Trabalho da Disciplina - Sistemas de Informações Gerenciais - UVA

Prévia do material em texto

SISTEMAS DE INFORMAÇÕES GERENCIAIS
PROFESSORA
Fabricia de Matos Lemos
ALUNO
Bruno Oliveira Capão de Matos
UNIVERSIDADE VEIGA DE ALMEIDA 
CAMPUS TIJUCA
ORGANIZAÇÃO ESCOLHIDA:
SISTEMAS DE INFORMAÇÕES GERENCIAIS
SOBRE A ORGANIZAÇÃO:
A IPLANRIO é a empresa municipal de informática responsável pela administração dos recursos de Tecnologia da Informação e Comunicação da cidade do Rio de Janeiro. Sua estrutura organizacional atual é composta por Diretorias e Assessorias Técnicas, além de Unidades Funcionais, denominadas Gerências Técnicas de Informática Setorial, que atuam de forma personalizada com os clientes: órgãos e entidades municipais.
SISTEMAS DE INFORMAÇÕES GERENCIAIS
COMPETÊNCIAS DO ÓRGÃO:
Gerenciar os recursos de tecnologia da informação, necessários à gestão da Administração Municipal;
Armazenar e manter dados brutos, elementares e as informações derivadas;
Administrar o centro de dados e a rede de comunicação de dados da Prefeitura;
Coordenar o desenvolvimento de soluções, que suportem os processos de gestão do Município;
Administrar os recursos de telecomunicações necessários ao backbone corporativo municipal.
SISTEMAS DE INFORMAÇÕES GERENCIAIS
ORGANOGRAMA:
SISTEMAS DE INFORMAÇÕES GERENCIAIS
COLABORADORES:
SISTEMAS DE INFORMAÇÕES GERENCIAIS
RESUMO DE PORTFÓLIO DE SERVIÇOS DE TECNOLOGIA DA INFORMAÇÃO:
Consultoria e Análise de Negócio;
Desenvolvimento e Soluções Integradas;
Serviços de DataCenter, Rede e Conectividade;
Atendimento e suporte ao cliente;
Segurança da Informação e Treinamentos.
SISTEMAS DE INFORMAÇÕES GERENCIAIS
VANTAGENS E DESVANTAGENS DE SERVIÇOS DE TECNOLOGIA DA INFORMAÇÃO:
Consultoria e Análise de Negócio:
Vantagens: Análises mais precisas e direcionadas, considerando o conhecimento dos processos de negócio e soluções em operação da Prefeitura;
Desvantagens: Os consultores podem apresentar uma visão artificial do negócio, custos elevados e certo desconforto.
Desenvolvimento e Soluções Integradas: 
Vantagens: Menor tempo para a entrega do produto final, considerando o conhecimento dos processos de negócio do governo pelas equipes da IplanRio e agilidade nos serviços de integração de aplicações sediadas no Datacenter da Prefeitura;
Desvantagens: Falhas processuais poderão ocorrer atrasando a entrega do produto final.
SISTEMAS DE INFORMAÇÕES GERENCIAIS
VANTAGENS E DESVANTAGENS DE SERVIÇOS DE TECNOLOGIA DA INFORMAÇÃO:
Serviços de DataCenter, Rede e Conectividade:
Vantagens: Grande poder de processamento, com alta disponibilidade, performance, escalabilidade e segurança. Redução de gastos com operadoras de telecomunicações e aumento da banda para implantação de novos serviços pela interligação à rede própria, agilidade no registro e gestão de problemas junto às operadoras de telecomunicações e acompanhamento da equipe especializada durante todas as fases do projeto, desde o levantamento de requisitos até a entrega da rede de dados ou da interconexão da unidade;
Desvantagens: Poderá haver uma certa resistência em abandonar o modelo antigo do data center para a migração para um modelo de nuvem, se não feito por pessoas capacitadas, poderá trazer grandes prejuízos. Falha ocasional na entrega na qualidade do serviço de rede e conectividade.
SISTEMAS DE INFORMAÇÕES GERENCIAIS
VANTAGENS E DESVANTAGENS DE SERVIÇOS DE TECNOLOGIA DA INFORMAÇÃO:
Atendimento e suporte ao cliente: 
Vantagens: Controle do parque de estações de trabalho e redução dos riscos pela atualização dos softwares de proteção do equipamento e padronização do ambiente, menor tempo de atendimento e alta qualidade do serviço prestado, segurança no tráfego de dados ao garantir que esses dados não sejam interpretados por quaisquer dispositivos (de hardware ou software) não registrados , proteção dos dados armazenados nas caixas postais e backup´s com retenção de seis meses e solução de anti-spam;
Desvantagens: O serviço poderá não agradar o cliente, gerar conflito e não ser analisado separadamente.
SISTEMAS DE INFORMAÇÕES GERENCIAIS
VANTAGENS E DESVANTAGENS DE SERVIÇOS DE TECNOLOGIA DA INFORMAÇÃO:
Segurança da Informação e Treinamentos.
Vantagens: Capacidade de identificar proativamente os riscos relacionados à Segurança da Informação, possibilitando ações de tratamento mais efetivas. Aumento da qualidade do trabalho e redução do retrabalho;
Desvantagens: O uso de softwares desatualizados e com vulnerabilidades é certamente um dos principais riscos de segurança da informação. Essa situação acaba expondo usuários a riscos como erros de código não solucionados e o uso de sistemas que têm brechas de segurança. Um treinamento mal elaborado poderá gerar mais dúvidas e despreparo para a equipe.
SISTEMAS DE INFORMAÇÕES GERENCIAIS
SEGURANÇA DA INFORMAÇÃO:
Aplica–se a todos os órgãos e entidades da Administração Pública Municipal, bem como aos funcionários públicos municipais independentemente de sua função, cargo, ou vínculo empregatício, aos prestadores de serviços, estagiários, ou quaisquer pessoas e/ou instituições que estejam autorizadas a acessar os ativos da informação da PCRJ.
Requisito de transparência previsto no Decreto Municipal 44.698/18, inciso III do artigo 7.
DELIBERAÇÃO Nº 001 DE 28 DE MARÇO DE 2018
(Documento)
DECRETO RIO Nº 44276 DE 01 DE MARÇO DE 2018
(Documento)
SISTEMAS DE INFORMAÇÕES GERENCIAIS
SUGESTÕES DE MELHORIA:
Desenvolver uma base de conhecimento;
Desenvolver uma ferramenta com base de conhecimento e dúvidas mais frequentes ajuda a desafogar o suporte de TI.
