Copyright © Dia Oficial 2025 | contato@diaoficial.com

DOU 13/03/2025 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025031300004
4
Nº 49, quinta-feira, 13 de março de 2025
ISSN 1677-7042
Seção 1
IV - economicidade da proteção dos ativos de informação;
V - proporcionalidade em relação aos riscos existentes e à magnitude dos
danos potenciais, considerando o ambiente, o valor e a criticidade da informação;
VI - respeito ao acesso à informação, à proteção de dados pessoais e à
proteção da privacidade;
VII - observância da publicidade como preceito geral e do sigilo como exceção;
VIII 
- 
responsabilidade 
do 
usuário
da 
informação 
pelos 
atos 
que
comprometam a segurança dos ativos de informação;
IX - alinhamento estratégico da Política de Segurança da Informação com:
a) o Plano Estratégico da Advocacia-Geral da União;
b) as normas específicas de segurança da informação da administração
pública federal; e
c) as melhores práticas de segurança da informação;
X - respeito às especificidades e à autonomia das unidades da Advocacia-
Geral da União;
XI - conformidade das normas e das ações de segurança da informação com
a legislação e regulamentação aplicáveis; e
XII - educação e comunicação como alicerces fundamentais para o fomento
da cultura e segurança da informação.
Art. 6º Qualquer informação gerada, custodiada, manipulada, utilizada ou
armazenada na Advocacia-Geral da União compõe o seu rol de ativos de informação e
deverá ser protegida.
Parágrafo único. As informações mencionadas no caput que tramitem pelo
ambiente computacional da Advocacia-Geral da União são passíveis de monitoramento e
auditoria pela Secretaria de Controle Interno da Advocacia-Geral da União.
Art. 7º Os recursos tecnológicos, as instalações de infraestrutura, os sistemas
de informação e as aplicações que sejam de propriedade ou posse da Advocacia-Geral
da União deverão ser protegidos contra indisponibilidade, acessos indevidos, falhas,
perdas, danos, furtos, roubos e interrupções não programadas.
Art. 8º As pessoas e os sistemas de informação deverão possuir o menor
privilégio e o mínimo acesso aos recursos necessários para realizar as suas atividades.
Art. 9º É condição para o acesso aos recursos de tecnologia da informação
da Advocacia-Geral da União:
I - a ciência aos termos desta política; e
II - a assinatura, preferencialmente eletrônica, de termo de responsabilidade
que indique:
a) os compromissos assumidos em decorrência deste acesso; e
b) as responsabilidades pela inobservância dos compromissos assumidos.
Art. 10. A POSIN-AGU, suas atualizações e as normas complementares de
segurança da informação deverão ser divulgadas amplamente a todos os usuários de
informação, a fim de promover seu conhecimento, sua observância e a formação da
cultura de segurança da informação no âmbito da Advocacia-Geral da União.
§ 1º Os usuários de informação deverão ser continuamente capacitados nos
procedimentos de segurança e no uso correto dos ativos de informação quando da realização
de suas atribuições, de modo a minimizar possíveis riscos à segurança da informação.
§ 2º As ações de capacitação previstas no § 1º deverão ser conduzidas de modo a
possibilitar o compartilhamento de materiais educacionais sobre segurança da informação.
Art. 11. O investimento necessário em medidas de segurança da informação
deverá ser dimensionado segundo o valor do ativo a ser protegido e de acordo com o
risco de potenciais prejuízos.
Art. 12. Todos os contratos de prestação de serviços firmados pela Advocacia-
Geral da União conterão cláusula específica sobre a obrigatoriedade de atendimento a
esta POSIN-AGU e suas normas complementares.
CAPÍTULO II
DA GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Seção I
Dos processos de gestão de segurança da informação
Art. 13. A gestão da segurança da informação é constituída, no mínimo, pelos
seguintes processos:
I - tratamento da informação;
II - segurança física e do ambiente;
III - gestão de incidentes em segurança da informação;
IV - gestão de ativos;
V - gestão do uso dos recursos operacionais e de comunicações, tais como e-
mail, acesso à internet, mídias sociais e computação em nuvem;
VI - controles de acesso;
VII - gestão de riscos;
VIII - gestão de continuidade; e
IX - conformidade das práticas de segurança da informação
Seção II
Do tratamento da informação
Art. 14. As informações produzidas, recebidas, utilizadas, acessadas, reproduzidas,
transportadas, transmitidas, distribuídas, arquivadas, armazenadas e descartadas no âmbito
da Advocacia-Geral da União deverão ser avaliadas e, se for o caso, classificadas e protegidas
adequadamente, de acordo com a Portaria AGU nº 529, de 23 de agosto de 2016.
