DOU 25/04/2025 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025042500217
217
Nº 78, sexta-feira, 25 de abril de 2025
ISSN 1677-7042
Seção 1
Ministério da Gestão e da Inovação em Serviços Públicos
ARQUIVO NACIONAL
PORTARIA AN/MGI Nº 214, DE 15 DE ABRIL DE 2025
Aprova o Código de Classificação de Documentos e a
Tabela de Temporalidade e Destinação de Documentos
de Arquivo relativos às atividades-fim da Fundação
Oswaldo Cruz - Fiocruz
A DIRETORA-GERAL DO ARQUIVO NACIONAL, no uso de suas atribuições e com
fundamento no Regimento Interno do Arquivo Nacional, aprovado pela Portaria MGI Nº 7.660,
de 24 de outubro de 2024, e considerando a Lei nº 8.159, de 8 de janeiro de 1991, o Decreto nº
4.073, de 3 de janeiro de 2002, o Decreto nº 4.915, de 12 de dezembro de 2003 e o Decreto Nº
10.148, de 2 de dezembro de 2019, e o que consta do processo Nº 08227.003712/2022-51,
resolve:
Art. 1º Aprovar a atualização do Código de Classificação de Documentos e da
Tabela de Temporalidade e Destinação de Documentos de Arquivo relativos às atividades-fim
da Fundação Oswaldo Cruz - Fiocruz.
Parágrafo único. Compete à Comissão Permanente de Avaliação de Documentos
(CPADA) da Fundação Oswaldo Cruz dar publicidade aos instrumentos de gestão de
documentos e zelar pela sua correta aplicação.
Art. 2º A Comissão Permanente de Avaliação de Documentos da Fundação Oswaldo
Cruz deverá apresentar ao Arquivo Nacional, com periodicidade não superior a 12 (doze)
meses, relatório de aplicação dos instrumentos de gestão de documentos, com:
I - análise da sua adequação quanto à finalidade de apoiar a avaliação e seleção dos
documentos produzidos e acumulados no seu âmbito de atuação; e
II - informações específicas quanto ao volume ou mensuração do acervo:
a) classificado;
b) selecionado com vistas à destinação final; e
c) efetivamente eliminado.
§1º As informações de que trata o inciso II do caput deverão ser também
referentes à aplicação do código e classificação e tabela de temporalidade e destinação de
documentos de arquivo relativos às atividades-meio do Poder Executivo federal, aprovadas
pela Portaria AN/MGI nº 174, de 23 de setembro de 2024.
§2º O relatório de que trata o caput deverá ser enviado por meio do Sistema de
Informações Gerenciais do SIGA (sigsiga.an.gov.br), conforme modelo disponível no portal
eletrônico do Arquivo Nacional (www.gov.br/arquivonacional).
Art. 3º O Arquivo Nacional, a partir da análise do relatório de que trata o art. 2º,
poderá, conforme o caso:
I - propor medidas saneadoras, de caráter técnico ou administrativo, para garantir
a adequada aplicação dos instrumentos de gestão de documentos;
II - propor que a CPADA faça alterações ou complementações nos instrumentos de
gestão de documentos;
III - suspender a aplicação dos instrumentos de gestão de documentos até a
realização de alterações ou complementações necessárias; e
IV - revogar, motivadamente, a aprovação dos instrumentos de gestão de
documentos.
Art. 4º Compete à Comissão Permanente de Avaliação de Documentos da
Fundação Oswaldo Cruz, avaliar a qualquer tempo a necessidade de revisão do código de
classificação e da tabela de temporalidade e destinação de documentos de arquivo relativos às
atividades-fim do órgão e submetê-los à aprovação da Direção-Geral do Arquivo Nacional.
Parágrafo único. As solicitações de revisão dos instrumentos de gestão de
documentos previstos no caput deverão ser encaminhadas utilizando o modelo de relatório
circunstanciado,
disponível
no
portal
eletrônico
do
Arquivo
Nacional
(www.gov.br/arquivonacional).
