Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 09/10/2023 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152023100900029
29
Nº 193, segunda-feira, 9 de outubro de 2023
ISSN 1677-7042
Seção 1
garantir o adequado dimensionamento e otimização da capacidade dos recursos de TIC,
considerando as seguintes diretrizes específicas:
§1°. O inventário de demandas e necessidades deve ser entendido como um
insumo essencial para o planejamento setorial de TIC e deve ser elaborado a partir da
visão do demandante, considerando os objetivos e requisitos de negócio a serem
atendidos.
§2°. Considerando o caráter finito dos recursos, todas as demandas devem
sofrer processo de avaliação e priorização, objetivando garantir o alinhamento das
prioridades organizacionais e seu balanceamento com a capacidade da área de TIC.
§3°. Investimentos em expansão e/ou criação de programas e políticas
públicas devem ser acompanhados de investimentos proporcionais na expansão da
capacidade dos recursos de TIC, de modo a garantir a adequada sustentabilidade de sua
operacionalização.
Art. 19. Deverá ser executado um processo de gerenciamento da capacidade
e desempenho objetivando garantir que os serviços e infraestruturas de TIC atendam aos
requisitos relacionados à evolução das demandas institucionais e à manutenção e
evolução do desempenho atual e futuro, considerando, no mínimo, o seguinte:
I - Deve ser desenvolvido e mantido um Plano de Capacidade envolvendo
todos os recursos necessários para entregar os serviços de TIC a curto, médio e longo
prazos - de forma aderente à evolução dos requisitos e necessidades do negócio.
II - Antes da entrada em produção de um novo serviço, produto ou sistema de
TIC deve ser elaborado um Plano de Capacidade para adequado dimensionamento e
alocação dos recursos de TIC necessários à sua operacionalização.
III - Nenhum novo serviço, produto ou sistema de TIC deve ser colocado em
produção antes de cumpridas as seguintes etapas, no mínimo:
a) homologação pelo gestor de negócio;
b) aprovação técnica pela Diretoria de Tecnologia da Informação, incluindo
elaboração e aprovação do Plano de Capacidade e provisionamento dos recursos de TIC
adequados;
c) classificação quanto ao nível de criticidade; e
d) definição e implementação dos fluxos de suporte técnico e negocial,
considerando a classificação de criticidade.
SUBSEÇÃO VIII - DA GESTÃO DE PROJETOS DE TIC
Art. 20. A gestão de projetos de TIC deve ter por objetivo assegurar que os
projetos sejam adequadamente aprovados, planejados, executados e revisados com vistas
à ótima realização dos benefícios e a redução dos riscos, considerando as seguintes
diretrizes específicas:
I - deve ser executado um processo de gestão de projetos de TIC,
preferencialmente, como parte integrante de um processo institucional de gestão de
projetos, cumprindo, no mínimo, as etapas de planejamento, execução, monitoramento e
controle;
II - o escopo, os custos, o uso de recursos e o cumprimento de prazos devem
ser gerenciados durante a execução de todos os projetos de TIC;
III - todos os projetos de TIC de alta materialidade ou alta relevância devem
ser submetidos a um processo de gestão de riscos - incluindo o acompanhamento pelo
Comitê de Governança Digital;
IV - todos os projetos de TIC deverão estar devidamente alinhados com as
estratégias, planos e prioridades institucionais, contribuindo para o cumprimento da
missão e o alcance das metas da organização;
V - o balanceamento do portfólio de projetos deverá utilizar critérios
relacionados ao alinhamento com a estratégia organizacional, os retornos de curto, médio
e longo prazos, os tipos de benefícios esperados, o grau de riscos e o impacto para a
imagem institucional;
VI - o desempenho dos projetos e programas de TIC, incluindo seus
indicadores, deverá ser reportado periódica e preferencialmente de forma ativa, a todas
as partes interessadas envolvidas;
§1°. O processo de gestão de projetos deve ser periodicamente avaliado com
relação ao grau de cumprimento de suas práticas, bem como avaliação de suas práticas
quanto ao seu grau de eficiência, eficácia e efetividade - de modo a subsidiar aplicação
de ajustes e sua melhoria contínua.
