TJMG 22/11/2022 -Fch. 17 -Caderno 1 - Diário do Executivo -Tribunal de Justiça do Estado de Minas Gerais
Minas Gerais Diário do Executivo
Art.37 -É vedada a realização deuploadde qualquer software ou dados
de propriedade do órgão ou entidades do governo do Estado sem a
autorização expressa da área de Segurança da Informação.
Art.38 -O acesso à Internet deverá ser efetuado somente por
equipamentos autorizados pela área de TIC e pela rede corporativa do
órgão ou entidade. O tempo de acesso poderá ser disponibilizado por
meio de cota.
Seção II
DAS CONDIÇÕES PARA ACESSAR A INTERNET
Art.39 -É vedada a utilização de modem de banda larga no ambiente
dos órgãos e entidades que disponibilizam acesso à rede corporativa.
Parágrafo Único. Mediante solicitação do usuário, a área de Segurança
da Informação poderá autorizar a utilização de outras conexões, desde
que não haja comprometimento da segurança da rede do órgão ou
entidade.
Seção III
DO MONITORAMENTO E BLOQUEIO DE SÍTIOS
Art. 40 -O órgão ou entidade reserva para si o direito de monitorar
o uso da Internet disponibilizada implantando recursos e programas
de computador que registrem cada acesso à Internet e que permitam a
avaliação do conteúdo dos pacotes de rede, enviados e recebidos e que
transitem entre a rede do órgão/entidade e a Internet.
Parágrafo único. O órgão ou entidade deverá possuir mecanismos
de autenticação que determinem a titularidade de todos os acessos à
Internet realizados por seus usuários.
Art.41 -Na provisão de conexão à internet, cabe ao administrador
de sistema o dever de manter os registros de conexão, sob sigilo, em
ambiente controlado e de segurança, pelo prazo de 1 (um) ano.
§1° A responsabilidade pela manutenção dos registros de conexão não
poderá ser transferida a terceiros.
§2° Em qualquer hipótese, a disponibilização ao requerente dos
registros de que trata este artigo deverá ser precedida de autorização
judicial, conforme disposto na Lei 12.965/2014.
Art. 42 -O órgão ou entidade poderá bloquear o acesso a arquivos e
sites não autorizados que comprometam o uso de banda da rede, bem
como, que exponham a rede a riscos de segurança.
Parágrafo Único. O desbloqueio de site cujo conteúdo esteja de
acordo com esta norma poderá ser realizado pela área de TIC mediante
solicitação do usuário informando a URL indevidamente bloqueada.
CAPÍTULO IX – PRIVACIDADE DOS DADOS
Art. 43 -Os órgãos e entidades devem se adequar às novas regras da
Lei 13.709/2018 e Decreto Estadual nº 48.237/2021, com o objetivo
de garantir a privacidade dos dados pessoais e permitir maior controle
sobre eles.
Art. 44 -As atividades relativas ao tratamento de dados pessoais
deverão observar a boa-fé, os princípios e requisitos e as hipóteses
presentes na Lei Geral de Proteção de Dados Pessoais.
CAPÍTULO X - TELETRABALHO
Art. 45 -As diretrizes e regras gerais que regulamentam o teletrabalho
no Estado estão presentes no Decreto 48.275/2021.
Art. 46 - Para a realização do teletrabalho o provimento do acesso
remoto a rede corporativa do órgão ou entidade será permitido de
acordo com o Art.13 da Seção IV do Capítulo II.
Art. 47 -O acesso remoto à rede corporativa em locais públicos deverá
ser evitado.
Art. 48 - O uso da ferramenta corporativa é obrigatório para realização
de reuniões virtuais.
Parágrafo Único -Excepcionalmente, outras ferramentas poderão ser
utilizadas para a realização de reuniões virtuais. Elas se encontram
liberadas para uso na rede corporativa por meio dos navegadores web.
CAPÍTULO XI – RECOMENDAÇÕES
Art. 49 - Recomenda-se aos agentes públicos:
I .O acesso remoto à rede corporativa do órgão ou entidade em locais
públicos deverá ser evitado.
