Copyright © Dia Oficial 2025 | contato@diaoficial.com

DOU 19/05/2025 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025051900070
70
Nº 92, segunda-feira, 19 de maio de 2025
ISSN 1677-7042
Seção 1
CAPÍTULO I
DO ESCOPO
Art. 2º Esta Política se aplica a todos os ativos de informação da ANM,
incluindo dados, sistemas, aplicativos, dispositivos e redes, assim como a presente
política se aplica a todos os colaboradores, funcionários, contratados, parceiros e
terceiros que acessam ou processam as informações da ANM.
CAPÍTULO II
DOS CONCEITOS E DEFINIÇÕES
Art. 3º Para fins desta Resolução, entende-se por:
I -
PSI: sigla utilizada para
o documento aprovado
pela autoridade
responsável da ANM, com o objetivo de fornecer diretrizes, critérios e suporte
administrativo 
suficientes 
à 
implementação 
da
segurança 
da 
informação 
na
Autarquia;
II - Segurança da informação: : ações que objetivam viabilizar e assegurar a
disponibilidade, a integridade, a confidencialidade e a autenticidade das informações;
III - Comunicação: conjunto de recursos tecnológicos destinados a transmitir
ou replicar informações;
IV - Disponibilidade: propriedade de que a informação esteja acessível e
utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou
entidade;
V - Integridade: propriedade de que a informação não foi modificada,
inclusive quanto à origem e ao destino, ou destruída de maneira não autorizada ou
acidental;
VI - Confidencialidade: propriedade de que a informação classificada quanto
ao grau de sigilo, ou de acesso restrito, não esteja disponível ou revelada à pessoa
física, sistema, órgão ou entidade não autorizado e credenciado;
VII - Autenticidade: propriedade de
que a informação foi produzida,
expedida, modificada ou destruída por determinada pessoa física, ou por determinado
sistema, órgão ou entidade;
VIII - Gestão de segurança da informação e comunicações: ações e métodos
que visam à integração das atividades de gestão de riscos, gestão de continuidade do
negócio, 
tratamento
de 
incidentes,
tratamento 
da
informação, 
conformidade,
credenciamento, segurança cibernética, segurança física, segurança lógica, segurança
orgânica e segurança organizacional aos processos institucionais, não se limitando,
portanto, à tecnologia da informação e comunicações;
IX - Tratamento da informação: recepção, produção, reprodução, utilização,
acesso, transporte, transmissão, distribuição, armazenamento, eliminação e controle da
informação, inclusive das classificadas quanto ao grau de sigilo;
X - Quebra de segurança: ação ou omissão, intencional ou acidental, que
resulta no comprometimento da segurança da informação e das comunicações; e
XI - Ativos de informação: compreende os meios de armazenamento,
transmissão e processamento da informação, os equipamentos necessários a isso, os
sistemas utilizados para tal, os locais onde se encontram esses meios e os recursos
humanos que a eles têm acesso.
XII - Proprietário de ativos
de informação - unidade organizacional
responsável por gerenciar determinado segmento de informação e todos os ativos em
meio físico ou digital relacionados;
XIII - Custodiante de ativos de informação - qualquer indivíduo ou estrutura
de órgão ou entidade da Administração Pública Federal, direta e indireta, que tenha
responsabilidade formal ou decorrente de suas atividades profissionais de proteger a
informação que não lhe pertence e aplicar os níveis de controles de segurança em
conformidade com as exigências de SI comunicadas pelo proprietário da informação
CAPÍTULO III
DOS PRINCÍPIOS
Art. 4º As ações relacionadas com a Segurança da Informação na ANM
serão norteadas pelos seguintes princípios:
I - Disponibilidade, integridade,
confidencialidade e autenticidade das
informações;
II - Continuidade dos processos e serviços essenciais para o funcionamento
da ANM;
III - Respeito ao acesso à informação, à proteção de dados pessoais e à
proteção da privacidade;
IV - Observância da publicidade como preceito geral e do sigilo como
exceção;
V 
- 
Responsabilidade 
do 
usuário
de 
informação 
pelos 
atos 
que
comprometam a segurança dos ativos de informação;
VI - Alinhamento estratégico da Política de Segurança da Informação com o
planejamento estratégico da ANM, assim como demais normas específicas de segurança
da informação da Administração Pública Federal;
VII - Conformidade das normas e das ações de segurança da informação
com a legislação regulamentos aplicáveis; e
VIII - Educação e comunicação como alicerces fundamentais para o fomento
da cultura e segurança da informação.
CAPÍTULO IV
DAS DIRETRIZES GERAIS
Art. 5º Os servidores e colaboradores da ANM devem seguir as boas
práticas de segurança da informação, participar das capacitações oferecidas e cumprir
as normas e procedimentos estabelecidos pela ANM.
Art. 6º Cada colaborador ou servidor ativo na ANM deverá manter os
processos sob sua responsabilidade aderentes às políticas, normas e procedimentos
específicos de Segurança da Informação e Comunicações da ANM, tomando as ações
necessárias para cumprir tal responsabilidade.
Art. 7º Para uma efetiva implementação da PSI deverão ser previstas ações
de divulgação, conscientização e educação quanto ao conteúdo do normativo, entre
todos os colaboradores e servidores da ANM.