Manter um histórico de atendimentos;
Manter o histórico pode significar a garantia de evolução da demanda.
Criar múltiplos canais de suporte entre o TI e o cliente;
Possibilidade de abranger o maior número de pessoas e oferecer opções de contato.
Resolver problemas no primeiro contato;
Pode aumentar consideravelmente as chances de se resolver o problema de imediato.
SISTEMAS DE INFORMAÇÕES GERENCIAIS
SUGESTÕES DE MELHORIA:
Ampliar e melhorar a qualidade do Home Office;
Poderá representar um ganho significativo da produtividade e redução de custos operacionais. 
Monitoramento de ações das equipes;
Aumento nos indicadores de performance e alinhamento de metas e objetivos.
Clima organizacional e comunicação interna;
Melhora nas condições de trabalho contribuem para um clima mais amigável além de bom relacionamento com os líderes.
SISTEMAS DE INFORMAÇÕES GERENCIAIS
CONSIDERAÇÕES FINAIS:
 Percebemos, cada vez mais, que a execução dos pontos do programa de Governança de TI é definida como a distribuição de responsabilidades e direitos entre as pessoas da organização quanto às decisões de TI, e os mecanismos e procedimentos para monitorar e tomar decisões estratégicas relacionadas a TI. (Peterson, 2004). Todas estas questões, devidamente ponderadas, levantam dúvidas sobre se a necessidade de renovação processual possibilita uma melhor visão global do impacto na agilidade decisória.  O incentivo ao avanço tecnológico, assim como a expansão dos mercados mundiais estende o alcance e a importância do sistema de participação geral. A nível organizacional, a percepção das dificuldades assume importantes posições no estabelecimento do retorno esperado a longo prazo. A Governança de TI busca definir uma estrutura de relações e processos que dirige e controla uma organização a fim de adicionar valor ao negócio através do gerenciamento balanceado do risco e do retorno do investimento de TI (Albertin, 2004)
SISTEMAS DE INFORMAÇÕES GERENCIAIS
REFERÊNCIAS:
https://www.rio.rj.gov.br/web/iplanrio# - Acesso em 06/06/2021
https://www.rio.rj.gov.br/web/iplanrio/estrutura-da-iplanrio - Acesso em 06/06/2021
https://www.rio.rj.gov.br/web/iplanrio/exibegruposdetrabalho?id=9766861 – Acesso em 07/06/2021
http://www.rio.rj.gov.br/web/iplanrio/estrutura-da-iplanrio - Acesso em 09/06/2021
https://www.rio.rj.gov.br/web/iplanrio/listaportfoliodeservicos - Acesso em 09/06/2021
http://www.rio.rj.gov.br/web/iplanrio - Acesso em 09/06/2021
https://www.rio.rj.gov.br/web/iplanrio/politicas-e-normas - Acesso em 09/06/2021https://conteudo.movidesk.com/suporte-de-ti-para-empresas/ - Acesso em 10/06/2021
https://www.siteware.com.br/blog/projetos/ideias-projetos-melhorias-empresas/ - Acesso em 10/06/2021
Peterson R, 2004, V21, P7, Inform Syst Manage, Doi 10.1201/1078/44705.21.4.20040901/84183.2
ALBERTIN, A. L.; ALBERTIN, R. M. M. Estratégias de Governança de Tecnologia da Informação: estruturas e práticas. Rio de Janeiro: Elsevier, 2010 
PDF do 
Organograma
Auditoria
Auditoria
Diretoria de 
Administração e
Finanças
Diretoria de 
Administração e
Finanças
Diretoria de 
Planejamento e
 Novos Negócios
Diretoria de 
Planejamento e
 Novos Negócios
Diretoria de
Sistemas
Diretoria de
Sistemas Diretoria de
Operações
Diretoria de
Operações
Assessoria de
Comunicação
Social
Assessoria de
Comunicação
Social
Presidência
Presidência
Gabinete da
 Presidência
Gabinete da
 Presidência
Empresa Municipal de Informática S.A - IPLANRIO
Diretoria
DiretoriaConselho
 Fiscal
Conselho
 FiscalConselho de
Administração
Conselho de
AdministraçãoAssembleia 
Geral
Assembleia 
Geral
Ouvidoria
Ouvidoria
Assessoria
 Técnica
 de Gestão
 Institucional e
 Estratégica
Assessoria
 Técnica
 de Gestão
 Institucional e
 Estratégica
Consultoria
Jurídica
Consultoria
Jurídica
Vice Presidência
Vice Presidência
Escritório de
 Riscos, 
Conformidade
 e Segurança
Escritório de
 Riscos, 
Conformidade
 e Segurança
Empresa Municipal de Informática S.A - IPLANRIO
Vice Presidência
Vice Presidência
Escritório de
 Gerenciamento
 de Projetos
Escritório de
 Gerenciamento
 de Projetos
Coordenadoria
 Técnica de
 Gestão de
 Pessoas
Coordenadoria
 Técnica de
 Gestão de
 Pessoas
Empresa Municipal de Informática S.A - IPLANRIO
Gerência
 Técnica
 de Tecnologia
 e Padrões
Gerência
 Técnica
 de Tecnologia
 e Padrões
Diretoria de 
Planejamento e
 Novos Negócios
Diretoria de 
Planejamento e
 Novos Negócios
9ª
9ª
Gerência
 Técnica 
de Informações
 Gerenciais
Gerência
 Técnica 
de Informações
 Gerenciais
1ª
 Gerência Técnica
 de Informática
 Setorial
1ª
 Gerência Técnica
 de Informática
 Setorial
Empresa Municipal de Informática S.A - IPLANRIO
Gerência de
 Desenvolvimento
 de Sistemas
Gerência de
 Desenvolvimento
 de Sistemas
Gerência de
 Arquitetura e
 Integração
Gerência de
 Arquitetura e
 Integração
Gerência de 
Qualidade de 
Software
Gerência de 
Qualidade de 
Software
Diretoria de
Sistemas
Diretoria de
Sistemas
Empresa Municipal de Informática S.A - IPLANRIO
Diretoria de
Operações
Diretoria de
Operações
Gerência de
 Produção
Gerência de
 Produção
Gerência de
Suporte e
Atendimento
Gerência de
Suporte e
Atendimento
Gerência de
 Infraestrutura e
 Telecomunicações
Gerência de
 Infraestrutura e
 Telecomunicações
Empresa Municipal de Informática S.A - IPLANRIO
Diretoria de
Administração e
 Finanças
Diretoria de
Administração e
 Finanças
Assessoria de 
Planejamento e
 Orçamento
Assessoria de 
Planejamento e
 Orçamento
Gerência de
Planejamento
 de Contratações e
 Gestão
 da Infraestrutura
Gerência de
Planejamento
 de Contratações e
 Gestão
 da Infraestrutura
Centro
Arquivístico
 
