Copyright © Dia Oficial 2025 | contato@diaoficial.com

DOU 13/03/2025 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025031300005
5
Nº 49, quinta-feira, 13 de março de 2025
ISSN 1677-7042
Seção 1
Seção IX
Da gestão de continuidade do negócio
Art. 40. A implementação do processo de gestão de continuidade de negócios
em segurança da informação tem por objetivo:
I - minimizar os impactos decorrentes de falhas, desastres ou indisponibilidades
significativas sobre as atividades da Advocacia-Geral da União nessa área; e
II - recuperar perdas de ativos de informação em nível aceitável, por
intermédio de ações de resposta a incidentes e recuperação de desastres.
Art. 41. O processo de gestão de continuidade de negócios em segurança da
informação deverá ser baseado:
I - nas estratégias de continuidade para as atividades críticas;
II - na avaliação dos riscos levantados no processo de gestão de riscos; e
III - em diretrizes institucionais sobre gestão de continuidade de negócio.
Parágrafo único. As diretrizes institucionais de que trata o inciso III do caput
serão editadas pelo CSI-AGU, nos termos do que dispõe o art. 48, caput, inciso III, alínea
"a", e contemplarão, no mínimo, os seguintes aspectos:
I - consonância com a missão da Advocacia-Geral da União, considerando sua
estrutura, natureza e complexidade, a fim de que a política reflita a cultura e o
ambiente institucional;
II - compromissos claros com relação às obrigações legais e regulamentares
e à melhoria contínua do processo de gestão de continuidade de negócios em segurança
da informação;
III - definição da abrangência e dos limites do processo de gestão de continuidade
de negócios em segurança da informação;
IV - identificação de quaisquer autoridades da Advocacia-Geral da União e
delegações necessárias, incluindo os responsáveis por continuidade de negócios na Instituição;
V - critérios para o tipo e a escala dos incidentes a serem tratados;
VI - referências às normas, aos regulamentos ou às políticas que o processo
considere ou cumpra; e
VII - compromisso de realizar e manter a continuidade do negócio da Advocacia-
Geral da União.
Art. 42. O processo de gestão de continuidade de negócios em segurança da
informação deverá ser composto por Planos de Continuidade de Negócios em Segurança
da Informação, cuja finalidade é definir como:
I - serão realizadas a gestão dos incidentes em caso de desastres ou de
outras interrupções das operações de negócios; e
II - deverão ser recuperadas as atividades nos prazos estabelecidos.
Parágrafo único. Os planos a que se refere o caput serão editados pelo
Secretário de Governança e Gestão Estratégica.
Seção X
Da conformidade das práticas de segurança da informação
Art. 43. A Secretaria de Governança e Gestão Estratégica implementará um
programa de verificação de conformidade das práticas de segurança da informação na
Advocacia-Geral da União com o disposto nesta POSIN-AGU.
Art. 44. A verificação de conformidade das práticas de segurança da informação
deverá ser realizada sempre que necessária, não excedendo o período máximo de dois anos.
Parágrafo único. A verificação da conformidade de que trata o caput será realizada:
I - de forma planejada, mediante calendário de ações aprovado pelo CSI-AGU,
a partir de proposta elaborada pela Secretaria de Governança e Gestão Estratégica; e
II - nos contratos, convênios, acordos de cooperação e outros instrumentos
do mesmo gênero celebrados com a Advocacia-Geral da União.
Art. 45. É vedado ao prestador de serviços executar a verificação da conformidade
dos próprios serviços prestados.
Art. 46. Os resultados de cada ação de verificação de conformidade serão
documentados em Relatório de Avaliação de Conformidade e, com base neste, o Gestor
de Segurança da Informação tomará medidas cabíveis.
CAPÍTULO III
DA GOVERNANÇA DA SEGURANÇA DA INFORMAÇÃO
Seção I
Disposições gerais
Art. 47. A POSIN-AGU contará com a seguinte estrutura de governança:
I - Comitê de Segurança da Informação da Advocacia-geral da União - CSI-AGU;
II - Comissão Técnica de Governança Digital - CT-DIGITAL;
III - Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos - ETIR-AGU;
IV - Gestor de Segurança da Informação; e
V - usuários de informação.
