COLGIO

PEDRO II COMIT GESTOR DE TECNOLOGIA DA INFORMAO

Rio de Janeiro/RJ, abril de 2014.

Trabalho Poltica de
Segurana
Colgio Pedro II

Niteri 2014

de total responsabilidade de todos que tem acesso aos ativos de informao do Colgio
Pedro II, seguir e manter as exigncias sugeridas por essa poltica de Segurana.
2

Sumrio
1. Escopo .................................................................................................................................... 4
2. Conceitos e Definies ........................................................................................................... 5
3. Referncias Legais e Normativas ........................................................................................... 6
4. PRINCPIOS E OBJETIVOS. ...................................................................................................... 7
4.1. So objetivos da Poltica de Segurana da Informao do Colgio Pedro II: .................. 7
4.2. So princpios da Poltica de Segurana da Informao do Colgio Pedro II: ................. 7
5. Diretrizes ................................................................................................................................ 9
5.1. Tratamento da informao ............................................................................................. 9
5.2. Controles de Acesso. ....................................................................................................... 9
5.3. Correio Eletrnico. ........................................................................................................ 10
5.4. Servio de Backup. ........................................................................................................ 10
5.5. Data Center. .................................................................................................................. 11
5.6. Monitoramento e Auditoria do Ambiente. ................................................................... 12
5.7. Uso e acesso a internet. ................................................................................................ 13
5.8. Gesto de Riscos. .......................................................................................................... 13
5.10. Tratamento de Incidentes em Redes Computacionais. .............................................. 15
6. Penalidades .......................................................................................................................... 16
7. Competncias e responsabilidades ..................................................................................... 17
7.1. Alta Direo. ................................................................................................................. 17
7.2. Gestor de Segurana da Informao e Comunicaes. ................................................. 17
7.3. Gestor do Ativo de Informao. .................................................................................... 17
7.4. Custodiante do Ativo de Informao. ........................................................................... 17
7.5. Equipe de Segurana. .................................................................................................... 18
7.6. Gestores e Responsveis. ............................................................................................. 18
7.7. Usurios ........................................................................................................................ 19
8. Atualizao ........................................................................................................................... 20

de total responsabilidade de todos que tem acesso aos ativos de informao do Colgio
Pedro II, seguir e manter as exigncias sugeridas por essa poltica de Segurana.
3

1. Escopo

Segurana da Informao (SI) a disciplina dedicada proteo da informao de forma a
garantir a continuidade dos negcios, minimizando os danos e maximizando o retorno dos
investimentos e as oportunidades de atuao de uma instituio. A Poltica de Segurana da
Informao (PSI), por sua vez, o documento formal que orienta e estabelece as diretrizes
corporativas para a proteo dos ativos de informao e a gesto da segurana da informao.
A Poltica de segurana da informao, no Colgio Pedro II, aplica-se a todos os funcionrios,
prestadores de servios, sistemas e servios e se aplicam aos trabalhos executados
externamente ou por terceiros que utilizem o ambiente de processamento da companhia, ou
acesso a informaes pertencentes ao Colgio Pedro II.
Todo e qualquer usurio que possuem acesso aos recursos da Companhia tem a
responsabilidade de confidencialidade, integridade, disponibilidade e autenticidade das
informaes e dos equipamentos de informtica.
Ao receber essa cpia da Poltica de Segurana, o/a sr/sra comprometeu-se a respeitar todos
os tpicos aqui abordados e est ciente de que seus e-mails e navegao na internet/intranet
podem estar sendo monitorados. A equipe de segurana encontra-se a total disposio para
saneamento de dvidas e auxlio tcnico.
O no cumprimento dessas polticas acarretar em sanes administrativas em primeira
instncia, podendo acarretar no desligamento do funcionrio de acordo com a gravidade da
ocorrncia, respeitando a lei 8.112/90.

de total responsabilidade de todos que tem acesso aos ativos de informao do Colgio
Pedro II, seguir e manter as exigncias sugeridas por essa poltica de Segurana.
4

