Deliberação CRF-SP n° 12, de 27 de outubro de 2020

Diário Oficial da União - 29/10/2020

 

O Plenário do Conselho Regional de Farmácia do Estado de São Paulo (CRF-SP), no uso das atribuições que lhe são conferidas pela Lei nº 3.820, de 11 de novembro de 1960, e pelo Regimento Interno, em conformidade com o item 5.7 de ata da 8ª Reunião Plenária Ordinária, realizada no dia 19 de outubro de 2020,

Considerando a Lei nº 12.527, de 18 de novembro de 2011, que regula o acesso a informações previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal; altera a Lei nº 8.112, de 11 de dezembro de 1990; revoga a Lei nº 11.111, de 5 de maio de 2005, e dispositivos da Lei nº 8.159, de 8 de janeiro de 1991; e dá outras providências,

Considerando a Lei 13.709, de 14 de agosto de 2018, que trata da Lei Geral de Proteção de Dados Pessoais (LGPD),

Considerando o Decreto nº 7.724, de 16 de maio de 2012, que regulamenta a Lei nº 12.527, de 18 de novembro de 2011, que dispõe sobre o acesso a informações previsto no inciso XXXIII do caput do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição,

Considerando o Decreto nº 9.637, de 26 de dezembro de 2018 que institui a Política Nacional de Segurança da Informação, dispõe sobre a governança da segurança da informação, e altera o Decreto nº 2.295, de 4 de agosto de 1997, que regulamenta o disposto no art. 24, caput, inciso IX, da Lei nº 8.666, de 21 de junho de 1993, e dispõe sobre a dispensa de licitação nos casos que possam comprometer a segurança nacional.

Considerando a Norma Complementar nº 14/IN01/DSIC/GSIPR, do Gabinete de Segurança Institucional da Presidência da República, Departamento de Segurança da Informação e Comunicações;

Resolução nº 670, de 13 de dezembro de 2018 que cria o Código de Classificação e a Tabela de Temporalidade de documentos referentes às atividades finalísticas do sistema Conselhos Federal e Regionais de Farmácia e dá outras providências;

Considerando a Portaria nº 398, de 25 de novembro de 2019 do Arquivo Nacional que aprovou o Código de Classificação e a Tabela de Temporalidade e Destinação dos Documentos de Arquivo relativos às atividades-fim dos Conselhos de Fiscalização Profissional,

Considerando a necessidade de instituição de uma Política que impeça o uso inadequado de informações, bem como criar obstáculos à existência de fraudes, resolve:

Art. 1º. Instituir a Política Corporativa de Segurança da Informação do Conselho Regional de Farmácia do Estado de São Paulo (CRF-SP), conforme ANEXO I desta Deliberação.

Parágrafo único. Essa política visa garantir a segurança e a adequada guarda de dados obtidos pelo CRF-SP, no exercício de suas atividades.

Art. 2º. Fica instituída a Comissão de Avaliação de Documentos e Segurança da Informação.

§ 1º. A Comissão é composta por colaboradores oriundos dos departamentos que realizam a atividade finalística do CRF-SP, bem como por integrantes dos Departamentos Jurídico, de Tecnologia da Informação, Ouvidoria e Secretaria de Planejamento, Controle Interno e Gestão de Risco.

§ 2º. A Comissão tem as seguintes atribuições:

I. Assessorar na implementação das ações de segurança da informação;

II. Constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre segurança da informação;

III. Propor alterações na política de segurança da informação interna;

IV. Propor normas internas relativas à segurança da informação, e

V. Orientar procedimentos para guarda e eliminação de documentos, bem como a classificação quanto à eventual restrição de acesso.

§ 3º. A referida comissão será nomeada por ato normativo específico e terá mandato de 2 anos que poderá ser renovado por igual período.

Art. 3º. Os procedimentos descritos nesta Deliberação serão submetidos aos mecanismos de controle interno do CRF-SP.

Art. 4º. Esta Deliberação entra em vigor na data de sua publicação, revogando-se as disposições em contrário.

MARCOS MACHADO FERREIRA

Presidente do Conselho

 

 

ANEXO I

POLÍTICA CORPORATIVA DE SEGURANÇA DA INFORMAÇÃO

 

1. Introdução

1.1. A Política de segurança da informação, no Conselho Regional de Farmácia do Estado de SP, aplica-se a todos os agentes públicos, incluindo trabalhos executados externamente ou por terceiros, que utilizem o ambiente de processamento da Entidade, ou acesso a informações do Conselho Regional de Farmácia do Estado de SP.

1.2. Todo e qualquer usuário de recursos computadorizados da Entidade tem a responsabilidade de proteger a segurança e integridade das informações e dos equipamentos de informática.