II .Toda informação do órgão ou entidade deverá ser armazenada nos
servidores da rede do órgão ou entidade.
III .A senha de acesso aos sistemas e serviços do órgão ou entidade não
deverá ser utilizada em sistemas externos.
IV .Não abrir mensagem de correio eletrônico cujo assunto ou
remetente sejam de origem desconhecida ou suspeita.
V .Não executar arquivos e anexos de origem desconhecida ou
suspeita.
VI .Manter sua mesa de trabalho sempre limpa, sem papéis e mídias
expostos.
VII .Evitar discutir assuntos relacionados às atividades profissionais
em locais públicos.
VIII .Não divulgar o endereço eletrônico, fornecido pelo órgão ou
entidade, para recebimento de mensagens particulares, de entidades
alheias aos interesses ou atividades do órgão ou entidade.
IX .Evitar alimentar e ingerir líquidos próximo às estações de
trabalho.
X .Não deixar os dispositivos móveis desprotegidos em locais de
alto risco de furto e roubo, tais como locais públicos, eventos, hotéis,
veículos e outros.
XI .Evitar utilizar outro serviço de correio eletrônico que não seja o
institucional nos equipamentos conectados à rede corporativa.
XII.Tratar dados pessoais observadas as regras da Lei nº 13.709/2018
e do Decreto Estadual nº 48.237/2021.
CAPÍTULO XII – DAS VEDAÇÕES
Art.50 -É vedado aos usuários:
I. instalar qualquer hardware ou software sem a autorização formal
da área de TIC;
II. emprestar o dispositivo móvel corporativo a terceiros ou divulgar
dados de configuração de acesso da rede corporativa do órgão ou
entidade;
III. acessar, armazenar, divulgar ou repassar qualquer material ligado à
pornografia e de conteúdo ilícito, tais como racismo e pedofilia;
IV. armazenar, acessar, divulgar ou repassar qualquer conteúdo que
implique na violação de quaisquer leis ou incentive crimes;
V. acessar, propagar ou armazenar qualquer tipo de conteúdo
malicioso,malware, vírus,worms, cavalos de tróia ou programas de
controle de outros computadores;
VI. utilizar softwares de comunicação instantânea, mensageiros
instantâneos ou programas de computador que permitam a comunicação
imediata e direta entre usuários e grupos de usuários por meio da
Internet, tais como Facebook, Whatsapp, Instagram e afins, exceto o
mensageiro instantâneo corporativo ou quando solicitado e autorizado
pela área de Segurança da Informação;
VII. fazer download de softwares, cópias não autorizadas, vídeos ou
áudios não ligados às atividades profissionais;
VIII. utilizar programas de computador, ferramentas, utilitários ou
artifícios quaisquer para burlar os mecanismos de segurança dos órgãos
ou entidade;
IX. violar os lacres das estações de trabalho, ou de qualquer outro
equipamento, ou ainda, abrir equipamentos mesmo que estejam sem
lacres;
X. registrar senha em papel ou em qualquer outro meio que coloque em
risco a sua confidencialidade;
XI. fornecer a senha de acesso à qualquer sistema/serviço do órgão ou
entidade para outro usuário;
XII. acessar qualquer sistema/serviço do órgão ou entidade por meio da
identificação de outro usuário;
XIII. tentar obter acesso não autorizado, como tentativas de fraudar
autenticação de usuário ou segurança de qualquer servidor, rede
ou conta de acesso. Isso inclui acesso aos dados não disponíveis
para o usuário, conectar-se a servidor ou conta cujo acesso não seja
expressamente autorizado ao usuário ou colocar à prova a segurança
de outras redes;
XIV. utilizar senhas compartilhadas para acesso a qualquer recurso
computacional do órgão ou entidade, exceto nos casos em que seja
impossível a implantação de senha individual e devidamente autorizado
pela área responsável;
XV. tentar interferir nos serviços de qualquer outro usuário, servidor
ou rede, inclusive ataques do tipo negação de serviço - DoS e DDoS,
provocar congestionamento em redes, tentativas deliberadas de
sobrecarregar ou invadir um servidor.