§2°. Deve ser disponibilizado pela DIRTI painel gerencial destinado à alta
administração para acompanhamento dos projetos de TIC, como foco naqueles
classificados como prioritários e/ou estratégicos;
§3°. Os riscos de projetos devem ser mapeados, avaliados e monitorados tanto
como parte do processo de gestão de projetos como no contexto do processo de gestão
de riscos de TIC.
SUBSEÇÃO IX - DA GESTÃO DE PADRÕES E DE ARQUITETURAS DE TIC
Art. 21. As atividades, processos e arquiteturas de TIC devem ser referenciadas
em padrões técnicos devidamente aprovados, documentados e comunicados, observadas
as seguintes diretrizes específicas:
I - o modelo padronizado de arquitetura de TIC deverá ser composto por
arquitetura de negócio, arquitetura da informação, arquitetura de aplicações e arquitetura
de tecnologia;
II - devem ser estabelecidos
e observados processos adequados para
prospecção tecnológica e definição dos padrões técnicos e das arquiteturas de TIC, com
o apoio do Comitê de Governança Digital e do Subcomitê Executivo de Tecnologia da
Informação e Comunicação;
III - o modelo de arquitetura deve ser gerenciado e revisado periodicamente
para assegurar o seu alinhamento ao cenário tecnológico e aos objetivos estratégicos
institucionais;
IV - sempre que possível e tecnicamente viável deverão ser utilizados padrões
de arquitetura com baixo acoplamento, priorizando-se modelos abertos, componíveis,
modulares, reutilizáveis, interoperáveis e facilmente escaláveis em detrimento dos
padrões de arquitetura monolíticos, pouco flexíveis e de difícil manutenção;
V - no que couber, o modelo de arquitetura deve considerar os padrões de
interoperabilidade e de governo eletrônico, definidos e mantidos pelos órgãos
governantes superiores;
§1°. Os padrões e arquiteturas corporativas devem ser observados por toda a
organização, ainda que nos projetos executados com terceiros utilizando recursos próprios
das áreas.
§2°. Os processos de gestão de padrões e de arquiteturas de TIC devem ser
periodicamente avaliados com relação ao grau de cumprimento de suas práticas, bem
como avaliação dessas práticas quanto ao seu grau de eficiência, eficácia e efetividade, de
modo a subsidiar aplicação de ajustes e sua melhoria contínua.
SUBSEÇÃO X - DA GESTÃO DE SERVIÇOS DE TIC
Art. 22. A gestão de serviços de TIC deve contemplar, no mínimo, todo o
conjunto de processos cujo objetivo é assegurar que o provimento desses serviços seja
feito de modo alinhado às necessidades corporativas, com qualidade adequada e
otimização de custos e riscos, considerando as seguintes diretrizes específicas:
I - a prestação de serviços corporativos de TIC deverá ser realizada de forma
centralizada pela Diretoria de Tecnologia e Inovação - prioritariamente por meio de uma
Central de Serviços unificada;
II - os serviços devem ser relacionados e formalizados em um Catálogo de
Serviços, cujo objetivo é disponibilizar aos usuários dos serviços e ao pessoal de suporte
de forma tempestiva, atualizada e acessível o rol completo dos serviços de TIC disponíveis
e das informações relevantes a eles associadas, como pontos de contato e horários de
utilização e os Acordos de Níveis de Serviço (ANS) estabelecidos;
III - deve ser executado um processo de gestão de níveis de serviço com
objetivo de definir, acordar, documentar, monitorar, reportar e analisar criticamente os
serviços de TIC prestados, de modo a garantir que a sua entrega seja alcançável,
gerenciada e alinhada com os requisitos de clientes e as necessidades do negócio;
IV - o desempenho dos serviços de TIC deve ser periodicamente avaliado para
verificar o grau de aderência aos níveis de serviço, bem como avaliar o desempenho dos
próprios processos (eficiência, eficácia e efetividade) com vistas à realização de ajustes,
