Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 22/12/2022 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152022122200034
34
Nº 240, quinta-feira, 22 de dezembro de 2022
ISSN 1677-7042
Seção 1
 backup das informações; 
 atividades de monitoramento (log); 
 segurança de redes; 
 uso de criptografia; e 
 gestão de mudanças. 
Por sua vez, os controles organizacionais são utilizados para assegurar a 
adequação contínua e efetiva da gestão de segurança da informação. Entre os principais 
controles organizacionais estão: 
 política de Segurança da Informação; 
 definição de papéis e responsabilidades pela segurança da informação; 
 segregação de funções; 
 mapeamento de ativos de informação; 
 controle de acesso; 
 classificação e rotulagem de informações; e 
 norma de segurança da informação para uso de serviços em nuvem. 
Por fim, os controles físicos têm por finalidade prevenir ou evitar o acesso 
não autorizado à área ou material sensível, bem como danos e interferências às áreas 
que contenham informações críticas ou sensíveis. Entre os principais controles físicos 
estão: 
 definição dos perímetros de segurança física; 
 monitoramento de segurança física; 
 proteção contra ameaças físicas e ambientais; 
 localização e proteção de equipamentos; 
 segurança de ativos fora das instalações da organização; e 
 manutenção de ativos. 
 
2.2. Gerenciamento de vulnerabilidades 
Trata-se de um processo contínuo e proativo que visa controlar riscos, 
realizar monitoramento, corrigir falhas e adotar ações de proteção contra ataques 
cibernéticos e violação de dados. O objetivo desse processo é reduzir a exposição geral 
da organização a riscos, mitigando o maior número possível de vulnerabilidades. 
Esse processo é desafiador em virtude do número crescente de possíveis 
vulnerabilidades e da limitação de recursos disponíveis tempestivamente para correção. 
Em função disso, as ações de prevenção devem ser sempre complementadas pelas 
ações de detecção e de tomada de decisão sobre o ativo da informação vulnerável. 
Para tanto, o participante da Regic deverá, no mínimo, por meio do 
mapeamento de ativos de informação: 
 classificar os ativos de informação de acordo com sua criticidade; 
 identificar continuamente as vulnerabilidades neles existentes; e 
 priorizar as ações de correção e de mitigação por meio da avaliação do 
nível de ameaça e de criticidade da vulnerabilidade.

Fechar