Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 01/12/2023 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152023120100095
95
Nº 228, sexta-feira, 1 de dezembro de 2023
ISSN 1677-7042
Seção 1
V - orientar os funcionários e os contratados sob sua responsabilidade a
respeito das práticas a serem tomadas em relação à segurança da informação e à proteção
de dados pessoais.
Art. 107. Cabe ao Gestor de Ativo de Informação:
I - garantir a segurança dos ativos de informação sob sua responsabilidade;
II - definir e gerir os requisitos de segurança para os ativos de informação sob
sua responsabilidade, em conformidade com esta Política de Segurança da Informação e
com seus documentos complementares;
III - conceder e revogar acessos aos ativos de informação;
IV - comunicar à ETIR a ocorrência de incidentes de Segurança da Informação e
de proteção de dados;
V - designar os custodiantes dos ativos de informação, quando aplicável;
VI - manter registro das operações de tratamento de dados pessoais que
realizarem; e
VII - manter o inventário e mapeamento dos ativos de informação sob sua
responsabilidade.
Parágrafo único. O gestor de ativo da informação pode ser equiparado ao
controlador conforme disposto na Lei Geral de Proteção de Dados Pessoais em vigor.
Art. 108. Cabe ao custodiante do ativo de informação proteger e manter as
informações, bem como controlar o acesso, conforme requisitos definidos pelo gestor de
ativo de informação e dos dados pessoais e em conformidade com esta Política de
Segurança da Informação e seus documentos complementares.
Parágrafo único. O custodiante do ativo da informação pode ser equiparado ao
operador descrito na Lei Geral de Proteção de Dados Pessoais em vigor.
Art. 109. Cabe ao titular das unidades administrativas:
I - corresponsabilizar-se pelas ações realizadas por aqueles que estão sob sua
responsabilidade;
II - incorporar e manter aos processos de trabalho de sua unidade, ou de sua
área, práticas inerentes à Segurança da Informação;
III - tomar as medidas administrativas necessárias para que sejam aplicadas
ações corretivas nos casos de violações da Segurança da Informação por parte dos usuários
sob sua supervisão;
IV - informar à área de Gestão de Pessoas deste Ministério sobre a
movimentação de pessoal de sua unidade; e
V - comunicar à ETIR a ocorrência de incidentes de Segurança da Informação e
de proteção de dados.
Art. 110. Cabe aos terceiros e fornecedores:
I - tomar conhecimento desta Política de Segurança da Informação;
II - fornecer listas atualizadas da documentação dos ativos, licenças, acordos ou
direitos relacionados aos ativos de informação objetos do contrato;
III - fornecer toda a
documentação dos sistemas, produtos, serviços
relacionados às suas atividades;
IV - adotar medidas de segurança, técnicas e administrativas aptas a proteger
os ativos de informação e os dados pessoais, sob sua custódia, de acessos não autorizados
e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou
qualquer forma de tratamento inadequado ou ilícito, conforme legislação em vigor;
V - manter registro das operações de tratamento de dados pessoais que
realizarem; e
VI - assinar o Termo de Responsabilidade e Sigilo - Anexo II.
Art. 111. Cabe aos usuários:
I - conhecer e cumprir todos os princípios, diretrizes e responsabilidades desta
Política de Segurança da Informação, bem como os demais normativos e resoluções
relacionados à Segurança da Informação e proteção de dados pessoais;
II - assinar o Termo de Responsabilidade e Sigilo - Anexo II;
III - obedecer aos requisitos de controle de segurança da informação
especificados pelos gestores e custodiantes dos ativos de informação; e
IV - comunicar à ETIR a ocorrência de incidentes de Segurança da Informação e
de proteção de dados.
Art. 112. O funcionamento e composição da câmara técnica de Segurança da
Informação e de Proteção de Dados serão regulados por regimentos internos, que deverão
ser definidos e aprovados em reunião do Comitê Interno de Governança do Ministério do
Desenvolvimento e Assistência Social, Família e Combate à Fome.
