Regulamento n.º 173/2021
Data de publicação | 01 Março 2021 |
Seção | Parte H - Autarquias locais |
Órgão | Município de Alvaiázere |
Regulamento n.º 173/2021
Sumário: Regulamento Municipal de Segurança da Informação.
Célia Margarida Gomes Marques, Presidente da Câmara Municipal de Alvaiázere:
Faz público, nos termos e para os efeitos do disposto o artigo 56.º do Anexo I à Lei n.º 75/2013, de 12 de setembro, e nos termos do artigo 139.º do Código do Procedimento Administrativo, que a Assembleia Municipal de Alvaiázere, no uso da competência que lhe é conferida pela alínea g) do n.º 1 do artigo 25.º do Anexo I à Lei n.º 75/2013, de 12 de setembro, aprovou, na sua sessão de 18 de dezembro de 2020, sob proposta da Câmara Municipal de Alvaiázere aprovada em reunião ordinária realizada em 20 de outubro de 2020, o Regulamento Municipal de Segurança da Informação, que entrará em vigor 15 dias após a sua publicação na 2.ª série do Diário da República e que se publica em anexo.
12/01/2021. - A Presidente da Câmara Municipal, Célia Margarida Gomes Marques.
Regulamento Municipal de Segurança da Informação
Nota Justificativa
A Lei n.º 46/2018, de 13 de agosto, estabelece o regime jurídico da segurança no ciberespaço, transpondo a Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação.
O ciberespaço facilita muitas das tarefas a desenvolver pelo Município de Alvaiázere; contudo, a interligação das redes e dos sistemas de informação e de comunicação torna os serviços vulneráveis às ameaças inerentes a este espaço virtual. A rede digital, atenta a sua natureza transfronteiriça, é caracterizada pela ausência de limites territoriais e físicos, oferecendo uma realidade que carece do equacionamento de novas questões de segurança. Neste contexto, a Lei n.º 46/2018, anteriormente referida, estabelece um regime jurídico da segurança no ciberespaço para todas as entidades que utilizem sistemas e redes de informação, sendo aplicável, nomeadamente, às autarquias locais, incumbindo-as de regulamentar neste âmbito.
A necessidade da implementação de políticas e procedimentos de segurança resulta do dever dos órgãos e serviços da Administração Pública de utilizarem os meios eletrónicos no desempenho da sua atividade de forma a garantirem a disponibilidade, o acesso, a integridade, a autenticidade, a confidencialidade a conservação e a segurança da informação, dever este plasmado no artigo 14.º do Código do Procedimento Administrativo.
Destarte, cabe ao Município de Alvaiázere definir as medidas técnicas e organizativas adequadas e proporcionais, de modo a gerir os riscos que se colocam à segurança das redes e dos sistemas de informação utilizados, devendo, estas, garantir um nível de segurança adequado ao risco e evitar incidentes.
A segurança da informação é obtida através da implementação de um conjunto de controlos, que necessitam de ser estabelecidos para assegurar que objetivos específicos de segurança de informação sejam atingidos, tendo por base a norma internacional ISO 27002, criada para apontar as normas necessárias para uma segurança de informação mais eficiente para as organizações. O foco encontra-se, assim, em determinar quais os princípios para iniciar, implementar, manter e melhorar a gestão de segurança de informação. Esta norma define o código de boas práticas, encontrando-se as medidas sugeridas na presente proposta de regulamento de acordo com ela.
Com efeito, com a presente proposta de regulamento pretende-se, assim, definir a Política de Segurança de Informação: a estratégia e as normas que devem ser aplicadas no âmbito da gestão de segurança de informação, traduzindo as normas uma framework de controlos que devem ser executados ao nível dos processos e procedimentos, e proceder ao relato regular e transparente do seu desempenho na matéria da segurança de informação, de forma a reduzir os riscos, garantindo e reforçando a conformidade com a regulamentação e as exigências legais em vigor. Assim, algumas das principais vantagens deste processo de implementação podem ser resumidas da seguinte forma:
1 - Um maior respeito, por parte do mercado, munícipes e parceiros, garantindo um maior crédito na função de segurança da informação;
2 - A demonstração de apoio efetivo e evidente da gestão de topo para o tema da segurança de informação;
3 - O estabelecimento de canais de comunicação formais entre os níveis de decisão e gestão.
Resulta, desta forma, que a aprovação da presente proposta de regulamento se prefigura como necessária para garantir a integridade, a confidencialidade, a disponibilidade, a rastreabilidade, a conformidade legal e a auditabilidade da informação, servindo de base a um sistema de gestão e organização de segurança de informação.
Preâmbulo
Decorrido o procedimento de elaboração previsto na lei, sob proposta da Câmara Municipal, a Assembleia Municipal de Alvaiázere aprova, sob a forma de regulamento, o Regulamento Municipal de Segurança de Informação, nos termos da alínea g) do n.º 1 do artigo 25.º e da alínea k) do n.º 1 do artigo 33.º da Lei n.º 75/2013, de 12 de setembro, cujo Projeto foi publicado pelo Edital n.º 911/2020, do Município de Alvaiázere, na 2.ª série do Diário da República, n.º 162, de 20 de agosto de 2020, disponibilizado na Subunidade Orgânica de Apoio ao Munícipe e Tesouraria na Loja do Cidadão e na página eletrónica do Município de Alvaiázere, em www.cm-alvaiazere.pt, com vista à sua consulta pública por 30 dias.
