Regulamento Interno de Segurança dos Sistemas de Informação do Município de Almodôvar
Aprovação pela Câmara Municipal
João de Deus Lopes Pereira, Vereador da Câmara Municipal de Almodôvar:
Torna público que nos termos e para os efeitos do disposto no Artigo 56.º do Regime Jurídico das Autarquias Locais, aprovado pela Lei 75/2013, de 12 de setembro, na sua atual redação, que a Câmara Municipal de Almodôvar, em reunião ordinária de 19 de março de 2025, deliberou aprovar, no âmbito da competência constante do Artigo 33.º n.º 1 alínea k) (parte final) do Regime Jurídico das Autarquias Locais, aprovado pela Lei 75/2013, de 12 de setembro, na sua atual redação, a Proposta de Regulamento Interno de Segurança dos Sistemas de Informação do Município de Almodôvar, a qual entrará em vigor no 20.º (vigésimo) dia útil seguinte à sua publicação no Diário da República.
Para que não se alegue desconhecimento, é publicado o presente Regulamento e afixados Editais de igual teor nos lugares públicos do costume, bem como na página eletrónica do Município de Almodôvar - www.cm-almodovar.pt.
24 de fevereiro de 2025. - O Vereador da Câmara Municipal, João de Deus Lopes Pereira.
Regulamento Interno de Segurança dos Sistemas de Informação do Município de Almodôvar
Nota Justificativa
A preservação da segurança dos sistemas de informação desempenha um papel crucial em matéria de segurança nacional e internacional, no funcionamento do Estado e dos agentes económicos, bem como na construção da confiança dos cidadãos no processo de modernização digital da Administração Pública.
A transposição para o ambiente digital de funções essenciais das atividades institucionais e da vivência pessoal e profissional dos cidadãos justifica o reforço do quadro regulamentar e organizacional de cibersegurança, executado em harmonia com todo o espaço e em defesa contra ciberameaças comuns.
Perante o aumento assinalável da quantidade e da sofisticação das ameaças, bem como a crescente utilização e dependência do uso das tecnologias de informação e comunicação por toda a sociedade, afigura-se indispensável assegurar a generalização da cibersegurança na cultura organizacional nas entidades, órgãos e serviços que constituem a Administração Pública, onde necessariamente se incluem as Autarquias Locais, uma vez que tais ameaças podem, desde logo, comprometer a confidencialidade, a integridade e a disponibilidade da informação, das redes e dos sistemas de informação da Administração Pública e dos operadores de serviços essenciais (designadamente o abastecimento de água e saneamento, e recolha de resíduos).
Neste sentido, foi aprovada a Lei 46/2018, de 13 de agosto, que consagrou o regime jurídico da segurança do ciberespaço e transpôs para o ordenamento jurídico nacional a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e dos sistemas de informação em toda a União. Posteriormente foi aprovado o Decreto-Lei 65/2021, de 30 de julho, que veio regulamentar a referida lei, estabelecendo requisitos que constituem um mínimo a assegurar pelas entidades abrangidas pelo mesmo diploma, contando-se entre os mesmos os requisitos de segurança das redes e sistemas de informação e, por outro lado, as regras para a notificação de incidentes, que devem ser cumpridos pela Administração Pública, operadores de infraestruturas críticas, operadores de serviços essenciais e prestadores de serviços digitais.
Esteve ainda em consulta pública o Regime Jurídico da Cibersegurança, que visa transpor para o ordenamento jurídico nacional a Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro, destinada a garantir um elevado nível comum de cibersegurança em toda a União, pelo que as alterações que advirão da sua entrada em vigor irão certamente ter repercussões na forma como a Administração Pública, e em especial as Autarquias Locais, terão de lidar com esta nova realidade.
O presente regulamento destina-se assim a estabelecer um conjunto de princípios e regras a que deve obedecer a utilização dos sistemas de informação nos serviços municipais, de forma a garantir a segurança da informação em ambiente digital, assegurando os níveis adequados de integridade, autenticidade, disponibilidade e confidencialidade, requeridos para a sua proteção, mitigando assim o impacto de eventuais incidentes que possam comprometer o regular funcionamento dos serviços municipais.
Neste sentido, foi dado início ao procedimento de elaboração do Regulamento Interno de Segurança dos Sistemas de Informação do Município de Almodôvar, nos termos do Artigo 98.º n.º 1 do Código de Procedimento Administrativo, aprovado pelo Decreto-Lei 4/2015, de 07 de janeiro, tendo sido promovida a consulta a todos os interessados entre os dias 11 de fevereiro de 2025 e 10 de março de 2025, para que estes pudessem apresentar os seus contributos no âmbito do presente procedimento, tendo sido efetuadas sugestões de alteração ao Regulamento, as quais foram objeto de ponderação e acolhidas no presente Regulamento Interno, pelo que se apresenta agora a Proposta de Regulamento Interno de Segurança dos Sistemas de Informação do Município de Almodôvar, tendo em vista a respetiva apreciação e eventual aprovação pela Câmara Municipal, no âmbito da competência constante do Artigo 33.º n.º 1 alínea k) (parte final) do Regime Jurídico das Autarquias Locais, aprovado pela Lei 75/2013, de 12 de setembro, na sua atual redação.
Regulamento Interno de Segurança dos Sistemas de Informação do Município de Almodôvar
CAPÍTULO I
DISPOSIÇÕES GERAIS
Artigo 1.º
Objeto
O Regulamento Interno de Segurança dos Sistemas de Informação do Município de Almodôvar contempla as regras e normas em que assenta a Política Geral de Segurança da Informação do Município de Almodôvar, visando dar cumprimento às obrigações previstas no Decreto-Lei 65/2021, de 30 de julho, que Regulamenta o Regime Jurídico da Segurança do Ciberespaço e define as obrigações em matéria de certificação da cibersegurança.
Artigo 2.º
Âmbito de Aplicação
1 - As disposições do presente regulamento são aplicáveis a todos órgãos e serviços do Município de Almodôvar, designadamente membros do executivo, trabalhadores, bem como prestadores de serviços externos e entidades que utilizam as instalações e meios do Município de Almodôvar, entidades externas que exerçam competências municipais em regime de delegação de competências e demais entidades externas relevantes.
2 - Além do acesso adequado à informação necessária para o desempenho das suas funções, todos os utilizadores devem ter conhecimento deste regulamento, sendo-lhes exigido o respeito pelos controlos de segurança implementados.