CAPÍTULO VI
DAS PENALIDADES
Art. 113. Ações que violem a Política de Segurança da Informação ou que
quebrem os controles de Segurança da Informação e de proteção de dados pessoais serão
devidamente apuradas e aos responsáveis serão aplicadas as sanções penais,
administrativas e civis em vigor.
CAPÍTULO VII
DAS VEDAÇÕES
Art. 114. É vedado comprometer
a disponibilidade, a integridade, a
confidencialidade, a autenticidade dos ativos de informação e dados pessoais geridos,
custodiados ou tratados pelo Ministério.
Art. 115. É vedada a divulgação de informações produzidas por usuários e
terceiros para uso exclusivo do Ministério, em quaisquer outros projetos ou atividades de
uso diverso daquele estabelecido pelo Ministério.
Art. 116. Os ativos de informação devem ser utilizados estritamente dentro do
seu propósito, sendo vedado seu uso para fins indevidos.
§ 1º Serão considerados para fins indevidos, dentre outros:
a) cometer fraudes;
b) invadir os ativos de informação;
c) utilizar os ativos de informação para fins particulares ou de terceiros;
d) utilizar jogos;
e) realizar downloads, instalar e usar sistemas não homologados ou não
autorizados pelo Ministério;
f) realizar acessos não autorizados;
g) fazer uso de personificação;
h) utilizar de falsa identidade;
i) obter senhas e dados privativos;
j) realizar perseguição;
k) realizar ameaças;
l) distribuir códigos maliciosos;
m) acessar, guardar e disseminar material não ético, ofensivo, difamatório,
discriminatório, preconceituoso, malicioso, obsceno, ilegal ou atentatório à moral e aos
bons costumes;
n) instalar softwares piratas;
o) utilizar práticas em desacordo com o Código de Conduta Ética do Ministério
do Desenvolvimento e Assistência Social, Família e Combate à Fome; e
p) disseminar conteúdos ilegais de incitação à violência, que não respeitem os
direitos autorais ou objetivos comerciais particulares.
CAPÍTULO VIII
DO PLANO DE
INVESTIMENTOS EM SEGURANÇA DA
INFORMAÇÃO DO
MINISTÉRIO DO DESENVOLVIMENTO E ASSISTÊNCIA SOCIAL, FAMÍLIA E COMBATE À
FO M E
Art. 117. Os investimentos em Segurança da Informação serão realizados de
forma planejada e consolidados por meio de um plano de investimentos.
Art. 118. O plano de investimentos será elaborado com base na priorização dos
riscos a serem tratados e será obtido a partir da aplicação de método que considere, no
mínimo, a probabilidade e o impacto do risco.
Art. 119. O plano de investimentos, assim como a correspondente proposta
orçamentária, será aprovado pelo Comitê Interno de Governança do Ministério do
Desenvolvimento e Assistência Social, Família e Combate à Fome, mediante recomendação
elaborada pela Estrutura de Governança e Gestão de Segurança da Informação.
Art. 120. Caso a dotação concedida na Lei Orçamentária Anual (LOA) seja
inferior à solicitada na proposta orçamentária, ou haja limitação na execução orçamentária,
caberá ao Comitê Interno de Governança deste Ministério realizar a correspondente
revisão do plano de investimentos.
CAPÍTULO IX
DA POLÍTICA DE ATUALIZAÇÃO
Art. 121. A periodicidade máxima para a revisão da Política de Segurança da
Informação e dos respectivos instrumentos normativos não deve exceder 4 (quatro) anos.
CAPÍTULO X
DAS DISPOSIÇÕES FINAIS
Art. 122. A Política de Segurança da Informação e os documentos dela
derivados devem ser revisados sempre que mudanças significativas na estrutura do
Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome ocorrerem
ou quando alterações em normas e outras políticas forem aprovadas, ou ainda
periodicamente, conforme legislação vigente, sendo atualizados quando necessário.
Art. 123. A Política de Segurança da Informação, as normas complementares e
os procedimentos de Segurança da Informação a ela associados deverão ser amplamente
divulgados.