XVI. conectar equipamentos particulares à rede corporativa sem prévia
autorização.
XVII. acessar as estações de trabalho sem autorização do responsável
pela unidade.
XVIII. movimentar as estações de trabalho, periféricos e ou
equipamentos de rede sem autorização do responsável pelo setor de
TIC.
XIX. incluir senhas em processos automáticos, como por exemplo,
em arquivos de dados, programas de computador, macros, scripts,
ferramentas, teclas de função ou outros, exceto se autorizado pela área
de Segurança da Informação e desde que, comprovadamente, não haja
comprometimento à segurança da informação.
XX. armazenar informações corporativas do Estado em diretórios
(pastas) públicos (as).
Art. 51 - É vedada a conexão de dispositivos não autorizados na rede
local, principalmente, equipamentos de rede sem fio comoAccess
Points, modem ou qualquer outra solução que estabeleça conexão
simultânea com a rede local e outras redes.
Parágrafo Único. Em casos justificados de uso destes equipamentos, o
órgão ou entidade deverá prover segmento de rede independente, através
de VLAN, para este fim, de forma a permitir o compartilhamento de
sua infraestrutura de TI sem o comprometimento do desempenho e da
segurança da rede local.
CAPÍTULO XIII – DAS RESPONSABILIDADES
Art.52 -Compete ao usuário:
I. obedecer e cumprir a Política de Segurança da Informação do
Governo do Estado;
II. notificar à área responsável pela Segurança da Informação casos
de suspeita ou violação das regras ou de falhas de segurança da
informação;
III. sugerir medidas que possam elevar os níveis de segurança das
instalações na sua área de atuação;
IV. utilizar e manter o crachá em local visível durante sua permanência
nas instalações do órgão ou entidade;
V. avisar à chefia imediata ou ao superior a perda, furto ou o
desaparecimento de crachás.
VI. informar à chefia imediata ou ao superior a presença de pessoas
sem identificação nas instalações da órgão ou entidade.
VII. devolver o crachá à área de recursos humanos ao término
do contrato de trabalho nos casos de exoneração de cargo efetivo,
aposentadoria ou desligamento do órgão ou entidade.
VIII. responder pelo uso de seu login de acesso aos sistemas e serviços
do órgão ou entidade;
IX. zelar pelas informações, sistemas, serviços e recursos de tecnologia
da informação sob sua responsabilidade;
X. não realizar alterações na configuração da estação de trabalho;
XI. utilizar adequadamente os recursos computacionais;
XII. conduzir adequadamente o uso da Internet, respeitando direitos
autorais, regras de licenciamento de softwares, direitos de propriedade
e privacidade;
XIII. alterar a senha no momento em que receber as informações da
criação de sua conta;
XIV. manter sigilo de seulogine de sua senha de acesso aos sistemas e
serviços do órgão ou entidade;
XV. trocar a senha sempre que houver indícios de comprometimento
do sistema ou da própria senha;
XVI. guardar as mídias removíveis, contendo dados, em armários com
chaves;
XVII. guardar os documentos em papel que contenham informações
sigilosas de forma segura e em local fechado;
XVIII. não reproduzir documento sem a autorização do responsável
pela informação;
XIX. imprimir documentos, caso sejam sigilosos, utilizando
impressoras com proteção por meio de senhas ou permanecer próximo
à impressora, no momento de sua emissão;
XX. não reutilizar documentos em papel que possuam conteúdos
sigilosos, devendo estes serem descartados por meio de fragmentação;
XXI. eliminar os arquivos desnecessários armazenados nos servidores
da rede do órgão ou entidade;
XXII. responder pelo uso de dispositivos particulares no ambiente do
órgão ou entidade;
XXIII. solicitar à chefia imediata a utilização e a conexão do dispositivo
móvel na rede corporativa justificando a sua necessidade;
XXIV. evitar armazenar informações confidenciais em dispositivos
móveis usados fora do órgão ou entidade. Havendo necessidade, tais
informações deverão ser transferidas para um local de armazenamento
seguro logo que possível;
XXV. ser responsável pelos dispositivos móveis, e pelos dados
armazenados nos mesmos, disponibilizados para uso dentro e fora das
instalações do órgão ou entidade;
XXVI. não deixar os dispositivos móveis desprotegidos em locais de
alto risco, tais como locais públicos, eventos, hotéis, veículos, dentre
outros;
XXVII. apresentar em caso de furto, roubo ou extravio do dispositivo
móvel a Ocorrência Policial, no prazo máximo de 48 horas do fato
ocorrido, à área responsável pelo patrimônio do órgão ou entidade;
XXVIII. apresentar o dispositivo móvel para a área responsável pelo
atendimento ao usuário, quando requisitado, ou ao cessar as atividades
que motivaram sua solicitação;
XXIX. zelar pela guarda do dispositivo de armazenamento do
certificado e pela senha de acesso ao dispositivo.