Artigo 3.º
Definições
Para efeitos do disposto no presente Regulamento Interno, entende-se por:
a) Regulamento da Segurança do Sistema de Informação - Documento que orienta ou regula as ações das pessoas ou sistemas no domínio da segurança do sistema de informação;
b) Sistema de Informação - Conjunto integrado de componentes para recolha, armazenamento e processamento de dados, automatizado ou não, que suportem o fornecimento de informações e conhecimento a uma organização;
c) Segurança de Sistemas de Informação - Enquadramento organizacional de cultura, políticas, estruturas organizacionais e ambiente operacional, utilizado para assegurar a integridade, disponibilidade e confidencialidade da informação de uma organização:
d) Segurança das redes e dos sistemas de informação - capacidade das redes e dos sistemas de informação para resistir, com um dado nível de confiança, a ações que comprometam a confidencialidade, a integridade, a disponibilidade, a autenticidade e o não repúdio dos dados armazenados, transmitidos ou tratados, ou dos serviços conexos oferecidos por essas redes ou por esses sistemas de informação, ou acessíveis através deles;
e) Ativos - qualquer objeto físico ou digital que esteja sobre o domínio do Município de Almodôvar, tal como equipamentos, veículos municipais, programas informáticos, dados, informação, entre outros, que tenha valor para a organização e que precise de ser protegido;
f) Sistema informático - qualquer dispositivo ou conjunto de dispositivos interligados ou associados, em que um ou mais de entre eles desenvolve, em execução de um programa, o tratamento automatizado de dados informáticos, bem como a rede que suporta a comunicação entre eles e o conjunto de dados informáticos armazenados, tratados, recuperados ou transmitidos por aquele ou aqueles dispositivos, tendo em vista o seu funcionamento, utilização, proteção e manutenção;
g) Dados informáticos - qualquer representação de factos, informações ou conceitos sob uma forma suscetível de processamento num sistema informático, incluindo os programas aptos a fazerem um sistema informático executar uma função;
h) Confidencialidade - capacidade de proteger os dados daqueles que não estão autorizados a consultá-los, não impedindo o acesso aos mesmos, em tempo útil, de pessoas autorizadas;
i) Integridade - consiste na capacidade de prevenir, recuperar e reverter alterações não autorizadas ou acidentais aos dados;
j) Autenticidade - manutenção da fiabilidade da informação desde o momento da sua produção e ao longo de todo o seu ciclo de vida;
k) Disponibilidade - propriedade de ser acessível e utilizável quando requerido por uma entidade autorizada;
l) Pessoa Autorizada/Utilizador Autorizado - membros do executivo, trabalhadores, bem como prestadores de serviços externos e entidades que utilizam as instalações e meios do Município de Almodôvar, trabalhadores de entidades externas que exerçam competências municipais em regime de delegação de competências e trabalhadores de demais entidades externas relevantes, que tenham autorização para aceder e fazer uso das instalações, infraestruturas e equipamentos municipais;
m) Incidente - um evento com um efeito adverso na segurança das redes e dos sistemas de informação;
n) Tratamento de incidentes - todos os procedimentos de apoio à deteção, análise, contenção e resposta a um incidente.
Artigo 4.º
Princípios
As políticas de segurança da informação do Município de Almodôvar, quer na sua definição, quer na sua concretização diária, devem orientar-se pelos seguintes princípios:
a) Princípio da Garantia de proteção: a informação é um recurso crítico para o eficaz desenvolvimento de todas as atividades do Município de Almodôvar, sendo assim fundamental garantir a sua adequada proteção, nas vertentes de integridade, autenticidade, disponibilidade e confidencialidade;
b) Princípio da Sujeição à lei: quer a política de segurança, quer todas as medidas e tarefas executadas na prossecução da mesma, deverão respeitar a legislação aplicável, bem como as normas e regulamentos internos aprovados pelas entidades competentes;
c) Princípio da Necessidade de acesso: o acesso à informação deve restringir-se, exclusivamente, às pessoas que tenham necessidade de a conhecer para cumprimento das suas funções e tarefas;
d) Princípio da Transparência: deve assegurar-se a transparência, conjugando o dever de informar com a fixação, de forma clara, das regras e procedimentos a adotar para a segurança da informação sob a responsabilidade do Município de Almodôvar;
e) Princípio da Proporcionalidade: as atividades impostas pela segurança da informação devem ser proporcionais aos riscos a mitigar e limitadas ao necessário, minimizando a entropia no regular funcionamento dos serviços municipais;
f) Princípio da Obrigatoriedade de cumprimento: as políticas e procedimentos de segurança definidos devem ser integrados nos processos de trabalho e a execução das tarefas diárias deve ser pautada pelo seu estrito cumprimento;
g) Princípio da Responsabilidade: as responsabilidades e o papel das entidades intervenientes na segurança da informação devem ser definidas de forma clara e ser alvo de monitorização e auditoria periódicas;
h) Princípio da Informação: todas as políticas e procedimentos específicos devem ser publicitados e comunicados a todos os utilizadores que deles necessitem para o desempenho das suas funções e tarefas;
i) Princípio da Formação: deve ser planeado, aprovado e executado um plano de formação e de divulgação que incida sobre o domínio da segurança da informação e sobre as políticas e procedimentos específicos adotados neste âmbito;
j) Princípio da Avaliação do Risco: deve ponderar-se a necessidade de proteção da informação em função da sua relevância e das ameaças que sobre ela incidem. A avaliação do risco deve identificar, controlar e eliminar os diversos tipos de ameaças a que a informação se encontra sujeita. Os níveis de segurança, custo, medidas, práticas e procedimentos devem ser apropriados e proporcionais ao valor e ao nível de confiança da informação;
k) Princípio da Comunicação, Registo e Ponto de Contacto Único: todos os incidentes de segurança, bem como as fragilidades, têm de ser objeto de comunicação imediata e registo de forma a proporcionar uma resposta célere aos problemas. O processo de registo deve prever a identificação de um ponto único de contacto para onde devem ser canalizados todos os relatos;
l) Princípio da Aplicação de Sanções: a não observância das disposições de segurança da informação que se encontrem em vigor, será considerada como infração às normas e regulamentos internos e, como tal, será sujeita a medidas corretivas apropriadas de acordo com a legislação e normativos aplicáveis ou que para o efeito venham a ser aprovadas.
CAPÍTULO II
POLÍTICA DE SEGURANÇA DOS SISTEMAS DE INFORMAÇÃO
Artigo 5.º
Objetivos da Política de Segurança dos Sistemas de Informação
1 - A Política de Segurança a implementar tem como principal objetivo o estabelecimento dos pilares de Segurança dos Sistemas de Informação em funcionamento no Município de Almodôvar, de modo a assegurar:
a) A acessibilidade controlada e a disponibilidade dos sistemas, de acordo com a criticidade e o valor da informação por eles processada;
b) A confidencialidade, integridade e disponibilidade da informação em qualquer suporte;
c) A rastreabilidade e a conformidade legal;
d) A continuidade das operações, mitigando assim o impacto de eventuais incidentes que possam comprometer o regular funcionamento do Município de Almodôvar.
2 - Para o cumprimento destes objetivos, o Município de Almodôvar, em conformidade com a legislação e normativos em vigor em matéria de segurança da informação, compromete-se a adotar as melhores práticas nacionais e internacionais.
Artigo 6.º
Conteúdos da Política de Segurança dos Sistemas de Informação
1 - A política de segurança da informação do Município de Almodôvar consiste na proteção da informação produzida, armazenada, processada ou transmitida no âmbito da atividade municipal, contra a perda de integridade, autenticidade, disponibilidade e confidencialidade.
2 - O Município de Almodôvar compromete-se a desenvolver políticas e procedimentos específicos que respeitem as normas internacionais de referência, auditáveis, que definem os requisitos para a implementação de um Sistema de Gestão da Segurança da Informação (SGSI), abrangendo, nomeadamente, as áreas previstas nas normas ISO 27001, ISO 27002 e no Regulamento Geral de Proteção de Dados Pessoais, no que respeita a:
a) Recursos Humanos, Entidades Externas e Fornecedores;
b) Gestão da Informação;
c) Gestão de Acessos;
d) Segurança Física e Ambiental;
e) Gestão do Sistema Informático;
f) Gestão dos Incidentes de Segurança;
g) Gestão da Continuidade de Serviço;
h) Conformidade Legal.