Seção II
Do Comitê de Segurança da Informação da Advocacia-Geral da União
Art. 48. Fica instituído, nos termos do que determina o art. 15, caput, inciso
IV, do Decreto nº 9.637, de 26 de dezembro de 2018, o Comitê de Segurança da
Informação da Advocacia-Geral da União - CSI-AGU, com as seguintes competências:
I - assessorar o Advogado-Geral da União nos temas de segurança da informação;
II - propor:
a) estratégias para as ações relacionadas à segurança da informação; e
b) alterações à POSIN-AGU e a outras políticas a ela correlatas;
III - editar, nos termos do que dispõe o art. 7º da Portaria Normativa AGU
nº 141, de 19 de junho de 2024, atos normativos que disponham sobre:
a) normas complementares de segurança da informação; e
b) suas regras de organização e funcionamento;
IV - apreciar os processos relacionados ao descumprimento do termo de
responsabilidade previsto no art. 9º e encaminhá-los às autoridades competentes, conforme o caso;
V - constituir grupos de trabalho para tratar de temas relacionados à
segurança da informação;
VI - recepcionar os resultados dos trabalhos de auditoria interna ou externa
sobre a gestão da segurança da informação, propondo ajustes aos processos internos
quando necessário;
VII - coordenar as ações necessárias para o tratamento de crises cibernéticas
e outras crises que afetem a segurança da informação;
VIII - avaliar as ações propostas pelo gestor de segurança da informação; e
IX - acompanhar, no âmbito da Advocacia-Geral da União, a execução do
Programa de Privacidade e Segurança da Informação, de que trata a Portaria SGD/MGI
nº 852, de 28 de março de 2023, e suas atualizações;
§ 1º As competências do CSI-AGU serão exercidas pelo Comitê de Governança
da Advocacia-Geral da União - CG-AGU, conforme disposto no art. 6º, caput, inciso X,
alínea "b", da Portaria Normativa AGU nº 165, de 12 de março de 2025.
§ 2º Para
o exercício das competências previstas
neste artigo, o
Departamento de Tecnologia da Informação e a Ouvidoria integrarão o CG-AGU, com
direito a voto.
§ 3º O titular da Secretaria de Controle Interno poderá participar das
reuniões do CG-AGU, sem direito a voto.
Seção III
Da Comissão Técnica de Governança Digital
Art. 49. Aplica-se à Comissão Técnica de Governança Digital - CT-DIGITAL o
disposto na Portaria Normativa AGU nº 165, de 12 de março de 2025.
Seção IV
Da Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos
Art. 50. Fica instituída a Equipe de Prevenção, Tratamento e Resposta a Incidentes
Cibernéticos - ETIR, com as seguintes competências:
I - implementar medidas e manter um processo de gestão de riscos de segurança
da informação com vistas a minimizar possíveis impactos associados aos ativos de informação,
reduzir as vulnerabilidades e evitar ameaças;
II - analisar e responder às notificações e atividades relacionadas a incidentes
de segurança da informação;
III - recolher de forma ágil as provas após um incidente cibernético;
IV - executar uma análise crítica sobre os registros de falha para assegurar
que elas foram satisfatoriamente resolvidas;
V - investigar as causas dos incidentes de segurança da informação;
VI - facilitar e coordenar as atividades de prevenção, tratamento e resposta
a incidentes cibernéticos;
VII - implementar mecanismos para permitir a quantificação e monitoração
dos tipos, volumes e custos de incidentes e falhas de funcionamento dos ativos de
tecnologia da informação;
VIII - indicar a necessidade de controles aperfeiçoados ou adicionais para
limitar a frequência, os danos e o custo de futuras ocorrências de incidentes de
segurança da informação;
IX - estabelecer, manter, revisar, no mínimo anualmente, e aperfeiçoar,
quando necessário, o processo de gerenciamento de incidentes de segurança da
informação;
X - monitorar as redes computacionais;
XI - detectar e analisar ataques e intrusões;
XII - tratar incidentes de segurança da informação;
XIII - identificar vulnerabilidades e artefatos maliciosos;
XIV - atuar na recuperação de sistemas de informação; e
XV - promover a cooperação com outras equipes, bem como participar de fóruns
e redes nacionais e internacionais relativos à Segurança da Informação e Comunicações.