XXX. requisitar a revogação do certificado digital caso ele seja
perdido, roubado ou extraviado, informando imediatamente o fato à
área responsável.
Art. 53 -Compete à área de TIC:
I. cumprir e fazer cumprir a Política de Segurança da Informação;
II. manter os sistemas computacionais e de comunicação em
conformidade com a Política de Segurança da Informação;
III. disponibilizar os recursos necessários à implantação da Política de
Segurança da Informação;
IV. manter os dados cadastrais dos usuários da rede corporativa, bem
como do correio eletrônico, atualizados;
V. reportar incidentes de segurança da informação à área responsável
pela Segurança da Informação;
VI. monitorar os logs dos sistemas;
VII. acompanhar a realização de manutenção, corretiva ou preventiva,
dos servidores e subsistemas de armazenamento da rede corporativa do
órgão ou entidade quando a manutenção for realizada por terceiros no
ambiente do órgão ou entidade;
VIII. prestar suporte ao usuário quando solicitado;
IX. solicitar apoio e consultoria de segurança à área responsável pela
Segurança da Informação quando se fizer necessário;
X. solicitar a assinatura do Termo de Responsabilidade do usuário pela
estação de trabalho;
XI. instalar e configurar as estações de trabalho;
XII. manter um inventário atualizado das estações de trabalho e dos
softwares;
XIII. desenvolver e manter um padrão de instalação e configuração
de estações de trabalho aderente aos critérios estabelecidos nesta
resolução;
XIV. configurar os programas de computador e equipamentos para
garantir a utilização dos critérios relativos às senhas de acesso definidos
pela área de Segurança da Informação;
XV. manter o antivírus, anti-spam e as correções de segurança dos
servidores e estações de trabalho atualizados;
XVI. lacrar os microcomputadores;
XVII. documentar toda a infraestrutura de TIC do órgão ou entidade,
tais como tipo de equipamento, patrimônio, localização física, data da
aquisição, prazo de garantia, etc;
XVIII. controlar e descartar os Hard Disks (HDs) e mídias removíveis,
quando necessário;
XIX. disponibilizar e administrar a infraestrutura necessária para
armazenamento de dados;
XX. disponibilizar e administrar os recursos de acesso à Internet;
XXI. monitorar o uso da Internet;
XXII. registrar os acessos indevidos à Internet;
XXIII. orientar os usuários em relação à proteção adequada dos
dispositivos móveis;
XXIV. configurar os dispositivos móveis disponibilizados para os
usuários do órgão ou entidade;
XXV. instalar, homologar, manter, atualizar e configurar todos os
servidores, subsistemas de armazenamento e programas de computador
que componham as soluções de backup e restore utilizadas no órgão
ou entidade;
XXVI. manter a documentação dos servidores, subsistemas de
armazenamento, e programas de computador diretamente vinculados
às soluções de backup e restore;
XXVII. realizar o backup e a remoção das informações armazenadas
nos servidores e subsistemas de armazenamento da rede corporativa
do órgão ou entidade, no caso de manutenção externa ao órgão ou
entidade;
XXVIII. definir os recursos e ferramentas que serão utilizados em cada
procedimento de backup e restore;
XXIX. documentar os procedimentos de backup e restore;
XXX. eliminar e substituir as mídias de backup e restore próximas
de perderem sua funcionalidade segundo a vida útil informada pelo
fornecedor;
XXXI. eliminar o conteúdo das mídias que serão descartadas;
XXXII. executar os procedimentos de backup e restore;
XXXIII. gerenciar e controlar os recursos computacionais e as mídias