Artigo 7.º
Recursos Humanos, Entidades Externas e Fornecedores
1 - Em matéria de Recursos Humanos, impende sobre o Município de Almodôvar a obrigação de assegurar que:
a) Todos os utilizadores conhecem, entendem e cumprem as responsabilidades na área da segurança da informação em conformidade com as suas funções;
b) Os interesses do Município de Almodôvar e dos utilizadores são protegidos como parte do processo de início, mudança ou cessação de funções;
c) Todos os parceiros de serviço, fornecedores e clientes sejam sensibilizados para as responsabilidades de cumprimento da política de segurança de informação, através de comunicação específica presente nos contratos que definem a sua relação com o município.
2 - Todos os trabalhadores do Município de Almodôvar, bem como as entidades externas com acesso à informação, como é o caso de consultores externos, colaboradores contratados e trabalhadores temporários, estão sujeitos aos mesmos requisitos de segurança e têm as mesmas responsabilidades no cumprimento dos requisitos de segurança da informação.
3 - As Unidades Orgânicas e Serviços do Município de Almodôvar são responsáveis por garantir e manter as políticas, normas e controlos de segurança de informação definidos pela respetiva chefia, em articulação com o Serviço de Informática e Telecomunicações.
4 - Para efeitos do número anterior, devem implementar e monitorizar controlos tecnológicos, fixados pelo respetivo dirigente, de forma a garantir a integridade, disponibilidade e confidencialidade da informação.
Artigo 8.º
Gestão da Informação
1 - A preservação da confidencialidade das informações institucionais e da privacidade de todos os que com o Município de Almodôvar colaboram são princípios fundamentais, devendo para isso as pessoas autorizadas:
a) Manter total confidencialidade sobre todas as informações acedidas ou sobre as quais tomem conhecimento no decurso do desempenho da atividade profissional ao serviço do Município de Almodôvar;
b) Não divulgar informação confidencial ou respeitante à vida privada de outros trabalhadores municipais, excetuando-se todas as situações decorrentes das atividades do Município;
c) Não abordar informações de caráter institucional ou profissional em locais públicos ou privados sem garantia de reserva de privacidade;
d) Não enviar dados do Município em suporte digital para serviços em cloud pública, ou plataformas de uso similar geridas através de contas de acesso não controladas pelo Município.
2 - O Município de Almodôvar deve controlar o acesso à informação, através da aplicação de controlos de acesso lógicos e físicos que garantam que:
a) O acesso à informação está restrito a quem necessita de a conhecer para a prossecução das suas competências - Necessidade de Conhecer;
b) O acesso a espaços físicos que contenham dados - em formato físico ou em formato digital -apenas deve ser concedido caso seja necessário para o desempenho das funções atribuídas - Necessidade de Uso.
3 - Para efeitos do disposto no ponto anterior, o Município de Almodôvar deverá:
a) Identificar a informação do Município e definir as responsabilidades pela sua proteção;
b) Definir a Política de Classificação de Segurança da Informação, assegurando que a informação receba um nível adequado de proteção de acordo com o seu valor, sensibilidade, criticidade, requisitos legais e riscos a que possa estar sujeita;
c) Definir a política de uso aceitável que deve conter regras para a utilização dos recursos do Município, ficando o uso destes condicionado à concordância expressa por parte de cada utilizador;
d) Definir os procedimentos para a gestão dos suportes de armazenamento e salvaguarda da informação;
e) Garantir que a segurança da informação é parte integrante de todo o ciclo de vida dos sistemas de informação.
4 - Compete ao Presidente da Câmara Municipal, ou ao/à Vereador/a com competência delegada, designar a equipa que acompanhará a elaboração da Política de Classificação de Segurança da Informação, através da definição dos níveis de proteção da informação, de acordo com o seu valor, sensibilidade, criticidade, requisitos legais e riscos a que possa estar sujeita, bem como assegurar a elaboração de um Inventário de Ativos, onde estes sejam devidamente identificados e classificados, e definidas as regras do tipo de uso que seja permitido fazer com os mesmos pelos utilizadores autorizados.
Artigo 9.º
Gestão de Acessos
1 - O Município define e mantém um processo formal de disponibilização de contas de acesso do sistema de informação, para atribuir, alterar ou revogar os direitos de acesso para todos os tipos de pessoa autorizada, em todos os sistemas e serviços.
2 - O acesso a componentes do sistema de informação, dispositivos, aplicações, sistemas ou similares, é feito mediante um processo de autenticação auditável, podendo recorrer ao uso de credenciais de acesso, como nome de utilizador e palavra-passe ou equivalente, atribuídas pelo Serviço de Informática e Telecomunicações, com base em proposta do respetivo dirigente.
3 - A atribuição de direitos de acesso e privilégio às componentes do sistema de informação é feita mediante a definição de perfis com privilégios mínimos e diferenciados, seguindo o princípio da necessidade de conhecer e aceder à informação.
4 - O/A dirigente que superintende cada pessoa autorizada, ou dirigentes dos serviços utilizadores dos recursos, ou o Presidente da Câmara, ou o/a Vereador/a com competência delegada, definem as correspondentes necessidades de acesso às componentes do sistema de informação, bem como o correspondente perfil de permissões, sendo a respetiva necessidade comunicada ao Serviço de Informática e Telecomunicações ou à pessoa responsável pelo recurso do sistema de informação.
5 - O Serviço de Informática e Telecomunicações mantém uma listagem atualizada de contas de acesso das componentes de caráter digital do sistema de informação Municipal que recorram a meios de autenticação por palavra-passe ou equivalente.
6 - Cada utilizador compromete-se a manter confidencial a palavra-passe de acesso à sua conta, bem como as palavras-passe de acesso às aplicações que utilize no exercício das respetivas funções, não as podendo revelar ou partilhar de nenhuma forma.
7 - A Conta de Acesso de utilizador é bloqueada automaticamente após 5 tentativas de acesso malsucedidas, devendo o utilizador solicitar ao Serviço Informática e Telecomunicações a reativação da sua conta.
8 - Para acessos VPN, acessos a sistemas mais críticos ou para mecanismos de autenticação partilhadas por vários sistemas, devem ser implementados, sempre que possível, mecanismos de autenticação forte (exemplo: OTP, palavras-passe + certificados digitais, tokens, impressão digital, etc.).
9 - A Secção de Recursos Humanos comunica ao Serviço de Informática e Telecomunicações a cessação da relação laboral ou a transferência do/a trabalhador/a para outro serviço, secção ou unidade, logo que a mesma tenha lugar, a fim de que este possa proceder às diligências necessárias para a suspensão, cancelamento ou adequação dos acessos existentes, bem como à recolha de equipamentos ou implementação de ações de manutenção, salvaguardando informações de caráter confidencial.
Artigo 10.º
Segurança Física e Ambiental
1 - O Município deve promover a implementação de repositórios digitais centralizados, que permitam o controlo de acessos com base na definição de permissões por pessoa autorizada, devendo existir repositórios partilhados por unidade organizacional e, sempre que se justifique, repositórios de acesso individual.