2. Conceitos e Definies
2.1. Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR): grupo
de pessoas com a responsabilidade de receber, analisar e responder a notificaes e
atividades relacionadas a incidentes de segurana em computadores;

2.2. Gestor de Segurana da Informao e Comunicaes: responsvel pelas aes de

segurana da informao e comunicaes no mbito da entidade da APF;

2.3. Poltica de Segurana da Informao e Comunicaes (POSIC): documento aprovado pela

autoridade responsvel do rgo ou entidade da APF, com o objetivo de fornecer diretrizes,
critrios e suporte administrativo suficientes implementao da segurana da informao
e comunicaes;

2.4. Segurana da Informao e Comunicaes: grupo de pessoas com a responsabilidade de

assessorar a implementao das aes de segurana da informao e comunicaes no
mbito do rgo ou entidade da APF;

de total responsabilidade de todos que tem acesso aos ativos de informao do Colgio
Pedro II, seguir e manter as exigncias sugeridas por essa poltica de Segurana.
5

3. Referncias Legais e Normativas

Poltica de Segurana da Informao e Comunicaes: documento aprovado pela autoridade
responsvel pelo rgo ou entidade da Administrao Pblica Federal, direta e indireta, com o
objetivo de fornecer diretrizes, critrios e suporte administrativo suficientes implementao da
segurana da informao e comunicaes Inciso I do art. 2 da IN GSI/PR N 01/2008, de 13
de junho de 2008.

Tal documento considera as recomendaes e prticas propostas pelo Decreto n 3.505/2000,
pela IN GSI/PR n 01/2008, pela IN GSI/PR n03/2009, pela norma internacional ABNT NBR
ISO/IEC 27002:2005 e alinha-se, ainda, s demais leis e normas vigentes sobre o tema e s
diretrizes estratgicas do rgo.
Considerando o disposto no art. 3 do Decreto n 3.505/2000, so objetivos genricos da
Poltica de Segurana da Informao para a Administrao Pblica Federal a serem
estabelecidos por todos os rgos e entidades pblicas em suas respectivas Polticas de
Segurana da Informao: CAMPO DE APLICAO.
Os objetivos e diretrizes estabelecidos nesta Poltica de Segurana da Informao sero
aplicados em toda a organizao; devero ser observados por todos servidores, colaboradores e
prestadores de servio e se aplicam informao em qualquer meio ou suporte. Este documento,
dentre outras diretrizes, d cincia a cada envolvido de que os ambientes, sistemas, recursos
computacionais e redes informacionais do rgo podero ser monitorados e gravados, com
prvia informao, conforme previsto na legislao brasileira.

de total responsabilidade de todos que tem acesso aos ativos de informao do Colgio
Pedro II, seguir e manter as exigncias sugeridas por essa poltica de Segurana.
6

4. PRINCPIOS E OBJETIVOS.

Alm de buscar preservar as informaes e seus respectivos ativos quanto confidencialidade,
integridade, disponibilidade e autenticidade; so objetivos da Poltica de Segurana da
Informao do Colegio Pedro II:

4.1. So objetivos da Poltica de Segurana da Informao do Colgio

Pedro II:
A. Estabelecer diretrizes para a disponibilizao e utilizao de recursos de informao, servios
de redes de dados, estaes de trabalho, internet, telecomunicaes e correio eletrnico
institucional.
B. Designar, definir ou alterar papis e responsabilidades do grupo responsvel pela Segurana
da Informao.
C. Apoiar a implantao das iniciativas relativas Segurana da Informao.
D. Possibilitar a criao de controles e promover a otimizao dos recursos e investimentos em
tecnologia da informao, contribuindo com a minimizao dos riscos associados.

