Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 01/12/2023 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152023120100094
94
Nº 228, sexta-feira, 1 de dezembro de 2023
ISSN 1677-7042
Seção 1
Art. 72. Tais processos e procedimentos devem incluir aqueles a serem
implementados pelo Ministério do Desenvolvimento e Assistência Social, Família e Combate à
Fome, bem como aqueles que o Ministério exige que o fornecedor implemente no início ou no
término do contrato.
Art. 73. Os contratos, convênios ou instrumentos congêneres devem ser
estabelecidos e documentados para assegurar que haja um entendimento claro entre o
Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome e o fornecedor
ou prestador de serviço sobre as obrigações de ambas as partes de cumprir com os requisitos
relevantes de segurança da informação.
Art. 74. O Ministério do Desenvolvimento e Assistência Social, Família e Combate
à Fome deve estabelecer e manter acordos de compartilhamento de informações nos
contratos, convênios e instrumentos congêneres, bem como analisar criticamente, validar e
atualizar regularmente esses acordos para assegurar que ainda sejam necessários e
adequados para o propósito pelos quais foram estabelecidos.
Art. 75. O Ministério do Desenvolvimento e Assistência Social, Família e Combate
à Fome deve monitorar, analisar criticamente, avaliar e gerenciar regularmente a mudança
nas práticas de segurança da informação nos contratos, convênios e instrumentos
congêneres.
Art. 76. Os fornecedores e prestadores de serviço devem ser submetidos à
legislação brasileira.
Art. 77. Todas as contratações devem prever requisitos de Segurança da
Informação e proteção dos dados pessoais e dos ativos de informação. As áreas de negócio
devem alinhar os requisitos necessários com as equipes de Segurança da Informação do
Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.
Art. 78. Cabe aos prestadores de serviço e fornecedores, conforme previsto em
contrato:
I - tomar conhecimento desta Política de Segurança da Informação e divulgá-la a
seus empregados;
II - apresentar termo de compromisso e de ciência da declaração de manutenção
do sigilo, assinado por cada profissional, além de comprometer-se a manter sigilo sobre as
informações e dados pessoais a que tiver acesso;
III - fornecer listas atualizadas de todos os empregados que estejam alocados nas
dependências do Ministério do Desenvolvimento e Assistência Social, Família e Combate à
Fome, ou que transitoriamente ou, ainda, remotamente, tenham acesso a quaisquer ativos de
informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à
Fo m e ;
IV - fornecer listas atualizadas da documentação dos ativos, licenças, acordos ou
direitos relacionados aos ativos de informação objetos do contrato; e
V - fornecer a documentação dos sistemas, produtos e serviços relacionados às
suas atividades.
Art. 79. Nos casos de obtenção de informações de terceiros, o gestor da área na
qual a informação será utilizada deve, se necessário, providenciar junto ao cedente a
documentação formal relativa à cessão de direitos sobre informações de terceiros antes de
seu uso.
Art. 80. Os acordos com terceiros podem também envolver outras partes.
Parágrafo único. Os acordos que concedam o acesso a terceiros podem incluir,
quando necessário e justificado, permissão para designação de outras partes autorizadas e
condições para os seus acessos desde que expressamente autorizadas pelo Ministério do
Desenvolvimento e Assistência Social, Família e Combate à Fome.
Art. 81. Todos os contratos, convênios, acordos e instrumentos congêneres devem
conter cláusulas que estabeleçam a obrigatoriedade de observância desta Política de
Segurança da Informação e suas normas complementares.
Art. 82. O contrato, convênio, acordo ou instrumento congênere deverá prever a
obrigação da outra parte de divulgar esta Política de Segurança da Informação e suas normas
complementares aos seus empregados e prepostos envolvidos em atividades no Ministério do
Desenvolvimento e Assistência Social, Família e Combate à Fome.
Art. 83. Um plano de contingência deve ser elaborado no caso de uma das partes
desejar encerrar a relação antes do final do acordo.
Art. 84. Esta Política de Segurança da Informação deverá ser considerada como
subsídio essencial para confecção do processo de aquisição de ativos de tecnologia de
informação. Cabe aos fornecedores e prestadores de serviços a submissão à legislação vigente
de segurança da informação e proteção de dados.
Art. 85. Os prestadores de serviços ou fornecedores devem reportar os incidentes
de segurança da informação e de proteção de dados tempestivamente ao Gestor de
Segurança da Informação, à Equipe de Tratamento e Resposta a Incidentes Cibernéticos (ETIR)
do Ministério e aos responsáveis pelas unidades finalísticas para conhecimento e providências
cabíveis.
Seção XIII
Da gestão de incidentes de segurança da informação
Art. 86. Deve-se instituir metodologia e norma que estabeleçam um processo de
gestão de incidentes de Segurança da Informação que seja consistente e efetivo e que permita
respostas rápidas, efetivas e ordenadas aos incidentes de Segurança da Informação, incluindo
a comunicação sobre fragilidades e eventos relacionados.