utilizadas pelos sistemas de backup e restore do órgão ou entidade;
XXXIV. manter mapa atualizado das mídias e seus conteúdos para
todos os procedimentos de backup e restore do órgão ou entidade;
XXXV. planejar junto às áreas solicitantes os procedimentos de backup
e restore;
XXXVI. realizar testes de validação e desempenho das cópias de
segurança realizadas;
XXXVII. disponibilizar os recursos necessários para a execução das
funções de auditoria;
XXXVIII. garantir a proteção adequada das trilhas de auditoria;
XXXIX. aprovar e registrar a utilização das ferramentas de
monitoramento e acesso às estações de trabalho;
XL. analisar e despachar os expedientes relativos a solicitações
de usuários encaminhadas pelos respectivos responsáveis por suas
unidades;
XLI. administrar o acesso remoto à rede do órgão ou entidade;
XLII. definir os softwares autorizados que deverão ser instalados nas
estações de trabalho;
XLIII. administrar as redes corporativas do órgão ou entidade;
XLIV. manter a documentação da topologia da rede atualizada e
controlar o acesso ao seu conteúdo;
XLV. prover o ambiente físico necessário para instalação dos roteadores
e switches;
XLVI. homologar e administrar os roteadores e switches do órgão ou
entidade;
XLVII. manter a documentação (topologia, configurações, etc) dos
roteadores e switches atualizada;
XLVIII. administrar as regras dos firewalls;
XLIX. instalar, configurar e manter os ambientes operacionais dos
firewalls - sistema operacional nos servidores, bem como os produtos e
as correções e atualizações de versão;
L. aplicar, anualmente, os controles disponibilizados pela ferramenta
de gestão de riscos nos ativos em que estejam instalados os firewalls;
LI. manter atualizadas as documentações (configurações) relativas aos
firewalls;
LII. disponibilizar a infraestrutura necessária para o funcionamento da
solução de network IDS/IPS;
LIII. instalar e administrar o network IDS/IPS;
LIV. analisar periodicamente as logs dos Networks IDS em busca de
incidentes de Segurança da Informação;
LV. avaliar, no mínimo trimestralmente, o desempenho do network
IDS/IPS em relação à quantidade de ataques detectados, falsos positivos
(alarme falso), carga da rede, entre outros;
LVI. manter a documentação do network IDS/IPS atualizada;
LVII. instalar, homologar, manter e configurar todos os equipamentos
de conectividade que componham as soluções de backup e restore
utilizadas no órgão ou entidade;
LVIII. definir e implementar rotina automatizada para a cópia das
configurações e dados dos equipamentos de conectividade para um
servidor de arquivos contemplado por uma das rotinas de backup/
restore;
LIX. analisar e emitir parecer sobre as solicitações da área de segurança
da informação;
LX. atualizar os controles da ferramenta de análise de risco de
Segurança da Informação;
LXI. avaliar e aplicar, para as situações consideradas críticas, os
controles existentes na ferramenta de análise de risco de Segurança da
Informação;
LXII. elaborar e manter atualizado um procedimento de instalação e
configuração da rede;
LXIII. administrar a cessão, a alteração, o bloqueio e o cancelamento
de acessos à rede corporativa;
LXIV. revisar, pelo menos 1 (uma) vez por ano, os direitos de acesso
dos usuários da rede corporativa e realizar as alterações necessárias;
LXV. revisar, pelo menos a cada 6 (seis) meses, os direitos de acesso
com privilégios de administrador e realizar as alterações necessárias;
LXVI. definir, homologar, implementar e disponibilizar a infra-estrutura
e os mecanismos de segurança para utilização da rede wireless;
