Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 02/08/2023 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152023080200016
16
Nº 146, quarta-feira, 2 de agosto de 2023
ISSN 1677-7042
Seção 1
Parágrafo único. A POSIN/MinC, bem como todas as normas dela decorrentes,
deverão ser revisadas e atualizadas sempre que se fizer necessário, não excedendo o
período máximo de quatro anos.
Art. 55. Ficam revogadas:
I - a Portaria MinC nº 25, de 7 de abril de 2015; e
II - a Portaria MinC nº 63, de 11 de julho de 2017.
Art. 56. Esta Portaria entra em vigor na data de sua publicação.
MARGARETH MENEZES DA PURIFICAÇÃO COSTA
ANEXO I
CONCEITOS E DEFINIÇÕES
I - acesso: ato de ingressar, transitar, conhecer ou consultar a informação, bem
como possibilidade de usar os ativos de informação de um órgão ou entidade, observada
eventual restrição que se aplique.
II - agente público: todo aquele que exerce, ainda que transitoriamente ou sem
remuneração, por eleição, nomeação, designação, contratação, ou qualquer outra forma de
investidura ou vínculo, mandato, cargo, emprego ou função nos órgãos e entidades da
administração pública federal, direta e indireta.
III - ameaça: conjunto de fatores externos com o potencial de causar dano para
um sistema ou organização.
IV - ataque: ação que constitui uma tentativa deliberada e não autorizada para
acessar ou manipular informações, ou tornar um sistema inacessível, não íntegro ou
indisponível.
V - ativos de informação:
meios de armazenamento, transmissão e
processamento da informação, equipamentos necessários a isso, sistemas utilizados para
tal, locais onde se encontram esses meios, recursos humanos que a eles têm acesso e
conhecimento ou dado que tem valor para um indivíduo ou organização.
VI - auditoria: processo de exame cuidadoso e sistemático das atividades
desenvolvidas, cujo objetivo é averiguar se elas estão de acordo com as disposições
planejadas e estabelecidas previamente, se foram implementadas com eficácia e se estão
adequadas e em conformidade à consecução dos objetivos.
VII - autenticidade: propriedade pela qual se assegura que a informação foi
produzida, expedida, modificada ou destruída por uma determinada pessoa física,
equipamento, sistema, órgão ou entidade.
VIII - backup: conjunto de procedimentos que permite salvaguardar os dados de
um sistema computacional, garantindo guarda, proteção e recuperação. Tem a fidelidade
ao original assegurada. Esse termo também é utilizado para identificar a mídia em que a
cópia é realizada.
IX - comitê de governança digital e segurança da informação: grupo de pessoas
com a responsabilidade de assessorar a implementação das ações de segurança da
informação no âmbito do órgão ou entidade da administração pública federal.
X - computação em nuvem: modelo de fornecimento e entrega de tecnologia
de informação que permite acesso conveniente e sob demanda a um conjunto de recursos
computacionais configuráveis, sendo que tais recursos podem ser provisionados e liberados
com mínimo gerenciamento ou interação com o provedor do serviço de nuvem.
XI - comprometimento: perda de segurança resultante do acesso não
autorizado.
XII - confidencialidade: propriedade pela qual se assegura que a informação não
esteja disponível ou não seja revelada à pessoa, ao sistema, ao órgão ou à entidade não
autorizados nem credenciados.
XIII - controlador: pessoa natural ou jurídica, de direito público ou privado, a
quem compete as decisões referentes ao tratamento de dados pessoais nos termos da Lei
Geral de Proteção de Dados - LGPD.
XIV - controle de acesso: conjunto de procedimentos, recursos e meios
utilizados com a finalidade de conceder ou bloquear o acesso ao uso de recursos físicos ou
computacionais. Via de regra, requer procedimentos de autenticação.
XV - cópia de segurança: vide backup.
XVI - credenciamento: processo pelo qual o usuário recebe credenciais de
segurança que concederão o acesso, incluindo a identificação, a autenticação, o
cadastramento de código de identificação e definição de perfil de acesso, em função de
autorização prévia.
XVII - custódia: consiste na responsabilidade de guardar um ativo para terceiro.
A custódia não permite automaticamente o acesso ao ativo, nem o direito de conceder
acesso a outros.
XVIII - custodiante de informação: pessoa ou órgão com atribuição fornecida
pelo proprietário da informação de proteger adequadamente esta informação em regime
de custódia.
XIX - dado pessoal: informação relacionada à pessoa natural identificada ou
identificável.
XX - descarte: eliminação correta de informações, documentos, mídias e
acervos digitais.
XXI - direito de acesso: privilégio associado a um cargo, pessoa ou processo,
para ter acesso a um ativo.
XXII - disponibilidade: propriedade pela qual se assegura que a informação
esteja acessível e utilizável, sob demanda, por uma pessoa física ou determinado sistema,
órgão ou entidade devidamente autorizados.
