Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 02/08/2023 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152023080200014
14
Nº 146, quarta-feira, 2 de agosto de 2023
ISSN 1677-7042
Seção 1
Ministério da Cultura
GABINETE DA MINISTRA
PORTARIA MINC Nº 48, DE 1º DE AGOSTO DE 2023
Estabelece a Política de Segurança da Informação do
Ministério da Cultura e dá outras providências.
A MINISTRA DE ESTADO DA CULTURA, no uso da atribuição que lhe conferem o
inciso II do parágrafo único do art. 87 da Constituição Federal, e o inciso II do art. 15 do
Decreto nº 9.637, de 26 de dezembro de 2018, resolve:
Art. 1º Esta Portaria institui a Política de Segurança da Informação do
Ministério da Cultura - POSIN/MinC, com vistas a estabelecer diretrizes, responsabilidades,
competências e subsídios para a gestão da segurança da informação.
Parágrafo único. Os conceitos e definições utilizados na POSIN/MinC se
encontram no Anexo I desta Portaria.
CAPÍTULO I
DISPOSIÇÕES GERAIS
Art. 2º A Política de Segurança da Informação do Ministério da Cultura
considera a natureza e a finalidade do órgão e está alinhada ao seu planejamento
estratégico para as atividades de gestão da informação.
Art. 3º Para os fins do disposto nesta Portaria, conforme o art. 2º do Decreto
nº 9.637, de 26 de dezembro de 2018, a segurança da informação abrange:
I - a segurança cibernética;
II - a defesa cibernética;
III - a segurança física e a proteção de dados organizacionais; e
IV - as ações destinadas a assegurar a disponibilidade, a integridade e a
autenticidade da informação, bem como sua confidencialidade, quando exigível.
CAPÍTULO II
DOS PRINCÍPIOS
Art. 4º A POSIN/MinC será norteada pelos seguintes princípios:
I - responsabilidade pelo cumprimento das normas pertinentes à segurança da
informação vigentes;
II
- clareza
na
elaboração das
regras e
normas
sobre segurança
da
informação;
III - preservação do sigilo de informações pessoais relativas à intimidade dos
cidadãos;
IV - celeridade nas respostas a incidentes e falhas;
V - garantia de integridade, autenticidade e disponibilidade da informação sob
custódia do
órgão, com respeito ao
princípio da transparência e
atribuição de
confidencialidade apenas nos casos expressamente previstos na legislação; e
VI - respeito aos princípios e regras constitucionais, legais e regulamentares que
regem a administração pública federal, incluídas as normas técnicas e operacionais
derivadas desta política de segurança da informação.
CAPÍTULO III
DAS DIRETRIZES E NORMAS INTERNAS DE SEGURANÇA DA INFORMAÇÃO
Seção I
Das diretrizes gerais
Art. 5º Para cada uma das diretrizes constantes das seções deste capítulo
poderão ser elaboradas normas internas de segurança da informação, com procedimentos
e orientações complementares à presente portaria, podendo ainda disciplinar outros temas
de segurança da informação e comunicações, tais como:
I - modelos de gestão da informação;
II - gerenciamento de riscos;
III - tratamento de incidentes de segurança e incidentes cibernéticos;
IV - gestão de continuidade de serviços;
V - acesso a informações, áreas, instalações e sistemas de informação; e
VI - programas e ações de conscientização e educação em segurança da
informação.
Art. 6º O uso e o compartilhamento de dados, informações e documentos no
âmbito do Ministério da Cultura, em todo o seu ciclo de vida, visam à continuidade de seus
processos em conformidade com as normas vigentes, obrigações contratuais ou
congêneres, princípios
da POSIN/MinC
e as
melhores práticas
de segurança
da
informação.
Parágrafo único. O ciclo de vida a que se refere o caput deste artigo diz
respeito às fases de criação, tratamento, uso, armazenamento, divulgação e descarte da
informação, conforme legislação específica.
Art. 7º Visando alcançar a abrangência definida no art. 3º, toda e qualquer
informação gerada, adquirida, utilizada ou armazenada pelo Ministério da Cultura é
considerada ativo de informação e faz parte do seu patrimônio, observado o disposto no
art. 12.
Seção II
Do Tratamento da Informação
Art. 8º Todo ativo de informação criado, adquirido ou custodiado no âmbito do
Ministério da Cultura deverá ser protegido contra ameaças, ataques, incidentes e outras
formas de comprometimento à segurança da informação, com o objetivo de minimizar
riscos, sem prejuízo da transparência ao cidadão.
Art. 9º O tratamento de informações classificadas na forma dos arts. 25 a 30 do
Decreto nº 7.724, de 16 de maio de 2012, somente poderá ser realizado por pessoa
devidamente credenciada na forma do Decreto nº 7.845, de 14 de novembro de 2012,
após os devidos procedimentos de classificação pela autoridade competente, na forma do
art. 31 do Decreto nº 7.724, de 2012.
