Institui a Política de Segurança da Informação – PSI – dos serviços de tecnologia da informação da Assembleia Legislativa.

A Mesa da Assembleia Legislativa do Estado de Minas Gerais, no uso das atribuições previstas no inciso V do caput do art. 79 do Regimento Interno,

considerando o objetivo – estabelecido no inciso IX do caput do art. 4º da Resolução nº 5.589, de 5 de novembro de 2021, que dispõe sobre o Direcionamento Estratégico da Assembleia Legislativa do Estado de Minas Gerais para o período de 2021 a 2030 – de ampliar a oferta de serviços de tecnologia da informação e otimizar a gestão das informações institucionais, para suporte à inovação e à transformação digital no Parlamento;

considerando o imperativo de promover a segurança da informação nos serviços de tecnologia da informação que sustentam os processos organizacionais da Assembleia Legislativa;

considerando também a estruturação e a certificação, conforme o disposto na norma da International Organization for Standardization e da International Electrotechnical Commission – ISO/IEC – nº 20000-1, do Sistema de Gestão de Serviços de Tecnologia da Informação – SGSTI – da Gerência-Geral de Tecnologia da Informação – GTI;

considerando, por fim, a necessidade de atualizar a regulamentação dos serviços de tecnologia da informação de uso geral na Casa,

DELIBERA:

CAPÍTULO I

DOS PRINCÍPIOS E DA IMPLEMENTAÇÃO

Art. 1º – São princípios da Política de Segurança da Informação – PSI – dos serviços de tecnologia da informação da Assembleia Legislativa:

I – confidencialidade: garantia de que o acesso à informação seja feito somente por pessoas autorizadas;

II – disponibilidade: garantia de que as pessoas autorizadas tenham acesso à informação sempre que necessário;

III – integridade: garantia de que a informação está conforme foi produzida e que não foi alterada de forma indevida ou não autorizada;

IV – autenticidade: garantia de que a informação procede da fonte anunciada;

V – não repúdio: garantia de identificação do autor e da operação realizada por ele sobre uma informação.

Art. 2º – São diretrizes da PSI:

I – garantir que os ativos de informação estejam adequadamente protegidos, evitando o acesso, a modificação, a destruição e a divulgação não autorizados;

II – avaliar e gerir continuamente os riscos de segurança da informação;

III – implementar e operar controles físicos, administrativos e técnicos de segurança da informação;

IV – registrar e tratar incidentes de segurança da informação;

V – assegurar a continuidade do processamento das informações críticas para a Assembleia Legislativa, mesmo em situações adversas.

Art. 3º – Compete à Gerência-Geral de Tecnologia da Informação – GTI:

I – definir e operar, em seu Sistema de Gestão de Serviços de Tecnologia da Informação – SGSTI –, diretivas, processos e procedimentos aderentes à PSI, para assegurar aos serviços providos a gestão de riscos, de controles e de incidentes de segurança da informação, bem como da disponibilidade e continuidade;

II – estabelecer requisitos adicionais de segurança e proteção para os serviços de tecnologia da informação;

III – manter infraestrutura necessária à segurança da informação;

IV – promover a conformidade com a PSI e a cultura de segurança da informação.

Art. 4º – Aplica-se à PSI o disposto nas Leis Federais nºs 12.965, de 23 de abril de 2014 – Marco Civil da Internet –, e 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados – LGPD –, e na Deliberação da Mesa nº 2.766, de 10 de maio de 2021.

Art. 5º – Os fornecedores de tecnologia da informação da Assembleia Legislativa se submeterão aos requisitos da PSI e a compromisso contratual de sigilo em relação às informações de que tomem conhecimento em decorrência da execução dos serviços, inclusive após cessados seus vínculos.

CAPÍTULO II

DA UTILIZAÇÃO DOS RECURSOS DE TECNOLOGIA DA INFORMAÇÃO

Art. 6º – A utilização dos recursos de tecnologia da informação na rede da Assembleia Legislativa depende do cadastramento do usuário.

§ 1º – Deputados, servidores efetivos e do quadro de recrutamento amplo, servidores inativos e estagiários serão cadastrados com identificação por sua matrícula funcional.

§ 2º – Prestadores de serviço terceirizados da Assembleia Legislativa poderão ser cadastrados mediante solicitação dos gestores dos respectivos contratos, com identificação por documento pessoal, pelo prazo necessário.

§ 3º – Recursos de tecnologia da informação poderão manter cadastros próprios de usuários, independentes do cadastro da rede da Assembleia.

Art. 7º – O usuário será autenticado por meio de sua identificação cadastrada e de senha pessoal e intransferível, sem prejuízo de eventuais níveis adicionais de autenticação.

Parágrafo único – O usuário é responsável pelo sigilo de sua senha, pela sua adequada utilização e pelos acessos feitos com sua identificação.

Art. 8º – O usuário cadastrado terá acesso apenas aos recursos de tecnologia da informação necessários ao desempenho de suas funções.