Art. 87. Será mantida a Equipe de Tratamento e Resposta a Incidentes Cibernéticos
(ETIR), com a responsabilidade de receber, analisar e responder notificações e atividades
relacionadas a incidentes de segurança da informação.
Art. 88. Os membros da ETIR devem ter perfil técnico adequado às funções de
tratamento de incidentes em redes computacionais.
Art. 89. A ETIR deve observar as normas técnicas e orientações, bem como manter
um canal de comunicação com o Centro de Prevenção, Tratamento e Resposta a Incidentes
Cibernéticos de Governo.
Art. 90. O conhecimento adquirido sobre os incidentes de segurança da
informação deve ser usado para fortalecer e melhorar os controles de segurança da
informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome
e para reduzir a probabilidade ou as consequências de futuros incidentes.
Seção XIV
Da gestão de continuidade dos serviços
Art. 91. Uma gestão de continuidade dos serviços deve ser adotada, mantida e
periodicamente testada, a fim de minimizar as chances de uma interrupção ou impacto
causado por incidentes e desastres nos ativos de informação e nos dados pessoais, que
suportam os processos vitais do Ministério do Desenvolvimento e Assistência Social, Família e
Combate à Fome, até que se retorne à normalidade.
Art. 92. Os ativos de informação que suportam processos, funções ou operações
críticas do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome,
devem assegurar a capacidade de recuperação, os prazos e as condições definidas em
situações de adversas ou em casos de incidentes de segurança da informação.
Art. 93. O Ministério do Desenvolvimento e Assistência Social, Família e Combate
à Fome deve coletar informações de ataques atuais ou potenciais que possam impactar os
ativos de informação ou as políticas públicas do Ministério. As informações devem ser
analisadas, refinadas e organizadas para minimizar os impactos e mitigar os riscos de
segurança cibernética.
Seção XV
Da segurança da informação na gestão de projetos
Art. 94. A segurança da informação deve ser integrada à gestão de projetos do
Ministério para assegurar que os riscos de segurança da informação sejam abordados como
parte da gestão do projeto.
Seção XVI
Da transferência das informações
Art. 95. Regras, procedimentos ou acordos de transferência de informações
devem ser definidos e implementados para todos os tipos de transferência dentro do
Ministério e entre o Ministério do Desenvolvimento e Assistência Social, Família e Combate à
Fome e outras partes externas interessadas.
Art. 96. As regras, procedimentos e acordos para proteger informações em
trânsito devem refletir a classificação das informações envolvidas. Devem ser estabelecidos e
mantidos acordos de transferência (incluindo a autenticação do destinatário) para proteger as
informações em todas as formas em trânsito entre o Ministério do Desenvolvimento e
Assistência Social, Família e Combate à Fome e terceiros.
Seção XVII
Da auditoria e conformidade
Art. 97. Todos os requisitos legais, estatutários, regulamentares e contratuais
relevantes para a segurança da informação e para a proteção de dados pessoais devem ser
identificados, documentados, mantidos e implementados pelo Ministério do Desenvolvimento
e Assistência Social, Família e Combate à Fome.
Art. 98. Procedimentos apropriados devem ser implementados para garantir a
conformidade com as normas legais, estatutárias e requisitos contratuais relacionados a
direitos de propriedade intelectual e uso de produtos de softwares proprietários.
Art. 99. Deve ser realizada a avaliação de conformidade nos aspectos de segurança
da informação que proporcione adequado grau de confiança a um determinado processo,
mediante o atendimento de requisitos definidos em políticas, procedimentos, normas ou em
regulamentos técnicos aplicáveis.
Art. 100. O fornecedor ou prestador de serviço pode ser convocado em caso de
incidentes de segurança da informação para responder questões relacionadas à auditoria.
CAPÍTULO V
DA ESTRUTURA DE GOVERNANÇA E GESTÃO DE SEGURANÇA DA INFORMAÇÃO E
DE PROTEÇÃO DE DADOS, SUAS COMPETÊNCIAS E RESPONSABILIDADES
Art. 101. A Segurança da Informação é disciplina fundamental da boa governança
corporativa, sendo
de responsabilidade
da alta
administração do
Ministério do
Desenvolvimento e Assistência Social, Família e Combate à Fome.
Art. 102. Para assessorar o Ministro de Estado do Desenvolvimento e Assistência
Social, Família e Combate à Fome nas atividades de definição e implementação de diretrizes,
políticas, normas e procedimentos relativos à Segurança da Informação, fica instituída a
Estrutura de Governança e Gestão de Segurança da Informação do Ministério do
Desenvolvimento e Assistência Social, Família e Combate à Fome, com atribuições definidas
nesta Política de Segurança da Informação.