2 - O Serviço de Informática e Telecomunicações é responsável pela criação, gestão, atribuição de acessos e manutenção de repositórios digitais.
3 - O Serviço de Informática e Telecomunicações é responsável pela definição, manutenção e monitorização de procedimentos de cópia de backup apropriados que salvaguardem os ativos selecionados da infraestrutura digital de forma a garantir a integridade e disponibilidade.
4 - A pessoa autorizada deve usar os repositórios digitais (diretorias) atribuídas a cada Divisão, Serviço ou Unidade e/ou pessoa autorizada, sendo apenas sobre os mesmos garantida a aplicação do procedimento de backup em vigor.
5 - A pessoa autorizada a usar dispositivos com capacidade de armazenamento de dados em formato digital deve entregar o equipamento em fim de uso ao Serviço de Informática e Telecomunicações, para que seja efetuado um procedimento de remoção de dados.
6 - Os repositórios de acesso individual não devem ser usados para arquivo de dados não respeitantes à atividade do Município.
7 - A pessoa autorizada do sistema de informação deve seguir os princípios da mesa limpa e do ecrã limpo.
8 - Os espaços de trabalho devem ser organizados por forma a prevenir a ocorrência de violações de segurança que impliquem perdas, acessos ou alterações não autorizados, quer a informação em formato físico quer em formato digital.
9 - Os documentos que são transportados para trabalhar fora dos espaços físicos do Município de Almodôvar, quando autorizados, devem estar protegidos contra acesso indevido.
10 - As impressões devem ser recolhidas da impressora, tão rápido quando possível, e caso se imprima documentos confidenciais deve-se acompanhar, presencialmente a saída das folhas e garantir que foram todas recolhidas da impressora, devendo ser privilegiado o uso de código de ativação de impressão, quando tecnicamente possível.
11 - A destruição de documentos em suporte físico deve ser feita com recurso a meios adequados que impossibilitem a reconstituição de documentos.
12 - Caso a eliminação seja efetuada por entidade externa, a mesma deverá assegurar que em todas as etapas do procedimento, nomeadamente na recolha, transporte, descarga e destruição, são observados os normativos e medidas de salvaguarda, segurança e confidencialidade, de tal forma que a informação não possa ser legível ou reconstituída, obstando dessa forma ao acesso a dados pessoais, confidenciais ou classificados. A destruição dos documentos deve ser acompanhada e visualizada por representante do Município e devem ser requeridas amostras regulares. A entidade externa responsável pela eliminação deve apresentar evidência da utilização de maquinaria adequada para a destruição, que deverá constar do Auto de Eliminação a elaborar para o efeito.
Artigo 11.º
Gestão do Sistema Informático
1 - O Serviço de Informática e Telecomunicações é responsável pela promoção da segurança da infraestrutura institucional com recurso a ferramentas automatizadas de inspeção de tráfego e deteção de intrusões, com vista à deteção e bloqueio de tráfego potencialmente malicioso, assim com de tentativas de acesso não autorizadas.
2 - O acesso aos dados resultantes de processos de monitorização só pode ser concretizado com recurso a contas de acesso nominais ou de identificação unívoca. Assim que seja tecnicamente possível a sua implementação no Município, a rastreabilidade dos acessos deverá ser garantida por meio da parametrização dos sistemas para criação de logs de registo, incluindo, pelo menos, a informação sobre quem acedeu, data e hora, e operações efetuadas, devendo os logs, sempre que possível, ser assinados digitalmente.
3 - O Serviço de Informática e Telecomunicações é ainda responsável pelo armazenamento dos registos de atividade (log), devendo, com uma periodicidade máxima de um mês, ser englobados num único bloco de registos e assinado, digitalmente, por forma a constituir garantia de integridade, devendo ser posteriormente arquivados durante o período legalmente previsto.
Artigo 12.º
Gestão dos Incidentes de Segurança
1 - Os incidentes de segurança de informação devem ser prevenidos, assegurando-se de que todos os utilizadores estão conscientes da necessidade de reportar prontamente vulnerabilidades observadas ou suspeitas de segurança de informação, seguindo o procedimento para reportar as vulnerabilidades definido para reportar incidentes de segurança de informação.
2 - Deve-se garantir que todos os trabalhadores municipais compreendem que não devem tentar testar uma vulnerabilidade suspeita ou provar que é real, mas sim reportá-la rapidamente.
3 - As pessoas autorizadas do sistema têm o dever de comunicar superiormente qualquer tentativa de acesso não autorizado ou qualquer outro uso indevido de recursos digitais ou físicos do sistema de informação.
4 - O testemunho direto ou tomada de conhecimento de forma indireta de incidentes relacionados com a segurança ou uso abusivo de recursos, incluindo o desrespeito pelo presente Regulamento Interno, deve ser comunicado ao superior hierárquico
5 - Os incidentes de segurança relacionados com a componente digital do sistema de informação devem ser comunicados ao Serviço de Informática e Telecomunicações, competindo-lhe diligenciar pela mitigação do incidente, pelo registo de evidencias e subsequente comunicação ao/à Vereador/a do Pelouro.
6 - Os incidentes de segurança relacionados com a componente física do sistema de informação devem ser comunicados de imediato ao respetivo superior hierárquico, o qual ficará responsável pela mitigação de incidentes, pelo registo de evidências e subsequente comunicação ao/à Vereador/a do respetivo Pelouro.
7 - Sempre que, após um incidente de segurança de informação, uma ação de seguimento sobre pessoas ou organizações implique uma ação legal, seja esta civil ou criminal, as evidências são recolhidas, guardadas e apresentadas em conformidade com as regras de provas e evidências, sempre em concordância com a normatividade jurídica vigente.
8 - Deve ser assegurado que as evidências recolhidas são admissíveis e que podem ser formalmente usadas em tribunal, devendo ainda ser protegida a qualidade e a integridade das evidências para assegurar que estas suportam a posição legal do Município.
9 - Devem ser mantidos os ficheiros de registo (log) de todas as ações de cópia de evidências para efeitos disciplinares e o processo de cópia deve ser testemunhado.
10 - Deve ser assegurado que a informação relacionada com incidentes de segurança de informação não é destruída acidental ou intencionalmente durante as investigações aos incidentes.
11 - Devem ser informados os órgãos com competência na matéria, o mais cedo possível, sempre que se preveja que dum incidente sério de segurança de informação possa resultar uma ação legal.
Artigo 13.º
Gestão da Continuidade de Serviço
1 - O Município de Almodôvar deverá garantir que, após a ocorrência de desastres ou falhas de segurança (resultantes, por exemplo, de desastres naturais, acidentes, falhas de equipamentos ou ações intencionais), seja possível manter um nível de funcionamento aceitável até se retornar à situação normal, bem como prever e implementar um Plano de Continuidade de Serviço, a aprovar pelo Presidente da Câmara Municipal, e que incluirá os Planos de Resposta a Incidentes que possam vir a afetar a infraestrutura física e digital do Município.
2 - Compete ao Presidente da Câmara Municipal, ou ao/à Vereador/a com competência delegada, designar a equipa que acompanhará a elaboração e implementação dos Planos Resposta a Incidentes, após a respetiva aprovação.
