IEC 27001: 2022 e a Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709, de 14 de agosto de 2018);
III - relatar sobre o desempenho do SGSI à DI-PLAN, responsável pela coordenação do SGI.

 

CAPÍTULO X

DAS SANÇÕES

 

Art. 19. Os usuários (internos e externos) que descumprirem as regras estabelecidas nesta Resolução serão notificados e estarão sujeitos às sanções previstas no regime jurídico dos servidores públicos civis da administração direta, autárquica e fundacional do Estado de Goiás (Lei n.º 20.756, de 28 de janeiro de 2020) e o Código de Ética do Tribunal de Contas do Estado de Goiás (Resolução Administrativa nº 1/2014) e demais legislações vigentes.

Parágrafo único. A não observância ao disposto nas diretrizes e normas gerais para Gestão da Segurança da Informação do TCE-GO, instituídas por esta Resolução, e normativos complementares de segurança da informação pode acarretar, isolada ou cumulativamente, nos termos da legislação aplicável, sanções administrativas, civis e penais, observando-se, para tanto, o devido processo legal, com seus consectários do contraditório e da ampla defesa.

 

CAPÍTULO XI

DAS DISPOSIÇÕES FINAIS

 

Art. 20. Fica revogada a Resolução Administrativa n. 11/2022 de 3 de maio de 2022.

Art. 21. Esta Resolução entra em vigor na data de sua publicação.

 

Presentes os Conselheiros: Saulo Marques Mesquita (Presidente), Helder Valin Barbosa (Relator), Sebastião Joaquim Pereira Neto Tejota, Edson José Ferrari, Carla Cintia Santillo, Kennedy de Sousa Trindade e Celmar Rech.

Representante do Ministério Público de Contas: Maísa de Castro Sousa.

Sessão Plenária Extraordinária Administrativa Nº 18/2024 (Virtual).

Resolução Administrativa aprovada em: 19/09/2024.

 

Este texto não substitui o publicado no Diário Eletrônico de Contas - Ano XIII - Número 177, em 24 de setembro de 2024.