LXVII. realizar semestralmente análise de risco na rede wireless;
LXVIII. disponibilizar relatório as conexões remotas realizadas.
LXIX. solicitar a autorização para movimentação patrimonial de ativos
(hardware e software) à área de TIC;
Art. 54 -Compete ao setor dacontroladoria setorial:
I. realizar a auditoria nos sistemas do órgão ou entidade;
II. verificar a conformidade com o estabelecido nesta norma e
recomendar as ações necessárias;
III. definir parâmetros de geração e retenção das trilhas de auditoria,
juntamente com a área responsável pela Segurança da Informação, para
fins de controle interno;
IV. gerar e manter atualizada a documentação das ferramentas e
auditorias realizadas;
V. manter a área responsável pela Segurança da Informação informada
sobre as ferramentas utilizadas;
VI. monitorar a utilização das userid de auditoria.
Parágrafo Único.Caso não exista a referida área, as regras serão
analisadas pela área com competências equivalentes.
Art. 55 -Compete à área de recursos humanos informar, mensalmente
ou sempre que aplicável, à equipe de Segurança da Informação, a
movimentação de pessoal no órgão ou entidade.
Art. 56 -Compete à direção das unidades administrativas:
I. orientar os usuários sob sua coordenação sobre o cumprimento
desta resolução e zelar pelo acesso aos sistemas e serviços do órgão
ou entidade;
II. cumprir e fazer cumprir a Política de Segurança da Informação em
relação aos seus subordinados;
III. monitorar as atividades de parceiros e contratados sob sua
responsabilidade;
IV. colaborar com a área responsável pela Segurança da Informação na
elaboração da Política de Segurança da Informação;
V. propor mudanças na Política de Segurança da Informação de acordo
com as necessidades iminentes detectadas na sua área de atuação;
VI. reportar, de imediato, à área responsável pela Segurança da
Informação, qualquer incidente de segurança detectado ou, até mesmo,
qualquer suspeita ou ameaça de incidentes;
VII. avaliar a necessidade de utilização de dispositivo móvel particular
e da conexão à rede corporativa do órgão ou entidade;
VIII. solicitar à área de TIC qualquer alteração nas condições
autorizadas para a utilização de dispositivo móvel;
IX. solicitar as permissões de acesso para usuários sob sua subordinação
à área executora que detenha o controle de acesso ao respectivo recurso
computacional;
X. solicitar, com a devida justificativa, para área de TIC a instalação
de softwares.
Art. 57 - Compete à área responsável pela Segurança da Informação:
I. elaborar a Política de Segurança da Informação;
II. verificar o cumprimento desta Resolução e recomendar as ações
preventivas e ou corretivas necessárias;
III. administrar, controlar e dar tratamento aos incidentes de segurança
da informação;
IV. analisar e autorizar solicitação para conexão na rede corporativa
de mídias ou dispositivo móvel particular nas dependências do órgão
ou entidade;
V. autorizar, quando necessário, a criação de regras no firewall,
considerando a análise de risco realizada;
VI. analisar e emitir parecer sobre as informações de incidentes de
segurança ou inconformidades;
VII. aprovar controle de segurança;
VIII. avaliar e apresentar pareceres a respeito das exceções requeridas
pelos responsáveis de unidades administrativas do órgão ou entidade;
IX. avaliar, periodicamente, a Segurança da Informação, por meio de
análise de indicadores e recomendar ações corretivas e preventivas;
X. definir e padronizar os critérios das senhas de acesso à rede;
XI. elaborar campanhas e programas de treinamento e de
conscientização em Segurança da Informação;
XII. elaborar relatórios gerenciais sobre o acesso à Internet;
XIII. elaborar, propor e coordenar projetos, ações e soluções de
segurança da informação;
XIV. emitir relatório de alerta e incidente de segurança quando
detectado acesso indevido à Internet;
XV. especificar padrão de configuração de segurança destinada a
acesso remoto à rede corporativa;
XVI. garantir a implementação dos projetos e soluções de segurança
da informação aprovados, atuando permanentemente em busca de
parcerias com os diversos responsáveis pelos processos, visando à