Artigo 14.º
Conformidade Legal
1 - O desenho, operação, utilização e administração de sistemas de informação devem obedecer aos requisitos legais, regulatórios e contratuais.
2 - Sempre que se justifique, deve-se procurar aconselhamento jurídico sobre exigências legais específicas.
3 - Todos os requisitos legais, regulatórios e contratuais relevantes e a abordagem do Município de Almodôvar para cumprir estes requisitos devem ser definidos explicitamente, documentados e mantidos atualizados para cada sistema de informação e para o Município de Almodôvar.
4 - Devem ser identificados e documentados os controlos que necessitam de estar conformes com os requisitos legais, regulatórios e contratuais.
5 - A proteção de dados e a privacidade devem ser asseguradas como requerido na legislação e regulamentação relevantes e, se aplicável, nas cláusulas contratuais.
6 - Deve ser estabelecida uma proteção corporativa de dados e uma política de privacidade, que deve ser comunicada a todos os envolvidos no processamento de informação pessoal.
7 - Deve ser garantido que os princípios de proteção de dados pessoais e os esforços de consciencialização estão de acordo com a regulamentação e legislação em vigor.
8 - O Serviço de Informática e Telecomunicações, em colaboração com o Encarregado de Proteção de Dados, deve auxiliar os utilizadores e fornecedores de serviços a proteger a privacidade da informação e indicar-lhes quais as suas responsabilidades e quais os procedimentos que devem seguir.
9 - Devem ser desenvolvidas e implementadas medidas organizacionais e técnicas apropriadas para proteger a informação pessoal.
CAPÍTULO III
DIREITOS, DEVERES E PROIBIÇÕES
Artigo 15.º
Direitos da pessoa autorizada
1 - A pessoa autorizada tem direito à liberdade e privacidade, no âmbito do processamento informático dos seus dados pessoais e no âmbito do trabalho técnico da sua responsabilidade e autoria, disponibilizando o Município, sempre que possível, redes abertas para uso pessoal.
2 - A pessoa autorizada tem, ainda, os seguintes direitos:
a) Direito de informação: no momento da recolha de dados pessoais, ou, caso a recolha de dados não seja feita diretamente junto de si, logo que os mesmos sejam tratados, a pessoa autorizada tem o direito de receber informação sobre:
i) Qual a finalidade do tratamento;
ii) Quem é responsável pelo tratamento dos dados;
iii) A quem podem ser comunicados os seus dados;
iv) Quais as condições em que pode aceder e retificar os seus dados;
b) Direito de oposição:
i) O titular dos dados tem o direito de se opor, a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito, se feito com base na prossecução do interesse público ou exercício de autoridade pública, ou feito no interesse legítimo do Município de Almodôvar.
ii) O Município cessa eventual tratamento de dados pessoais, caso não apresente razões imperiosas e legítimas para o mesmo sobre o qual prevaleçam interesses, direitos e liberdades da pessoa autorizada.
Artigo 16.º
Deveres da pessoa autorizada
1 - A pessoa autorizada deve respeitar sempre a liberdade e a privacidade alheias.
2 - As pessoas autorizadas são responsáveis pelo correio eletrónico originado a partir de contas de correio eletrónico para as quais têm autorização de uso.
3 - As pessoas autorizadas devem respeitar as proibições constantes do artigo seguinte, ou estabelecidas em quaisquer outros preceitos do presente Regulamento.
4 - As pessoas autorizadas devem respeitar as boas práticas para a escolha ou composição de palavras-passe resilientes a ataques ou tentativas de acesso indevido, nomeadamente:
a) Não usar como senha, palavras do dicionário, datas, ou outras facilmente associáveis à pessoa autorizada;
b) Manter as senhas confidenciais, guardar as mesmas em software dedicado ou ficheiros encriptados com acesso restrito;
c) Não manter as senhas escritas em papéis ou locais visíveis;
d) Mudar as senhas regularmente, seguindo as orientações do Serviço de Informática e Telecomunicações;
e) Não gravar senhas de forma automática em aplicações acessíveis a partir de computadores partilhados;
f) As senhas de determinado sistema informático não devem ser reutilizadas em sistemas de diferente âmbito, mesmo que em contexto de trabalho no Município (Excetuam-se do disposto na presente alínea as senhas de utilização múltipla usadas em mecanismos de single sign on - serviços de autenticação que conectam a pessoa autorizada em várias aplicações);
g) Não reutilizar palavras-passe em uso em sistemas do Município em contextos de uso pessoal.
Artigo 17.º
Proibições relacionadas com os acessos de cada pessoa autorizada
1 - A pessoa autorizada não pode ceder os seus privilégios de acesso nem pode usar os privilégios de outros.
2 - A pessoa autorizada é o único responsável pelo uso indevido dos seus privilégios de acesso e deverá comunicar, imediatamente, ao seu superior hierárquico, bem como ao Serviço de Informática e Telecomunicações, em caso de suspeita de uso indevido.
3 - A pessoa autorizada não deve partilhar os seus privilégios de acesso com terceiros; caso exista essa partilha, a pessoa autorizada será considerada para os devidos efeitos o único responsável pelo uso dos mesmos.
4 - A pessoa autorizada não deve tentar aceder a programas ou informações para os quais não tenha credenciais de acesso.
5 - A pessoa autorizada não deve usar recursos informáticos do Município para fins não relacionados com a missão dos serviços.
Artigo 18.º
Proibições relativas à pessoa autorizada
1 - A pessoa autorizada não pode interferir com dados, programas ou sistemas, nem intercetar informação de outra pessoa autorizada, ou do Município.
2 - A pessoa autorizada deve abster-se de atitudes que possam causar prejuízos morais ou materiais às restantes pessoas autorizadas e ao sistema de informação do Município.
3 - A pessoa autorizada não pode, em circunstância alguma, proceder à ligação de novos equipamentos à rede informática sem prévio conhecimento e autorização do Serviço de Informática e Telecomunicações.
4 - A pessoa autorizada não pode utilizar estes mesmos recursos informáticos para fins comerciais não relacionados com o Município.
5 - A pessoa autorizada não pode instalar aplicações, software ou similar, nem alterar a configuração das aplicações ou sistemas instalados, sem autorização prévia do Serviço de Informática e Telecomunicações.
6 - A pessoa autorizada não pode realocar dispositivos ou equipamentos informáticos.
7 - A pessoa autorizada não pode recorrer a dispositivos externos para armazenamento ou qualquer outro tipo de processamento de informação, salvo se autorizado e sujeito a mecanismo de encriptação que proteja os dados em caso de extravio.
CAPÍTULO IV
DISPOSIÇÕES ESPECÍFICAS
SECÇÃO I
Correio Eletrónico
Artigo 19.º
Condicionantes à Utilização do Correio Eletrónico
1 - O sistema de correio eletrónico disponibilizado pelo Município de Almodôvar destina-se a ser utilizado no desempenho de atividades profissionais.
2 - O sistema de correio eletrónico do Município de Almodôvar deve ser usado de acordo com a legislação e regulamentação vigente, bem como em conformidade com as restantes políticas, normas e procedimentos do Município de Almodôvar.