Centro
Arquivístico
 
Escritório de 
Custos e Métricas 
Financeiras
Escritório de 
Custos e Métricas 
Financeiras
Gerência 
Financeira
Gerência 
Financeira
	Slide 1
	Slide 2
	Slide 3
	Slide 4
	Slide 5
	Slide 6
 
www.rio.rj.gov.br/iplanrio 
 
Av. Presidente Vargas, 3131/13º andar 
Cidade Nova - Rio de Janeiro • RJ • CEP 20210-911 
Tel.: (21)3971-1818 
 
 
 
COMITÊ DE GOVERNANÇA DA TECNOLOGIA DA INFORMAÇÃO E 
COMUNICAÇÃO – CGTIC-Rio 
DELIBERAÇÃO Nº 001 DE 28 DE MARÇO DE 2018. 
 
Regulamenta a Política de Segurança da 
Informação - PSI da Prefeitura da Cidade 
do Rio de Janeiro – PCRJ. 
 
O PRESIDENTE DO COMITÊ DE GOVERNANÇA DA TECNOLOGIA DA 
INFORMAÇÃO E COMUNICAÇÃO – CGTIC-Rio, no uso das atribuições que lhe são 
conferidas pela legislação em vigor e, em especial, pelas descritas no Decreto nº 
43.096 de 05 de maio de 2017; 
 
CONSIDERANDO os termos do inciso I do artigo 5º do Decreto Municipal nº 44276 de 
1º de março de 2018, que estabelece a Política de Segurança da Informação da 
PCRJ; 
 
CONSIDERANDO ser imprescindível a realização de ações estratégicas que visem à 
redução dos riscos à segurança das informações da PCRJ, ou seja, do possível 
comprometimento da confidencialidade, integridade e disponibilidade das informações 
dos diferentes órgãos e entidades municipais, estas representadas pelas autarquias, 
fundações, empresas públicas e sociedades de economia mista. 
 
DELIBERA: 
Art.1º. A regulamentação da POLÍTICA DE SEGURANÇA DA INFORMAÇÃO - PSI 
no âmbito da Prefeitura da Cidade do Rio de Janeiro – PCRJ, conforme anexo da 
presente deliberação. 
 
Art.2º. Esta Deliberação entra em vigor na data de sua publicação, revogadas as 
disposições em contrário. 
 
ORIGINAL ASSINADO 
FÁBIO PIMENTEL DE CARVALHO 
Presidente do Comitê de Governança da Tecnologia da Informação e Comunicação 
 
 
 
 
Publicado DO Rio nº 11 • 02 de Abril de 2018 
 
 
 
www.rio.rj.gov.br/iplanrio 
 
Av. Presidente Vargas, 3131/13º andar 
Cidade Nova - Rio de Janeiro • RJ • CEP 20210-911 
Tel.: (21)3971-1818 
 
 
 
ANEXO 
 
CAPÍTULO I 
DOS OBJETIVOS 
Art. 1º - A Política de Segurança da Informação – PSI da PCRJ tem os seguintes 
objetivos: 
I. definir diretrizes, responsabilidades, competências e princípios de Segurança 
da Informação – SI no âmbito da PCRJ; 
II. conduzir os órgãos e entidades municipais a níveis de risco gerenciáveis, no 
que diz respeito à segurança de suas informações; 
III. garantir a disponibilidade, integridade, confidencialidade e autenticidade das 
informações que suportam as atividades e os objetivos estratégicos dos órgãos e 
entidades municipais; 
IV. fomentar o comprometimento de todos os agentes municipais na implantação e 
melhoria contínua de uma cultura de Segurança da Informação em todos os órgãos e 
entidades municipais. 
 
CAPÍTULO II 
DA ABRANGÊNCIA 
Art. 2º - Esta política e suas normas complementares aplicam–se a todos os órgãos 
e entidades da Administração Pública Municipal, bem como aos funcionários públicos 
municipais independentemente de sua função, cargo, ou vínculo empregatício, aos 
prestadores de serviços, estagiários, ou quaisquer pessoas e/ou instituições que 
estejam autorizadas a acessar os ativos da informação da PCRJ. 
Art. 3º - Todos os processos de contratação de produtos e serviços, convênios, 
acordos e outros instrumentos congêneres celebrados pelos órgãos e entidades da 
PCRJ devem ser analisados quanto aos aspectos relacionados à Segurança da 
Informação de forma que, sempre que pertinente, estejam sujeitos a requisitos de 
conformidade a esta política e às suas normas complementares. 
 