Art. 10. É expressamente proibido o uso dos meios e recursos de tecnologia da
informação disponibilizados pelo Ministério da Cultura para acesso, guarda ou
encaminhamento de material discriminatório, malicioso, antiético ou ilegal.
Art. 11. As senhas utilizadas em sistemas do Ministério da Cultura deverão ser
criptografadas para proteção contra acesso indevido ou vazamento.
Art. 12. O tratamento de dados pessoais obedecerá ao disposto na Lei nº
13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais - LGPD.
Seção III
Da Segurança Física dos Equipamentos
Art. 13. A segurança física dos equipamentos e os mecanismos de proteção às
instalações físicas e áreas de processamento de informações deverão ser protegidas contra
acesso indevido, danos e interferências, em resposta aos riscos identificados.
Art. 14. A unidade organizacional responsável pela segurança organizacional e
corporativa do Ministério da Cultura deverá implementar perímetros de segurança a fim de
garantir proteção e separação entre ambientes internos e externos.
Art. 15. As áreas seguras serão protegidas por controles apropriados de entrada
para assegurar que somente pessoas autorizadas tenham acesso.
Art. 16. As áreas seguras controladas pelo Ministério da Cultura possuirão
procedimentos adequados de proteção, bem como diretrizes que orientem o trabalho no
seu interior, a ser definidos em norma interna de segurança da informação do Ministério
da Cultura.
Seção IV
Da Gestão de Incidentes Cibernéticos
Art. 17. A Equipe de Prevenção, Tratamento e Resposta a Incidentes
Cibernéticos - ETIR -, instituída pela Portaria MINC nº 17, de 6 abril de 2023, ficará
responsável pela divulgação de práticas e recomendações de Segurança da Informação e
pela avaliação das condições de segurança de rede por meio de verificações de
conformidade, com o objetivo de evitar que ocorram incidentes de segurança.
Parágrafo único. A ETIR do Ministério da Cultura integrará a Rede Federal de
Gestão de Incidentes Cibernéticos, nos termos do Decreto nº 9.637, de 26 de dezembro de
2018, e sua atuação será orientada por normas e procedimentos técnicos estabelecidos
pelo Centro de Prevenção e Tratamento e Resposta a Incidentes cibernéticos de governo,
sem prejuízo das demais metodologias e procedimentos aprovados pelo Comitê de
Governança Digital e Segurança da Informação do Ministério da Cultura.
Seção V
Gestão do Uso de Ativos da Informação
Art. 18. Os ativos da informação, sistemas e bancos de dados do Ministério da
Cultura deverão ser protegidos contra indisponibilidade, acessos indevidos, ameaças,
ataques, alterações, falhas, perdas, danos, furtos, roubos, interrupções não programadas e
outros incidentes de segurança.
Art. 19. Os ativos de informação deverão ser inventariados e mapeados a fim
de produzir subsídios para a Gestão de Segurança da Informação, Gestão de Riscos de
Segurança da Informação, Gestão de Continuidade de Negócios, bem como para os
procedimentos de avaliação da conformidade, de melhorias contínuas e de auditoria.
Art. 20. O processo de inventário e mapeamento de ativos de informação deve
ser dinâmico, periódico e estruturado para manter a Base de Dados de Ativos de
Informação atualizada para prover informações para o desenvolvimento de ações e planos
de aperfeiçoamento de práticas de Gestão da Segurança da Informação no âmbito do
Ministério da Cultura.
Art. 21. Os ativos de informação deverão ser disponibilizados pela unidade
organizacional de tecnologia da informação do Ministério da Cultura somente para
usuários de informação cadastrados, mediante a utilização de credenciais individuais e
intransferíveis, concedidas conforme solicitação da chefia imediata.
Parágrafo único. Norma interna de segurança da informação disporá sobre:
I - autorização de acesso a sistemas e redes;
II - criação, administração e extinção de contas;
III - identificação e credenciamento de usuários de informação com acesso aos
ativos de informação do ministério; e
IV - gestão de acessos a áreas e instalações.
Art. 22. Somente será autorizado o uso de equipamento pessoal em áreas e
sistemas do ministério após a implementação de soluções de segurança da informação
com padrões que atendam à POSIN/MinC e suas normas e procedimentos complementares
em vigor.
Art. 23. Toda a informação que trafega pelos ativos de informação poderá ser
monitorada de acordo com as necessidades de segurança da informação estabelecidas em
norma interna de segurança da informação do Ministério da Cultura, conforme diretrizes
desta portaria e respeitada a legislação vigente.
Art. 24. Em caso de desligamento ou impedimento de um agente público que
tenha executado atividades no Ministério da Cultura, sua chefia imediata poderá requisitar
a recuperação de informações armazenadas em ativos de informação que estejam sob a
guarda da instituição, com a finalidade de continuidade das atividades realizadas pelo
agente público.
