Diário Oficial da União - 29/10/2020
O Plenário do Conselho Regional de Farmácia do Estado de São Paulo (CRF-SP), no uso das atribuições que lhe são conferidas pela Lei nº 3.820, de 11 de novembro de 1960, e pelo Regimento Interno, em conformidade com o item 5.7 de ata da 8ª Reunião Plenária Ordinária, realizada no dia 19 de outubro de 2020,
Considerando a Lei nº 12.527, de 18 de novembro de 2011, que regula o acesso a informações previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal; altera a Lei nº 8.112, de 11 de dezembro de 1990; revoga a Lei nº 11.111, de 5 de maio de 2005, e dispositivos da Lei nº 8.159, de 8 de janeiro de 1991; e dá outras providências,
Considerando a Lei 13.709, de 14 de agosto de 2018, que trata da Lei Geral de Proteção de Dados Pessoais (LGPD),
Considerando o Decreto nº 7.724, de 16 de maio de 2012, que regulamenta a Lei nº 12.527, de 18 de novembro de 2011, que dispõe sobre o acesso a informações previsto no inciso XXXIII do caput do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição,
Considerando o Decreto nº 9.637, de 26 de dezembro de 2018 que institui a Política Nacional de Segurança da Informação, dispõe sobre a governança da segurança da informação, e altera o Decreto nº 2.295, de 4 de agosto de 1997, que regulamenta o disposto no art. 24, caput, inciso IX, da Lei nº 8.666, de 21 de junho de 1993, e dispõe sobre a dispensa de licitação nos casos que possam comprometer a segurança nacional.
Considerando a Norma Complementar nº 14/IN01/DSIC/GSIPR, do Gabinete de Segurança Institucional da Presidência da República, Departamento de Segurança da Informação e Comunicações;
Resolução nº 670, de 13 de dezembro de 2018 que cria o Código de Classificação e a Tabela de Temporalidade de documentos referentes às atividades finalísticas do sistema Conselhos Federal e Regionais de Farmácia e dá outras providências;
Considerando a Portaria nº 398, de 25 de novembro de 2019 do Arquivo Nacional que aprovou o Código de Classificação e a Tabela de Temporalidade e Destinação dos Documentos de Arquivo relativos às atividades-fim dos Conselhos de Fiscalização Profissional,
Considerando a necessidade de instituição de uma Política que impeça o uso inadequado de informações, bem como criar obstáculos à existência de fraudes, resolve:
Art. 1º. Instituir a Política Corporativa de Segurança da Informação do Conselho Regional de Farmácia do Estado de São Paulo (CRF-SP), conforme ANEXO I desta Deliberação.
Parágrafo único. Essa política visa garantir a segurança e a adequada guarda de dados obtidos pelo CRF-SP, no exercício de suas atividades.
Art. 2º. Fica instituída a Comissão de Avaliação de Documentos e Segurança da Informação.
§ 1º. A Comissão é composta por colaboradores oriundos dos departamentos que realizam a atividade finalística do CRF-SP, bem como por integrantes dos Departamentos Jurídico, de Tecnologia da Informação, Ouvidoria e Secretaria de Planejamento, Controle Interno e Gestão de Risco.
§ 2º. A Comissão tem as seguintes atribuições:
I. Assessorar na implementação das ações de segurança da informação;
II. Constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre segurança da informação;
III. Propor alterações na política de segurança da informação interna;
IV. Propor normas internas relativas à segurança da informação, e
V. Orientar procedimentos para guarda e eliminação de documentos, bem como a classificação quanto à eventual restrição de acesso.
§ 3º. A referida comissão será nomeada por ato normativo específico e terá mandato de 2 anos que poderá ser renovado por igual período.
Art. 3º. Os procedimentos descritos nesta Deliberação serão submetidos aos mecanismos de controle interno do CRF-SP.
Art. 4º. Esta Deliberação entra em vigor na data de sua publicação, revogando-se as disposições em contrário.
MARCOS MACHADO FERREIRA
Presidente do Conselho
ANEXO I
POLÍTICA CORPORATIVA DE SEGURANÇA DA INFORMAÇÃO
1. Introdução
1.1. A Política de segurança da informação, no Conselho Regional de Farmácia do Estado de SP, aplica-se a todos os agentes públicos, incluindo trabalhos executados externamente ou por terceiros, que utilizem o ambiente de processamento da Entidade, ou acesso a informações do Conselho Regional de Farmácia do Estado de SP.
1.2. Todo e qualquer usuário de recursos computadorizados da Entidade tem a responsabilidade de proteger a segurança e integridade das informações e dos equipamentos de informática.