XXIII - dispositivos móveis: equipamentos portáteis, dotados de capacidade de
processamento, ou dispositivos removíveis de memória para armazenamento, entre os
quais se incluem, não limitando a estes: e-books, notebooks, netbooks, smartphones,
tablets, pendrives, USBdrives, HD externo, e cartões de memória.
XXIV - documentos classificados: documentos que contenham informação
classificada em qualquer grau de sigilo.
XXV - eliminação: exclusão de dado ou conjunto de dados, armazenados em
banco de dados, independentemente do procedimento empregado.
XXVI - e-mail: sigla de correio eletrônico (electronic mail).
XXVII - encarregado: pessoa indicada pelo controlador, para atuar como canal
de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de
Proteção de Dados.
XXVIII - equipe de prevenção, tratamento e resposta a incidentes cibernéticos:
grupo de agentes públicos com a responsabilidade de prestar serviços relacionados à
segurança cibernética para o órgão ou a entidade da administração pública federal, em
observância à política de segurança da informação e aos processos de gestão de riscos de
segurança da informação do órgão ou da entidade. Anteriormente era chamada de Equipe
de Tratamento de Incidentes de Rede.
XXIX - gestão de continuidade de serviços em segurança da informação:
processo que identifica ameaças potenciais para uma organização e os possíveis impactos
nas operações de negócio, caso estas ameaças se concretizem. Esse processo fornece uma
estrutura para que se desenvolva uma resiliência organizacional que seja capaz de
responder efetivamente e salvaguardar os interesses das partes interessadas, a reputação,
a marca da organização e suas atividades de valor agregado.
XXX - gestão de incidentes cibernéticos: processo que realiza ações sobre
qualquer evento adverso relacionado à segurança cibernética dos sistemas ou da
infraestrutura de computação do Ministério da Cultura.
XXXI - gestão de riscos em segurança da informação: processo de natureza
permanente, estabelecido, direcionado e monitorado pela alta administração, que
contempla as atividades de identificação, avaliação e gerenciamento de potenciais eventos
que possam afetar a organização, destinado a fornecer segurança razoável quanto à
realização de seus objetivos.
XXXII - gestão de segurança da informação: processo que visa integrar
atividades de gestão de riscos, gestão de continuidade do negócio, tratamento de
incidentes, tratamento
da informação,
conformidade, credenciamento,
segurança
cibernética, segurança física, segurança lógica, segurança orgânica e organizacional, aos
processos institucionais estratégicos, operacionais e táticos, não se limitando, portanto, à
tecnologia da informação.
XXXIII - gestão de vulnerabilidades técnicas: processo que visa prevenir a
exploração de vulnerabilidades na rede corporativa do Ministério da Cultura por meio da
aplicação sistemática de ações de identificação, classificação e tratamento de
vulnerabilidades, sendo regulamentada por norma interna de segurança da informação do
Ministério da Cultura, conforme diretrizes desta Política de Segurança da Informação.
XXXIV - gestor de segurança da informação: responsável pelas ações de
segurança da informação no âmbito do órgão ou entidade da administração pública
federal.
XXXV - incidente cibernético: ocorrência que pode comprometer, real ou
potencialmente, a disponibilidade, a integridade, a confidencialidade ou a autenticidade de
sistema de informação ou das informações processadas, armazenadas ou transmitidas por
esse sistema.
XXXVI - incidente de segurança: qualquer evento adverso, confirmado ou sob
suspeita, relacionado à segurança dos sistemas de computação ou das redes de
computadores.
XXXVII - informação: dados, processados ou não, que podem ser utilizados para
produção e para transmissão de conhecimento, contidos em qualquer meio, suporte ou
formato.
XXXVIII - informação classificada em grau de sigilo: informação sigilosa em
poder dos órgãos e entidades públicas, observado o seu teor e em razão de sua
imprescindibilidade à segurança da sociedade ou do Estado, a qual é e que pode ser
classificada como ultrassecreta, secreta ou reservada.
XXXIX
-
informação
pessoal: informação
relacionada
à
pessoa
natural
identificada ou identificável, relativa à intimidade, à vida privada, à honra e à imagem.
XL - informação sigilosa: informação submetida temporariamente à restrição de
acesso público em razão de sua imprescindibilidade para a segurança da sociedade e do
Estado e aquela abrangida pelas demais hipóteses legais de sigilo.
XLI - integridade: propriedade pela qual se assegura que a informação não foi
modificada ou destruída de maneira não autorizada ou acidental.
XLII - internet: rede global, composta pela interligação de inúmeras redes,
provendo comunicação e informações das mais variadas áreas de conhecimento.
XLIII - invasão: incidente de segurança no qual o ataque foi bem-sucedido,
resultando no acesso, na manipulação ou na destruição de informações em um
computador ou em um sistema da organização.
XLIV - log (registro de auditoria): registro de eventos relevantes em um
dispositivo ou sistema computacional.