4.2. So princpios da Poltica de Segurana da Informao do Colgio

Pedro II:
A. Toda informao produzida ou recebida pelos servidores, colaboradores, fornecedores e
prestadores de servio, em resultado da funo exercida e/ou atividade profissional contratada,
pertence ao Colgio Pedro II. As excees devem ser explcitas e formalizadas entre as partes.
B. Todos os recursos de informao do Colgio Pedro II devem ser projetados para que seu uso
seja consciente e responsvel. Os recursos comunicacionais e computacionais da instituio
devem ser utilizados para a consecuo de seus objetivos finalsticos.
C. Devero ser criados e institudos controles apropriados, trilhas de auditoria ou registros de
atividades, em todos os pontos e sistemas em que a instituio julgar necessrio.
D. Todo o acesso a redes e sistemas do rgo dever ser feito, preferencialmente, por meio de
login de acesso nico, pessoal e intransfervel.
E. O Colgio Pedro II pode utilizar tecnologias e ferramentas para monitorar e controlar o
contedo e o acesso a quaisquer tipos de informao alocada na infraestrutura provida pela
instituio.
F. Cada usurio responsvel pela segurana das informaes dentro do Colgio Pedro II,
principalmente daquelas que esto sob sua responsabilidade.

de total responsabilidade de todos que tem acesso aos ativos de informao do Colgio
Pedro II, seguir e manter as exigncias sugeridas por essa poltica de Segurana.
7

G. Com o objetivo de reduzir o risco de descontinuidade das atividades do rgo e de perda de

confidencialidade, integridade e disponibilidade dos ativos de informao, devero ser
implantados planos de contingncia e de continuidade para os principais servios e sistemas;
tais planos devero ser implantados, revisados e testados periodicamente.
H. A gesto da segurana da informao no Colgio Pedro II ser realizada por comit
multidisciplinar, ora designado Comit de Segurana da Informao.
I. Dever constar em todos os contratos do Colgio Pedro II, quando o objeto for pertinente,
clusula de confidencialidade e de obedincia s normas de segurana da informao a ser
observada por empresas fornecedoras e por todos os profissionais que desempenham suas
atividades no Colgio Pedro II, inclusive provenientes de organismos internacionais; dever
estar prevista, por parte das empresas e profissionais prestadores de servio, entrega de
declarao expressa de compromisso em relao confidencialidade e de termo de cincia das
normas vigentes, como condio imprescindvel para que possa ser concedido acesso aos ativos
de informao disponibilizados pela instituio.
J. Esta Poltica de Segurana da Informao ser implementada no Colgio Pedro II por meio
de normas e procedimentos especficos, obrigatrios para todos os usurios, independentemente
do nvel hierrquico ou funo, bem como de vnculo empregatcio ou de prestao de servio.

de total responsabilidade de todos que tem acesso aos ativos de informao do Colgio
Pedro II, seguir e manter as exigncias sugeridas por essa poltica de Segurana.
8

5.

Diretrizes

5.1. Tratamento da informao

Diretrizes especficas e procedimentos prprios de tratamento da informao corporativa
devero ser fixados em norma complementar, considerando as seguintes diretrizes gerais:

A. Documentos imprescindveis para as atividades dos usurios da instituio devero ser salvos
em drives de rede. Tais arquivos, se gravados apenas localmente nos computadores, no tero
garantia de backup e podero ser perdidos caso ocorra uma falha no computador, sendo,
portanto, de responsabilidade do prprio usurio.

B. Arquivos pessoais e/ou no pertinentes s atividades institucionais do COLGIO PEDRO

II (fotos, msicas, vdeos, etc..) no devero ser copiados ou movidos para os drives de rede,
pois podem sobrecarregar o armazenamento nos servidores. Caso identificados, os arquivos
podero ser excludos definitivamente sem necessidade de comunicao prvia ao usurio.

C. Normas de classificao de informaes, acesso informao, uso e descarte de ativos de

informao, dentre outros temas afins, sero fixadas em estrita aderncia s leis e normas
atinentes Administrao Pblica Federal considerando as competncias regimentais.

5.2. Controles de Acesso.

Diretrizes especficas e procedimentos prprios de controles de acesso lgico e fsico devero
ser fixados em norma complementar, considerando as seguintes diretrizes gerais:

A. O controle de acesso dever considerar e respeitar o princpio do menor privilgio para

configurar as credenciais ou contas de acesso dos usurios aos ativos de informao do
COLGIO PEDRO II.