2. Definições
2.1. Agente Público - todo aquele que, por força de lei, contrato ou qualquer outro ato jurídico, preste serviços de natureza permanente, temporária, excepcional ou eventual para o CRF-SP, independentemente de ser remunerado ou não, inclusive aqueles que estiverem em gozo de licença ou em período de afastamento, que obtiverem acesso para uso dos recursos computacionais e de rede do CRF-SP, bem como acesso a documentos nos diversos meios de guarda da instituição.
2.2. Usuário externo - todos os usuários do serviço, sejam pessoas físicas ou jurídicas, que tenham se registrado na entidade em algum momento, bem como fornecedores e prestadores de serviços, ou outros, que, por qualquer motivo, tenham interesse no acesso às informações geridas pela entidade.
2.3. DTI - Departamento de Tecnologia da Informação do CRF-SP.
2.4. Autenticidade: propriedade pela qual se assegura que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade
2.5. Confidencialidade: propriedade pela qual se assegura que a informação não esteja disponível ou não seja revelada a pessoa, sistema, órgão ou entidade não autorizado nem credenciado
2.6. Disponibilidade: propriedade pela qual se assegura que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade
2.7. Integridade: propriedade pela qual se assegura que a informação não foi modificada ou destruída de maneira não autorizada ou acidental
3. Objetivos
I. Garantir a disponibilidade, integridade, confidencialidade, autenticidade da informação necessária para a realização das atividades do CRF-SP, observados os direitos e as garantias fundamentais;
II. Fomentar desenvolvimento tecnológico e de inovação relacionadas à segurança da informação;
III. Fomentar a formação e a qualificação dos recursos humanos necessários à área de segurança da informação;
IV. Fortalecer a cultura da segurança da informação no CRF-SP;
V. Orientar ações relacionadas a:
a) segurança dos dados custodiados pelo CRF-SP, sejam estes físicos ou eletrônicos;
b) proteção das informações das pessoas físicas e pessoas jurídicas que possam ter sua segurança ou a segurança das suas atividades afetada, observada a legislação específica; e
VI. Contribuir para a preservação da memória do CRF-SP e da profissão farmacêutica.
VII. Orientação à gestão de riscos e à gestão da segurança da informação.
VIII. Tratamento das informações com restrição de acesso.
4. Todos os procedimentos adotados pelo CRF-SP devem garantir a segurança da informação sigilosa e proteção contra vazamento de dados.
5. Os diversos departamentos e setores do CRF-SP devem atuar de forma alinhada com as orientações da Comissão de Avaliação de Documentos e Segurança da Informação.
6. Classificação e guarda dos documentos
6.1. Os critérios para a classificação e guarda dos documentos serão instituídos por normatização específica, seguindo o preconizado em normas vigentes.
6.2. Compete aos gestores dos departamentos e setores a orientação e supervisão do cumprimento dessa política, bem como das normas a respeito a guarda, acesso e destinação dos documentos.
6.3. O descumprimento das normas estabelecidas sujeita a responsabilização administrativa, sem prejuízo de demais encaminhamentos da esfera cível e criminal.
7. O agente público que tiver ciência de qualquer existência de vulnerabilidades ou incidente de segurança que impactem ou possa impactar os serviços prestados por essa autarquia deve ser imediatamente comunicar à Comissão de Avaliação de Documentos e Segurança da Informação
8. Compete ao DTI ser o gestor do processo de segurança e proteger as informações eletrônicas da entidade, catalisando, coordenando, desenvolvendo e implementando ações para evitar o uso inadequado das informações e impedir fraudes, não sendo permitidas ao usuário efetuar alterações, exclusões ou inserções de arquivos de configuração do equipamento recebido/utilizado sem a prévia autorização do DTI.
8.1. O gerenciamento do(s) bancos (s) de dados é responsabilidade exclusiva do DTI, assim como a manutenção, alteração, atualização de equipamentos e programas e cópias de segurança.
8.2. Os softwares homologados e instalados nos computadores e servidores de rede são de propriedade exclusiva ou devidamente licenciados para uso pelo CRF-SP, sendo proibidas as cópias integrais, ou mesmo as parciais.
9. Cabe ao CRF-SP a implementação de controles internos fundamentados na gestão de risco da segurança da informação.
10. A não observância de qualquer dos preceitos descritos na íntegra desta Política implicará na aplicação de sanções previstas em legislação vigente aplicável ao tema.
11. A Política Corporativa de segurança da Informação pode ser atualizada a qualquer tempo, independentemente de notificação prévia, conforme as necessidades da entidade.