Art. 5º Os instrumentos de gestão de documentos e os modelos de relatórios
encontram-se
disponíveis para
consulta
no portal
eletrônico
do Arquivo
Nacional
(www.gov.br/arquivonacional).
Art. 6 º Esta Portaria entra em vigor na data de sua publicação.
MÔNICA LIMA E SOUZA
INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO
INSTRUÇÃO NORMATIVA ITI Nº 32, DE 23 DE ABRIL DE 2025
Aprova os critérios para emissão de relatório e
parecer de auditoria de Prestador de Serviço de
Certificação - PSCert na ICP-Brasil.
O DIRETOR-PRESIDENTE DO INSTITUTO NACIONAL DE TECNOLOGIA DA
INFORMAÇÃO, no uso das
atribuições que lhe foram conferidas pelo inciso VI do art. 13 do Anexo I do
Decreto nº 12.103, de 8 de julho de 2024, pelo art. 1º da Resolução nº 33 do Comitê
Gestor da ICP-Brasil, de 21 de outubro de 2004, e pelo art. 2º da Resolução nº 163 do
Comitê Gestor da ICP-Brasil, de 17 de abril de 2020, resolve:
CAPÍTULO I DISPOSIÇÕES PRELIMINARES
Art. 1º Esta Instrução Normativa dispõe sobre realização de auditoria,
elaboração de relatório e a emissão de parecer de auditoria no âmbito da Infraestrutura
de Chaves Públicas Brasileira - ICP-Brasil, em atendimento à indicação contida no item
6.1.3 do Anexo da Resolução CG ICP-Brasil nº 185, de 18 de maio de 2021.
Art. 2º Esta Instrução Normativa
aplica-se à Empresa de Auditoria
Independente credenciada, Auditoria Interna da respectiva Autoridade de Registro - AR,
Autoridade Certificadora - AC ou Prestador de Serviço de Suporte - PSS credenciados
junto ao Instituto Nacional de Tecnologia da Informação - ITI que realizam auditoria em
suas ARs, bem como aos Auditores do ITI, quando for o caso.
Art. 3º Os Prestadores de Serviço de Certificação - PSCerts são submetidos à
auditoria pré-operacional antes do início das atividades do candidato e a auditorias
operacionais anuais, na forma estabelecida nesta Instrução Normativa.
CAPÍTULO II DA COMPETÊNCIA
Art. 4º Cabe ao auditor a responsabilidade pela escolha dos processos a
serem auditados em cada Prestador de Serviço de Certificação - PSCert, individualmente,
assim como a classificação dos riscos observados em cada processo e subprocesso a ser
avaliado.
Art. 5º As
auditorias operacionais de Autoridade
Certificadora devem
manifestar-se expressamente sobre se estão atendidos os critérios de realização de
auditorias operacionais nas ARs subordinadas e se são adotados controles para
acompanhamento das
não conformidades
nos respectivos
relatórios de
auditoria
operacional de AR, em atendimento ao item 6.3.3 do Anexo da Resolução CG ICP-Brasil
nº 185, de 18 de maio de 2021.
CAPÍTULO III
DO OBJETIVO E FINALIDADE
Art. 6º Auditorias realizadas no âmbito da ICP-Brasil têm por objetivo verificar
se os processos, procedimentos e atividades dos PSCerts integrantes da ICP-Brasil estão
em conformidade com as respectivas Declarações de Práticas, Políticas de Certificado -
PC, Políticas de Segurança - PS e demais normas e procedimentos estabelecidos pela
ICP-Brasil e com os princípios e critérios definidos pelo WebTrust.
§ 1º O presente documento suplementa a regulamentação, no âmbito da ICP-
Brasil, das atividades de auditoria a serem realizadas em sua cadeia de certificação
digital. Não esgota, no entanto, os processos e subprocessos existentes na cadeia da ICP-
Brasil, devendo ser entendido apenas como um balizador ou ponto de partida para cada
trabalho de auditoria e tem por objetivo uniformizar os procedimentos e metodologias
utilizadas nas auditorias operacionais e pré-operacionais no âmbito da ICP-Brasil.