B. A criao e administrao de contas sero realizadas de acordo com procedimento especfico

para todo e qualquer usurio. Para o usurio que no exerce funes de administrao de rede
ser privilegiada a criao de uma nica conta institucional de acesso, pessoal e intransfervel.
Contas com perfil de administrador somente sero criadas para usurios cadastrados para
execuo de tarefas especficas na administrao de ativos de informao.

de total responsabilidade de todos que tem acesso aos ativos de informao do Colgio
Pedro II, seguir e manter as exigncias sugeridas por essa poltica de Segurana.
9

C. O acesso rede corporativa deve dar-se de forma a permitir a rastreabilidade e a

identificao do usurio por perodo mnimo a ser definido em norma especfica.

D. As prticas de segurana devero contemplar procedimentos de acesso fsico a reas e

instalaes, gesto de acessos e delimitao de permetros de segurana.

5.3. Correio Eletrnico.

Diretrizes especficas e procedimentos prprios ao servio de correio eletrnico (e-mail)
devero ser fixadas em norma complementar, considerando as seguintes diretrizes gerais:

A. O correio eletrnico uma ferramenta disponvel e obrigatria para todos os usurios do

COLGIO PEDRO II, independentemente de seu vnculo funcional.

B. O uso do correio eletrnico do COLGIO PEDRO II para fins corporativos e

relacionados s atividades do usurio no mbito da autarquia.

5.4. Servio de Backup.

Os procedimentos prprios ao servio de backup (cpia de segurana) devero ser fixados em
norma complementar, considerando as seguintes diretrizes gerais:

A. O servio de backup deve ser automatizado por sistemas informacionais prprios

considerando, inclusive, a execuo agendada fora do horrio de expediente normal do rgo,
nas chamadas janelas de backup perodos em que no h nenhum ou pouco acesso de
usurios ou processos automatizados aos sistemas de informtica.

B. A soluo de backup dever ser mantida atualizada, considerando suas diversas

caractersticas (atualizaes de correo, novas verses, ciclo de vida, garantia, melhorias, entre
outros).

C. A administrao das mdias de backup dever ser contemplada nas normas complementares
sobre o servio, objetivando manter sua segurana e integridade.

de total responsabilidade de todos que tem acesso aos ativos de informao do Colgio
Pedro II, seguir e manter as exigncias sugeridas por essa poltica de Segurana.
10

D. necessria previso, em oramento anual, da renovao das mdias de Backup em razo de

seu desgaste natural, bem como dever ser mantido um estoque constante das mdias para
qualquer uso emergencial.

E. As mdias de backups histricos ou especiais devero ser armazenadas em instalaes

seguras, preferencialmente com estrutura de cofres e salas-cofres.

F. Os backups crticos para o bom funcionamento dos servios do COLGIO PEDRO II

exigem uma regra de reteno especial, a ser prevista nos procedimentos especficos e de acordo
com as normas de classificao da informao pblica, seguindo ainda as determinaes fiscais
e legais existentes no pas.

G. A execuo de rotinas de backup e restore devero ser rigidamente controladas,

documentadas e auditadas, nos termos das normas e procedimentos prprios.

5.5. Data Center.

Os procedimentos para administrao do centro de processamento de dados (data center)
devero ser fixados em norma prpria, considerando as seguintes diretrizes gerais:

A. A administrao de dados e de servios de data center tarefa tecnicamente complexa e sua

realizao deve balizar-se nas melhores prticas de mercado e na alocao de profissionais com
perfil tcnico adequado.

B. O acesso fsico ao data center dever ser feito por sistema forte de autenticao, mediante uso
de soluo de TI prpria. O acesso fsico por meio de chave apenas poder ocorrer em situaes
de emergncia, quando a segurana fsica do data center estiver comprometida, como por
incndio, inundao, abalo da estrutura predial ou quando o sistema de autenticao forte no
estiver funcionando.