3 - Não é permitido utilizar o sistema de correio eletrónico disponibilizado pelo Município de Almodôvar para fins pessoais, não relacionados com a respetiva função, nem no âmbito de outra atividade profissional, estranha à relação contratual com o Município de Almodôvar.
4 - É proibido o uso do correio eletrónico disponibilizado pelo Município de Almodôvar para enviar ou guardar mensagens que contenham comentários e/ou imagens que evidenciem uma linguagem imprópria ou desrespeito, nomeadamente afirmações de caráter sexual, racial, religioso ou cujo conteúdo seja, de alguma forma, ofensivo, discriminatório, obsceno, assediador, ameaçador ou fraudulento.
5 - É ainda interdito o uso do endereço de correio eletrónico atribuído ao utilizador do Município para registo em redes sociais ou plataformas e sítios web similares não diretamente relacionados com o desempenho de funções profissionais e institucionais.
6 - As mensagens de correio eletrónico não devem ser reencaminhadas automaticamente para outra caixa de correio, exceto se for do Município, e por forma a assegurar a continuidade de serviço.
7 - O reencaminhamento para fora da rede do Município de Almodôvar deve ser evitado.
8 - Os utilizadores não podem enviar mensagens de correio eletrónico contendo informação interna, exceto quando estejam em causa necessidades profissionais.
9 - A inclusão de endereços externos em listas internas de distribuição deve ser evitada, a fim de obstar qualquer transferência acidental de informação interna para o exterior.
Artigo 20.º
Acesso a Contas de Correio Eletrónico Particulares
1 - Caso o utilizador tenha acesso através de equipamentos municipais e/ou da infraestrutura tecnológica do Município de Almodôvar a páginas de correio eletrónico (gratuitas ou pagas), que disponibilizem a consulta, envio e receção correio eletrónico pessoal através da tecnologia “webmail”, fica ciente que tal acesso pode comprometer a segurança da informação do Município de Almodôvar, motivo pelo qual deve ser evitado.
2 - É vedado o envio de informações, dados ou ficheiros, propriedade do Município de Almodôvar, e que coloquem ou possam vir a colocar em risco a segurança e confidencialidade da informação, de ou para serviços de correio eletrónico pessoal, salvo quando haja necessidade absoluta ou autorização específica, e seja garantida a sua utilização dentro dos normais padrões de segurança.
Artigo 21.º
Informação sensível
1 - Os utilizadores deverão garantir que não transmitem mensagem de correio eletrónico contendo informação classificada como confidencial através de redes públicas consideradas inseguras, como é o caso da Internet, ou no caso de necessitarem de o fazer, devem encriptá-las.
2 - As mensagens de correio eletrónico devem incluir assinaturas digitais quando estas forem de caráter legal ou contratualmente exigidas.
3 - A inclusão de endereços externos em listas internas de distribuição não é autorizada, a fim de evitar qualquer transferência acidental de informação confidencial ou de uso interno para o exterior.
4 - É proibido o envio de informação considerada de natureza sensível, no âmbito do Regulamento Geral de Proteção de Dados (avaliações de trabalhadores municipais, dados clínicos, dados biométricos, entre outros) para endereços de correio eletrónico internos ou externos ao Município de Almodôvar sem devida autorização do superior hierárquico.
5 - Os trabalhadores do Município de Almodôvar devem assegurar que o envio das mensagens apenas é feito para quem necessita de as receber, evitando a sua difusão para além do necessário.
6 - Não é autorizado utilizar o sistema de correio eletrónico para difundir dados protegidos por direitos de propriedade intelectual e industrial, em violação das leis de proteção e copyright aplicáveis.
Artigo 22.º
Segurança das palavras-passe de acesso ao correio eletrónico
1 - Os identificadores e as palavras-passe que garantem a identificação dos utilizadores no sistema de correio eletrónico e a privacidade dos respetivos conteúdos são propriedade do utilizador e não devem ser partilhados com outros utilizadores.
2 - A salvaguarda das palavras-passe de acesso ao correio eletrónico é da responsabilidade do utilizador ao qual estas foram atribuídas.
3 - Um utilizador de uma conta de correio eletrónico não deve poder aceder à conta de correio eletrónico de outro utilizador, a não ser que este seja um utilizador autorizado, e lhe seja permitido acesso pelo utilizador da respetiva conta.
4 - O utilizador é responsável por todas as mensagens transmitidas através a sua conta de correio eletrónico, ainda que tenha autorizado um terceiro a aceder-lhe, nos termos do ponto anterior.
5 - O acesso a caixas de correio eletrónico institucionais deve ser restringido e controlado.
Artigo 23.º
Disclaimer
Todas as mensagens deverão finalizar com a seguinte comunicação de isenção:
“O conteúdo desta mensagem eletrónica e de todos os ficheiros em anexo são confidenciais e podem conter informação privilegiada. Quem dela tomar conhecimento sem autorização do emitente poderá incorrer em ilícito penal. Estão estritamente interditas a publicação, distribuição, uso, impressão ou cópia não autorizadas da mensagem ou dos seus anexos. Caso tenha recebido esta mensagem por engano, queira por favor devolver-nos a mensagem, efetuando posteriormente a respetiva eliminação da caixa de entrada e de saída da conta de correio eletrónico. Obrigado pela sua colaboração.”
Artigo 24.º
Deteção e remoção de código malicioso
1 - Todas as mensagens de correio eletrónico serão analisadas automaticamente por um sistema de deteção e remoção de vírus informáticos.
2 - As mensagens infetadas com vírus poderão ser automaticamente eliminadas.
3 - Devem ser seguidas pelos utilizadores as seguintes regras que complementam as medidas tomadas pelo Serviço de Informática e Telecomunicações:
a) Nunca abrir quaisquer ficheiros ou macros anexos a uma mensagem de correio eletrónico vindo de uma fonte desconhecida, suspeita ou não confiável. Neste caso, o utilizador deverá informar o Serviço de Informática e Telecomunicações para que este proceda à análise prévia da mensagem, ou proceder à sua destruição;
b) Nunca fazer downloads de ficheiros a partir de fontes desconhecidas ou suspeitas;
c) Apagar mensagens publicitárias não solicitadas (SPAM e SCAM) em cadeia sem as reenviar;
d) Ignorar mensagens, conjeturando sobre ameaças de vírus e sua respetiva eliminação, exceto se vindas do Serviço de Informática e Telecomunicações.
SECÇÃO II
POLÍTICA DE SECRETÁRIA LIMPA E ECRÃ LIMPO
Artigo 25.º
Secretária limpa
1 - Quando os trabalhadores municipais se encontrem a trabalhar na sua secretária, devem garantir que apenas estão expostos os documentos do município que necessitam para as tarefas do seu dia de trabalho, guardando todos os restantes.
2 - Sempre que os trabalhadores municipais abandonem a sua secretária temporariamente, deverão acautelar que documentos ou dispositivos de armazenamento de informação se encontram guardados num local adequado.
3 - Sempre que os trabalhadores municipais abandonam a sua secretária por longos períodos de tempo, devem certificar-se que não existem documentos ou dispositivos de armazenamento de informação deixados em cima da secretária.
4 - Todos os documentos e dispositivos de armazenamento de informação devem ser guardados num local fechado onde pessoas não autorizadas não possam ter acesso.