§ 2º O documento ADE-ICP-08-E mapeia os processos e subprocessos que
compõem a cadeia de certificação, associando-os às normas e procedimentos
regulamentados pela ICP-Brasil, e deverá nortear as auditorias realizadas na cadeia da
ICP-Brasil. Adicionalmente, as auditorias em Autoridades Certificadoras e Autoridades de
Registro também devem avaliar os princípios e critérios definidos pelo WebTrust for
CA .
§ 3º Aplica-se, no que couber, para o exercício das atividades de auditoria
interna e independente a Norma Brasileira de Contabilidade, NBC TO 3000, de 20 de
novembro de 2015, quanto à realização de trabalho de asseguração razoável, as normas
globais de auditoria interna do The Institute of Internal Auditors - The IIA e a Instrução
Normativa SFC nº 08, de 06 de dezembro de 2017.
Art. 7º As atividades de auditoria no âmbito da ICP-Brasil e reguladas por
este instrumento se aplicam na realização de auditorias no Prestador de Serviço de
Certificação - PSCert, quer seja Autoridade Certificadora - AC, Autoridade de Carimbo do
Tempo - ACT, Autoridade de Registro - AR, Prestador de Serviço de Suporte -PSS,
Prestador de Serviço Biométrico - PSBio ou Prestador de Serviço de Confiança - PSC de
Assinatura Digital e Armazenamento de Chaves Criptográficas.
Art. 8º Os PSCerts são responsáveis pelos serviços de certificação digital
prestados devendo garantir que os requisitos mínimos aplicáveis a cada entidade da ICP-
Brasil são cumpridos, mesmo nos casos em que este subcontrate (total ou parcialmente)
os serviços de certificação.
CAPÍTULO IV
DA REALIZAÇÃO DA AUDITORIA
Art. 9º Considerando o nível de exposição aos riscos, a entidade de auditoria
poderá excluir processos ou subprocessos das avaliações de auditoria, de forma
justificada. Tais exclusões e justificativas constarão do corpo do relatório de auditoria a
critério da entidade de auditoria e em conformidade com a metodologia apresentada
quando do credenciamento da entidade de auditoria.
Art.10.
As
auditorias
são
desenvolvidas,
no
mínimo,
em
3
fases:
Planejamento, Execução e Elaboração do Relatório Final de Auditoria (RFA).
Fase 1 - Planejamento (Pré-avaliação):
Art. 11. A fase de planejamento deverá iniciar com a pré-avaliação ou
avaliação documental, realizada por meio de uma ou mais reuniões preliminares, com
representante da entidade a ser auditada, com o objetivo de dotar o auditor da
documentação necessária,
bem como
para que fique
com maior
percepção da
infraestrutura implementada pelo PSCert, extensão do seu sistema de gestão e dos
serviços/funções de certificação digital na ICP-Brasil.
Parágrafo único. O auditor deve analisar a documentação relacionada com o
sistema de controle e qualidade implementado pelo PSCert, esclarecer as dúvidas que
surjam com o representante da entidade a auditar e obter os dados necessários para
preparar a
fase seguinte, possibilitando maior
foco e seleção dos
processos
e
subprocessos que devem ser observados no local.
Art.12. Devem ser verificados, de acordo com a especificidade de cada
entidade a auditar, os requisitos estabelecidos nas normas da ICP-Brasil, os processos e
subprocessos mapeados no ADE-ICP - 08.E e os documentos:
IPolítica de Certificados - PC da AC ou AR ;
IIDeclaração de Práticas de Certificação - DPC da AC;
IIIDeclarações de Práticas dos Prestadores de Serviço de Confiança - DPPSC da
ICP-Brasil;
IVDeclarações de Práticas das Autoridades de Carimbo do Tempo - DPCT da
ICP-Brasil;
VPolítica de Segurança - PS;
VIPlano de Contingência/Continuidade - PCN;
VII- Procedimentos Operacionais Mínimos executados pelos PSCert;
VIII- deliberações internas do PSCert;
IXatas de reuniões;
Xrelatórios de incidentes;
XIexemplares dos vários tipos de certificados emitidos;
XII- Lista de Certificados Revogados - LCR;
XIII- documentos relativos ao estatuto legal da PSCert;
XIV- seguro de responsabilidade civil;
XV- documentos de regularidade jurídica, fiscal e econômico-financeira; e
XVI- outros que o auditor julgar pertinentes.