Art. 103. A Estrutura de Governança e Gestão de Segurança da Informação do
Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome deve ser capaz
de apoiar os diversos níveis hierárquicos do Ministério e seus órgãos no objetivo de integrar os
controles e processos de Segurança da Informação e aos processos organizacionais
existentes.
Parágrafo único. A participação na referida estrutura e eventuais grupos de
trabalho associados não enseja remuneração de qualquer espécie ou quaisquer criações de
cargos além daqueles já existentes na estrutura regimental do Ministério do Desenvolvimento
e Assistência Social, Família e Combate à Fome, sendo considerada serviço público
relevante.
Art. 104. A Estrutura de Governança e Gestão de Segurança da Informação do
Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome será
composta:
I - pelo Comitê Interno de Governança do Ministério do Desenvolvimento e
Assistência Social, Família e Combate à Fome;
II - pelo Comitê de Governança Digital;
III - pelas Câmaras Técnicas Temáticas;
IV - pelo Gestor de Segurança da Informação do Ministério do Desenvolvimento e
Assistência Social, Família e Combate à Fome;
V - pela Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos - ETIR;
VI - pelos gestores de ativos de informação;
VII - pelo agente responsável pela ETIR;
VIII - pelo agente responsável pela gestão de continuidade de negócios;
IX - pelo agente responsável pela gestão de mudança;
X - pelo agente responsável pelo mapeamento dos ativos de informação; e
XI - pelo agente responsável pela gestão de riscos.
§ 1º O Gestor de segurança da informação do Ministério do Desenvolvimento e
Assistência Social, Família e Combate à Fome será convidado a participar das reuniões em que
constarem da pauta os temas relacionados à Gestão de Riscos, Tecnologia da Informação,
Segurança da Informação e à Proteção de Dados Pessoais.
§ 2º As atribuições relacionadas ao Comitê Interno de Governança, ao Comitês de
Governança Digital e às Câmaras Técnicas estão dispostas nos normativos internos
relacionados à governança institucional do Ministério do Desenvolvimento e Assistência
Social, Família e Combate à Fome.
§ 3º As atribuições dos agentes responsáveis estão definidas na legislação vigente
de segurança da informação da Secretaria de Segurança da Informação e Cibernética do
Gabinete de Segurança Institucional da Presidência da República (SSIC/GSI/PR).
Art. 105. O gestor de segurança da informação do Ministério do Desenvolvimento
e Assistência Social, Família e Combate à Fome, será nomeado pelo Ministro de Estado do
Desenvolvimento e Assistência Social, Família e Combate à Fome, conforme legislação em
vigor, e terá as seguintes atribuições:
I - acompanhar as investigações e as avaliações dos danos decorrentes de quebras
de segurança da informação e dados pessoais;
II - propor recursos necessários às ações de segurança da informação;
III - participar das reuniões do Comitê Interno de Governança e do Comitê de
Governança Digital quando se tratar de assuntos relacionados à segurança da informação e à
proteção de dados;
IV - realizar e acompanhar estudos e novas tecnologias, no tocante a possíveis
impactos na segurança da informação e na proteção de dados pessoais;
V - representar o Ministério do Desenvolvimento e Assistência Social, Família e
Combate à Fome no Comitê Gestor de Segurança da Informação do Departamento de
Segurança da Informação do Gabinete de Segurança Institucional da Presidência da
República;
VI - manter contato direto com o Departamento de Segurança da Informação do
Gabinete de Segurança Institucional da Presidência da República;
VII - manter contato direto com a Agência Nacional de Proteção de Dados
Pessoais, juntamente com o Encarregado da Lei Geral de Proteção de Dados Pessoais - LGPD,
em casos de incidentes de segurança cibernética que possam comprometer os dados pessoais
geridos e custodiados pelo Ministério do Desenvolvimento e Assistência Social, Família e
Combate à Fome;
VIII - propor normas relativas à Segurança da Informação; e
IX - acompanhar e monitorar as atividades das câmaras técnicas de segurança da
informação, de proteção de dados e tecnologia da informação.
Art. 106. Os gestores de segurança da informação e proteção de dados das
Unidades Administrativas do Ministério do Desenvolvimento e Assistência Social, Família e
Combate à Fome, terão as seguintes atribuições:
I - implementar os controles de segurança da informação definidos nesta Política
de Segurança da Informação e em seus documentos complementares, nos ativos de
informação e nos dados pessoais sob sua responsabilidade;
II - recolher e consolidar as evidências da implementação dos controles de
segurança da informação nos ativos de informação e nos dados pessoais sob sua
responsabilidade e apresentá-las ao Comitê;
III - elaborar relatório de monitoramento das atividades e processos de gestão de
segurança da informação e de proteção de dados pessoais;

Fechar