Art. 124. Exceções à Política de Segurança da Informação devem sempre ser
documentadas e ter aprovação do Gestor de Segurança da Informação.
Art. 125. O Ministério do Desenvolvimento e Assistência Social, Família e
Combate à Fome deve considerar as diretrizes do Governo Federal, representado pelo
Gabinete de Segurança Institucional da Presidência da República, que recomenda a
implantação no âmbito de cada órgão da Administração Pública Federal, de processos e de
metodologias de Segurança da Informação, bem como leis, normas, recomendações que
regem o tratamento de informações, dados pessoais, processos, pessoas e tecnologias.
Art. 126. Fica instituído o Sistema de Gestão de Segurança da Informação,
composto por políticas, procedimentos, diretrizes, recursos e atividades associados, de
forma a proteger os ativos de informação do Ministério do Desenvolvimento e Assistência
Social, Família e Combate à Fome.
CAPÍTULO XI
DAS REFERÊNCIAS LEGAIS E NORMATIVAS
Art. 127. A Política de Segurança da Informação está em consonância, entre
outros, com os seguintes atos normativos:
I - Lei nº 8.112, de 11 de dezembro de 1990, que dispõe sobre o regime jurídico
dos servidores públicos civis da União, das autarquias e das fundações públicas federais;
II - Lei nº 8.159, de 8 de janeiro de 1991, que dispõe sobre a Política Nacional
de Arquivos Públicos e Privados e dá outras providências;
III - Lei nº 12.527, de 18 de novembro de 2011, que regulamenta o acesso às
informações públicas;
IV - Lei nº 12.965, de 23 de abril de 2014, que estabelece princípios, garantias,
direitos e deveres para uso da Internet no Brasil;
V - Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados
Pessoais;
VI - Lei nº 13.853, de 8 de julho de 2019, que altera a Lei nº 13.709, de 14 de
agosto de 2018, para dispor sobre a proteção de dados pessoais e para criar a Autoridade
Nacional de Proteção de Dados; e dá outras providências;
VII - Decreto nº 1.171, de 22 de junho de 1994, que aprova o Código de Ética
Profissional do Servidor Público Civil do Poder Executivo Federal;
VIII - Decreto nº 4.073, de 3 de janeiro de 2002, que regulamenta a Lei nº
8.159, de 8 de janeiro de 1991, que dispõe sobre a política nacional de arquivos públicos
e privados;
IX - Decreto nº 7.579, de 11 de outubro de 2011, que dispõe sobre o Sistema
de Administração dos Recursos de Tecnologia da Informação --SISP, do Poder Executivo
Fe d e r a l ;
X - Decreto nº 7.724, de 16 de maio de 2012, que regulamenta a Lei nº 12.527
de 18 de novembro de 2011;
XI - Decreto nº 7.845, de 14 de novembro de 2012, que regulamenta
procedimentos para credenciamento de segurança e tratamento de informação classificada
em qualquer grau de sigilo, e dispõe sobre o Núcleo de Segurança e Credenciamento;
XII - Decreto nº 9.637, de 26 de dezembro de 2018, que institui a Política
Nacional de Segurança da Informação nos órgãos e entidades da Administração Pública
Fe d e r a l ;
XIII - Decreto nº 10.222, de 5 de fevereiro de 2020, que aprova a Estratégia
Nacional de Segurança Cibernética - E-Ciber é orientação manifesta do Governo federal à
sociedade brasileira sobre as principais ações por ele pretendidas, em termos . nacionais e
internacionais, na área da segurança cibernética e terá validade no quadriênio 2020-2023;
XIV - Decreto nº 10.332, de 28 de abril de 2020, que institui a Estratégia de
Governo Digital para o período de 2020 a 2023, no âmbito dos órgãos e das entidades da
administração pública federal direta, autárquica e fundacional e dá outras providências;
XV - Decreto nº 10.641, de 2 de março de 2021, que altera o Decreto nº 9.637,