Art. 15. A decisão de classificação, desclassificação, reclassificação ou redução
do prazo de sigilo de informação observará os procedimentos previstos nos arts. 31 e
32 do Decreto nº 7.724, de 16 de maio de 2012.
Art. 16. O acesso, a divulgação e o tratamento de informação classificada em
qualquer grau de sigilo ficarão restritos às pessoas com necessidade de conhecê-la,
desde que credenciadas na forma estabelecida no Decreto nº 7.845, de 14 de novembro
de 2012, e nas normas complementares do Gabinete de Segurança Institucional da
Presidência da República.
Art. 17. O acesso à informação classificada em qualquer grau de sigilo a
pessoa não credenciada ou não autorizada poderá, excepcionalmente, ser permitido
mediante assinatura de Termo de Compromisso de Manutenção de Sigilo - TCMS,
conforme o Anexo I ao Decreto nº 7.845, de 14 de novembro de 2012.
Parágrafo único. O TCMS previsto no caput é o documento pelo qual a
pessoa se obriga a manter o sigilo da informação, sob pena de responsabilidade penal,
civil e administrativa, na forma da lei, desde que atenda à necessidade de conhecer a
informação solicitada.
Seção III
Da segurança física e do ambiente
Art. 18. As instalações físicas que armazenam e processam as informações
classificadas deverão ser mantidas em áreas seguras, protegidas por perímetros e barreiras de
segurança, visando à integridade dos bancos de dados e à prevenção de danos e interferências
que possam causar perda, subtração ou comprometimento de dados ou informações.
Art. 19. A Secretaria de Governança e Gestão Estratégica deverá implementar
mecanismos de proteção às instalações físicas e áreas de processamento de informações
críticas ou sensíveis contra acesso indevido, danos e interferências, em resposta aos
riscos identificados.
Seção IV
Da gestão de incidentes de segurança da informação
Art. 20. A gestão de incidentes de segurança da informação envolve os
procedimentos para o tratamento e a resposta aos incidentes de segurança da informação.
Art. 21. Os incidentes de segurança de informação serão classificados como:
I - cibernéticos; e
II - não cibernéticos.
§ 1º Os incidentes cibernéticos que apresentarem indícios de prática
criminosa deverão ser:
I - registrados, analisados e tratados por meio da coleta de evidências, investigação
de ataques, provimento de assistência local e remota e intermediação da comunicação entre as
partes envolvidas; e
II - comunicados às autoridades competentes, nos termos do que dispuser o Plano
de Resposta a Incidentes de Segurança da informação da Advocacia-Geral da União.
§ 2º O plano de que trata o inciso II do § 1º deverá ser instituído por ato
do Secretário de Governança e Gestão Estratégica.
§
3º
Os indícios
a
que
se refere
o
§
1º
do caput
deverão
ser
preservados.
Seção V
Da gestão de ativos
Art. 22. A gestão de ativos deverá contemplar, no mínimo, a identificação, o
mapeamento, o inventário e a classificação de informações consideradas relevantes para a
concretização dos objetivos estratégicos e a execução dos processos de trabalho da Advocacia-
Geral da União.
Art. 23. O mapeamento de ativos de informação deverá considerar, preliminarmente:
I - os objetivos estratégicos;
II - os processos de trabalho internos;
III - os requisitos legais; e
IV - a estrutura da Advocacia-Geral da União.
Art. 24. O inventário será feito pelo registro de ativos de informação
resultante do processo de mapeamento que deverá conter:
I - os responsáveis, proprietários e custodiantes, de cada ativo de informação;
II - as informações básicas sobre os requisitos de segurança da informação de
cada ativo de informação;
III - os contêineres de cada ativo de informação; e
IV - as interfaces de cada ativo de informação e as interdependências entre eles.
Art. 25. Os ativos de informação deverão ser classificados segundo critérios
que orientem a implantação de mecanismos para assegurar a privacidade e a proteção
dos dados conforme o seu valor, sensibilidade e criticidade.