5 - Devem existir mecanismos alternativos que permitam o acesso de emergência a documentos e dispositivos de armazenamento de informação aos trabalhadores autorizados para o efeito.
6 - Deve fazer parte das tarefas diárias dos trabalhadores municipais a organização e arquivo em segurança dos respetivos documentos ou dispositivos de armazenamento.
7 - Os documentos e dispositivos de armazenamento cuja conservação não é necessária devem ser destruídos, obedecendo-se aos procedimentos estabelecidos pelo Município de Almodôvar para o efeito e de acordo com a respetiva sensibilidade da informação.
8 - Os dispositivos de identificação físicos dos utilizadores nunca devem ser deixados sem controlo do próprio.
Artigo 26.º
Ecrã limpo
1 - Sempre que tecnicamente possível, todos os computadores e servidores devem ter os mecanismos automáticos de autobloqueio ativados e com proteção por palavra-passe.
2 - Sempre que os utilizadores abandonam os seus computadores temporariamente devem bloquear o ecrã com proteção por palavra-passe.
3 - Sempre que os utilizadores abandonam os seus computadores por longos períodos de tempo devem fechar todas as aplicações e efetuar terminar a sessão na sua conta.
4 - Em caso de emergência e se for necessário abandonar o local de trabalho os utilizadores devem, se isso for possível, bloquear o ecrã com proteção por palavra-passe, para evitar o acesso ao mesmo de pessoas não autorizadas.
5 - Sempre que os utilizadores se encontrem a trabalhar no seu computador devem colocá-lo numa posição que não permita a visualização da informação por parte de pessoas sem necessidade de acesso à mesma.
SECÇÃO III
ACESSO À INTERNET
Artigo 27.º
Acesso aos Serviços de Internet
1 - Todos os acessos aos serviços de Internet, exceto os que tecnicamente não permitam, são efetuados de forma centralizada através de um sistema de controlo de acessos WEB (ex: firewall).
2 - Os acessos à Internet a partir da rede informática e terminais do Município de Almodôvar têm de ser formalmente aprovados pelos dirigentes das respetivas áreas, que se responsabilizam pela concessão dos acessos em causa como necessários ao desempenho das atividades correntes dos seus trabalhadores ou de entidades externas pelas quais sejam responsáveis.
3 - O acesso à Internet destina-se a ser utilizado pelos trabalhadores no âmbito das atividades profissionais contratadas pelo Município de Almodôvar.
4 - A utilização do acesso à Internet para uso pessoal, a título ocasional e preferencialmente fora do horário de trabalho, é admitida nas seguintes condições:
a) Quando não interfira com as respetivas atividades profissionais diárias;
b) Quando não prejudique, de algum modo, o Município de Almodôvar e/ou os seus recursos;
c) Quando não ultrapasse/viole as restrições de conteúdos descritas nesta norma;
d) Quando não ocorra transferência de programas informáticos comerciais não licenciados ou de qualquer documento que refira proteção de propriedade (Copyright);
e) Quando não integre algum tipo de atividade ilegal.
Artigo 28.º
Utilização correta dos recursos da Internet
1 - Não é permitido utilizar a identificação de terceiros para obter acesso à Internet.
2 - Os utilizadores não podem utilizar os seus privilégios de acesso à Internet para aceder, armazenar, processar ou imprimir material de natureza obscena, discriminatória, assediadora ou cujo conteúdo possa ofender terceiros com base na sua idade, sexo, raça, orientação sexual, credos políticos e religiosos, nacionalidade ou deficiência.
3 - Não é permitido utilizar a Internet para solicitar um serviço privado para lucro ou ganho pessoal, para atividades ilegais, fraudulentas e/ou maliciosas.
4 - É proibido efetuar atividades ilegais, incluindo jogo, upload ou download de software violando as leis de copyright.
5 - Não é permitido aos utilizadores autorizados intencionalmente interferir com o gateway para a Internet do Município de Almodôvar ou de qualquer outra página eletrónica.
6 - Não é permitido desativar, corromper ou de alguma forma contornar os sistemas de segurança implementados no acesso à Internet.
7 - Não são permitidas tentativas de ganhar acesso não autorizado a outras páginas eletrónicas.
8 - Não é permitido utilizar a Internet para realizar atividades que sejam contra a política de outras entidades, ou que possa ser contrária aos melhores interesses do Município de Almodôvar.
9 - Não é permitido efetuar o descarregamento de ficheiros de áudio ou vídeo de qualquer tipo, quando não relacionados com a função.
10 - Os trabalhadores municipais e as entidades externas que acedam à Internet a partir da rede informática e terminais do Município de Almodôvar devem respeitar os direitos de propriedade intelectual e copyright aplicáveis aos conteúdos acedidos.
11 - Não é permitido descarregar ou distribuir software de qualquer âmbito, sem que as licenças ou direitos de autor sejam respeitados.
Artigo 29.º
Informação sensível
1 - Não é permitido fornecer, pelo recurso ao acesso à Internet, informação classificada como confidencial ou de uso interno a pessoas não autorizadas.
2 - Não é permitido usar o Messenger® ou serviços semelhantes para divulgar informação confidencial ou de uso interno a pessoas fora da rede do Município de Almodôvar.
3 - A participação em chat-rooms ou fóruns de discussão externos ao Município é desaconselhada. Se tal participação for absolutamente necessária, deverá existir um cuidado especial em não divulgar informação confidencial ou de uso interno do Município.
Artigo 30.º
Segurança das palavras-passe de acesso
Não é permitido aos trabalhadores do Município de Almodôvar partilhar palavras-passe de acesso, credenciais de acesso ou qualquer outro tipo de identificação pessoal pela Internet.
Artigo 31.º
Administração, auditoria e monitorização
1 - O Município de Almodôvar reserva-se o direito de, numa filosofia preventiva, restringir o acesso à Internet a partir da sua rede informática e terminais, através da aplicação de filtros que impossibilitem, à partida, a visita e a navegação de páginas eletrónicas eventualmente não autorizados pelo Município.
2 - Os acessos às páginas eletrónicas exteriores ao Município serão auditados e controlados através de equipamentos de segurança de perímetro.
3 - Caso existam evidências de acessos que não cumpram com o estipulado no presente regulamento, estes poderão ser alvo de análise e avaliação pelo Serviço de informática e Telecomunicações, ou entidade externa nomeada para o efeito.
SECÇÃO IV
ACESSO REMOTO E DISPOSITIVOS DE ACESSO MÓVEL
Artigo 32.º
Acesso remoto
1 - O Serviço de Informática e Telecomunicações deve proceder à análise dos riscos para determinar que tipos de controlos de segurança de informação são necessários para quem trabalha a partir de casa ou remotamente.
2 - Devem ser implementadas medidas de segurança de informação específicas para quem trabalha a partir de casa, decorrentes de análise de risco prévia.
3 - Devem ser implementados controlos de acesso nos computadores usados por quem trabalha a partir de casa.
4 - Devem ser estabelecidas ligações seguras nas comunicações entre quem trabalha a partir de casa e dos escritórios.
5 - Sempre que possível, o acesso remoto deve ser efetuado através de canais de acesso seguros controlados pelo Município de Almodôvar, como é o caso de acesso VPN disponibilizado pela firewall.