de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação,
dispõe sobre a governança da segurança da informação, e altera o Decreto nº 2.295, de 4
de agosto de 1997, que regulamenta o disposto no artigo 24, caput, inciso IX, da Lei nº
8.666, de 21 de junho de 1993, e dispõe sobre a dispensa de licitação nos casos que
possam comprometer a segurança nacional;
XVI - Decreto nº 10.748, de 16 de Julho de 2021, que institui a Rede Federal de
Gestão de Incidentes Cibernéticos;
XVII - Decreto nº 11.529, de 16 de maio de 2023, que institui o Sistema de
Integridade, Transparência e Acesso à Informação da Administração Pública Federal e a
Política de Transparência e Acesso à Informação da Administração Pública Federal;
XVII - Portaria GSI/PR nº 93, de 18 de outubro de 2021, que aprova o Glossário
de Segurança da Informação;
XIX - Portaria GSI/PR nº 120, de 21 de dezembro de 2022, que aprova o Plano
de Gestão de Incidentes Cibernéticos para a administração pública federal;
XX - Instrução Normativa GSI nº 1 - 27 de maio de 2020, que dispõe sobre a
Estrutura de Gestão da Segurança da Informação nos órgãos e nas entidades da
administração pública federal;
XXI - Instrução Normativa GSI nº 2 - 24 de julho de 2020, que altera a Instrução
Normativa nº 1, de 27 de maio de 2020, que dispõe sobre a Estrutura de Gestão da
Segurança da Informação nos órgãos e nas entidades da administração pública federal;
XXII - Instrução Normativa GSI/PR nº 2, de 5 de fevereiro de 2013, que dispõe
sobre o credenciamento de segurança para o tratamento de informação classificada, em
qualquer grau de sigilo, no âmbito do Poder Executivo Federal;
XXIII - Instrução Normativa GSI/PR nº 3, de 28 de maio de 2021, que dispõe
sobre os processos relacionados à gestão de segurança da informação nos órgãos e nas
entidades da administração pública federal;
XXIV - Instrução Normativa GSI nº 3, de 6 de março de 2013, que dispõe sobre
os parâmetros e padrões mínimos dos recursos criptográficos baseados em algoritmos de
Estado para criptografia da informação classificada no âmbito do Poder Executivo
Fe d e r a l ;
XXV - Instrução Normativa GSI nº 4, de 26 de março de 2020, que dispõe sobre
os requisitos
mínimos de Segurança Cibernética
que devem ser
adotados no
estabelecimento das redes 5G;
XXVI - Instrução Normativa GSI nº 5, de 30 de agosto de 2021, que dispõe
sobre os requisitos mínimos de segurança da informação para utilização de soluções de
computação em nuvem pelos órgãos e pelas entidades da administração pública federal;
XXVII - Instrução Normativa GSI nº 6, de 23 de dezembro de 2021, que
estabelece diretrizes de segurança da informação para o uso seguro de mídias sociais nos
órgãos e nas entidades da administração pública federal;
XXVIII - Instrução Normativa GSI nº 7, de 29 de novembro de 2022, que altera
a Instrução Normativa nº 1, de 27 de maio de 2020, do Gabinete de Segurança
Institucional da Presidência da República; a Instrução Normativa GSI/PR nº 3, de 28 de
maio de 2021; e a Instrução Normativa nº 6, de 23 de dezembro de 2021, do Gabinete de
Segurança Institucional da Presidência da República;
XXIX - Norma ABNT NBR ISO/IEC 27001:2022: Segurança da informação, segurança
cibernética e proteção à privacidade - Sistemas de gestão da segurança da informação - Requisitos;
XXX - Norma ABNT NBR ISO/IEC 27002:2022: Segurança da informação,
segurança cibernética e proteção à privacidade - Controles de segurança da informação;
XXXI - Norma ABNT NBR ISO/IEC 27005:2023: Segurança da informação,
segurança cibernética e proteção à privacidade - Orientações para gestão de riscos de
segurança da informação; e

Fechar