Logo de campinas
PREFEITURA MUNICIPAL DE CAMPINAS
Secretaria Municipal de Justiça
Procuradoria-Geral do Município de Campinas
Coordenadoria de Estudos Jurídicos e Biblioteca

Este texto não substitui o publicado no Diário Oficial do Município - DOM.

DECRETO Nº 23.454, DE 10 DE JULHO DE 2024

(Publicação DOM 11/07/2024 p.2)

Aprova o Plano de Segurança da Informação da Prefeitura Municipal de Campinas - PSI para o triênio 2024-2026.

O Prefeito do Município de Campinas, no uso de suas atribuições legais, e
CONSIDERANDO o Decreto nº 22.730, de 28 de março de 2023, que dispõe sobre a dispõe sobre a elaboração do Plano de Segurança de Informação - PSI, e dá outras providências, e designa o Departamento de Informatização-DEINFO, da Secretaria de Chefia de Gabinete do Prefeito-SMCGP como órgão responsável por desenvolver o Plano de Segurança da Informação - PSI;
CONSIDERANDO a necessidade de garantir a continuidade de serviços à Municipalidade e seus parceiros, bem como a proteção aos dados sob sua responsabilidade;
CONSIDERANDO os princípios norteadores da administração pública, notadamente os da legalidade, impessoalidade, moralidade, publicidade e eficiência;
CONSIDERANDO a crescente demanda das instituições públicas no planejamento de proteção e aquisição de produtos e serviços relacionados à segurança cibernética;
CONSIDERANDO que a Lei Geral de Proteção de Dados Pessoais - LGPD, Lei nº 13.709, de 14 de agosto de 2018, estabelece a obrigatoriedade de adoção de medidas de segurança para a proteção de dados pessoais;
CONSIDERANDO a estratégia de governança digital e a necessidade de alinhamento das políticas de segurança da informação com as diretrizes nacionais e internacionais para a área
CONSIDERANDO a importância da integridade, confidencialidade e disponibilidade das informações geridas pelo Município, que impactam diretamente na prestação de serviços públicos e no exercício da cidadania;

CONSIDERANDO a relevância de estabelecer mecanismos de controle e auditoria contínua sobre os sistemas de informação do Município, visando àprevenção de incidentes de segurança;
CONSIDERANDO que a efetiva implementação do Plano de Segurança da Informação demanda a capacitação contínua dos servidores e a conscientização sobre a importância da segurança da informação;
CONSIDERANDO a necessidade de estabelecer uma cultura de segurança da informação no Município, promovendo práticas seguras em todos os níveis da administração;
CONSIDERANDO as recomendações do Tribunal de Contas e de outros órgãos de controle interno e externo relacionadas às boas práticas em segurança da informação;
CONSIDERANDO ainda que a segurança da informação é essencial para a confiança da sociedade nos serviços prestados pela Prefeitura;

CONSIDERANDO o que consta no SEI nº PMC.2023.00024434-17,

DECRETA:


Art. 1º  Fica aprovado o Plano de Segurança da Informação - PSI para o triênio 2024/2026, conforme Anexo que faz parte integrante deste Decreto.

§ 1º O PSI 2024-2026 se encontra disponível para download no endereço https://www.campinas.sp.gov.br/secretaria/chefia-de-gabinete-do-prefeito/pagina/plano-de-seguranca-de-informacao.
§ 2º A partir da entrada em vigor deste Decreto, as Normas Internas do Plano de Segurança da Informação - PSI serão instituídas e editadas sob a forma de resolução pelo Departamento de Informatização - DEINFO.

Art. 2º  O monitoramento, gestão e atualização das Normas de Segurança do Plano de Segurança da Informação - PSI serão mantidos pela Comissão Permanente de Segurança da Informação da Prefeitura Municipal de Campinas, a ser nomeada por portaria.
§ 1º  A coordenação dos trabalhos da Comissão Permanente de Segurança da Informação compete ao DEINFO.
§ 2º  A convocação para as reuniões da Comissão Permanente de Segurança da Informação será feita pela coordenação com antecedência mínima de 1 (um) dia útil, e imediatamente mediante um incidente nos casos de urgência, exigindo maioria absoluta para a aprovação das decisões pautadas em reunião.
§ 3º  Quando necessário, a Comissão Permanente de Segurança da Informação convocará servidores para auxílio na elaboração dos trabalhos.