C. O acesso ao data center por visitantes ou terceiros somente poder ser realizado com
acompanhamento de um servidor autorizado, que dever preencher a solicitao de acesso
prevista na norma prpria, bem como assinar ermo de Responsabilidade.

de total responsabilidade de todos que tem acesso aos ativos de informao do Colgio
Pedro II, seguir e manter as exigncias sugeridas por essa poltica de Segurana.
11

D. Dever ser executada, em frequncia predeterminada, auditoria dos acessos ao datacenter

por meio de relatrio do sistema de registro prprio.

E. A lista de funes com direito de acesso ao data center dever ser constantemente atualizada,
de acordo com os termos de norma prpria, salva em diretrio de rede. No caso de desligamento
de usurios que possuam acesso ao ata center, imediatamente dever ser providenciada a sua
excluso do sistema de autenticao forte e da lista de usurios autorizados.

F. A funo de administrador do datacenter incluindo seu sistema de autenticao forte

dever ser atribuda exclusivamente a servidor pblico efetivo, preferencialmente vinculado
rea de infraestrutura de TI.

5.6. Monitoramento e Auditoria do Ambiente.

Para garantir a aplicao das diretrizes mencionadas nesta POSIC, alm de fixar normas e
procedimentos complementares sobre o tema, o COLGIO PEDRO II poder:

A. Implantar sistemas de monitoramento nas estaes de trabalho, servidores, correio eletrnico,

conexes com a internet, dispositivos mveis ou wireless e outros componentes da rede, de
modo que a informao gerada por esses sistemas possa ser usada para identificar usurios e
respectivos acessos efetuados, bem como material manipulado;

B. Tornar pblicas as informaes obtidas pelos sistemas de monitoramento e auditoria, no caso

de exigncia judicial, solicitao do gerente (ou superior) ou por determinao do Comit de
Segurana da Informao;

C. Realizar, a qualquer tempo, inspeo fsica nas equipamentos de sua propriedade;

D. Instalar sistemas de proteo, preventivos e detectveis, para garantir segurana das

informaes e dos permetros de acesso.

E. Desinstalar, a qualquer tempo, qualquer software ou sistema que represente risco ou esteja
em desconformidade com as polticas, normas e procedimentos vigentes.

de total responsabilidade de todos que tem acesso aos ativos de informao do Colgio
Pedro II, seguir e manter as exigncias sugeridas por essa poltica de Segurana.
12

5.7. Uso e acesso a internet.

Diretrizes especficas e procedimentos prprios de controles de uso e acesso a Internet devero
ser fixadas em norma complementar, considerando as seguintes diretrizes gerais:

A. Todas as regras corporativas sobre uso de Internet visam basicamente ao desenvolvimento de

um comportamento eminentemente tico e profissional. Embora a conexo direta e permanente
da rede corporativa da instituio com a internet oferea um grande potencial de benefcios, a
proteo dos ativos de informao do COLGIO PEDRO II dever sempre ser privilegiada.

B. Perfis institucionais mantidos nas redes sociais devem, preferencialmente, ser administrados
e gerenciados por equipes compostas exclusivamente por servidores pblicos ocupantes de
cargo efetivo. Quando no for possvel, a equipe pode ser mista, desde que sob a coordenao e
responsabilidade de um servidor do quadro permanente do rgo.

C. Qualquer informao que seja acessada, transmitida, recebida ou produzida na internet est
sujeita divulgao e auditoria. Portanto, o COLGIO PEDRO II, em total conformidade
legal, reserva-se o direito de monitorar e registrar os acessos rede mundial de computadores.

D. vedada a terceirizao completa da administrao e da gesto de perfis nas redes sociais,

assim entendida a terceirizao que viole o disposto no item B.

E. Os equipamentos, tecnologias e servios fornecidos para o acesso internet so de

propriedade da instituio, que pode analisar e, se necessrio, bloquear qualquer arquivo, stio,
caixa postal de correio eletrnico, domnio ou aplicao armazenados na rede/internet, estejam
eles em disco local, na estao ou em reas privadas da rede, visando a assegurar o
cumprimento de sua Poltica de Segurana da Informao e Comunicao.