Art. 25. Serão estabelecidos processos permanentes de conscientização,
capacitação e sensibilização em segurança da informação, que alcancem todos os agentes
públicos que executem atividades no Ministério da Cultura, de acordo com suas
competências funcionais.
Seção VI
Do Uso e Acesso à Internet
Art. 26. A concessão de acesso à internet em ambiente laboral no Ministério da
Cultura será disponibilizada como ferramenta de trabalho destinada ao atendimento das
finalidades institucionais do órgão.
Parágrafo único.
Norma interna de
Segurança da
Informação poderá
estabelecer procedimentos específicos para coibir o uso abusivo do acesso à internet no
Ministério da Cultura, com medidas e orientações aos proprietários e usuários de
informação.
Art. 27. O uso da internet no Ministério da Cultura será monitorado e os
acessos serão registrados em dispositivo ou sistema computacional que assegure a
possibilidade de rastreio e apuração de responsabilidades em caso de incidentes
cibernéticos, incidentes de segurança e outras violações à POSIN/MinC.
Parágrafo único. Para apuração das quebras de segurança de que trata o caput,
os ativos de informação fornecidos pelo Ministério da Cultura poderão ser analisados, a
qualquer tempo, pela Equipe de Prevenção e Tratamento e Resposta a Incidentes
Cibernéticos do Ministério da Cultura.
Art. 28. Os agentes públicos encarregados das ações de comunicação digital e
demais formas de comunicação pública, gestão documental e de ativos de informação do
Ministério da Cultura que trafeguem pela internet são considerados custodiantes de
informação, na forma do art. 76 desta portaria.
Seção VII
Do Serviço de Backup
Art. 29. Os procedimentos de backup deverão ser fixados por norma interna de
segurança da informação do Ministério da Cultura.
§ 1º O serviço de backup deverá ser automatizado por sistemas informacionais
próprios, considerando, inclusive, a execução agendada fora do horário de expediente.
§ 2º A solução de backup deverá ser mantida sempre atualizada, considerando
suas diversas características, tais como atualizações de correção, novas versões, ciclo de
vida, garantia, melhorias, entre outros.
§ 3º Na inviabilidade de armazenamento de backup em nuvem, as mídias de
backups deverão ser armazenadas em instalações seguras, objetivando manter a sua
segurança e integridade.
§ 4º A execução de rotinas de backup e de recuperação deverá ser rigidamente
controlada, documentada e auditada, conforme norma interna de segurança da informação
do Ministério da Cultura.
Seção VIII
Da Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação
Art. 30. A aquisição, manutenção e desenvolvimento de sistemas de informação
deverão observar os padrões, critérios e controles de segurança estabelecidos nesta
portaria, sem prejuízo das normas estabelecidas pelo órgão central do Sistema de
Administração dos Recursos de Tecnologia da Informação - SISP - de que trata o Decreto
nº 7.579, de 11 de outubro de 2011.
Art. 31. Os editais de licitação e contratos de solução de tecnologia da
informação com o Ministério da Cultura deverão conter cláusula específica sobre:
I - a obrigatoriedade de atendimento à POSIN/MinC; e
II - a exigência de termo de responsabilidade e termo de confidencialidade, na
forma do Anexo III desta Portaria.
Art. 32. Sem prejuízo de outras atividades previstas no art. 3º do Decreto nº
9.507, de 21 de setembro de 2018, não são passíveis de contratação e execução indireta
as atividades de:
I - gestor de segurança da informação;
II - gestor de segurança e credenciamento; e
III - gestão de riscos em segurança da informação.
Seção IX
Dos Uso de Computação em Nuvem
Art. 33. A implementação ou contratação de computação em nuvem deverá
estar em conformidade com as diretrizes desta POSIN e com a legislação sobre contratação
vigente na APF.
§ 1º O uso de recursos de computação em nuvem para suprir demandas de
transferência e armazenamento de documentos, processamento de dados, aplicações,
sistemas e demais tecnologias da informação será regido por norma interna de segurança
da informação que deverá ser instituída pela unidade responsável pelos ativos de
tecnologia e atenderá às determinações desta POSIN.
§ 2º Fica vedado o uso de recurso de computação em nuvem não
disponibilizado pelo Ministério da Cultura para o armazenamento de ativo de informação
institucional.
Art. 34. O Uso da computação em nuvem deverá promover:
I - melhorias no ambiente computacional do Ministério da Cultura;
II - facilidade e agilidade na implementação;
III - diminuição de vulnerabilidades pela atualização constante de aplicações
defasadas;
IV - possibilidade de integração à outras soluções;
V - melhoria da gestão da segurança da informação; e
VI - redução de custos.

Fechar