CAPÍTULO III 
DOS TERMOS E DEFINIÇÕES 
Art. 4º - Para fins desta política, considera-se: 
I. Acesso: capacidade de usar um ativo da informação físico ou tecnológico (por 
exemplo: ler, criar, modificar ou excluir um arquivo; executar um programa; se 
 
www.rio.rj.gov.br/iplanrio 
 
Av. Presidente Vargas, 3131/13º andar 
Cidade Nova - Rio de Janeiro • RJ • CEP 20210-911 
Tel.: (21)3971-1818 
 
 
 
conectar a um dispositivo ou entrar em áreas de acesso restrito que hospedem 
informações sensíveis); 
II. Ameaça: evento que tem potencial em si próprio para comprometer os 
objetivos da organização, seja trazendo danos diretos aos seus ativos ou prejuízos 
decorrentes de situações inesperadas (ex. incêndio, falha de equipamentos, furto ou 
destruição de informações sensíveis, dentre outras); 
III. Área de gestão de Tecnologia da Informação e da Comunicação (TIC): é a 
área responsável pela administração da infraestrutura de TIC do órgão ou entidade; 
IV. Ativo da informação: elementos que transformam, transportam, guardam e 
descartam dados ou informações, incluindo a própria informação e que se dividem em 
6 (seis) grupos: equipamentos, aplicações, usuários, ambientes, informações e 
processos;V. Autenticação: processo de reconhecimento formal da identidade dos 
elementos que entram em comunicação ou fazem parte de uma transação eletrônica. 
Há diversas técnicas de autenticação (por ex.: utilização de senhas, impressão digital, 
certificado digital, reconhecimento da íris, dentre outros); 
VI. Autenticidade: garantia de que os ativos da informação identificados em um 
processo de comunicação como remetentes ou autores sejam exatamente quem 
dizem ser; 
VII. Autorização: concessão ao usuário, após a sua autenticação, de um conjunto 
de permissões de acesso a um ativo da informação físico ou tecnológico; 
VIII. Características biométricas: características físicas que identificam uma 
pessoa, como por exemplo: impressões digitais, geometria da íris etc.; 
IX. Classificação da informação: é o grau de sensibilidade de uma informação 
para o negócio diante de uma possível quebra de segurança, ou seja, do 
comprometimento dos princípios básicos de Segurança da Informação: 
confidencialidade, integridade e disponibilidade. A partir da classificação da 
informação é definido o tipo de tratamento a qual ela está sujeita (identificação, 
acesso, distribuição, uso em correios e fax, reprodução, armazenamento, descarte e 
transporte); 
X. Comitê de Segurança da Informação: instância estratégica responsável por 
tratar e deliberar sobre Segurança da Informação no âmbito do órgão ou entidade; 
XI. Conscientização em Segurança da Informação: processo de iniciação 
educacional que permita a cada indivíduo incorporar à rotina pessoal e profissional as 
melhores práticas de Segurança da Informação; 
XII. Confidencialidade: propriedade que garante que a informação só está 
disponível a indivíduos ou processos autorizados; 
XIII. Conta de acesso: identificação única, concedida de forma pessoal e 
intransferível a um usuário, em conjunto com um método de autenticação (por ex.: 
 
www.rio.rj.gov.br/iplanrio 
 
Av. Presidente Vargas, 3131/13º andar 
Cidade Nova - Rio de Janeiro • RJ • CEP 20210-911 
Tel.: (21)3971-1818 
 
 
 
senha). Esse par de informações habilita o seu dono a acessar equipamentos, 
sistemas e aplicações específicas ou ambientes, de acordo com o perfil de 
autorização definido; 
XIV. Continuidade de negócios: capacidade estratégica e tática de uma 
organização de se planejar e responder a incidentes que gerem interrupções em suas 
atividades ou serviços, visando minimizar impactos e manter suas operações em um 
nível aceitável de disponibilidade previamente definido; 
XV. Controle de acesso: medidas e procedimentos que possuem o objetivo de 
proteger as informações contra acessos não autorizados; 
XVI. Custodiante: é aquele que, de alguma forma, zela pelo armazenamento, 
operação, administração e preservação de ativos da informação que não lhe 
pertencem, mas que estão sob sua custódia; 
XVII. Dados: trata-se da informação não processada; 
XVIII. Disponibilidade: propriedade que garante que a informação está disponível às 
pessoas e aos processos autorizados, a qualquer momento requerido; 
XIX. Gestor da Informação: agente responsável pela classificação e 
gerenciamento dos acessos à informação; 
XX. Gestor de Segurança da Informação: agente responsável pelas ações de 
Segurança da Informação no âmbito do órgão ou entidade; 
XXI. Homologação: análise da funcionalidade, testes e aprovações necessárias 
para a implantação de recursos de TIC; 
XXII. Identificação: processo pelo qual um usuário fornece sua identidade para 
acesso a um ativo da informação físico ou tecnológico; 
XXIII. Incidente de Segurança da Informação: é qualquer evento adverso, 
confirmado ou sob suspeita, relacionado à segurança dos ativos da informação; 
XXIV. Informação: resultado do processamento, manipulação e organização de 
dados de tal forma que represente um acréscimo ao conhecimento da pessoa que a 
recebe, podendo se apresentar de diversas formas, como texto, imagem, áudio, etc.; 
XXV. Integridade: propriedade que garante que informação está intacta e protegida 
contra perda, dano ou modificação não autorizada; 
XXVI. Manutenção preventiva: conjunto de operações para revisão, inspeção e 
preservação dos recursos de TIC; 
XXVII. Plano de Gerenciamento de Incidentes: plano de ação claramente definido e 
documentado para ser usado quando ocorrer um incidente. O plano deve cobrir as 
principais pessoas, serviços e demais recursos necessários para implementar o 
processo de gerenciamento de incidentes; 
 
www.rio.rj.gov.br/iplanrio 
 
Av. Presidente Vargas, 3131/13º andar 
Cidade Nova - Rio de Janeiro • RJ • CEP 20210-911 
Tel.: (21)3971-1818 
 
