Página 1

Sábado, 9 de setembro de 2017 II Série-E — Número 23

XIII LEGISLATURA 2.ª SESSÃO LEGISLATIVA (2016-2017)

S U M Á R I O

Presidente da Assembleia da República:

Despacho n.º 55/XIII — Criação do Grupo de Gestão da Segurança da Informação (GGSdI) e definição do respetivo mandato.

Página 2

II SÉRIE-E — NÚMERO 23

2

DESPACHO N.º 55/XIII

CRIAÇÃO DO GRUPO DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO (GGSDI) E DEFINIÇÃO DO

RESPETIVO MANDATO

Os órgãos e serviços da Assembleia da República têm vindo a confrontar-se, de forma cada vez mais

premente, com a necessidade de ser definida uma política para a segurança da informação parlamentar.

Esta necessidade não é nova. Já em 2009, na sequência de uma auditoria efetuada pelo Instituto de

Engenharia de Sistemas e Computadores (INESC) à arquitetura e segurança do sistema informático da

Assembleia da República, uma das recomendações constantes do respetivo relatório final foi a implementação

de um Sistema de Gestão da Segurança da Informação (SGSI) no Parlamento, de acordo com o estipulado na

norma internacional ISO 27001:2005. Em consequência, determinou o Conselho de Administração de então, em

despacho exarado sobre a Proposta n.º 32/SG/CA/2009, que se desse início ao projeto.

Também em relatórios de outras auditorias externas efetuadas (quer pelo Gabinete Nacional de Segurança

à entretanto extinta Entidade Certificadora da Assembleia da República, quer nas subsequentes auditorias

anuais), foi recomendado à Assembleia da República a adoção das melhores práticas na área da segurança da

informação, designadamente através da implementação de um SGSI.

O Despacho n.º 22/SG/2011, da então Secretária-Geral, criou um Grupo para a Gestão da Segurança da

Informação, que veio definir como metodologia de atuação a aprovação de um documento com os objetivos e

requisitos para a implementação de uma política de segurança da informação na Assembleia da República.

Porém, por razões diversas, este trabalho acabou por não ser concluído, importando, assim, ser recuperado.

Por outro lado, as alterações legislativas e tecnológicas que têm vindo a verificar-se recomendam, também,

uma atenção acrescida às questões da segurança da informação, bem como a criação de regras próprias para

a Assembleia da República, que tenham em conta a especificidade do trabalho parlamentar e dos diversos

produtores e utilizadores da informação.

E se o princípio geral da publicidade dos trabalhos e dos atos parlamentares não significa que não existam

diversos documentos classificados (interna ou externamente) ou, até, sensíveis, em termos que impliquem

restrições à sua divulgação, mesmo a informação pública deve ser protegida, garantindo, nomeadamente, a sua

integridade, disponibilidade e reutilização.

Acresce que o Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016,

relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre

circulação desses dados, aplicável em todos os Estados-Membros a partir de 25 de maio de 2018, torna

igualmente necessária a criação de normas e procedimentos internos ao nível da proteção de dados pessoais

para garantir que o tratamento destes é feito em conformidade com os requisitos legais, devendo, em

conformidade, ser esta matéria equacionada na definição de uma política de segurança da informação.

Para que a implementação do SGSI seja uma realidade, dando assim continuidade aos trabalhos já

desenvolvidos, entendo ser fundamental a criação de um grupo de trabalho pluridisciplinar, que envolva o meu

Gabinete e todas as Direções de Serviços da Assembleia da República.

Assim, determino o seguinte:

1. A criação do Grupo de Gestão da Segurança da Informação (GGSdI), coordenado pelo Secretário-Geral

da Assembleia da República e englobando representantes de todas as Direções de Serviços e do Serviço de

Segurança da Assembleia da República, bem como um representante do meu Gabinete.

2. Caberá a este Grupo de Trabalho apresentar, até ao final do ano em curso, para aprovação pelos órgãos

competentes do Parlamento, um documento enquadrador da definição de uma Política de Segurança da

Informação para a Assembleia da República, a qual deve contemplar, nomeadamente, os seguintes aspetos:

Página 3

9 DE SETEMBRO DE 2017

3

a) Avaliação das necessidades de segurança da informação na Assembleia da República;

b) Definição dos requisitos de segurança e formalização da Política de Segurança da Informação;

c) Levantamento dos procedimentos em vigor e avaliação do grau da sua adequação nomeadamente quanto

às obrigações de proteção de dados pessoais decorrentes do Regulamento (UE) 2016/679, do Parlamento

Europeu e do Conselho, de 27 de abril de 2016, sobre a proteção de dados;

d) Definição das regras de classificação de informação interna (designadamente tipo de informação

existente, produzida e/ou recebida, graus de classificação, competências para classificar/desclassificar, prazos

de classificação);

e) Tratamento da informação classificada (em todas as suas formas, designadamente receção,

manuseamento e transmissão), incluindo regras quanto a eventual credenciação/habilitação de segurança;

f) Formas de implementação, revisão e verificação da aplicabilidade da Política de Segurança da

Informação;

g) Definição dos meios humanos, financeiros e materiais necessários ao sucesso do sistema de gestão da

segurança da informação, incluindo a realização de ações de formação e de sensibilização sobre a matéria;

h) Definição dos requisitos para criação de um Administrador de Segurança, enquanto responsável pelas

tarefas de implementação e manutenção da Política de Segurança da Informação e apoio às equipas técnicas

e ao futuro Encarregado da Proteção de Dados.

Registe-se, notifique-se e publique-se.

Palácio de São Bento, 8 de setembro de 2017.

O Presidente da Assembleia da República, Eduardo Ferro Rodrigues.

A DIVISÃO DE REDAÇÃO E APOIO AUDIOVISUAL.