Art. 3º  São objetivos da Comissão Permanente de Segurança da Informação:

I - a prevenção de incidentes e de ataques cibernéticos no âmbito da Prefeitura Municipal de Campinas;
II - a educação e o desenvolvimento tecnológico em segurança cibernética;
III - a cooperação entre órgãos e entidades, públicas e privadas, em matéria de segurança cibernética;
IV - criar, revisar e revogar as Normas Internas de Segurança, fiscalização e controle destinados a aprimorar a segurança e a resiliência cibernética;
V - simular ataques cibernéticos.

Art. 4º  Fica assegurado à Comissão Permanente de Segurança da Informação, a qualquer tempo, a faculdade de solicitar a suspensão temporária e/ou permanente do acesso de usuário a recurso computacional da Prefeitura Municipal de Campinas, quando evidenciados riscos à segurança da informação.


Art. 5º  Ficam revogadas as disposições em contrário e, em especial, o Decreto nº 17.120, de 30 de julho de 2010.

Art. 6º  Este Decreto entra em vigor na data da publicação.












Em atendimento a Lei Municipal nº 10.248/1999 e Decreto Municipal nº 22.594/2023, meta
M05, ação A13 do PDTIC (Plano Diretor de Tecnologia de Informação e Comunicações),
este Plano de Segurança da Informação (PSI) foi elaborado de forma colaborativa pelo Grupo
de Trabalho e o Departamento de Informatização - DEINFO, da Secretaria de Chefia do
Gabinete do Prefeito - SMCGP. Conforme designado no Decreto nº 22.730 de 28 de março
de 2023.





































































1. Introdução

   Na atualidade, a informatização dos serviços públicos em áreas essenciais como saúde, educação, infraestrutura e cultura, tem possibilitado agilidade e economicidade na prestação desses. Nessas diversas áreas, a Tecnologia da Informação é empregada como ferramenta, por exemplo, na salvaguarda de informações por meio de banco de dados, na concepção de aplicações que proporcionem a prestação de algum serviço aos munícipes, no uso interno de tecnologias para o desenvolvimento de projetos de infraestrutura da cidade de Campinas, e na análise de dados que permita tomadas de decisão mais incisivas e acertadas no campo econômico e social.
   Diante do exposto, faz-se necessária a atenção com a infraestrutura de Segurança da Informação presente na Prefeitura Municipal de Campinas, a qual deve proteger todo o fluxo de informações presentes em seus sistemas, preservando sempre a garantia dos critérios de confidencialidade, integridade e disponibilidade da informação. Ademais, é incentivada a segurança física dos ativos computacionais, bem como a identificação dos riscos e mitigação desses, os quais podem comprometer a continuidade dos serviços de TI da Prefeitura de Campinas.
   Assim, este documento definirá um conjunto de Políticas instituídas como regentes de Normas e diretrizes de Segurança da Informação da Prefeitura Municipal de Campinas. Este conjunto de Normas serão oficialmente implementadas a partir da publicação deste Plano de Segurança da Informação e cada norma contemplará um tópico na estrutura de controles aderentes aos requisitos das normas da família ISO-27000.
   Foi constituído para aprovação deste o Grupo de Trabalho, contando com a participação de, pelo menos, um representante da diretoria e um membro das seguintes áreas: Secretaria Municipal de Chefia de Gabinete do Prefeito - DEINFO, Secretaria Municipal de Gestão e Controle, Secretaria Municipal Finanças, Secretaria Municipal Desenvolvimento de Pessoas, Secretaria Municipal de Saúde, Secretaria Municipal de Educação, Secretaria Municipal de Administração, Secretaria Municipal do Verde, Meio Ambiente e Desenvolvimento Sustentável.


2. Objetivos

   A Prefeitura Municipal de Campinas estabelece sua Política Segurança da Informação, como parte integrante do seu sistema de gestão corporativo, alinhada as boas práticas e normas internacionalmente aceitas, com o objetivo de garantir níveis adequados de proteção a informações da organização ou sob sua responsabilidade. Os principais objetivos deste plano de segurança da informação:

  • Orientar a administração direta e indireta de Campinas na produção de normas em Segurança da Informação a fim de dirimir os riscos de Segurança da Informação;
  •  Orientar a padronização de procedimentos e processos em Segurança da Informação;
  •  Incentivar o uso de técnicas e boas práticas em Segurança da Informação para a criação e manutenção dos sistemas informatizados da Prefeitura Municipal de Campinas;









  • Instruir a administração da Prefeitura Municipal de Campinas na aquisição de ativos de rede e computacionais que estejam de acordo com requisitos de segurança da informação estabelecidos por esta;

  • Orientar a criação dos procedimentos adequados para a resposta de incidentes em Segurança da Informação;

  • Nortear a elaboração de contratos na área de tecnologia da informação a fim de não deixar que esses se furtem de elucidar regras e princípios em Segurança da Informação em suas cláusulas.

