Ir para o conteúdo [1] | Ir para o menu [2]
| |

Prefeitura de Queluz — SP · Departamento de Tecnologia da Informação

Política de Segurança da Informação

PSI — Versão 1.0 Publicado: 08/10/2025 Benedito Braz dos Santos — Analista de TI

Diretrizes, responsabilidades, procedimentos e controles voltados à proteção dos ativos de informação do Município — baseados nas normas ISO/IEC 27001:2022, ISO/IEC 27002:2022, ISO 31000:2018, LGPD (Lei nº 13.709/2018) e Marco Civil da Internet (Lei nº 12.965/2014).

1. Introdução

A Prefeitura do Município de Queluz, por meio do Departamento de Tecnologia da Informação (DTI), é responsável pela gestão, manutenção, sustentação, modernização e segurança da infraestrutura tecnológica que suporta as atividades administrativas e operacionais de todas as Secretarias e unidades organizacionais do Município.

Compete ao DTI garantir a disponibilidade, desempenho, integridade e continuidade dos sistemas corporativos, serviços digitais, redes de comunicação e bancos de dados, abrangendo Secretarias, Escolas, Hospital Municipal, Unidades Básicas de Saúde, Sistemas de Videomonitoramento e demais unidades funcionais — em infraestrutura local ou em nuvem.

Existe a perspectiva de implantação de uma rede corporativa interligada por fibra óptica entre todos os setores, permitindo centralização do acesso, padronização dos ambientes e aplicação uniforme das políticas de segurança.

A presente PSI está fundamentada nas normas ISO/IEC 27001:2022, ISO/IEC 27002:2022, ISO 31000:2018, no Marco Civil da Internet (Lei nº 12.965/2014) e na LGPD (Lei nº 13.709/2018).

Considerando a constante evolução tecnológica e das ameaças cibernéticas, esta Política deverá ser periodicamente revisada e atualizada.

Histórico de versões

VersãoDataAutorComentários
1.008/10/2025Benedito Braz dos SantosPublicação inicial

2. Objetivo

A PSI tem por objetivo estabelecer diretrizes, processos, procedimentos, controles e normas aplicáveis a toda a Administração Pública Municipal, visando fortalecer a governança de TI, mitigar riscos operacionais e cibernéticos, assegurar a continuidade dos serviços públicos e proteger os ativos institucionais.

Disponibilidade

Informações e sistemas acessíveis sempre que necessário pelos usuários autorizados.

Integridade

Garantia de que ativos de informação não sejam alterados de forma não autorizada ou acidental.

Confidencialidade

Acesso às informações somente por indivíduos, órgãos e entidades devidamente autorizados.

Autenticidade

Certificação da origem das informações, evitando mutações ao longo do processo.

3. Padrões Comportamentais

Fixados com base nas diretrizes da LGPD (Lei nº 13.709/2018) e da Instrução Normativa SEADM nº 03, de 23 de dezembro de 2025:

3.1
Disponibilidade

As informações e recursos deverão estar disponíveis sempre que necessários para qualquer indivíduo, órgão ou sistema autorizado.

3.2
Integridade

Garantia que os ativos de informação estejam protegidos e não sejam alterados de forma não autorizada ou acidental.

3.3
Confidencialidade

Acesso às informações somente de indivíduos, órgãos e entidades autorizadas.

3.4
Autenticidade

As informações deverão ser certificadas com relação à sua origem, evitando mutações ao longo do processo.

3.5
Atualidade

Deverão ocorrer atualizações periódicas dos procedimentos e normas para manutenção da qualidade e segurança dos serviços.

3.6
Aplicabilidade

Todos os processos de trabalho deverão ser integrados e aplicados de maneira funcional, obedecendo as normas de segurança.

3.7
Clareza

Não poderá existir dúvidas relacionadas às responsabilidades, normas, procedimentos e direitos de cada envolvido.

3.8
Conhecimento

Deverão ser desenvolvidos materiais informativos e capacitações periódicas dos servidores acerca da Segurança da Informação.

3.9
Simplicidade

A segurança deverá ser realizada de maneira simples, eficaz e objetiva de forma a evitar erros.

3.10
Privilégios Mínimos

Os recursos disponíveis deverão ser necessários para um bom desempenho das atividades, evitando acesso a recursos não condizentes às funções.

3.11
Auditoria

Qualquer tipo de processo poderá ser auditado e suas informações rastreáveis por meio de log.

3.12
Resiliência

Deverá ter a capacidade de recuperação rápida em caso de desastre ou perda de informações.

3.13
Redundância

Em caso de falhas, um outro controle assume o papel, evitando transtornos por falta de disponibilidade.

3.14
Legalidade

Garantia de que as informações estão de acordo com a legislação vigente.