 
 
XXVIII. Recurso de TIC (Tecnologia da Informação e da Comunicação): são os 
ativos da informação tecnológicos que transformam, transportam, guardam e 
descartam dados ou informações; 
XXIX. Risco: probabilidade de ameaças explorarem vulnerabilidades, 
comprometendo a confidencialidade, integridade ou disponibilidade da informação, 
causando impactos para um sistema ou organização; 
XXX. Segurança física: processo que trata da proteção de todos os ativos da 
informação contra ameaças naturais (ex. incêndios) e humanas (ex. acessos não 
autorizados); 
XXXI. Sensibilização em Segurança da Informação: ações que visam identificar, 
recomendar, criar e implantar programas de conscientização, a fim de proporcionar 
melhorias e mudanças na atitude e na educação organizacional quanto à importância 
da Segurança da Informação; 
XXXII. Sistema de Informação: sistema composto por um conjunto de ativos da 
informação que tem por objetivo armazenar, transportar e processar informações 
visando suportar funções, serviços ou processos de uma organização; 
XXXIII. Treinamento em Segurança da Informação: processo de 
aprendizagem voltado para o desenvolvimento de competências e habilidades em 
Segurança da Informação necessárias ao desempenho das atribuições funcionais do 
indivíduo na organização; 
XXXIV. Usuário: qualquer pessoa autorizada a ler, inserir ou atualizar informações; 
XXXV. Vulnerabilidade: fragilidade presente ou associada a um ativo ou grupo de 
ativos da informação, que pode ser explorada por uma ou mais ameaças gerando 
incidentes de Segurança da Informação. 
 
CAPÍTULO IV 
DOS PRINCÍPIOS 
Art. 5º - As ações de Segurança da Informação devem buscar alcançar e preservar 
os seguintes princípios: 
I. autenticidade; 
II. confidencialidade; 
III. disponibilidade; 
IV. integridade; 
V. legalidade. 
 
 
 
www.rio.rj.gov.br/iplanrio 
 
Av. Presidente Vargas, 3131/13º andar 
Cidade Nova - Rio de Janeiro • RJ • CEP 20210-911 
Tel.: (21)3971-1818 
 
 
 
CAPÍTULO V 
DAS DIRETRIZES 
 
Seção I 
Do Tratamento das Informações 
Art. 6º - As informações são ativos de propriedade do Município, devendo ser 
tomadas todas as medidas necessárias para protegê-las de alteração, destruição e 
divulgação não autorizadas. 
§1°. As informações devem ser identificadas e classificadas quanto à 
confidencialidade, integridade e disponibilidade de forma a serem adequadamente 
acessadas, manipuladas, armazenadas, transportadas e descartadas. 
§2°. Os controles de segurança da informação devem ser proporcionais à sua 
classificação e ao nível de risco ao qual estiver exposta. 
§3°. Funcionários públicos, prestadores de serviço e estagiários devem garantir o 
sigilo das informações a que tiverem acesso em função de suas competências 
funcionais, tomando o cuidado necessário quanto a sua divulgação interna e externa, 
de acordo com sua classificação. 
§4°. A utilização autorizada dos ativos da informação deve ser condicionada à 
assinatura de termo de responsabilidade específico do órgão ou entidade proprietária 
do ativo. 
 
Seção II 
Do Controle de Acesso 
Art. 7º - O controle de acesso aos ativos da informação deve ser regido por um 
processo formal que gerencie a criação, manutenção, suspensão e cancelamento de 
acessos. 
§1°. O acesso aos ativos da informação deve ocorrer através da utilização de contade acesso, de uso pessoal e intransferível, qualificando o seu usuário como 
responsável por quaisquer ações realizadas por meio desta. 
§2°. A autorização de acessos aos ativos da informação deve se restringir aos 
privilégios mínimos necessários para que os usuários desenvolvam suas 
competências funcionais. 
§3°. A duração do acesso dos prestadores de serviço, fornecedores e estagiários 
deve ter prazo limitado à execução de suas atividades. 
§4°. Todas as contas de acesso aos ativos da informação e às instalações físicas da 
PCRJ devem ser revogadas ou suspensas quando não mais necessárias. 
 
www.rio.rj.gov.br/iplanrio 
 
Av. Presidente Vargas, 3131/13º andar 
Cidade Nova - Rio de Janeiro • RJ • CEP 20210-911 
Tel.: (21)3971-1818 
 
 
 
 
Seção III 
Da Segurança Física 
Art. 8º - As instalações físicas e áreas de processamento de informações críticas ou 
sensíveis devem ser protegidas contra ameaças naturais (ex. incêndio) e humanas 
(ex. acesso indevido). 
§1°. As proteções devem ser proporcionais aos riscos identificados. 
§2°. Os ativos da informação considerados críticos ao desempenho das atividades 
dos órgãos e entidades municipais devem ser armazenados em áreas com acesso 
restrito, controlado por dispositivos de controle de acesso preferencialmente 
biométricos. 
§3°. O acesso de visitantes às áreas que hospedam ativos da informação críticos 
deve ser autorizado por agente competente e acompanhado de representante deste. 
 