Art. 26. Cabe ao agente responsável pela gestão dos ativos de informação:
I - identificar e classificar os ativos de informação por nível de criticidade;
II - identificar:
a) potenciais ameaças aos ativos de informação; e
b) vulnerabilidades dos ativos de informação;
III - consolidar informações resultantes da análise do nível de segurança da
informação de cada ativo de informação ou de grupos de ativos de informação em um
relatório;
IV - autorizar a atualização do relatório mencionado no inciso III do caput; e
V - avaliar os riscos dos ativos de informação ou do grupo de ativos de informação.
Seção VI
Da gestão de operações e comunicações
Art. 27. A Secretaria de Governança e Gestão Estratégica deverá:
I - implementar medidas adequadas relacionadas à segurança da informação,
para a disponibilização dos serviços, sistemas e da infraestrutura que apoiam, de forma
a atender aos requisitos de qualidade e às necessidades da Advocacia-Geral da União;
e
II - garantir a segregação lógica dos ambientes computacionais de desenvolvimento,
homologação e produção, a fim de manter a segurança da informação e a privacidade de dados
da Advocacia-Geral da União.
Art. 28. O uso da internet pela rede da Advocacia-Geral da União deverá ser
empregado para fins institucionais.
Parágrafo único. Os usuários de informação terão seus acessos autorizados
conforme o disposto nesta POSIN-AGU e suas normas complementares.
Art. 29. O correio eletrônico da Advocacia-Geral da União é de uso
institucional e deverá ser empregado por seus usuários para fins institucionais, de
acordo com esta POSIN-AGU.
Seção VII
Do controle de acesso
Art. 30. O acesso e o uso da informação e dos recursos de tecnologia da informação
e comunicações deverão ser limitados ao cumprimento das atividades institucionais de cada
usuário.
Art. 31. A identificação do usuário, qualquer que seja o meio e a forma, deverá
ser pessoal e intransferível, permitindo o seu reconhecimento de forma clara e irrefutável.
Art. 32. O usuário é responsável pela segurança dos ativos, dos processos que
estejam sob sua responsabilidade e por todos os atos executados com sua identificação,
salvo se comprovado que o fato ocorreu sem o seu conhecimento ou consentimento.
Art. 33. Sempre que houver mudança nas atribuições de determinado
usuário, os seus privilégios de acesso às informações e aos recursos computacionais
deverão ser adequados imediatamente pelo Departamento de Tecnologia da Informação,
devendo ser cancelados em caso de desligamento da Advocacia-Geral da União.
Art. 34. É vedada a utilização de acesso remoto, salvo se for realizado com a
utilização de recursos próprios da Advocacia-Geral da União, homologados pelo Departamento
de Tecnologia da Informação.
Art. 35. Todos os acessos aos sistemas de informação deverão ser registrados
para garantir a segurança das informações.
Seção VIII
Da gestão de riscos de segurança da informação
Art. 36. O processo de gestão de riscos de segurança da informação tem por
objetivo direcionar e controlar o risco de segurança da informação, a fim de adequá-lo
aos níveis aceitáveis.
Art. 37. As vulnerabilidades deverão ser gerenciadas para proteger a rede
corporativa, por meio da aplicação sistemática de ações de identificação, classificação,
tratamento e monitoramento de vulnerabilidades, compreendendo:
I - a obtenção de informações para identificar vulnerabilidades em tempo hábil;
II - a avaliação de exposição às vulnerabilidades identificadas;
III - a adoção de medidas apropriadas para lidar com os riscos; e
IV - o monitoramento contínuo dos ativos de informação.
Art. 38. Deverão ser estabelecidos critérios de identificação, avaliação e
implementação das medidas de proteção necessárias à mitigação ou à eliminação das
vulnerabilidades e riscos à segurança da informação.
Art. 39. A gestão de riscos de segurança da informação deverá ser operacionalizada
por meio de plano e metodologia específicos, de forma sistemática e contínua, incluindo todos
os ativos de informação da Advocacia-Geral da União.
§ 1º A gestão de riscos de segurança da informação deverá manter alinhamento
com a Política de Gestão de Riscos da Advocacia-Geral da União, conforme dispuser portaria
normativa específica do Advogado-Geral da União.
§ 2º O plano e a metodologia mencionados no caput serão instituídos por
ato do Secretário de Governança e Gestão Estratégica.

Fechar