CAPÍTULO I
Disposições Gerais
Artigo 1.º
Lei Habilitante
O presente Regulamento é elaborado ao abrigo do disposto no artigo 241.º da Constituição da República Portuguesa, da alínea k) do n.º 1 do artigo 33.º do Anexo I da Lei n.º 75/2013, de 12 de setembro, na sua redação atual, que aprova o Regime Jurídico das Autarquias Locais, das Entidades Intermunicipais e do Associativismo Autárquico e do artigo 14.º da Lei n.º 46/2018, de 13 de agosto, que estabelece o regime jurídico da segurança no ciberespaço, conjugado com o artigo 14.º do Código do Procedimento Administrativo, na sua redação atual.
Artigo 2.º
Objeto e âmbito de aplicação
1 - O presente regulamento define as políticas e procedimentos de segurança de informação e de controlo de riscos a implementar pelo Município de Alvaiázere.
2 - Estas políticas e todas as normas e procedimentos que dela derivam abrangem a totalidade da informação gerida, independentemente do seu suporte ou via de transmissão.
3 - As disposições do presente regulamento são aplicáveis a todos órgãos, serviços e organismos municipais do Município de Alvaiázere, às entidades externas que exerçam competências municipais em regime de delegação de competências e às demais entidades externas relevantes.
Artigo 3.º
Siglas
Para efeitos deste regulamento, utilizam-se as seguintes siglas:
CISO: Chief Information Security Officer;
COM: Computer Operations Manager;
CSI: Comissão de Segurança da Informação;
DRH: Direção de Recursos Humanos;
GAI: Gabinete de Auditoria Interna;
IEC: International Electrotechnical Commission;
ISO: International Standards Organization;
PDCA: Plan (planear), Do (executar), Check (verificar), Act (agir);
SGSI: Sistema de Gestão de Segurança de Informação;
SI: Sistemas de Informação
SISA: Senior Information Security Advisor;
SHORE: Subunidade Orgânica de Recursos Humanos e Expediente;
TCO: Total Cost of Ownership;
TI: Tecnologias de Informação;
VPN: Virtual Private Network.
Artigo 4.º
Definições
Consideram-se, para efeitos deste regulamento, as seguintes definições:
a) BitLocker: sistema de criptografia do Windows, presente em versões do Windows 7, Windows 8 e no Windows 10. Encripta partições dos dispositivos de armazenamento, protegendo os documentos e ficheiros contra o acesso não autorizado;
b) Colaborador: trabalhadores com contrato de trabalho com o Município, trabalhadores temporários ou consultores;
c) Download: obtenção de dados de um dispositivo através de um canal de comunicação;
d) Entidade externa: pessoas/munícipes ou entidades que não sejam colaboradores, trabalhadores temporários ou consultores do Município de Alvaiázere;
e) Fornecedor: aqueles que fornecem bens e serviços considerados no âmbito do Sistema de Gestão de Segurança de Informação (SGSI);
f) Framework: conjunto de elementos e das suas interligações constituindo a base de um sistema ou projeto;
g) Gateway: ou "porta de ligação", em informática é um dispositivo intermediário, geralmente destinado a interligar redes, separar domínios de colisão, ou mesmo traduzir protocolos;
h) Incidente de segurança: violação ou ameaça eminente à Política de Segurança de Informação do Município de Alvaiázere. São incidentes de segurança, entre outros, o acesso, tentativa de acesso, uso, divulgação, modificação ou destruição não autorizada de informação, ou ainda o impedimento do funcionamento normal das redes, sistemas ou recursos informáticos;
i) Informação: todo e qualquer dado, de qualquer natureza, incluindo dados relativos à atividade do Município de Alvaiázere, ou de terceiros com quem se relacione, que a organização coloque à disposição dos seus colaboradores e de entidades externas, ou de que estes possam vir a ter conhecimento ou acesso no exercício das suas funções;
j) Password: informação secreta utilizada para controlar o acesso a um recurso. É geralmente utilizada em conjunto com a identificação do utilizador em mecanismo de autenticação;
k) Perfil de Acesso: conjunto de privilégios permitidos entre um utilizador e um recurso considerando as políticas de fluxo de informação definidas;
l) Privilégios: ação que um perfil de acesso pode realizar sobre os ativos de informação;
m) Proxy: equipamento que funciona como intermediário entre um web browser (tal como o Internet Explorer) e a Internet, melhorando o desempenho no acesso a páginas web;
n) Streaming: forma de distribuição de dados, geralmente de multimédia, numa rede, através de pacotes. É frequentemente utilizada para distribuir conteúdo multimédia através da Internet;
o) Upload: transferência de dados de um computador local para outro computador ou para um servidor;
p) VPN: rede de comunicações...
Para continuar a ler
PEÇA SUA AVALIAÇÃO