Seção IV 
Da Gestão de Recursos de TIC 
Art. 9º - Os recursos de TIC de propriedade da PCRJ são fornecidos para uso 
corporativo. 
§1°. Todos os recursos de TIC devem ser identificados de forma individual, 
controlados, preservados, protegidos contra acessos indevidos, submetidos à 
manutenção preventiva periódica e estar com a documentação atualizada e aprovada 
pelos setores competentes. 
§2°. A disponibilização de recursos de TIC somente deve ser permitida após o 
atendimento às determinações desta Política e de suas normas complementares, a 
homologação pela área local de Gestão de TIC e a autorização dos setores 
responsáveis. 
§3°. Todos os ambientes operacionais devem possuir procedimentos formais de 
gerenciamento de segurança de seus recursos de TIC. 
§4°. A utilização de recursos de TIC deve ser precedida de assinatura de Termo de 
Responsabilidade específico do órgão ou entidade proprietária do recurso. 
§5°. A movimentação dos recursos de TIC deve ser precedida de registro e devida 
autorização. 
§6°. Em casos de alienação e descarte, devem ser seguidos procedimentos 
adequados à classificação das informações residentes no recurso, para que não haja 
risco de vazamento ou perda de informações. 
 
www.rio.rj.gov.br/iplanrio 
 
Av. Presidente Vargas, 3131/13º andar 
Cidade Nova - Rio de Janeiro • RJ • CEP 20210-911 
Tel.: (21)3971-1818 
 
 
 
§7°. Os recursos de TIC devem ser inventariados e ter identificados os seus 
proprietários e custodiantes. 
 
Seção V 
Da Segurança dos Sistemas de Informação 
Art. 10 - Os sistemas de informação dos órgãos e entidades municipais devem ser 
desenvolvidos utilizando metodologias em conformidade com as melhores práticas de 
desenvolvimento seguro de sistemas. 
Parágrafo único. Os riscos relacionados à segurança da informação devem ser 
identificados e tratados em todas as fases do ciclo de vida dos sistemas de 
informação: de sua concepção à desativação ou descarte. 
 
Seção VI 
Da Capacitação 
Art. 11 - Os funcionários públicos, prestadores de serviço e estagiários devem 
possuir conhecimento mínimo para a execução eficaz e segura de suas tarefas, assim 
como conhecer as políticas e normas de segurança da PCRJ. 
§1°. Devem ser estabelecidos programas permanentes de sensibilização e 
conscientização em Segurança da Informação, que alcancem todos os agentes que 
tenham acesso aos ativos da informação da PCRJ, visando garantir a compreensão 
das políticas, normas e melhores práticas em Segurança da Informação. 
§2°. Devem ser estabelecidos programas permanentes de treinamento em 
Segurança da Informação, compatíveis com as atribuições profissionais dos 
funcionários públicos participantes, de modo a permitir o cumprimento de seus papéis 
e responsabilidades com relação à proteção das informações da PCRJ. 
 
Seção VII 
Da Gestão de Continuidade 
Art. 12 - Os ativos da informação considerados críticos à atividade fim dos órgãos e 
entidades municipais devem estar resguardados por um Programa de Gestão de 
Continuidade de Negócios que garanta a continuidade dos serviços, previna e 
solucione situações de anormalidade. 
Parágrafo único. Os planos que integram o Programa de Gestão de Continuidade de 
Negócios devem ser documentados, periodicamente testados e revisados. 
 
 
www.rio.rj.gov.br/iplanrio 
 
Av. Presidente Vargas, 3131/13º andar 
Cidade Nova - Rio de Janeiro • RJ • CEP 20210-911 
Tel.: (21)3971-1818 
 
 
 
Seção VIII 
Da Gestão de Riscos 
Art. 13 - Deve ser estabelecido processo que possibilite a identificação, 
quantificação, priorização, tratamento, comunicação e a monitoração periódica dos 
riscos à informação. 
Parágrafo único. O processo deve ter por objetivo reduzir as vulnerabilidades, evitar 
as ameaças, minimizar a exposição aos riscos e atenuar os impactos associados aos 
ativos da informação dos órgãos ou entidades. 
 
Seção IX 
Da Auditoria e Conformidade 
Art. 14 - A PCRJ se reserva o direito de monitorar e avaliar, a qualquer tempo, o uso 
dos seus ativos da informação visando salvaguardar os interesses do município. 
Parágrafo único. Ficam todos os órgãos e entidades municipais sujeitos a auditorias 
de conformidade à PSI e suas normas complementares, assim como de eficácia e 
efetividade de seus controles de SI. 
 
Seção X 
Da Gestão de Incidentes de Segurança da Informação 
Art. 15 - Os incidentes de Segurança da Informação devem ser identificados, 
monitorados, comunicados e devidamente tratados, em tempo hábil, nos termos de 
um Plano de Gerenciamento de Incidentes. 
Parágrafo único. O Plano de Gerenciamento de Incidentes deve ter por objetivo o 
restabelecimento das atividades do órgão ou entidade à situação de normalidade nos 
prazos previstos. Esse plano deve ser documentado, testado e revisado 
periodicamente. 
 
CAPÍTULO VI 
DAS PENALIDADES 
Art. 16 - As ações que violem esta política ou suas normas complementares são 
passíveis de sansões civis, penais e administrativas, conforme a legislação em vigor. 
Art. 17 - A análise e tratamento dos casos de violação omissos na legislação vigente 
devem ser realizados pelo Comitê de Segurança da Informação do órgão ou entidade. 
 
 
www.rio.rj.gov.br/iplanrio 
 
Av. Presidente Vargas, 3131/13º andar 
Cidade Nova - Rio de Janeiro • RJ • CEP 20210-911 
Tel.: (21)3971-1818 
 
 
 