redução do índice de riscos do órgão ou entidade;
XVII. homologar junto à área de TIC os procedimentos de backup
e restore;
XVIII. homologar padrões definidos pela área de redes;
XIX. homologar parâmetros de configuração dos IDS/IPS;
XX. homologar, autorizar e validar o uso de equipamentos e programas
de computador nas estações de trabalho quando não existir licença de
uso ou o software solicitado for desconhecido ou passível de risco de
segurança;
terça-feira, 22 de Novembro de 2022 – 17
XXI. priorizar as ações de segurança;
XXII. prover apoio técnico consultivo para as unidades administrativas
do órgão ou entidade nas questões relativas à segurança da
informação;
XXIII. recomendar a adoção de soluções emergenciais sobre segurança
da informação;
XXIV. recomendar soluções, ferramentas ou recursos que viabilizem o
monitoramento e o registro dos acessos à internet;
XXV. realizar análise de riscos em equipamentos, infraestrutura e
pessoas;
XXVI. avaliar o nível de segurança alcançado, emitindo relatórios
periódicos de Análise de Riscos à Diretoria e ao Comitê Gestor;
XXVII. definir e acompanhar a execução do Plano Estratégico para
implantação da Política de Segurança da Informação;
XXVIII. definir e aprovar junto à alta gestão, os procedimentos e
penalidades para se fazer cumprir a Política de Segurança;
XXIX. definir e solicitar os recursos necessários para implantação da
Política de Segurança;
XXX. efetuar mudanças na Política de Segurança da Informação sempre
que houver alteração no ambiente computacional ou atualizações
tecnológicas, visando à manutenção e melhora do nível de segurança;
XXXI. realizar análise de risco para criação de regras no firewall e
gerar laudo técnico;
XXXII. dar tratamento aos casos de exceção e aqueles não previstos
nas normas relativas à segurança da informação.
XXXIII. aprovar, quando devido, as solicitações de acessos à rede
corporativa com privilégios de administrador;
XXXIV. analisar os incidentes de segurança da informação e
recomendar ações corretivas e preventivas;
XXXV. realizar, no mínimo anualmente, uma análise crítica dos
direitos de acesso dos usuários sob sua coordenação e solicitar as
alterações necessárias;
XXXVI. monitorar a utilização de mídias particulares para
armazenamento de informações do órgão ou entidade;
XXXVII. tomar as providências cabíveis em caso de descumprimento
da Política de Segurança da Informação por seus subordinados;
XXXVIII. analisar permanentemente os acessos remotos realizados
por seus subordinados, através de relatório disponibilizado pela área
de TIC;
XXXIX. receber, analisar e encaminhar a solicitação de permissão e
revogação de acesso para o empregado ou prestador de serviço sob sua
subordinação à área de TIC;
XL. informar, em caso de solicitações temporárias, o período em que
a utilização da conexão permanecerá liberada, para visitantes e demais
usuários;
XLI. avaliar as solicitações para o uso de dispositivo móvel de
propriedade ou alugado pelo órgão ou entidade e requerer à área de
TIC;
XLII. autorizar, quando necessário, a liberação de portas de diagnóstico
remotas;
XLIII. autorizar acessos à rede;
XLIV. informar à Companhia de Tecnologia da Informação do Estado
de Minas Gerais – Prodemge, pelo menos 1gestorde segurança, que
terão a função de tratar qualquer assunto relacionado a segurança da
informação.
XLV. manter e publicar anualmente um programa de conscientização
sobre a segurança da informação;
XLVI. informar anualmente à Superintendência Central de Governança
Eletrônica - SCGE da Secretaria de Estado de Planejamento e Gestão
- SEPLAG quais as ferramentas de segurança possuem, descrevendo
pelo menos, a função, o fabricante, a versão utilizada e a indicação da
existência de contrato de manutenção.
CAPÍTULO XIV – PENALIDADES
Art. 58 -O usuário que não cumprir as normas estabelecidas nessa
Resolução estará sujeito às penalidades previstas em Lei.
CAPÍTULO XV – DISPOSIÇÕES FINAIS
Art. 59 -Os Órgãos e Entidades do Poder Executivo da Administração
Pública Estadual Direta, Autárquica e Fundacional deverão adequar-se
ao disposto nesta Resolução no período máximo de 1 (um) ano a partir
de sua publicação.