§ 1º – Os acessos a que se refere o caput serão concedidos:

I – automaticamente pela GTI na rede da Assembleia, quando vinculados à lotação do usuário em gabinete parlamentar ou órgão da Secretaria; ou

II – sob demanda.

§ 2º – A solicitação de concessão de acesso a recursos de tecnologia da informação para o usuário compete ao titular do gabinete parlamentar ou do órgão da Secretaria em que esteja lotado ou a servidor formalmente designado pelo titular.

§ 3º – A concessão de acesso a recurso de tecnologia da informação para o usuário compete ao gabinete parlamentar ou ao órgão da Secretaria responsável pela gestão administrativa do recurso.

Art. 9º – A segurança da rede da Assembleia Legislativa e das informações nela mantidas é de responsabilidade de todos os seus usuários.

§ 1º – O usuário deverá bloquear ou se desconectar de estações de trabalho e outros recursos que não esteja usando.

§ 2º – Equipamentos, mídias externas e documentos impressos deverão ser guardados e descartados de forma a evitar o acesso não autorizado a informações.

§ 3º – Riscos e incidentes de segurança da informação deverão ser reportados à GTI.

Art. 10 – Alterações nos quadros de pessoal dos gabinetes parlamentares e dos órgãos da Secretaria e na relação contratual com fornecedores implicarão a atualização do cadastro de usuários da rede da Assembleia e do controle de acessos aos recursos de tecnologia da informação previstos nos arts. 6º e 8º.

§ 1º – Extinto o vínculo do usuário com a Assembleia Legislativa, seu cadastro será automaticamente bloqueado e excluído em seguida, observado o disposto no art. 4º-B da Deliberação da Mesa nº 2.833, de 26 de fevereiro de 2024.

§ 2º – No caso dos usuários cadastrados de acordo com o § 2º do art. 6º, caberá aos gestores dos respectivos contratos demandar à GTI as atualizações de cadastro a que se refere o caput.

Art. 11 – As atualizações dos cadastros e dos acessos do usuário a que se referem o § 3 do art. 6º e o art. 8º, respectivamente, são de responsabilidade do gestor administrativo do recurso de tecnologia da informação.

Art. 12 – Os acessos e a utilização da rede da Assembleia são passíveis de monitoração, para fins de controle administrativo e de segurança, à exceção das caixas postais de correio eletrônico, de acordo com o disposto no art. 24.

Art. 13 – A ligação de equipamentos de terceiros à rede da Assembleia será permitida em casos excepcionais, mediante solicitação justificada à GTI.

§ 1º – Compete ao titular do gabinete parlamentar ou do órgão da Secretaria, ou a servidor por ele formalmente designado, fazer a solicitação a que se refere o caput.

§ 2º – Compete à GTI estabelecer as condições técnicas necessárias à aprovação da instalação, da permanência e da retirada de equipamentos de terceiros na rede da Assembleia, com vistas à sua segurança, administração e eficiência.

§ 3º – É vedada a ligação de equipamentos portáteis de terceiros à rede da Assembleia, salvo para conexão exclusiva à internet, conforme o disposto no art. 18.

Art. 14 – É vedada a conexão de equipamentos ligados na rede da Assembleia Legislativa a outras redes de comunicação de dados.

Art. 15 – Poderão ser instalados nos computadores da Assembleia Legislativa ou nos equipamentos de terceiros ligados à sua rede somente aplicativos contratados pela Assembleia Legislativa ou adquiridos por gabinete parlamentar, cujas licenças de uso sejam registradas na GTI.

§ 1º – Os aplicativos instalados devem atender aos requisitos desta PSI e demais diretivas estabelecidas pela GTI.

§ 2º – Sem prejuízo da sanção disciplinar que lhe couber, o responsável pela instalação de programa particular que infringir o disposto no caput responderá, perante a Assembleia Legislativa, na forma do disposto no § 2º do art. 213 da Deliberação da Mesa nº 269, de 4 de maio de 1983, em ação regressiva, proposta depois de transitar em julgado a decisão que houver condenado a Assembleia Legislativa a indenizar o terceiro prejudicado.

CAPÍTULO III

DO ACESSO À INTERNET

Art. 16 – O acesso à internet será controlado, para fins de segurança da rede da Assembleia e gestão administrativa de seu uso.

Parágrafo único – Os acessos à internet são passíveis de monitoração e ficam registrados pelo prazo mínimo de um ano.

Art. 17 – Compete ao titular de gabinete parlamentar ou de órgão da Secretaria:

I – gerenciar a utilização da internet por meio dos computadores que se encontram sob sua responsabilidade nos seus respectivos setores de trabalho;

II – solicitar à GTI o bloqueio ou a liberação do acesso à internet por meio dos computadores a que se refere o inciso I do caput.

Art. 18 – A Assembleia Legislativa oferecerá acessos sem fio para a conexão à internet de equipamentos de terceiros.

§ 1º – Os acessos à internet a que se refere o caput destinam-se exclusivamente a equipamentos portáteis particulares e de uso não permanente na Assembleia Legislativa.