CAPÍTULO VII 
DAS COMPETÊNCIAS E RESPONSABILIDADES 
Art. 18 - É de responsabilidade dos órgãos e entidades municipais tomar as medidas 
necessárias à consecução e manutenção de sua conformidade com todas as políticas 
e normas de segurança da PCRJ. 
§1º. Ao titular do órgão ou entidade e às Chefias Imediatas compete: 
I. conscientizar funcionários e quaisquer colaboradores sob sua liderança em 
relação aos conceitos e às práticas de Segurança da Informação; 
II. atuar junto a seus subordinados na construção e implantação de processos de 
trabalho que promovam a Segurança da Informação; 
III. tomar as medidas administrativas necessárias para que sejam adotadas ações 
corretivas, em tempo hábil, em caso de comprometimento da Segurança da 
Informação. 
§2º. À área de Gestão de Pessoas de cada órgão ou entidade compete: 
I. garantir a todos os funcionários públicos e estagiários o conhecimento desta 
política e de suas normas complementares; 
II. notificar aos agentes competentes qualquer movimentação referente a 
funcionários públicos e estagiários, com vistas a regularizar o acesso aos ativos da 
informação. 
Art. 19 - É de responsabilidade de todos que têmacesso aos ativos da informação 
da PCRJ manter níveis de segurança adequados, segundo os preceitos desta política 
e de suas normas complementares. 
§1º. A todo funcionário público, prestador de serviço e estagiário compete: 
I. realizar suas competências funcionais em aderência a todas as políticas, 
normas e procedimentos a elas relacionados; 
II. observar desvios das políticas, normas e procedimentos estabelecidos e 
informá-los ao responsável imediato. 
§2º. Ao Gestor da Informação compete: 
I. administrar os acessos dos usuários às informações: definir perfis de acesso, 
prover ou solicitar formalmente estes acessos, revisá-los periodicamente e promover, 
a tempo, o cancelamento dos mesmos; 
II. classificar as informações sob sua gestão em níveis de sensibilidade diante de 
um possível comprometimento dos princípios de confidencialidade, integridade e 
disponibilidade. 
 
 
www.rio.rj.gov.br/iplanrio 
 
Av. Presidente Vargas, 3131/13º andar 
Cidade Nova - Rio de Janeiro • RJ • CEP 20210-911 
Tel.: (21)3971-1818 
 
 
 
CAPÍTULO VIII 
DAS DISPOSIÇÕES FINAIS 
Art. 20 - Estas diretrizes devem ser revisadas e atualizadas pela Iplanrio à medida 
que se agreguem novos requisitos e valores às atividades da PCRJ, ou dentro do 
intervalo de 3 (três) anos. 
Art. 21 - Complementam a Política de Segurança da Informação as normas a serem 
editadas em deliberações específicas. 
 
 
Microsoft Edge 
PDF Document
 
 1
DECRETO RIO Nº 44276 DE 01 DE MARÇO DE 2018 
 
Estabelece a Política de Segurança da 
Informação da Prefeitura da Cidade do Rio de 
Janeiro – PCRJ. 
 
O PREFEITO DA CIDADE DO RIO DE JANEIRO , no uso das atribuições que lhe são 
conferidas pela legislação em vigor, e 
 
CONSIDERANDO ser estrategicamente imprescindível proteger as informações que 
suportam a missão do Poder Executivo Municipal; 
 
CONSIDERANDO ser a informação um dos ativos mais importantes para qualquer 
instituição, bem como para seus processos de trabalho; 
 
CONSIDERANDO a necessidade de aprimoramento contínuo da gestão da Segurança 
da Informação no âmbito municipal; 
 
CONSIDERANDO a importância de manter e zelar pela integridade, disponibilidade e 
confidencialidade das informações corporativas como meio eficaz para a consolidação 
de sua credibilidade junto ao cidadão. 
 
DECRETA: 
 
Art. 1º Fica instituída a Política de Segurança da Informação da Prefeitura da Cidade 
do Rio de Janeiro, com os seguintes objetivos: 
I - definir diretrizes, responsabilidades, competências e princípios de Segurança da 
Informação – SI no âmbito da PCRJ; 
II - conduzir os órgãos e entidades municipais a níveis de risco gerenciáveis, no que diz 
respeito à segurança de suas informações; 
 
 2
III - garantir a disponibilidade, integridade, confidencialidade e autenticidade das 
informações que suportam as atividades e os objetivos estratégicos dos órgãos e 
entidades municipais; 
IV - fomentar o comprometimento de todos os agentes municipais na implantação do 
Programa de Segurança da Informação; e 
V - disseminar a cultura da Segurança da Informação em todos os níveis 
organizacionais dos órgãos e entidades municipais. 
Art. 2º Para fins deste Decreto, considera-se: 
I - Ameaça: evento que tem potencial em si próprio para comprometer os objetivos da 
organização, seja trazendo danos diretos aos ativos ou prejuízos decorrentes de 
situações inesperadas; 
II - Ativo da informação: elementos que transformam, transportam, guardam e 
descartam dados ou informações, incluindo a própria informação e que se dividem em 
6 (seis) grupos: equipamentos, aplicações, usuários, ambientes, informações e 
processos; 
III - Autenticidade: garantia de que os ativos da informação identificados em um 
processo de comunicação como remetentes ou autores sejam exatamente quem dizem 
ser; 
IV - Comitê de Governança da Tecnologia da Informação e Comunicação (CGTIC-Rio): 
instância estratégica responsável por tratar e deliberar sobre Segurança da Informação 
no âmbito da PCRJ; 
V - Comitê de Segurança da Informação: instância estratégica responsável por tratar e 
deliberar sobre Segurança da Informação no âmbito do órgão ou entidade; 
VI - Confidencialidade: propriedade que garante que a informação só está disponível a 
indivíduos ou processos autorizados; 
VII - Dados: trata-se da informação não processada; 
VIII - Disponibilidade: propriedade que garante que a informação está disponível às 
pessoas e aos processos autorizados, a qualquer momento requerido; 
IX - Gestor de Segurança da Informação: agente responsável pelas ações de 
Segurança da Informação no âmbito do órgão ou entidade; 
 