5.8. Gesto de Riscos.

As diretrizes gerais do processo de Gesto de Riscos de Segurana da Informao e
Comunicaes do COLGIO PEDRO II devero considerar, prioritariamente, os objetivos
estratgicos, os processos, os requisitos legais e a estrutura do rgo, direta e indireta, alm de
estarem alinhadas a esta Poltica de Segurana da Informao e Comunicao. Esse processo
dever ser contnuo e aplicado na implementao e operao da Gesto de Segurana da

de total responsabilidade de todos que tem acesso aos ativos de informao do Colgio
Pedro II, seguir e manter as exigncias sugeridas por essa poltica de Segurana.
13

Informao, contemplando inclusive as contrataes de solues de TI para as quais dever

ser elaborado um Plano de Tratamento de Riscos.

5.9. Gesto de Continuidade.

O rgo dever elaborar e manter Programa de Gesto de Continuidade de Negcios, aqui

entendido como o processo contnuo de gesto e governana suportado pela alta direo e que
recebe recursos apropriados para garantir que os passos necessrios esto sendo tomados de
forma a identificar o impacto de perdas em potencial, manter estratgias e planos de
recuperao viveis e garantir a continuidade de fornecimento de produtos e servios por
intermdio de anlises crticas, testes, treinamentos e manuteno.

O Programa de Gesto de Continuidade de Negcios do COLGIO PEDRO II dever ser

composto, no mnimo, pelos seguintes Planos, de acordo com as suas necessidades especficas,
de forma a assegurar a disponibilidade dos ativos de informao e a recuperao das atividades
crticas:

A. Plano de Gerenciamento de Incidentes (PGI): plano de ao claramente definido e

documentado, a ser usado quando ocorrer um incidente, abrangendo as principais pessoas,
recursos, servios e aes necessrias para implementar o processo de gerenciamento de
incidentes.

B. Plano de Continuidade de Negcios (PCN): documentao dos procedimentos e informaes

necessrias para que o COLGIO PEDRO II mantenha seus ativos de informao crticos e a
continuidade de suas atividades crticas em local alternativo, num nvel previamente definido,
em casos de incidentes.

C. Plano de Recuperao de Negcios (PRC): documentao dos procedimentos e informaes

necessrias para que o COLGIO PEDRO II operacionalize o retorno das atividades crticas
normalidade.

Os planos acima definidos devero ser testados e revisados periodicamente, visando a reduzir
riscos de perda de confidencialidade, integridade e disponibilidade dos ativos de informao.

Para subsidiar a elaborao de seu Programa de Gesto de Continuidade de Negcios, o

COLGIO PEDRO II dever definir quais so suas atividades crticas, ou seja, quais so as

de total responsabilidade de todos que tem acesso aos ativos de informao do Colgio
Pedro II, seguir e manter as exigncias sugeridas por essa poltica de Segurana.
14

atividades que devem ser executadas de forma a garantir a consecuo dos produtos e servios
fundamentais do rgo, de tal forma que permitam atingir os seus objetivos mais importantes e
sensveis ao tempo.

Os procedimentos previstos no Programa de Gesto da Continuidade de Negcios devero ser

executados em conformidade com os requisitos de segurana da informao e comunicaes
necessrios proteo dos ativos de informao crticos, tratando as atividades de forma
abrangente, incluindo as pessoas, processos, infraestrutura e recursos de tecnologia da
informao e comunicaes.

5.10. Tratamento de Incidentes em Redes Computacionais.

A ocorrncia de incidentes de segurana em redes de computadores do COLGIO PEDRO II
dever ser comunicada ao Centro de Tratamento de Incidentes de Segurana em Redes de
Computadores da Administrao Pblica Federal (CTIR.Gov), conforme procedimentos a serem
definidos pelo prprio centro. No tratamento de incidentes em redes computacionais, a Equipe
Tcnica de Segurana da Informao, responsvel pelo tratamento e resposta ao incidente,
dever considerar, no mnimo, as seguintes diretrizes:

A. Todos os incidentes notificados ou detectados devero ser registrados, com a finalidade de

assegurar registro histrico das atividades desenvolvidas.
B. O tratamento da informao dever ser realizado de forma a viabilizar e assegurar
disponibilidade,integridade, confidencialidade e autenticidade da informao, observada a
legislao em vigor, naquilo que diz respeito ao estabelecimento de graus de sigilo.
C. Durante o gerenciamento de incidentes de segurana em redes de computadores, havendo
indcios de ilcitos criminais, o Gestor de Segurana da Informao ou membros da Equipe
Tcnica de Segurana da Informao tem como dever, sem prejuzo de suas demais atribuies,
acionar as autoridades policiais competentes para a adoo dos procedimentos legais julgados
necessrios, observar os procedimentos para preservao das evidncias, exigindo consulta s
orientaes sobre cadeia de custdia, e priorizar a continuidade dos servios do COLGIO
PEDRO II.

de total responsabilidade de todos que tem acesso aos ativos de informao do Colgio
Pedro II, seguir e manter as exigncias sugeridas por essa poltica de Segurana.
15

6. Penalidades
Toda tentativa de alterao dos parmetros de segurana, por qualquer usurio, sem o devido
credenciamento e a autorizao para tal, ser considerada inadequada e os riscos relacionados
sero informados ao usurio e ao respectivo gestor.
Ao controlar e inspencionar seus ativos de informao, o Colgio Antnio Pedro II objetiva
garantir a integridade dessas informaes e recursos. O no cumprimento ou descumprimento
de quaisquer regras ou diretrizes definidas nesse documento, constituem falta grave e poder
ocasionar medidas administrativas, cveis e judiciais cabveis.
A prtica de atividades ilegais ou o uso de qualquer patrimnio em desobedincia das normas
vigentes, poder fomentar em aes administrativas e penalidades resultantes de processos
administrativo, civil e criminal, em que a instituio ajudar ativamente as autoridades
competentes.

de total responsabilidade de todos que tem acesso aos ativos de informao do Colgio
Pedro II, seguir e manter as exigncias sugeridas por essa poltica de Segurana.
16

7. Competncias e responsabilidades

de responsabilidade de todos que tm acesso aos ativos de informao do Colgio Pedro II
manter nveis de segurana da informao adequados, segundo preceitos desta poltica.

7.1. Alta Direo.

de responsabilidade da alta administrao desta Autarquia prover a orientao e o apoio
necessrios s aes de SI, de acordo com os objetivos estratgicos e com as leis e regulamentos
pertinentes.

7.2. Gestor de Segurana da Informao e Comunicaes.

Compete ao Gestor de Segurana da Informao :
7.2.1. promover cultura de segurana da informao e comunicaes;
7.2.2. acompanhar as investigaes e as avaliaes dos danos decorrentes de
quebras de segurana;
7.2.3. propor recursos necessrios s aes de segurana da informao e
comunicaes;
7.2.4. coordenar o Comit de Segurana da Informao e Comunicaes e a
Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais;
7.2.5. realizar e acompanhar estudos de novas tecnologias, quanto a possveis
impactos na segurana da informao e comunicaes;

7.3. Gestor do Ativo de Informao.

Cabe ao Gestor do Ativo de Informao:
7.3.1. tratar e classificar a informao;
7.3.2. definir os requisitos de segurana para os ativos sob sua
responsabilidade;
7.3.3. conceder e revogar acessos;
7.3.4. autorizar a divulgao de informaes;
7.4. Custodiante do Ativo de Informao.
Cada ativo de informao ou conjunto de ativos, dentro do Colgio Pedro II, deve ter
um custodiante designado, pela autoridade competente da unidade administrativa, como

de total responsabilidade de todos que tem acesso aos ativos de informao do Colgio
Pedro II, seguir e manter as exigncias sugeridas por essa poltica de Segurana.
17

o responsvel por proteger e manter as informaes e controlar o acesso conforme requisitos

definidos pelo gestor da segurana da informao e em conformidade com este documento.

7.5. Equipe de Segurana.

Compete Equipe de Segurana:
7.5.1. desenvolver, implementar e monitorar estratgias de segurana que atendam aos
objetivos da instituio ;
7.5.2. avaliar, selecionar, utilizar, administrar e monitorar controles apropriados de
proteo dos ativos de informao;
7.5.3. conscientizar os usurios a respeito da implementao desses controles;
7.5.4. verificar se todos os usurios colaboram com as medidas de segurana
implantadas.