3. Documentação de Referência

   As normas e diretrizes citadas neste documento são fundamentais para a construção e solidificação do Plano de Segurança da Informação (PSI). Estas documentações proporcionam a base conceitual e metodológica para o desenvolvimento de estratégias de segurança, assegurando que as práticas adotadas estejam alinhadas com padrões reconhecidos internacionalmente e com a legislação vigente. A seguir, apresentamos a lista de documentos normativos e diretrizes que foram consultados para o embasamento do PSI:

                                                         Tabela 1: Normas de Referência.


4. Política Geral de Segurança da Informação
   Este documento e suas Normas complementares objetivam estabelecer diretrizes que permitam a gestão e aos servidores municipais seguirem padrões de comportamento relacionados à segurança da informação, em






consonância com a Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709, de 14 de agosto de 2018 e o Marco Civil da Internet, Lei nº 12.965, de 23 de abril de 2014, preservando as informações e baseando-se nos pilares:
  • Integridade: propriedade de salvaguarda da exatidão e completeza de ativos. A informação será mantida em seu estado original.

  •  Confidencialidade: propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados. O acesso à informação é obtido somente por pessoas autorizadas.
  • Disponibilidade: propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada.
    Os usuários autorizados, tem acesso à informação e aos ativos correspondentes sempre que necessário.

   Desenvolve-se assim a gestão de Segurança da Informação firmando comportamentos éticos e profissionais, garantindo o sistemático e efetivo suporte as operações críticas e minimizando riscos identificados e seus eventuais impactos à municipalidade.
   As políticas gerais de segurança da informação estabelecidas neste documento regem um conjunto de normas e diretrizes que governam a proteção e o manejo dos dados e ativos de TI dentro da Prefeitura Municipal de Campinas. Essas políticas abrangem amplo escopo e norteiam a garantia de integridade, confidencialidade e disponibilidade das informações.
   São elencadas a seguir as políticas gerais com um resumo de suas aplicações e objetivos principais:

  • Determinar as responsabilidades pela segurança da informação: Determinar e delegar às equipes da Prefeitura Municipal de Campinas de forma objetiva as responsabilidades e deveres pela segurança da informação na Prefeitura Municipal de Campinas.

  • Segurança da informação integrada ao gerenciamento de projetos: A segurança da informação deve ser considerada durante o gerenciamento e execução dos projetos de Tecnologia da Informação da Prefeitura Municipal de Campinas.

  • Garantir a segurança da informação no uso de dispositivos móveis e nas ferramentas de trabalho remoto: Adotar medidas para garantir a SI no uso de dispositivos móveis atestando que as ferramentas do trabalho remoto sejam previamente testadas e consideradas seguras para a utilização.

  • Segurança em recursos humanos: Segurança em recursos humanos Prefeitura Municipal de Campinas.




  • Inventário de ativos computacionais, de rede e softwares: Garantir que os ativos são inventariados, corretamente classificados e adequadamente protegidos, garantindo a adoção das recomendações de segurança indicadas pela Prefeitura Municipal de Campinas.

  •  Classificação da Informação: Classificar as informações que tramitam pela Prefeitura Municipal de Campinas de forma a considerar seu valor, requisitos legais, criticidade e grau de sigilo.

  • Controle de Acesso: Estabelecer regras de acesso à informação que permitam delimitar o uso dos dados ao desempenho das funções papel que cada servidor possui na Prefeitura Municipal de Campinas.

  • Acesso às redes: Os usuários devem ter acesso somente às redes e aos serviços de rede aos quais são autorizados a usar.

  • Uso de criptografia: Uso adequado da criptografia a fim de garantir a confidencialidade, autenticidade.

  • Segurança física: Evitar o acesso físico não autorizado de forma a coibir possíveis danos aos ativos computacionais. Além de não permitir interferências indevidas no processamento e armazenamento de informações por agentes externos.

  •  Segurança no desenvolvimento de sistemas: Estabelecer princípios para a implementação de sistemas seguros e documentados adequadamente.