3.15
Irretratabilidade

Capacidade de garantir que o autor de uma transação ou alteração em sistema não possa negar sua autoria, mediante registros de auditoria (logs) e assinaturas digitais.

IMPORTANTE: As diretrizes estabelecidas pela PSI são de cumprimento obrigatório, sem exceções, a toda a Administração Direta e aos agentes que utilizam ou geram informações, devendo todos permanecerem atualizados quanto aos seus termos, processos e procedimentos.

4. Diretrizes

As seguintes diretrizes são de cumprimento obrigatório:

  • 4.1 A Segurança da Informação, por meio da análise de vulnerabilidades e mitigação de riscos, deverá ser preservada e constantemente incentivada.
  • 4.2 Os servidores e demais agentes terão acesso somente às informações necessárias ao efetivo desempenho de suas funções e atribuições.
  • 4.3 Todo incidente que potencialmente afete a Segurança da Informação deverá ser imediatamente e formalmente reportado à chefia imediata.
  • 4.4 A Prefeitura reserva-se o direito de, a qualquer tempo, analisar dados e evidências para obtenção de provas com a finalidade de instruir processos investigatórios administrativos, civis ou criminais.
  • 4.5 Toda aquisição de equipamentos e contratação de serviços de TI somente ocorrerá após análise e manifestação técnica formal do Departamento de Tecnologia da Informação.
  • 4.6 Os ambientes da Prefeitura, sistemas de gestão, redes e computadores poderão ser monitorados ou gravados sem aviso prévio.
  • 4.7 Equipamentos poderão ser removidos ou desligados para manutenção, auditoria ou realocação sem aviso prévio.
  • 4.8 É dever de cada servidor manter-se atualizado sobre os procedimentos e normas desta Política, consultando o DTI sempre que necessário.

5. Responsabilidades e Atribuições Específicas

5.1 Departamento de Tecnologia da Informação — DTI

  • Rever, atualizar e aprovar periodicamente a PSI
  • Realizar configurações, atualizações e instalações de ferramentas adequadas em todos os equipamentos
  • Em caso de desligamento de servidor ou usuário, bloquear contas e credenciais imediatamente após comunicação
  • Promover capacitações e materiais informativos sobre Segurança da Informação
  • Avaliar periodicamente a eficácia dos controles de segurança e alertar sobre engenharia social e fraudes
  • Implantar mecanismos de controle com auditoria por logs, com atenção especial a sistemas com acesso externo
  • Manter cópias seguras e testadas dos sistemas em locais diferentes com acesso restrito
  • Criar perfis de acesso com privilégios mínimos e revogar acessos desnecessários periodicamente
  • Criar, estruturar, gerenciar e prover a conexão entre as redes de dados da Prefeitura

5.2 Secretarias e demais Unidades Organizacionais e Funcionais

  • Cumprir e fazer cumprir a PSI, assegurando que suas equipes conheçam seus termos
  • Sugerir procedimentos de Segurança da Informação relacionados às suas áreas
  • Comunicar imediatamente ao DTI qualquer violação de Segurança da Informação identificada

5.3 Departamento de Pessoal

  • Comunicar ao DTI todo ingresso e desligamento (efetivo ou temporário) de servidores para inserção ou bloqueio de credenciais de acesso

5.4 Servidores e demais agentes e usuários

  • Manter sigilo e confidencialidade das informações que detém ou deteve
  • Em caso de desligamento, devolver os equipamentos mediante recibo
  • Ser responsável por danos decorrentes do não cumprimento das normas da PSI
  • Relatar imediatamente à chefia qualquer incidente de segurança ou suspeita de ocorrência

6. Normas Gerais de Controle e Acesso

6.1 Monitoramento e Auditoria

  • Estações de trabalho, servidores e equipamentos móveis poderão ser monitorados pelo DTI a qualquer tempo
  • O DTI poderá promover inspeções físicas nos equipamentos e instalar sistemas de proteção preventivos e detectáveis

6.2 Acesso Lógico

O acesso lógico será concedido exclusivamente mediante identificação única e pessoal. É vedado o compartilhamento de credenciais:

  • Privilégios concedidos conforme as necessidades da função
  • Acesso remoto somente com autorização prévia do DTI
  • E-mails institucionais criados por solicitação do gestor da unidade ao DTI
  • Credenciais provisórias criadas pelo DTI — o usuário deve trocar imediatamente no primeiro login por senha forte e pessoal
  • Credenciais devem ser trocadas periodicamente; em caso de perda, solicitar nova ao DTI imediatamente
  • Acessos suspeitos devem ser informados com urgência ao DTI

6.3 Acesso à Infraestrutura

Acesso às salas de infraestrutura é restrito aos servidores do DTI. As salas devem permanecer constantemente trancadas.