7.6. Gestores e Responsveis.

Cabe aos Gestores Gestores e Responsveis::
7.6.1. multiplicar e catalisar os princpios de segurana;
7.6.2. autorizar concesso, transferncia e revogao de acessos;
7.6.3. responder conjuntamente pelas aes realizadas por seus subordinados;
7.6.4. conscientizar os usurios sob sua superviso em relao aos conceitos e s
prticas de SI;
7.6.5. incorporar aos processos de trabalho de sua unidade, ou de sua rea, prticas
inerentes SI;
7.6.6. tomar as medidas administrativas necessrias para que sejam aplicadas aes
corretivas nos casos de comprometimento da SI por parte dos usurios sob sua
superviso;

de total responsabilidade de todos que tem acesso aos ativos de informao do Colgio
Pedro II, seguir e manter as exigncias sugeridas por essa poltica de Segurana.
18

7.7. Usurios
responsabilidade dos usurios:
7.7.1. difundir e exigir o cumprimento da poltica, das normas de segurana e da
legislao vigente acerca do tema;
7.7.2. proteger os ativos de informao desta Autarquia, incluindo informao, evitando
perda ou modificao de dados, software e hardware;
7.7.3. observar restries em relao a cpias e divulgao de informaes, e uso dos
acordos de confidencialidade;
7.7.4. observar restries em relao manuteno e instalao de software e hardware;
7.7.5. atender poltica de controle de acesso desta Autarquia;
7.7.6. relatar incidentes de segurana da informao e violao da segurana; e
7.7.7. atender aos princpios e diretrizes contidos neste documento, incluindo normas e
procedimentos complementares destinados SI; e
7.7.8. ser responsvel por todos os atos praticados com suas identificaes (login,
crach, carimbo, e-mail, assinatura digital, etc).

7.8. Total autoridade ao Reitor, responsvel pela anlise final e aprovao da Poltica
de Segurana de Informao sugerida pela equipe do processo.

7.9. "Equipe de Segurana da Informao ou Security Officer" com a

responsabilidade de:
7.9.1. Disponibilizar e estimular a cultura de Segurana da Informao na Instituio.
7.9.2. Estar totalmente integrado as investigaes e levantamentos dos danos que
possam ocasionar quebra da poltica de segurana.
7.9.3. Buscar novas tecnologias que possam melhorar ou abalar o nvel de segurana da
Instituio no atual momento.
7.9.4. Buscar meios para capacitao e aperfeioamento das tcnicas de segurana dos
membros da Equipe de Segurana da Informao.
7.9.5. Propor costumes e normas adicionais relativos a infraestrutura para diminuir nvel
de risco aos ativos de informao em geral.

de total responsabilidade de todos que tem acesso aos ativos de informao do Colgio
Pedro II, seguir e manter as exigncias sugeridas por essa poltica de Segurana.
19

So responsabilidades gerais de todos os usurios e gestores de servios de rede de dados,

internet, telecomunicaes, estaes de trabalho, correio eletrnico e demais recursos
computacionais do Colgio Pedro II:
A. Promover a segurana de seu usurio corporativo, departamental ou de rede
local, bem como de seus respectivos dados e credenciais de acesso.
B. Seguir, de forma colaborativa, as orientaes fornecidas pelos setores
competentes em relao ao uso dos recursos computacionais e informacionais do
instituto.
C. Utilizar de forma tica, legal e consciente os recursos computacionais e
informacionais do Colgio Pedro II.
D. Manter-se atualizado em relao a esta PSI e s normas e procedimentos
relacionados, buscando

8. Atualizao
Esta Poltica de segurana, bem como os documentos gerados a partir dela, devem ser revisados
e atualizados no mnimo uma vez ao ano, ou quando mudanas significativas ocorrerem.

de total responsabilidade de todos que tem acesso aos ativos de informao do Colgio
Pedro II, seguir e manter as exigncias sugeridas por essa poltica de Segurana.
20