  • Proteção contra códigos maliciosos: Garantir que os recursos de armazenamento de dados e de processamento sejam protegidos contra códigos maliciosos (vírus, worms, ransomware, etc).

  • Cópias de Segurança: Estabelecer uma política sólida de backup, de cópias de dados, imagem dos sistemas e softwares.

  • Registros e monitoramento do acesso e modificações em base de dados e sistemas: Registrar os eventos de acesso e utilização de sistemas por meio de logs a fim de gerar evidências e rastro no uso desses.

  •  Gestão de Vulnerabilidade: Deve-se impossibilitar que agentes externos e softwares maliciosos explorem vulnerabilidades técnicas dos sistemas da Prefeitura Municipal de Campinas.

  • Restrição à instalação de softwares: Controle adequado dos softwares a serem instalados, de forma a evitar a presença de softwares não autorizados, maliciosos ou não licenciados nos sistemas da Prefeitura Municipal de Campinas.





  • Auditoria de sistemas de informação: Auditoria planejada em sistemas com finalidade de minimizar riscos de ataques e interrupção nos processos dos negócios.
  • Segurança nas comunicações e na transferência de informação: Adoção de práticas e política de transferência de informações de forma segura entre as unidades da Prefeitura Municipal de Campinas e entre agentes externos.
  • Gestão de incidentes de segurança da informação: Garantir o efetivo gerenciamento dos incidentes de segurança da informação, além da análise rotineira das fragilidades e eventos relativos à segurança da informação.
  • Redundâncias: Adotar projetos, estratégias e políticas de redundância para sistemas e infraestrutura
    para assegurar a disponibilidade da informação.
  • Descarte adequado de mídias: Descarte seguro das mídias eletrônicas e Impressas, utilizando-se de procedimentos formais garantindo que dados não sejam vazados.
  • Mesa Limpa: Adotar práticas da Mesa Limpa, para reduzir a exposição de informações analógicas em documentos importantes e dispositivos de armazenamento de dados expostos.
  • Controle Sobre o Uso de Mídias Removíveis e Dispositivos Móveis (BYOD): Implementar controles para o uso de mídias removíveis e dispositivos móveis (BYOD) com regras específicas, para acesso seguro às redes e informações. Monitorar e controlar o uso de mídias removíveis para prevenir transferências não autorizadas de dados.

5. Estrutura de Normas Complementares de Segurança da Informação
  
   Definidas neste documento a estrutura de políticas gerais que compõe o cerne do Plano de Segurança da Informação, são detalhadas e segmentadas a seguir normas complementares que estabelecem objetivos e controles de segurança aderentes à norma ISO/IEC - 27001 e 27002.
   A partir das políticas gerais, são desenvolvidas normas internas específicas que são aplicáveis a diferentes aspectos da nossa operação e gestão de TI. Estas normas não apenas refletem as melhores práticas e padrões internacionais, mas também estão em consonância com as necessidades da Prefeitura Municipal de Campinas.
   Serão instituídas as seguintes Normas:
  1. NIS-01-Utilização da Internet e Correio Eletrônico;