Parágrafo único. Deverão ser observados os itens 9.4 e 9.5 do Anexo da
Resolução CG ICP-Brasil nº 185, de 18 de maio de 2021, em relação à manifestação do
auditor sobre as não conformidades em relatório de auditoria imediatamente
anterior.
Art. 13. Com base nos elementos recolhidos, o auditor elabora o documento
"Cronograma e Planejamento da Auditoria", que irá servir de base aos trabalhos de
avaliação na fase seguinte. O cronograma poderá ser enviado previamente à entidade
auditada, devendo conter no mínimo, para cada dia de auditoria, os itens que irão ser
alvo de apreciação, o local onde se realizará e quais as pessoas com funções de
confiança que devem estar presentes em cada um dos aspectos a avaliar.
Art. 14. Os resultados obtidos nesta fase de planejamento são incluídos no
Relatório Final.
Fase 2 - Execução:
Art. 15. Os principais objetivos desta fase são confirmar se o PSCert cumpre
os requisitos mínimos estabelecidos para AC, AR, ACT, PSC e PSBio na emissão de
certificados e carimbos do tempo ICP-Brasil, bem como se suas políticas, práticas e
procedimentos estão sendo aplicados operacionalmente.
Parágrafo único.
Os processos,
procedimentos e
atividades, quando
executados pelos PSSs, deverão ser avaliados no âmbito da auditoria do PSCert, devendo
constar em destaque no relatório de auditoria do PSCert.
Art. 16. Nesta fase deverá ser realizada a avaliação in loco nas instalações do
PSCert, devendo incluir, entre outros, a sala cofre, os locais onde se desenvolva o
serviço de registro (Autoridades de Registro) e as instalações técnicas do PSCert.
§ 1º Quando se tratar de auditoria operacional de AR, deverá ser realizada
avaliação in loco, no mínimo, a cada dois anos.
§ 2º Quando a auditoria operacional anterior da AR tiver conceito igual ou
superior a três (DEFICIENTE, INADEQUADO ou INACEITÁVEL), a auditoria operacional
subsequente deverá ser realizada in loco.
§ 3º As auditorias pré-operacionais de todos os PSCerts deverão ser
realizadas in loco.
Art. 17. Quando da realização de auditoria operacional anual em Autoridade
Certificadora deverá ser realizada avaliação das Autoridades de Registro vinculadas à AC
alvo da auditoria com base em amostragem, a ser definida pelo Auditor Independente,
tendo como orientação:
I- os resultados das auditorias internas anteriores;
II- as vulnerabilidades, ameaças e riscos a que cada local está sujeito;
III- os resultados das fiscalizações realizadas pelo ITI;
IV- as fraudes na emissão de certificados reportadas ao ITI que tiveram a
participação da AR no procedimento de identificação do solicitante, nos casos de
auditoria de AC ou AR;
V- as diferenças e variações no volume de emissão de certificados e na
quantidade de locais de identificação de titulares;
VI- o aplicativo da AR que faz interface com o sistema da Autoridade
Certificadora;
VII- a complexidade dos sistemas de informação de cada um dos locais;
VIII- a interação com sistemas
de informação críticos da Autoridade
Certificadora; e
IX- as diferenças nos requisitos das Políticas de Certificados praticadas pela
AC .
§ 1º As ARs selecionadas por amostragem para atender à avaliação descrita
no caput continuam
obrigadas à realização de auditorias operacionais.
§ 2º As auditorias operacionais de AR realizadas pela mesma empresa de
auditoria que está realizando a auditoria operacional da AC poderão ser consideradas
para atendimento do disposto no caput.
§ 3º Quando se tratar do disposto no caput, a avaliação das ARs poderá ser
realizada à distância, a critério do auditor, obedecendo ao percentual mínimo de 10% da
amostragem de avaliações in loco.
Fechar