2. Definições

2.1. Agente Público - todo aquele que, por força de lei, contrato ou qualquer outro ato jurídico, preste serviços de natureza permanente, temporária, excepcional ou eventual para o CRF-SP, independentemente de ser remunerado ou não, inclusive aqueles que estiverem em gozo de licença ou em período de afastamento, que obtiverem acesso para uso dos recursos computacionais e de rede do CRF-SP, bem como acesso a documentos nos diversos meios de guarda da instituição.

2.2. Usuário externo - todos os usuários do serviço, sejam pessoas físicas ou jurídicas, que tenham se registrado na entidade em algum momento, bem como fornecedores e prestadores de serviços, ou outros, que, por qualquer motivo, tenham interesse no acesso às informações geridas pela entidade.

2.3. DTI - Departamento de Tecnologia da Informação do CRF-SP.

2.4. Autenticidade: propriedade pela qual se assegura que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade

2.5. Confidencialidade: propriedade pela qual se assegura que a informação não esteja disponível ou não seja revelada a pessoa, sistema, órgão ou entidade não autorizado nem credenciado

2.6. Disponibilidade: propriedade pela qual se assegura que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade

2.7. Integridade: propriedade pela qual se assegura que a informação não foi modificada ou destruída de maneira não autorizada ou acidental

3. Objetivos

I. Garantir a disponibilidade, integridade, confidencialidade, autenticidade da informação necessária para a realização das atividades do CRF-SP, observados os direitos e as garantias fundamentais;

II. Fomentar desenvolvimento tecnológico e de inovação relacionadas à segurança da informação;

III. Fomentar a formação e a qualificação dos recursos humanos necessários à área de segurança da informação;

IV. Fortalecer a cultura da segurança da informação no CRF-SP;

V. Orientar ações relacionadas a:

a) segurança dos dados custodiados pelo CRF-SP, sejam estes físicos ou eletrônicos;

b) proteção das informações das pessoas físicas e pessoas jurídicas que possam ter sua segurança ou a segurança das suas atividades afetada, observada a legislação específica; e

VI. Contribuir para a preservação da memória do CRF-SP e da profissão farmacêutica.

VII. Orientação à gestão de riscos e à gestão da segurança da informação.

VIII. Tratamento das informações com restrição de acesso.

4. Todos os procedimentos adotados pelo CRF-SP devem garantir a segurança da informação sigilosa e proteção contra vazamento de dados.

5. Os diversos departamentos e setores do CRF-SP devem atuar de forma alinhada com as orientações da Comissão de Avaliação de Documentos e Segurança da Informação.

6. Classificação e guarda dos documentos

6.1. Os critérios para a classificação e guarda dos documentos serão instituídos por normatização específica, seguindo o preconizado em normas vigentes.

6.2. Compete aos gestores dos departamentos e setores a orientação e supervisão do cumprimento dessa política, bem como das normas a respeito a guarda, acesso e destinação dos documentos.

6.3. O descumprimento das normas estabelecidas sujeita a responsabilização administrativa, sem prejuízo de demais encaminhamentos da esfera cível e criminal.

7. O agente público que tiver ciência de qualquer existência de vulnerabilidades ou incidente de segurança que impactem ou possa impactar os serviços prestados por essa autarquia deve ser imediatamente comunicar à Comissão de Avaliação de Documentos e Segurança da Informação

8. Compete ao DTI ser o gestor do processo de segurança e proteger as informações eletrônicas da entidade, catalisando, coordenando, desenvolvendo e implementando ações para evitar o uso inadequado das informações e impedir fraudes, não sendo permitidas ao usuário efetuar alterações, exclusões ou inserções de arquivos de configuração do equipamento recebido/utilizado sem a prévia autorização do DTI.

8.1. O gerenciamento do(s) bancos (s) de dados é responsabilidade exclusiva do DTI, assim como a manutenção, alteração, atualização de equipamentos e programas e cópias de segurança.

8.2. Os softwares homologados e instalados nos computadores e servidores de rede são de propriedade exclusiva ou devidamente licenciados para uso pelo CRF-SP, sendo proibidas as cópias integrais, ou mesmo as parciais.

9. Cabe ao CRF-SP a implementação de controles internos fundamentados na gestão de risco da segurança da informação.

10. A não observância de qualquer dos preceitos descritos na íntegra desta Política implicará na aplicação de sanções previstas em legislação vigente aplicável ao tema.

11. A Política Corporativa de segurança da Informação pode ser atualizada a qualquer tempo, independentemente de notificação prévia, conforme as necessidades da entidade.