 3
X - Grupo de Tratamento e Resposta a Incidentes: agentes responsáveis por receber, 
analisar e responder às notificações e atividades relacionadas a incidentes de 
Segurança da Informação; 
XI - Incidente de Segurança da Informação: é qualquer evento adverso, confirmado ou 
sob suspeita, relacionado à segurança dos ativos da informação; 
XII - Informação: resultado do processamento, manipulação e organização de dados de 
tal forma que represente um acréscimo ao conhecimento da pessoa que a recebe, 
podendo se apresentar de diversas formas, como texto, imagem, áudio, etc.; 
XIII - Integridade: propriedade que garante que informação está intacta e protegida 
contra perda, dano ou modificação não autorizada; 
XIV - Recurso de TIC (Tecnologia da Informação e da Comunicação): 
são os recursos tecnológicos que transformam, transportam, guardam e descartam 
dados ou informações; 
XV - Risco: probabilidade de ameaças explorarem vulnerabilidades, comprometendo a 
confidencialidade, integridade ou disponibilidade da informação, causando impactos 
para um sistema ou organização; 
XVI - Usuário: qualquer pessoa autorizada a ler, inserir ou atualizar informações; 
XVII - Vulnerabilidade: fragilidade presente ou associada a um ativo ou grupo de ativos 
da informação, que pode ser explorada por uma ou mais ameaças gerando incidentes 
de Segurança da Informação. 
Art. 3º As ações de Segurança da Informação devem buscar, alcançar e preservar os 
seguintes princípios: 
I - autenticidade; 
II - confidencialidade; 
III - disponibilidade; 
IV - integridade; 
V - legalidade. 
Art. 4º Ao Comitê de Governança da Tecnologia da Informação e Comunicação - 
CGTIC-Rio, presidido pela IPLANRIO, compete: 
I - regulamentar as políticas e normas de Segurança da Informação; 
II - acompanhar e orientar a implantação das políticas e normas de Segurança da 
Informação nos órgãos e entidades municipais; 
 
 4
III - receber, analisar e consolidar os resultados relativos à auditorias de nível de 
conformidade dos órgãos e entidades municipais às políticas e normas de Segurança 
da Informação; 
IV - propor programa orçamentário específico para suporte às ações de tratamento dos 
riscos relacionados à Segurança da Informação. 
Art. 5º À Empresa Municipal de Informática S.A. – IPLANRIO compete: 
I - propor regulamentação sobre Segurança da Informação; 
II - planejar e coordenar as atividades relativas à Segurança da Informação; 
III - promover a divulgação das políticas, normas e melhores práticas de Segurança da 
Informação para todos os órgãos e entidades municipais; 
IV - promover a cultura da Segurança da Informação por meio de ações de 
sensibilização e conscientização; 
V - definir, prover e administrar, direta ou indiretamente, modelos e métodos de 
gerenciamento que promovam a segurança dos serviços de TIC; 
VI - garantir os níveis de alinhamento das atividades de TIC a todas as políticas, 
normas e procedimentos de segurança estabelecidos; 
VII - instituir e coordenar um Grupo de Tratamento e Resposta a Incidentes; 
VIII - realizar e acompanhar estudos de novas tecnologias quanto a possíveis impactos 
na Segurança da Informação; 
IX - elaborar, implantar e gerenciar o programa de continuidade de negócios dos 
serviçoscorporativos hospedados no Datacenter da PCRJ. 
Art. 6º Ao Grupo de Tratamento e Resposta a Incidentes, de que trata o inciso VII do 
art. 5º, em seu âmbito de atuação, compete: 
I - coordenar as atividades de tratamento e resposta a incidentes de Segurança da 
Informação; 
II - promover o tratamento e a recuperação de serviços de TIC; 
III - cooperar com outras equipes de Tratamento e Resposta a Incidentes. 
Art. 7º À Auditoria Geral da Controladoria Geral do Município compete avaliar o 
cumprimento da Política de Segurança da Informação e de suas normas 
complementares. 
Art. 8º Aos demais órgãos e entidades da Administração Pública Municipal, direta e 
indireta, em seu âmbito de atuação, compete: 
 
 5
I - coordenar as ações de Segurança da Informação; 
II - quando cabível, aplicar as ações corretivas e disciplinares nos casos de tratamento 
de incidentes de Segurança da Informação; 
III - propor programa orçamentário específico para as ações de Segurança da 
Informação; 
IV - instituir Comitê de Segurança da Informação. 
Art. 9º Ao Comitê de Segurança da Informação, de que trata o inciso IV do art. 8º, em 
seu âmbito de atuação, compete: 
I - gerenciar os riscos de segurança da informação associados aos processos de 
negócio e serviços do órgão ou entidade; 
II - deliberar sobre a implementação das ações de Segurança da Informação; 
III - constituir grupos de trabalho para tratar de temas e propor soluções específicas 
sobre Segurança da Informação; 
IV - elaborar e propor normas locais de Segurança da Informação em conformidade 
com esta política e suas normas complementares; 
V - solicitar apurações quando da suspeita de ocorrências de incidentes de Segurança 
da Informação; 
VI - elaborar, implantar e gerenciar o programa de continuidade de negócios dos 
serviços e sistemas de informação do órgão ou entidade; 
VII - nomear o Gestor de Segurança da Informação do órgão ou entidade. 
Art. 10. Ao Gestor de Segurança da Informação, de que trata o inciso VII do art. 9º, em 
seu âmbito de atuação, compete: 
I - promover a cultura de Segurança da Informação; 
II - acompanhar as investigações e as avaliações dos danos decorrentes de incidentes 
de Segurança da Informação; 
III - propor recursos necessários às ações de Segurança da Informação; 
IV - propor normas relativas à Segurança da Informação; 
V - apoiar técnica e administrativamente as reuniões e demais atividades do Comitê, 
incluindo o gerenciamento da execução de suas resoluções. 
Art. 11. Este Decreto entrar em vigor na data de sua publicação, revogadas as 
disposições em contrário, em especial o Decreto nº 29.385, de 30 de maio de 2008. 
 
 6
. 
Rio de Janeiro, 01 de março de 2018 - 454º da Fundação da Cidade. 
 
MARCELO CRIVELLA 
 
 D. O RIO 01.03.2018 
Microsoft Edge 
PDF Document