Parágrafo Único. Compete à Secretaria de Estado de Planejamento e
Gestão - Seplag, por meio da Superintendência Central de Governança
Eletrônica, fornecer as orientações necessárias ao fiel cumprimento
das regras dessa Resolução, além de verificar a conformidade das
práticas com o estabelecido nesta Resolução e recomendar as correções
necessárias.
Art. 60 -Fica facultada, às Empresas Públicas e Sociedades de
Economia Mista, a aplicação das regras contidas na presente Resolução,
observada a conveniência e a oportunidade administrativas.
Art.61 -Caberá à Secretaria de Estado de Planejamento e Gestão, por
meio da Subsecretaria de Gestão, esclarecer os casos omissos a esta
Resolução.
Art.62 -EstaResoluçãoentra em vigor na data de sua publicação,
revogada a Resolução SEPLAG nº107, de 26 de dezembro de 2018.
Belo Horizonte, 10 de novembrode 2022.
LUIS OTÁVIO MILAGRES DE ASSIS
Secretáriode Estado de Planejamento e Gestão, em exercício
21 1715869 - 1
A SUBSECRETÁRIA DE GESTÃO DE PESSOAS, no uso da
competência delegada pelo inciso IV, do art. 1º, do Decreto 45.600,
de 12 de maio de 2011, tendo em vista o disposto no § 1º do art. 3º da
Lei 18.974, de 29 de junho de 2010, autoriza o exercício de Emanuel
Camilo de Oliveira Marra, masp 752.702-1, ocupante de cargo de
provimento efetivo da carreira de Especialista em Políticas Públicas
e Gestão Governamental, na Fundação João Pinheiro - FJP, ficando
revogado o ato que autoriza o exercício do servidor no Departamento
de Edificações e Estradas de Rodagem do Estado de Minas Gerais DER publicado em 24/09/2021.
Rafael Divino de Vasconcelos
Subsecretário de Gestão de Pessoas, em exercício
21 1715887 - 1
OPÇÃO POR BASE DE CÁLCULO DE CONTRIBUIÇÃO
PREVIDENCIÁRIA ATO N° 05/2022
REGISTRA A OPÇÃO PELA INCLUSÃO NA BASE DE
CÁLCULO DE CONTRIBUIÇÃO PREVIDENCIÁRIA das parcelas
remuneratórias previstas no§5° do art. 26, da Lei Complementar n° 64,
de 25/03/2022, com redação dada pelo art. 1° da Lei Complementar
n° 79, de 30/07/2004, do(s) servidor(es): MASP: 380931/6, Nome:
MARDÉLIA DA SILVAMARTINS, BELO HORIZONTE/MG, Órgão
de lotação/exercício: DIRETORIA CENTRAL DE RECRUTAMENTO
E SELEÇÃO/SECRETARIA DE ESTADO DE PLANEJAMENTO E
GESTÃO DE MINAS GERAIS, enquanto no exercício de CARGO
EM COMISSÃO, a partir de 25/10/2022.
Mariana Márcia Custódio
Diretoria de Recursos Humanos/SEPLAG
21 1715546 - 1
A SECRETÁRIA DE ESTADO DE PLANEJAMENTO E GESTÃO,
exonera nos termos do artigo 106, alínea “a”, da Lei nº 869 de 5 de
julho de 1952, PEDRO HENRIQUE SANTANA BISPO - MASP
1365460/3, do cargo de provimento efetivo de AGOV - Agente
Governamental, Nível II, Símbolo AGOV 2, GRAU A, da Secretaria de
Estado de Planejamento e Gestão, a partir de 08/07/2022.
LUÍSA CARDOSO BARRETO
Secretária de Estado de Planejamento e Gestão
Documento assinado eletrônicamente com fundamento no art. 6º do Decreto nº 47.222, de 26 de julho de 2017.
A autenticidade deste documento pode ser verificada no endereço http://www.jornalminasgerais.mg.gov.br/autenticidade, sob o número 3202211220002280117.
21 1715435 - 1