Art. 51. A ETIR será composta:
I - pelo Gestor de Segurança da Informação, que a coordenará; e
II - por servidores, titulares e suplentes, dos seguintes órgãos:
a) Departamento de Tecnologia da Informação:
1. Coordenação de Segurança e Soluções;
2. Coordenação de Suporte e Infraestrutura; e
3. Coordenação de Desenvolvimento e Arquitetura de Dados; e
b) 
Coordenação 
de 
Tratamento 
de
Dados 
Pessoais 
e 
Gestão 
do
Conhecimento, do Departamento de Inteligência Jurídica e Inovação.
§ 1º Os servidores de que trata o inciso II, alíneas "a" e "b", do caput serão
indicados pelos Diretores do Departamento de Tecnologia da Informação e do Departamento
de Inteligência Jurídica e Inovação, respectivamente, e designados pelo Secretário de
Governança e Gestão Estratégica.
§ 2º Os membros de outras áreas ou unidades poderão ser chamados pelo
coordenador da ETIR para auxiliar no tratamento dos incidentes.
Seção V
Do Gestor de Segurança da Informação
Art. 52. Ato do Secretário-Geral de Consultoria designará o Gestor de
Segurança da Informação da Advocacia-Geral da União.
§ 1º O Gestor de Segurança da Informação deverá ser servidor público
efetivo ou empregado público com formação ou capacitação técnica compatível às suas
atribuições estabelecidas por esta Portaria Normativa.
§ 2º O Gestor de Segurança da Informação exercerá suas atribuições sem
prejuízo daquelas que já exerce.
Art. 53. São atribuições do Gestor de Segurança da Informação:
I - coordenar:
a) os processos de gestão de segurança da informação; e
b) a elaboração da POSIN-AGU e das normas complementares de segurança
da informação, observadas as normas afins exaradas pelo Gabinete de Segurança
Institucional da Presidência da República e as melhores práticas sobre o assunto;
II - incentivar a cultura de segurança da informação;
III - articular:
a) com a Assessoria Especial de Comunicação Social, a divulgação desta
POSIN-AGU e das normas complementares de segurança da informação a todos os
servidores, usuários e prestadores de serviços; e
b) com a Escola Superior da Advocacia-Geral da União Ministro Victor Nunes
Leal, a realização de ações de capacitação e de profissionalização de recursos humanos
em temas relacionados à segurança da informação;
IV - acompanhar as investigações e as avaliações dos danos decorrentes de
quebras de segurança;
V - propor ao CSI-AGU recursos necessários às ações de segurança da informação;
VI - coordenar e acompanhar estudos de novas tecnologias, quanto a
possíveis impactos na segurança da informação;
VII - coordenar os trabalhos da ETIR;
VIII - acompanhar a aplicação de ações corretivas e administrativas cabíveis
nos casos de violação da segurança da informação;
IX - coordenar o processo de mapeamento de ativos de informação;
X - coordenar o planejamento e a implementação dos processos de segurança
da informação e a melhoria contínua dos controles de privacidade e segurança da
informação em soluções de tecnologia da informação e comunicações, considerando a
cadeia de suprimentos relacionada à solução;
XI - propor medidas preventivas à CT-DIGITAL; e
XII - manter contato com o Departamento de Segurança da Informação e
Comunicações do Gabinete de Segurança Institucional da Presidência da República para
o trato de assuntos relativos à segurança da informação.
Seção VI
Dos usuários de informação
Art. 54. Para os fins desta Portaria Normativa, consideram-se usuários de
informação os membros, servidores, prestadores de serviço, colaboradores, fornecedores,
estagiários, consultores externos e quem, de alguma forma, execute atividades oficialmente
para a Advocacia-Geral da União.
Art. 55. Os usuários de informação deverão conhecer, cumprir e fazer
cumprir o disposto nesta Portaria Normativa e nas normas complementares de
segurança da informação da Advocacia-Geral da União.
Parágrafo único. Os usuários de informação são responsáveis pela segurança
dos ativos de informação que estejam sob a sua responsabilidade.
CAPÍTULO IV
DISPOSIÇÕES FINAIS
Art. 56. Ficam vedados:
I - a utilização dos recursos de tecnologia da informação disponibilizados pela
Advocacia-Geral da União para acesso, guarda e divulgação de material incompatível
com ambiente do serviço, que viole direitos autorais ou que infrinja a legislação
vigente;
II - o uso e a instalação de recursos de tecnologia da informação que não
tenham sido homologados ou adquiridos pela Advocacia-Geral da União;

Fechar