aperfeiçoamentos e melhoria contínua;
V - deve ser definido, mantido e executado um processo adequado de gestão
de incidentes visando gerir o ciclo de vida de todos os incidentes e, para cada incidente,
restabelecer o serviço de TIC aos usuários no menor prazo e com o menor impacto
possível;
VI - deve ser definido, mantido e executado um processo adequado de gestão
de mudanças, com objetivo de permitir que mudanças necessárias sejam feitas com a
mínima interrupção dos serviços e mínimo impacto nos níveis de serviço estabelecidos;
VII - deve ser definido, mantido e executado um processo adequado de gestão
de configuração e de ativos de serviço para manter informações relevantes sobre a
configuração de
ativos de TIC necessários
à entrega dos serviços,
incluindo os
relacionamentos entre eles, durante todo seu ciclo de vida; e
§1°. Os processos de gestão de serviços de TIC devem ser periodicamente
avaliados com relação ao grau de cumprimento de suas práticas, bem como avaliação
dessas práticas quanto ao seu grau de eficiência, eficácia e efetividade de modo a
subsidiar aplicação de ajustes e sua melhoria contínua.
§2°. Os riscos operacionais relacionados aos serviços de TIC - referentes a
possíveis impactos resultantes do baixo desempenho e/ou da indisponibilidade destes -
devem ser identificados, avaliados e monitorados tanto como parte do processo de
gestão de serviços como no âmbito do processo de gestão de riscos de TIC.
SUBSEÇÃO XI - DA GESTÃO DA INFRAESTRUTURA DE TIC
Art. 23. O gerenciamento da infraestrutura de TIC deve observar as seguintes
diretrizes específicas:
I - sempre que técnica e economicamente viável, deve ser priorizada a adoção
de recursos de computação em nuvem (cloud computing), seja nuvem pública ou privada,
nas modalidades de Infraestrutura como Serviço (IaaS), Plataforma como Serviço (PaaS)
ou Software como Serviço (SaaS), com objetivo de otimizar o desempenho, reduzir a
complexidade tecnológica, promover a orquestração entre ambientes e ampliar a
capacidade, a gerenciabilidade, a escalabilidade e a elasticidade dos ambientes;
II - práticas de integração entre desenvolvimento, segurança e operações
(DevOps e DevSecOps) deverão ser viabilizadas através da implementação de ferramentas
e arquiteturas adequadas, como foco na otimização da capacidade de gerenciamento
automatizado, repetível e seguro, conforme critérios de qualidade e disponibilidade, tanto
para recursos físicos quanto virtuais ou em nuvem, gerando fluxos de trabalho propícios
às práticas de integração contínua (CI) e entrega contínua (CD);
III - a rede de comunicação de dados e voz deve ser padronizada para toda
a Autarquia, com convergência de tecnologias de voz sobre IP (VoIP) e comunicações
unificadas (UC);
IV - infraestruturas críticas devem ser mapeadas e devidamente protegidas,
incluindo soluções de contingência e de recuperação de desastres; e
V - os ativos de TIC devem inventariados, identificados e continuamente
monitorados como parte do processo de gerenciamento de ativos.
Parágrafo único. Os processos de gestão de infraestrutura de TIC devem ser
periodicamente avaliados com relação ao grau de implementação de suas práticas, bem
como avaliação dessas práticas quanto ao seu grau de eficiência, eficácia e efetividade de
modo a subsidiar aplicação de ajustes e sua melhoria contínua.
SUBSEÇÃO XII - DA GESTÃO DE SISTEMAS E APLICAÇÕES
Art. 24. O FNDE deve possuir e executar um processo de software, assim
entendido como o processo de trabalho usado pela organização na produção e na gestão
do ciclo de vida de sistemas e aplicações - abrangendo as atividades realizadas desde a
demanda, o provimento (desenvolvimento ou aquisição), a operação, a sustentação até a
eventual desativação.