6.4 Internet e Intranet — Conteúdos Proibidos

É proibido acessar, armazenar, distribuir ou editar conteúdos das seguintes categorias:

  • Material sexualmente explícito, impróprio, ofensivo, preconceituoso ou discriminatório
  • Apologia à violência, ao terrorismo ou às drogas
  • Violação de direito autoral (pirataria) e quaisquer formas de fraude
  • Sites de relacionamento, bate-papo e entretenimento (exceto com autorização expressa)
  • Compartilhamento de arquivos alheios às atividades da Administração Pública

Também são vedados:

  • Download de programas, jogos ou arquivos com extensões .exe .mp3 .wav .bat .com .sys .scr .mpeg .avi .dll sem autorização do DTI
  • Uso de jogos (inclusive online) e acesso por proxy não autorizado pelo DTI
  • Uso de equipamentos pessoais na rede municipal sem cadastro prévio no DTI
Celulares e smartphones de servidores poderão acessar a rede da Prefeitura desde que previamente cadastrados pelo DTI.

6.5 Manifestação Pública e Compartilhamento

  • Somente servidores autorizados pela Administração poderão copiar, imprimir ou enviar prints ou imagens de tela para terceiros
  • É proibida a divulgação de informações administrativas ou imagens de sistemas em redes sociais, bate-papo ou qualquer tecnologia correlata

7. E-mail Institucional (Correio Eletrônico)

O correio eletrônico fornecido pela Prefeitura é de uso exclusivamente corporativo, vedado o uso pessoal.

Toda mensagem de e-mail institucional deve conter obrigatoriamente a assinatura padronizada pela Secretaria de Comunicação: nome completo, cargo, secretaria e telefone de contato institucional.

8. Computadores, Dispositivos Portáteis e Recursos Tecnológicos

A Prefeitura é proprietária dos equipamentos fornecidos aos seus servidores e reserva-se o direito de inspecioná-los a qualquer tempo. Normas aplicáveis:

  • Arquivos devem ser armazenados no servidor de arquivos indicado pelo DTI — evitar armazenamento local no disco da estação
  • Manutenção de equipamentos apenas mediante abertura de chamado ao DTI — vedada qualquer ação por pessoa estranha ao setor
  • A violação de lacre de segurança instalado pelo DTI configura ato atentatório à PSI, sujeitando o autor a procedimento administrativo disciplinar
  • Somente o DTI está autorizado a configurar rede, roteadores, switches e alterar endereços IP
  • Uso de pendrives e mídias removíveis somente para atividades de trabalho, com autorização expressa da chefia imediata
  • Proibido armazenar arquivos pessoais (fotos, vídeos, documentos) em equipamentos da Prefeitura
  • Proibido usar impressoras institucionais para impressões de documentos pessoais

9. Backup

A política de backup assegura que, em caso de incidente, a Prefeitura consiga restaurar dados em sua totalidade sem transtornos. Procedimentos obrigatórios:

  • Todo sistema deve possuir cópia de dados para restauração com impactos mínimos
  • Os backups devem ser automatizados e executados preferencialmente fora do horário comercial
  • Armazenamento em localizações diferentes da estrutura da Prefeitura, com controle de acesso restrito e ambiente climatizado
  • Testes de restauração e integridade dos dados devem ser realizados periodicamente em locais diferentes dos originais
  • Mídias de armazenamento devem ser monitoradas e substituídas conforme prazo do fabricante
  • Sempre haverá redundância de equipamentos para substituição em caso de emergência
  • Os procedimentos de backup devem ser de conhecimento de pelo menos dois funcionários treinados e formalmente autorizados

10. Referências

  • Lei nº 12.965/2014 — Marco Civil da Internet
  • Lei nº 13.709/2018 — Lei Geral de Proteção de Dados Pessoais (LGPD)
  • ABNT NBR ISO/IEC 27001:2022 — Sistema de Gestão de Segurança da Informação — Requisitos
  • ABNT NBR ISO/IEC 27002:2022 — Código de prática para controles de segurança da informação
  • ABNT NBR ISO 31000:2018 — Gestão de Riscos — Diretrizes
  • Instrução Normativa SEADM nº 03/2025 — Padrões comportamentais aplicáveis

Documento elaborado por Benedito Braz dos Santos — Analista de Tecnologia da Informação
Prefeitura Municipal de Queluz · Departamento de Tecnologia da Informação
Versão 1.0 · Publicado em: 08/10/2025

Documento Oficial em PDF

Acesse o documento original completo da Política de Segurança da Informação:

PSI — Política de Segurança da Informação · Versão 1.0
Prefeitura de Queluz · Setembro/2025 · Departamento de TI · PDF