6 - É proibida a utilização de computadores pessoais para acesso aos serviços do município, exceto quando tal utilização seja autorizada pelo Dirigente Máximo do Serviço, e o equipamento fique sob gestão, controlo e monitorização do Serviço de Informática e Telecomunicações, nomeadamente ao nível da análise ao computador antes de este ser ligado via VPN para análise de malware, antivírus atualizado, atualizações de segurança do sistema operativo e aplicações, análise ao software instalado, entre outros procedimentos internos ao Serviço de Informática e Telecomunicações.
Artigo 33.º
Acesso VPN
1 - É da responsabilidade dos trabalhadores municipais ou entidades externas com privilégios de acesso VPN não permitir o acesso à rede do Município de Almodôvar a utilizadores não autorizados.
2 - O acesso à VPN do Município de Almodôvar deve ser controlado por um método de autenticação forte (ex. tokens, one-time-password, sistema de chaves criptográficas, etc.).
3 - Quando é estabelecida uma ligação VPN não deve ser permitida outra ligação de rede ativa no mesmo equipamento.
4 - Todos os computadores ligados à rede interna do Município de Almodôvar via VPN, incluindo computadores pessoais, devem ter o software de antivírus autorizado pelo Município de Almodôvar instalado e atualizado.
5 - Os utilizadores que estejam ligados via VPN são desligados automaticamente após 10 minutos de inatividade.
6 - Ao utilizar a tecnologia VPN a partir de equipamentos pessoais, os utilizadores devem assumir que os seus computadores são uma extensão da rede do Município de Almodôvar e, como tal, estão sujeitos às mesmas regras e regulamentações que se aplicam aos equipamentos propriedade do Município de Almodôvar.
7 - O Serviço de Informática e Telecomunicações deve possuir sempre uma lista atualizada de utilizadores com acesso VPN autorizados.
8 - Os utilizadores a quem é disponibilizado o acesso VPN deverão ser informados das boas práticas a ter em conta na sua utilização.
Artigo 34.º
Dispositivos de acesso móvel
1 - Os trabalhadores municipais e entidades externas só podem utilizar dispositivos de acesso móvel (computadores portáteis, smartphones, tablets, etc.) para aceder aos sistemas e informação do Município de Almodôvar quando devidamente autorizados pelo Serviço de Informática e Telecomunicações e com as devidas salvaguardas de segurança.
2 - Em viagem, os computadores portáteis devem ser tratados como a bagagem de mão e deve-se assegurar que estão escondidos ou disfarçados.
3 - Não devem ser armazenados dados considerados sensíveis em dispositivos móveis como disco externo, pen USB, etc., a não ser que sejam protegidos por mecanismos de encriptação aprovados pelo Serviço de Informática e Telecomunicações (ex: BitLocker Drive Encryption da Microsoft, ou equivalente).
4 - A utilização para fins pessoais de dispositivos móveis atribuídos pelo Município deve ser reduzida e nunca deve comprometer a segurança do dispositivo e a confidencialidade e integridade da informação armazenada no mesmo.
5 - O roubo ou comprometimento de qualquer dispositivo de acesso móvel com dados do Município de Almodôvar deve ser imediatamente reportado.
Artigo 35.º
Responsabilização dos Trabalhadores Municipais
1 - Os trabalhadores municipais e entidades externas com acesso remoto ao Município de Almodôvar ou que utilizam dispositivos de acesso móvel, corporativos ou pessoais para aceder aos sistemas ou informação do Município de Almodôvar são responsáveis pela sua correta utilização de acordo com as instruções em vigor no Município, dispostas no presente regulamento.
2 - Os trabalhadores municipais que detetem uma violação a qualquer uma das normas enunciadas anteriormente deverão comunicá-la de imediato ao seu superior hierárquico ou ao Serviço de Informática e Telecomunicações.
3 - A utilização incorreta dos acessos remotos ou dos dispositivos de acesso móvel do Município de Almodôvar poderá dar lugar ao cancelamento dos mesmos, sem prejuízo das consequências disciplinares que daí possam resultar.
CAPÍTULO V
DISPOSIÇÕES FINAIS
Artigo 36.º
Cessação de Funções por parte de Pessoa Autorizada
Quando a pessoa autorizada a aceder a informação e fazer uso das instalações, infraestruturas e equipamentos municipais cessar as suas funções, independentemente do vínculo que tenha para com o Município de Almodôvar, e esta tenha consigo documentos em suporte físico ou digital que contenham informações relativas ao serviço, deverá ser assegurado pelo próprio, pelo seu superior hierárquico, ou por terceira pessoa, desde que devidamente habilitada, o seguinte:
a) Documentos em suportes físicos - se o processo já estiver concluído, os documentos deverão ser depositados no Serviço de Arquivo. Se ainda estiver em tramitação, deverão ser entregues ao Superior Hierárquico ou Gestor do Contrato, quando aplicável, para que seja efetuado o respetivo encaminhamento;
b) Documentos em suportes digitais - deverão ser, em primeiro lugar, entregues no Serviço de Informática e Telecomunicações, a fim de ser efetuada uma análise ao suporte, e verificar a integridade da informação. Após a análise, se o processo já estiver concluído, os documentos deverão ser depositados no Serviço de Arquivo. Se ainda estiver em tramitação, os documentos deverão ser entregues ao Superior Hierárquico ou Gestor do Contrato, quando aplicável, para que seja efetuado o respetivo encaminhamento.
Artigo 37.º
Divulgação do Regulamento
A divulgação do presente Regulamento junto dos trabalhadores do Município de Almodôvar, bem como as entidades externas com acesso à informação, como é o caso de consultores externos, colaboradores contratados e trabalhadores temporários, será assegurada pelos serviços municipais, designadamente através da respetiva publicitação na página eletrónica do Município de Almodôvar.
Artigo 38.º
Plano de Formação
A Secção de Recursos Humanos, em articulação com o Serviço de Informática e Telecomunicações, elaborará um Plano de Formação que incida sobre o domínio da segurança da informação e sobre as políticas e procedimentos específicos a adotar neste âmbito, tendo em consideração a realidade e as necessidades do Município de Almodôvar.
Artigo 39.º
Omissões
1 - A tudo o que não estiver expressamente previsto no presente Regulamento aplica-se a legislação em vigor, designadamente a Lei 46/2018, de 13 de agosto, que consagrou o regime jurídico da segurança do ciberespaço e transpôs para o ordenamento jurídico nacional a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e dos sistemas de informação em toda a União, e o Decreto-Lei 65/2021, de 30 de julho, que veio regulamentar a referida lei.
2 - Sem prejuízo do disposto no número anterior, as dúvidas e omissões suscitadas na interpretação e ou aplicação do presente Regulamento serão dirimidas ou integradas por deliberação da Câmara Municipal de Almodôvar, mediante proposta do Presidente da Câmara Municipal ou do/a Vereador/a com delegação de poderes, ouvido Serviço de Informática e Telecomunicações.
Artigo 40.º
Melhoria contínua
Sempre que necessário, e de forma a garantir a adequação do presente Regulamento Interno às novas ameaças tecnológicas, será dado início ao respetivo procedimento de alteração, nos termos do Código do Procedimento Administrativo.
Artigo 41.º
Entrada em vigor
O presente Regulamento entra em vigor no 20.º dia útil seguinte à sua publicação no Diário da República.
318864856
