Institui e regulamenta COMITÊ GESTOR DE SEGURANÇA DA INFORMAÇÃO – CGSI no âmbito da Defensoria Pública do Estado de Rondônia.
O DEFENSOR PÚBLICO-GERAL DO ESTADO DE RONDÔNIA, no uso de suas atribuições constitucionais e legais, especialmente as conferidas pelo art. 134 da Constituição Republicana, pela Constituição Estadual, pela Lei Complementar Federal nº 80/1994 e Lei Complementar Estadual nº 117/1994;
CONSIDERANDO a norma ISO/IEC 27002:2013, traduzida pela Associação Brasileira de Normas Técnicas, estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão da segurança da informação em instituições de qualquer esfera;
CONSIDERANDO a necessidade de formalizar o compromisso de adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à segurança da informação, bem como em desenvolver ações voltadas à governança de dados;
RESOLVE:
Art. 1º. Instituir, no âmbito da Defensoria Pública do Estado de Rondônia, o Comitê Gestor de Segurança da Informação (CGSI), de atuação permanente, natureza estratégica e deliberativa, com competência para decidir sobre os assuntos relativos à segurança da informação ou riscos de tecnologia da informação e comunicação, devendo assegurar que a área de tecnologia da informação e comunicação opere em alto nível de segurança e proteção.
Art. 2º. Para efeitos desta Resolução entende-se:
I - Ativo: qualquer elemento (hardware, software, pessoa) que armazene e veicule informações que tem valor para o negócio da organização;
II - Política de Segurança da Informação (PSI): conjunto de práticas e controles adequados, formada por diretrizes, normas e procedimentos, com objetivo de minimizar os riscos com perdas e violações de ativos;
III - Incidente de segurança da informação: qualquer evento adverso, confirmado ou sob suspeita, relacionado a segurança de sistemas de computação ou de redes de computadores, levando a perda de um ou mais princípios básicos (confidencialidade, integridade e disponibilidade) de segurança da informação;
IV - o Encarregado de Tratamento de Dados Pessoais: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), na forma da Lei Federal nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados).
Art. 3º. O CGSI será composto pelos seguintes representantes:
I - o Diretor de Tecnologia da Informação, que o coordenará;
II - 01 (um) integrante cada área da Diretoria de Tecnologia da Informação;
III - 01 (um) integrante da Corregedoria-Geral;
IV - 01 (um) integrante da Assessoria Jurídica;
V - o Encarregado de Tratamento de Dados Pessoais.
§ 1º. Os membros do CGSI serão nomeados em Portaria do Defensor Público-Geral.
§ 2º. O Coordenador indicará um(a) servidor(a) para função de Secretário do CGSI.
§ 3º. A composição do CGSI poderá ser revisada a qualquer tempo e, obrigatoriamente, a cada 02 (dois) anos, com possibilidade de recondução dos representantes.
§ 4º. A participação no CGSI se dará sem prejuízo das atribuições ordinárias do participante e será não remunerada e considerada prestação de serviço público relevante.
Art. 4º. São atribuições do CGSI:
I - elaborar, implementar e prover manutenção da Política de Segurança da Informação (PSI);
II - aprovar diretrizes, estratégias, normas e recomendações sobre segurança da informação;
III - propor a edição dos atos normativos necessários à execução da PSI;
IV - promover cultura de segurança da informação e estabelecer programas contínuos destinados à conscientização e educação dos usuários internos e externos;
V - acompanhar as investigações e avaliações de incidentes de segurança da informação;
VI - manifestar-se sobre qualquer matéria relativa à segurança da informação;
VII - solicitar a colaboração de outras unidades em ações voltadas à segurança da informação;
VIII - propor a expedição de normativas e recomendações necessárias ao exercício de suas competências;
IX - acompanhar as ações relativas à execução de suas deliberações;
X - propor ações voltadas ao seu aperfeiçoamento;
XI - definir os investimentos em segurança da informação, com base em relatórios de gestão de riscos e pesquisas de mercado;
XII - estabelecer os requisitos mínimos de segurança para o uso dos produtos que incorporem recursos de tecnologia, de modo a assegurar disponibilidade, integridade, confidencialidade e autenticidade da informação e garantir interoperabilidade entre os sistemas, ressalvadas as competências específicas de outros setores ou diretorias;
XIII - elaborar relatório anual de suas atividades, a ser encaminhado no último trimestre de cada ano à Defensoria Pública-Geral.
Art. 5º. O CGSI se reunirá, presencialmente ou por videoconferência, em caráter ordinário a cada quadrimestre e, em caráter extraordinário, por convocação de seu Coordenador.
§ 1º. As reuniões do CGSI ocorrerão, em primeira convocação, com a presença da maioria simples de seus membros ou, quinze minutos após a hora estabelecida, em segunda convocação, com apresentação de, no mínimo, um terço de seus membros.
§ 2º. As deliberações do CGSI serão aprovadas pela maioria simples dos membros presentes e o Coordenador que, além do voto regular também terá voto de desempate.
§ 3º. O CGSI poderá convidar representantes de outros setores, diretorias, núcleos ou órgãos e entidades, bem como servidores, para participarem das reuniões, sem direito a voto, com propósito de contribuir para a execução dos trabalhos.
§ 4º. Todos os documentos discutidos e aprovados durante as reuniões do CGSI, bem como aqueles produzidos na preparação das reuniões, deverão ser produzidos em meio eletrônico.
§ 5º. Das reuniões será lavrada ata em que constará a pauta e decisões tomadas.
Art. 6º. A Política de Segurança da Informação (PSI) e suas normas, diretrizes e recomendações ou atos normativos relacionados deverão ser observadas por todos os membros, membras, servidores, servidoras, estagiários, estagiárias, colaboradores e colaboradoras da DPE-RO, integrantes de quaisquer dos seus órgãos, inclusive de Administração Superior, auxiliares ou atuação e execução, independentemente do nível hierárquico ou função, assim como por parceiros, fornecedores ou prestadores de serviços.
Art. 7º. Os casos omissos serão resolvidos pelo Defensor Público-Geral.
Art. 8º. Esta resolução entra em vigor na data de sua publicação, revogando-se as disposições em contrário.
Porto Velho, 16 de dezembro de 2021.
HANS LUCAS IMMICH
Defensor Público-Geral do Estado