XLV - medidas de segurança:
medidas destinadas a garantir sigilo,
inviolabilidade, integridade, autenticidade e disponibilidade da informação classificada em
qualquer grau de sigilo.
XLVI - níveis de acesso: especificam quanto de cada recurso ou sistema o
usuário pode utilizar.
XLVII - perfil de acesso: conjunto de atributos, de cada usuário, definidos
previamente como necessários para credencial de acesso.
XLVIII - perfil institucional: cadastro do órgão ou entidade da administração
pública federal como usuário em redes sociais, alinhado ao planejamento estratégico e à
Política de Segurança da Informação da instituição, com observância de sua correlata
atribuição e competência.
XLIX - política de segurança da informação: documento aprovado pela
autoridade responsável pelo órgão ou entidade da administração pública federal, direta e
indireta, com o objetivo de fornecer diretrizes, critérios e suporte administrativo suficientes
à implementação da segurança da informação. Este termo substituiu o termo Política de
Segurança da Informação e Comunicação.
L - proprietário de informação: chefe de unidade organizacional geradora ou
usuária de informação, ou pessoa por este designada.
LI - rede de computadores: conjunto de computadores, interligados por ativos
de rede, capazes de trocar informações e de compartilhar recursos, por meio de um
sistema de comunicação.
LII - redes sociais: estruturas sociais digitais, compostas por pessoas ou
organizações, conectadas por um ou vários tipos de relações, que partilham valores e
objetivos comuns.
LIII - reduzir risco: forma de tratamento de risco na qual a alta administração
decide realizar a atividade adotando ações para reduzir a probabilidade, as consequências
negativas, ou ambas, associadas a um risco.
LIV - segurança cibernética: ações voltadas para a segurança de operações,
visando garantir que os sistemas de informação sejam capazes de resistir a eventos no
espaço cibernético capazes de comprometer a disponibilidade, a integridade, a
confidencialidade e a autenticidade dos dados armazenados, processados ou transmitidos
e dos serviços que esses sistemas ofereçam ou tornem acessíveis.
LV - segurança da informação: ações que objetiva viabilizar e assegurar a
disponibilidade, a integridade, a confidencialidade e a autenticidade das informações.
LVI - serviços: meio de fornecimento de valor a clientes, com vistas a entregar
os resultados que eles desejam, sem que tenham que arcar com a propriedade de
determinados custos e riscos.
LVII - sistema de informação: conjunto de elementos materiais ou intelectuais
colocado à disposição dos usuários em forma de serviços ou bens que possibilitam a
agregação dos recursos de tecnologia, informação e comunicações de forma integrada.
LVIII - termo de compromisso de manutenção de sigilo: termo utilizado para
garantir o sigilo de uma informação classificada em grau de sigilo em caráter excepcional,
mediante
assinatura de
pessoa
natural não
credenciada
ou
não autorizada
por
legislação.
LXIX - termo de responsabilidade: termo assinado pelo usuário com a sua
concordância em contribuir com a disponibilidade, a integridade, a confidencialidade e a
autenticidade das informações a que tiver acesso, bem como assumir responsabilidades
decorrentes de tal acesso.
LX - tratamento da informação: conjunto de ações referente à produção,
recepção, 
classificação,
utilização, 
acesso,
reprodução, 
transporte,
transmissão,
distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação ou controle
da informação.
LXI - tratamento da informação classificada: conjunto de ações referente à
produção, recepção, classificação, utilização, acesso, reprodução, transporte, transmissão,
distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação ou controle
de informação classificada, independente do meio, suporte ou formato.
LXII - trilha de auditoria: registro ou conjunto de registros gravado em arquivos
de log ou outro tipo de documento ou mídia que possa indicar, de forma cronológica e
inequívoca, o autor e a ação realizada em determinada operação, procedimento ou
evento.
LXIII - uso compartilhado de dados: comunicação, difusão, transferência
internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de
dados pessoais, por órgãos e entidades públicos, no cumprimento de suas competências
legais, ou entre esses entes privados, reciprocamente, com autorização específica, para
uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre
entes privados.
LXIV - usuário de informação: pessoa física, seja servidor ou equiparado,
empregado ou prestador de serviços, habilitada pela administração para acessar os ativos
de informação de um órgão ou entidade da administração pública federal, formalizada por
meio da assinatura de Termo de Responsabilidade.
ANEXO II
TERMO DE RESPONSABILIDADE
Pelo 
presente
instrumento, 
eu,
___________________________________________________ 
, 
CPF 
nº
_________________, Carteira de Identidade nº______________________, expedida pelo
____________________________ em____________________, lotado(a) no(a)___________
_______________________________________________, deste Ministério, na qualidade de
USUÁRIO ou CUSTODIANTE de informações do Ministério da Cultura, declaro ter
CONHECIMENTO da Política de Segurança da Informação (POSIN), segundo a qual devo
cumprir todas as suas diretrizes e orientações.

Fechar