§ 2º – A Assembleia Legislativa é isenta de responsabilidade quanto à segurança, à configuração, à manutenção e aos softwares de equipamentos particulares, bem como sobre seu uso da internet.

§ 3º – É vedado, nas dependências da Assembleia Legislativa, o uso de pontos de acesso locais particulares sem fio, inclusive os providos por celulares e outros dispositivos móveis, para evitar interferência eletromagnética nas comunicações da rede sem fio.

§ 4º – O uso dos recursos a que se refere o caput se dará mediante cadastro e autenticação, será limitado por usuário e ocorrerá nos termos informados ao usuário no momento da conexão à rede sem fio.

Art. 19 – O acesso a informações e serviços externos por meio da internet pela rede da Assembleia deverá se dar de acordo com os requisitos da PSI e demais diretivas estabelecidas pela GTI e respeitar os direitos autorais e as licenças aplicáveis.

CAPÍTULO IV

DA UTILIZAÇÃO DO CORREIO ELETRÔNICO

Art. 20 – O correio eletrônico é meio de comunicação oficial da Assembleia Legislativa.

Art. 21 – Têm permissão de acesso ao correio eletrônico os usuários cadastrados para uso da rede da Assembleia, os gabinetes parlamentares e os órgãos da Secretaria.

Art. 22 – Os endereços de correio eletrônico dos usuários da rede da Assembleia terão o formato “nome.sobrenome@almg.gov.br”, seguindo sua identificação no crachá funcional ou nome parlamentar.

§ 1º – Em caso de homônimos, outros sobrenomes ou formatos serão usados.

§ 2º – Os endereços institucionais de correio eletrônico terão formatos próprios.

§ 3º – Os formatos de endereço de correio eletrônico mencionados nos parágrafos anteriores serão definidos pela GTI, para padronização.

Art. 23 – O tamanho da caixa postal dos usuários, os prazos de retenção de mensagens e o tamanho e o tipo de arquivo anexo a mensagens serão padronizados, conforme critérios estabelecidos pela GTI, observadas as restrições técnicas existentes.

Art. 24 – Aplicam-se ao correio eletrônico as normas relativas ao sigilo de correspondência, assegurando-se a seus usuários privacidade e inviolabilidade de sua caixa postal.

Art. 25 – É vedada a utilização do correio eletrônico para:

I – emissão de mensagem com conteúdo discriminatório, constrangedor, difamatório, obsceno ou de qualquer forma incompatível com os princípios instituídos pelo Código de Ética Funcional da Assembleia Legislativa, instituído pela Deliberação da Mesa 2.851, de 16 de dezembro de 2024;

II – emissão de mensagem endereçada em bloco, enviada, indiscriminadamente, a um grande número de destinatários, sem verificar a utilidade de seu conteúdo ou o interesse que eles têm em recebê-la.

Art. 26 – Cabe à GTI designar um de seus servidores para exercer a função de administrador do correio eletrônico, com as seguintes atribuições:

I – zelar pelo cumprimento das normas de utilização do correio eletrônico e notificar, por meio de mensagem específica, os usuários que as desrespeitarem;

II – encaminhar administrativamente os casos reincidentes ou relevantes de desrespeito ao disposto nesta portaria.

CAPÍTULO V

DA CÓPIA DE SEGURANÇA DE DADOS

Art. 27 – Compete à GTI estabelecer um plano de realização e administração de cópias de segurança dos dados mantidos nos recursos centralizados da rede da Assembleia, como contingência para problemas em sua infraestrutura ou, quando couber, para recuperação de exclusão ou alteração indesejadas.

Parágrafo único – Cópias de segurança serão preservadas pelo prazo de cinco anos para eventual necessidade de recuperação.

Art. 28 – A cópia de segurança de dados mantidos localmente em estações de trabalho e equipamentos particulares é de responsabilidade dos seus usuários.

CAPÍTULO VI

DISPOSIÇÕES FINAIS

Art. 29 – O descumprimento das disposições desta deliberação sujeitam o infrator às penalidades previstas na legislação e nos regulamentos internos do Assembleia, mediante apuração em processo administrativo disciplinar.

Art. 30 – Fica revogada a Portaria da Presidência, da 1ª-Secretaria e da Diretoria-Geral nº 35, de 10 de agosto de 2011, sem prejuízo dos efeitos por ela produzidos.

Art. 31 – Esta deliberação entra em vigor na data de sua publicação.

Sala de Reuniões da Mesa da Assembleia Legislativa, 24 de fevereiro de 2025.

Deputado Tadeu Leite, Presidente – Deputada Leninha, 1ª-Vice-Presidente – Deputado Duarte Bechir, 2º-Vice-Presidente – Deputado Betinho Pinto Coelho, 3º-Vice-Presidente - Deputado Gustavo Santana, 1º-Secretário – Deputado Alencar da Silveira Jr., 2º-Secretário – Deputado João Vítor Xavier, 3º-Secretário.