  2. NIS-02-Utilização e Desenvolvimento de Software;

  3. NIS-03-Prevenção a Desastres de Segurança da Informação;

  4. NIS-04-Recuperação de Desastres;

  5. NIS-05-Gestão de Incidentes e ataques cibernéticos;  




     6. NIS-06-Inventário e Ativos de Software;

     7. NIS-07-Identidade e Controle de Acesso;

     8. NIS-08-Acesso Remoto;

     9. NIS-09-Proteção Contra Códigos maliciosos;

    10. NIS-10-Uso de Equipamentos Pessoais (BYOD);

    11. NIS-11-Desenvolvimento de Pessoas em Privacidade e Segurança da Informação;

    12. NIS-12-Uso aceitável de Ativos de Informação;

    13. NIS-13-Uso Seguro de Computação em Nuvem;

    14. NIS-14-Termo de Uso de Sistemas Internos - TUSI;

    15. NIS-15-Termo de Responsabilidade de Guarda e Uso de Equipamento de Informática;

    16. NIS-16-Termo de Responsabilidade de Perfil de Administrador;

    17. NIS-17-Termo de Responsabilidade e Sigilo da Informação.

   Cada norma é apresentada como um anexo deste documento, proporcionando uma referência detalhada e direcionada para a implementação. Os anexos são elaborados para facilitar a compreensão e aplicação das políticas em ações concretas e operacionais, garantindo assim a segurança contínua de nossos ativos de informação, bem como a fácil revisão de cada uma de forma independente.
   A integração destas normas no nosso ambiente de trabalho é crucial para a proteção contra as ameaças à segurança da informação e para a manutenção da continuidade dos negócios. A Gestão, ampliação, revisão e revogação destas normas ficará a cargo da Comissão Permanente de Segurança da Informação nomeada após a publicação deste plano de Segurança da Informação. As Normas Internas de Segurança da Informação serão instituídas por Ato Normativo da Secretaria de Chefia de Gabinete do Prefeito.

6. Plano de Ação em Segurança da Informação.

   6.2 Estratégias para um Fortalecimento Institucional:

O Plano de Ação em Segurança da Informação constitui uma estrutura dinâmica e adaptativa, destinada a fortalecer a segurança das informações em um ambiente tecnológico em constante evolução. A eficácia deste plano não se restringe apenas às políticas e procedimentos estabelecidos, mas também à governança que o sustentará. Neste cenário, a manutenção e o desenvolvimento contínuo de uma Comissão Permanente de Segurança da Informação, desempenha um papel fundamental agindo como o eixo estratégico para a implantação, avaliação e refinamento constante das estratégias de segurança.
  
6.3 Implementação e Flexibilidade:

O Plano de Ação visa a implementação efetiva do Plano de Segurança da Informação, com ações sendo construídas, revisadas e implementadas continuamente. A adaptabilidade é essencial, permitindo que o Comissão Permanente de Segurança da Informação expanda sua composição e integre especializações em novas áreas de risco e segurança conforme necessário.



6.4 Revisão e Aprimoramento:

   Além da implementação inicial, a Comissão Permanente de Segurança da Informação é responsável por um ciclo contínuo de revisão e aprimoramento das políticas e controles de segurança. Este processo vital garante que o plano permaneça alinhado aos objetivos organizacionais e ao cenário de ameaças que evolui rapidamente, assegurando a eficácia das medidas de segurança e a identificação de áreas para melhorias.

6.5 Estratégias e Aquisições:

   A Comissão Permanente de Segurança da Informação também lidera a direção estratégica para futuras aquisições em segurança da informação, identificando tecnologias essenciais, serviços e competências para reforçar a postura de segurança organizacional e integrá-las ao plano de ação.

6.6 Objetivos e Resultados Esperados:
   O plano estabelece objetivos claros, princípios e diretrizes de segurança, regulamenta a gestão da segurança da informação e promove a conscientização entre os servidores. Almeja-se aprimorar a capacidade de resposta a ataques cibernéticos significativos, minimizando danos e acelerando a recuperação. Com um foco nas ações estruturantes e de conformidade selecionadas, este plano estratégico visa abordar eficientemente as prioridades de segurança da informação dentro do período estabelecido.

6.7 Ações Estratégicas:
   As ações propostas são estratégicas e alinhadas às diretrizes prioritárias da gestão, englobando:
  •  O fortalecimento contínuo da segurança da informação e da cibersegurança, assegurando alinhamento com as diretrizes da Prefeitura Municipal de Campinas.
  • A melhoria da infraestrutura tecnológica e dos serviços.
  • O reforço na gestão de riscos associados a incidentes de TIC.
  • A implementação de mecanismos para a proteção de dados pessoais.

6.8 Direcionamento e implementação:

   O Plano de Ação em Segurança da Informação reflete um compromisso com a proteção e a segurança das informações institucionais, através de uma abordagem estratégica e coesa. Com ações alinhadas aos objetivos e diretrizes estratégicas, o plano se posiciona como um instrumento vital para a gestão eficiente da segurança da informação. A Seguir a planilha do Plano de Ação, detalhando cada ação proposta, prazos e responsáveis, garantindo a implementação efetiva e o monitoramento contínuo das estratégias estabelecidas.
Esta planilha é dinâmica e será expandida em ações segmentadas propostas pela equipe do plano de trabalho.


























Campinas, 10 de julho de 2024

DÁRIO SAADI
Prefeito Municipal

PETER PANUTTO
Secretário Municipal de Justiça

Redigido nos termos do processo SEI PMC.2024.00063319-40.

ADERVAL FERNANDES JUNIOR
Secretário Municipal Chefe de Gabinete do Prefeito