O Governo do Acre publicou nesta sexta-feira, 07, o Decreto nº 11.785/2025, que institui a Política de Segurança da Informação e Comunicação (POSIC) no âmbito do Poder Executivo estadual. O novo ato normativo tem como objetivo garantir a integridade, confidencialidade, autenticidade e disponibilidade das informações produzidas e armazenadas pelo governo, além de padronizar os procedimentos de segurança digital entre os órgãos públicos.
De acordo com o decreto, a POSIC estabelece diretrizes, responsabilidades e competências que devem ser seguidas por todos os agentes públicos que lidam com dados e sistemas do Estado. A norma também integra a legislação estadual à Lei Geral de Proteção de Dados (LGPD), reforçando a obrigação de servidores e gestores de adotarem medidas de proteção e uso responsável das informações públicas e pessoais.
Entre os principais objetivos da política estão a uniformização da segurança da informação em todos os órgãos, a promoção de uma cultura organizacional voltada à proteção de dados, e a implementação do Sistema de Gestão de Segurança da Informação (SGSI). A POSIC também prevê a criação de mecanismos para prevenir e responder a incidentes cibernéticos, como ataques, vazamentos e falhas técnicas.
A Secretaria de Estado de Administração (Sead) foi designada como responsável pela gestão da política, cabendo-lhe elaborar normas, revisar procedimentos e promover capacitação em segurança da informação. A Sead também presidirá o Grupo Técnico de Segurança da Informação (GTSI), formado por representantes de nove secretarias e órgãos estratégicos, entre eles, a Seplan, Sefaz, Sejusp, SEE e a Controladoria-Geral do Estado.
O GTSI atuará de forma permanente, assessorando o governo na implementação de ações preventivas e corretivas, monitorando incidentes e propondo investimentos em segurança cibernética. O grupo também deverá propor padrões de tecnologia da informação, revisar periodicamente a política e promover ações de capacitação dos servidores.
O decreto ainda define regras específicas para o uso da internet, e-mails institucionais, dispositivos móveis e gestão de senhas, proibindo, por exemplo, o uso de contas genéricas, o redirecionamento automático de e-mails corporativos e o acesso a conteúdos considerados ilegais ou inadequados. Também estabelece critérios para cópias de segurança (backups) e procedimentos de restauração de dados em caso de incidentes, falhas humanas ou desastres naturais.