I - o processo de software deve considerar, no mínimo, as seguintes fases
essenciais:
a) descoberta: identificação, compreensão e análise do problema, necessidade
e/ou oportunidade de geração de valor;
b) desenho: definição dos objetivos do projeto, elaboração do escopo,
priorização, definição e planejamento do Mínimo Produto Viável (MVP);
c) construção: desenvolvimento iterativo e incremental do produto, de acordo
com os requisitos definidos e priorizados - incluindo a validação técnica e negocial (testes)
das entregas para garantir que atendem aos requisitos e não contenham erros;
d) implantação: implementação da entrega em ambiente de produção;
e) entrega: entrega do produto e/ou do incremento ao cliente, considerando
a validação do valor gerado; e
f) manutenção: manter o software atualizado e resolver quaisquer problemas
que possam surgir.
II - o processo ágil de software deverá ser caracterizado por:
a) iteratividade: O processo é dividido em iterações curtas, geralmente de
duas a quatro semanas. Isso permite que a equipe entregue software em funcionamento
de forma rápida e frequente.
b) incrementalidade: O software é desenvolvido de forma incremental, ou seja,
a cada iteração, uma nova funcionalidade é adicionada ao software. Isso permite que a
equipe entregue software de alta qualidade de forma gradual.
c) participação
do cliente: O cliente
é envolvido no
processo de
desenvolvimento desde o início. Isso permite que o cliente dê feedback sobre o software
em desenvolvimento e garante que o software atenda às suas necessidades.
III - o processo de software deve tratar, ainda, dos seguintes aspectos:
a) gestão da documentação;
b) gestão da configuração;
c) gestão da qualidade;
d) gestão da segurança;
e) gestão da disponibilidade; e
d) gestão do portfólio (ciclo de vida).
IV - sempre que tecnicamente viável, todos os sistemas e aplicações do FNDE
devem possuir funcionalidade de gestão unificada de usuários (Single-Sign-On) e serem
integrados ao Login Único do Governo Federal (Acesso Gov.br);
V - todos os sistemas e aplicações corporativas do FNDE devem possuir um
gestor negocial formalmente designado e com atribuições claramente fixadas e
compreendidas - com foco no gerenciamento do produto do ponto de vista do negócio;
e
VI - os sistemas e aplicações de software destinadas ao uso corporativo pelo
FNDE devem sofrer processo de classificação segundo a criticidade, considerando os
aspectos como impacto para o negócio e a continuidade de serviços públicos essenciais,
com objetivo de definir processos e níveis mínimos de serviço adequados a cada conjunto
de soluções.
Parágrafo único. O processo de classificação de criticidade de sistemas e
aplicações deve ser submetido à aprovação e acompanhamento pelo Comitê de
Governança Digital.
Art. 25. O provimento de sistemas e aplicações de software compreende as
seguintes modalidades:
I - desenvolvimento: construção de soluções, com recursos próprios e/ou de
terceiros, para atender as necessidades corporativas das áreas-meio e/ou das áreas-
fim;
II - aquisição: adoção, por meio de processo de contratação, de soluções
prontas ou customizáveis;
III - evolução ou adaptação: melhoria de qualidade, incorporação de novas
funcionalidades, mudança nas regras de negócio ou adaptação a novas tecnologias;
IV - sustentação: alteração de solução existente a partir de intervenções
corretivas, análise e solução de incidentes e requisições de serviço relacionadas às
soluções que não impliquem em mudanças de regras de negócio ou alterações estruturais
de suas funcionalidades.
V - internalização: incorporação de soluções de software desenvolvidas
externamente, quer de forma específica para atendimento das necessidades da Autarquia,
cedidas por outros entes públicos ou privados, ou, ainda, de soluções de código aberto
(open source), por quaisquer meios ou instrumentos legais admissíveis;
§1°. Independentemente da modalidade adotada, a abordagem gerencial,
segundo a responsabilidade das unidades envolvidas, deve considerar as seguintes
alternativas:

Fechar