Texto: DECRETO Nº 1.428, DE 30 DE ABRIL DE 2025. . Publicado na eEdição Extra 02 do DOE de 30/04/2025, p. 4
CONSIDERANDO o disposto no art. 24, VI da Lei Complementar Estadual nº 612, de 28 de janeiro de 2019, que estabelece competência à Secretaria de Estado de Planejamento e Gestão de Mato Grosso para gerir os sistemas centrais de informações e tecnologia da informação do Poder Executivo;
CONSIDERANDO a Lei Federal nº 12.527, de 18 de novembro de 2011, conhecida como Lei de Acesso à Informação (LAI);
CONSIDERANDO a Lei Federal nº 13.709, de 14 de agosto de 2018, que estabelece a Lei Geral de Proteção de Dados Pessoais (LGPD);
CONSIDERANDO o Decreto Federal nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação (PNSI), no âmbito da administração pública federal;
CONSIDERANDO o disposto nas normas ABNT NBR/ISO/IEC 27001:2022, 27002:2022, 27701:2022, 27005:2023, que estabelecem requisitos, diretrizes e controles de segurança da informação, cibersegurança e proteção da privacidade;
CONSIDERANDO o Decreto Estadual nº 806, de 22 de janeiro de 2021, que regulamenta a aplicação da Lei Federal nº 12.527, de 18 de novembro de 2011 (acesso às informações), no âmbito do Poder Executivo;
CONSIDERANDO o Decreto Estadual nº 951, de 20 de maio de 2021, que institui o Sistema de Governança Digital no Poder Executivo Estadual;
CONSIDERANDO o Decreto Estadual nº 1.208 de 21 de dezembro de 2021, que dispõe sobre o Sistema Estadual de Tecnologia da Informação - SETI no âmbito do Poder Executivo do Estado de Mato Grosso; e
CONSIDERANDO o Decreto Estadual nº 338, de 20 de junho de 2023, que institui a Agenda Estratégica Digital do Governo de Mato Grosso para o período de 2023 a 2027, no âmbito dos órgãos e entidades do Poder Executivo estadual, DECRETA:
Parágrafo único A PSI-MT será complementada por normas, procedimentos, processos e controles específicos para a gestão da segurança da informação, em conformidade com os planos institucionais e estruturas organizacionais do Poder Executivo Estadual. Art. 2º Considera-se para fins deste Decreto: I - ambiente em nuvem: infraestrutura de computação que fornece, por meio da internet, acesso a recursos de Tecnologia da Informação - TI, como armazenamento, processamento e software; II - configuração e manuseio seguros de dispositivos do usuário: são práticas e procedimentos destinados a garantir que dispositivos, como computadores, sejam configurados e utilizados forma segura, protegendo contra vulnerabilidades e ameaças de segurança; III - controle de acesso: conjunto de métodos e tecnologias utilizados para regular e gerenciar permissões de acesso a recursos específicos em um sistema ou ambiente, podendo abranger processos como autenticação, autorização e auditoria; IV - gestão de ativos físicos e lógicos: processo integrado de monitoramento, manutenção e otimização de recursos de uma organização, abrangendo ativos tangíveis e intangíveis; V - gestão da continuidade de negócio: processo de planejamento, implementação e monitoramento de medidas que garantam a capacidade de uma organização de manter suas operações mesmo diante de eventos disruptivos, como desastres naturais, falhas de sistemas, pandemias ou outros incidentes graves; VI - gestão de incidentes: processo de resposta e gerenciamento eficiente de incidentes de segurança, como violações de dados, ataques cibernéticos ou outras ameaças à segurança da informação; VII - proteção, backup e recuperação de dados e informações: englobam medidas e práticas voltadas para garantir a confidencialidade, integridade e disponibilidade dos dados e informações de uma organização; VIII - segurança de redes: abrange medidas e práticas destinadas a proteger as redes de uma organização contra acessos não autorizados, ataques cibernéticos, intrusões e outros tipos de ameaças; IX - treinamento e conscientização: são processos complementares destinados a capacitar indivíduos com conhecimentos e habilidades específicas, ao mesmo tempo em que promovem a conscientização sobre a importância de práticas e comportamentos seguros e eficientes; X - uso da Inteligência Artificial (IA): refere-se à aplicação de algoritmos e sistemas computacionais capazes de realizar tarefas que normalmente requerem inteligência humana.
Parágrafo único A coordenação do comitê instituído no caput deste artigo será exercida pela área central de dados e informações da Secretaria de Estado de Planejamento e Gestão.
§ 1º O Gestor Setorial de Segurança da Informação deverá observar as normativas que instruem procedimentos buscando resguardar a continuidade de processos organizacionais em casos de incidentes de segurança da informação, decorrentes de desastres ou falhas em recursos de tecnologia da informação e comunicação.
§ 2º O Gestor Setorial de Segurança da Informação, a critério de cada órgão ou entidade, poderá acumular a atribuição de Encarregado de Proteção de Dados, previsto no inciso VIII do art. 5º da Lei Federal nº 13.709 de 14 de agosto de 2018.
§ 3º O Gestor Setorial de Segurança da Informação deve possuir formação ou experiência mínima comprovada nas áreas de tecnologia da informação, segurança da informação, gestão de riscos ou outra área correlata. Art. 9º Compete ao Comitê Setorial de Segurança da Informação, a que se refere o inciso III do art. 7º deste Decreto: I - auxiliar o Gestor Setorial de Segurança da Informação na implementação das ações de segurança da informação; II - propor à SEPLAG alterações na Política de Segurança da Informação; III - propor normas internas relativas à segurança da informação; IV - sugerir medidas e procedimentos para assegurar a disponibilidade, integridade, confidencialidade e autenticidade das informações; V - propor práticas de gestão de ativos de tecnologia da informação a partir do inventário das áreas de ambiente tecnológico, equipamentos de tecnologia, softwares, banco de dados e dados pessoais. Art. 10 Compete aos usuários da informação: I - cumprir as normas de segurança da informação estabelecidas; II - zelar pela segurança da informação e comunicação; III - comunicar à área competente os incidentes ou irregularidades de segurança da informação; IV - propor melhorias à segurança da informação e comunicação; V - garantir o sigilo e evitar o vazamento de dados e informações, não classificados como públicos, que estejam sob sua responsabilidade e/ou acesso; VI - assegurar o uso racional dos recursos de tecnologia da informação e comunicação colocados à sua disposição, priorizando o interesse público e institucional.
Parágrafo único Os usuários da informação que propuserem melhorias ou identificarem vulnerabilidades relevantes na segurança da informação poderão receber reconhecimento formal, nos termos de instrução normativa a ser publicada pela Secretaria de Estado de Planejamento e Gestão.
Parágrafo único A SEPLAG deverá expedir no prazo de até 180 (cento e oitenta) dias após a publicação deste Decreto, as instruções normativas regulamentando: I - diretrizes da Política de Segurança da Informação dos temas relacionados no art. 5º deste Decreto; II - os indicadores de desempenho; III - os critérios para capacitação e designação de gestores de segurança da informação; IV - os mecanismos de reporte e tratamento de incidentes de segurança. Art. 17 Fica revogada a Resolução COSINT nº 003/2010, publicada no Diário Oficial do Estado de Mato Grosso em 09 de março de 2010. Art. 18 Este Decreto entra em vigor na data de sua publicação. Palácio Paiaguás em Cuiabá, 30 de abril de 2025, 204º da Independência e 137º da República.