Art. 8º São valores e diretrizes gerais da PSI:
I - Segurança focada na instituição: garantir segurança tanto aos sistemas no
ambiente tecnológico quanto aos meios convencionais de processamento, comunicação
e armazenamento em papel;
II - Informação é patrimônio: considerar que toda e qualquer informação
gerada, adquirida, utilizada ou armazenada pela ANM é patrimônio da instituição e
deve ser protegida
quanto aos aspectos de
confidencialidade, autenticidade,
integridade e disponibilidade;
III - Proteção compatível com riscos: dimensionar e aplicar os investimentos
necessários em medidas de segurança, segundo o valor do ativo que está sendo
protegido e de acordo com a identificação de risco de potenciais prejuízos e de
impacto na reputação para o negócio, a atividade fim e os objetivos institucionais;
IV - Tratamento conforme classificação: tratar todas as informações a partir
da classificação de segurança, aplicada de maneira a serem adequadamente protegidas
quanto ao seu acesso e uso;
V - Responsabilização baseada na credencial: responsabilizar, com base no
uso da credencial, que se caracteriza por ser pessoal e intransferível, qualificando
aquele que se encontra formalmente associado a ela como responsável por todas as
atividades
desenvolvidas em
seu
uso, sendo
pré-requisito
para
a liberação
da
credencial o preenchimento de um termo de responsabilidade;
VI - Utilização restrita às atividades: administrar o acesso e o uso da
informação e dos ativos de informação de acordo com as atribuições necessárias para
o cumprimento das atividades institucionais. Qualquer outra forma de uso necessitará
de prévia autorização;
VII - Utilização orientada à segurança: permitir somente o uso de ativos de
informação homologados e autorizados pela ANM, desde que sejam identificados de
forma individual, protegidos, inventariados, com documentação atualizada e estando de
acordo com a legislação em vigor;
VIII - Autorização definida pelos gestores: definir acessos e cancelar acessos
aos recursos e aos locais restritos com base na solicitação do gestor de cada Unidade
Organizacional - UORG, que também é responsável pelos ativos disponibilizados para
uso;
IX - Segregação de funções: segregar a administração e execução de funções
ou áreas de responsabilidade críticas para o negócio, evitando o controle de um
processo na sua totalidade, visando à redução do risco de mau uso acidental ou
deliberado;
X - Educação: promover continuamente ações educativas sobre segurança da
informação e comunicações aos servidores e colaboradores para que realizem suas
atividades na instituição de forma segura, utilizando procedimentos que minimizem os
riscos e que possibilitem o uso correto dos ativos e ferramentas de informação, com
destaque para os serviços de correio eletrônico e acesso à internet;
XI - Auditoria: monitorar e auditar, pela área competente da ANM, a
implementação e o cumprimento da Política de Segurança da Informação. Consultorias
externas especializadas poderão ser utilizadas para
avaliação da PSI e de seu
cumprimento;
XII - Continuidade aplicada aos serviços: planejar e definir estratégias para
reduzir a um nível aceitável a possibilidade de interrupção causada por desastres ou
falhas nos recursos que suportam os processos de trabalho. O resultado desse
planejamento deve ser documentado, testado e revisado conforme a necessidade,
assegurados os recursos necessários à sua implementação;
XIII - Notificação imediata de incidentes: notificar o incidente imediatamente
ao superior hierárquico que, sem prejuízo dos encaminhamentos necessários
à
apuração de responsabilidades, dará ciência do fato à Equipe de Tratamento e
Resposta a Incidentes em Redes Computacionais - ETIR;
XIV - Monitoramento contínuo de segurança: a infraestrutura de TI e os
sistemas aplicativos serão monitorados continuamente quanto a atividades suspeitas e
possíveis violações de segurança; e
XV - Uso apropriado: todos os usuários da infraestrutura e dos sistemas da
ANM estarão sujeitos às políticas e requisitos de uso apropriados da informação e seus
ativos.
CAPÍTULO V
DAS NORMAS E PROCEDIMENTOS ESPECÍFICOS
Art. 
9º
As 
normas
e 
procedimentos
específicos, 
necessários
à
implementação da PSI, serão sugeridas pela Superintendência de Tecnologia da
Informação e Inovação (STI) e validadas pelo Comitê Geral de Governança - CGG da
ANM (instituído pela RESOLUÇÃO ANM Nº 171, DE 1º DE JULHO DE 2024), e
posteriormente aprovadas pela Diretoria Colegiada da ANM.
Parágrafo único. Para cada um dos princípios e diretrizes relacionadas nesta
política devem ser observadas a pertinência na elaboração de procedimentos,
orientações e/ou manuais que disciplinem ou facilitem o entendimento da PSI.
CAPÍTULO VI
DAS COMPETÊNCIAS E RESPONSABILIDADES
Seção I
Do Comitê Geral de Governança
Art. 10 O Comitê Geral de Governança - CGG da ANM (instituído pela
RESOLUÇÃO ANM Nº 171, DE 1º DE JULHO DE 2024) é o órgão colegiado de natureza
consultiva, tipo estratégico e de caráter permanente, que tem por finalidade apoiar a
Diretoria Colegiada na execução de sua estratégia por meio da implementação de
iniciativas e ações realizadas pelas áreas de negócio, bem como prover, de forma
integrada, informações relevantes e tempestivas para o monitoramento da atuação da
ANM.
Art. 11 São competências do CGG/ANM dentre outras:
I - avaliar a Política de Segurança da Informação (PSI) da ANM e as normas
internas de segurança da informação, observadas as disposições do art. 15 do Decreto
nº 9.637, de 26 de dezembro de 2018, e as normas de segurança da informação
editadas pelo Gabinete de Segurança Institucional da Presidência da República;
II - assessorar na implementação das ações de segurança da informação; e
III - propor alterações na política de segurança da informação interna.
Seção II
Do Gestor de Segurança da Informação e Comunicações
Art. 12 Compete ao Gestor de Segurança da Informação e Comunicações da
ANM:
I - promover cultura de segurança da informação e comunicações;
II - acompanhar as investigações e as avaliações dos danos decorrentes de
quebras de segurança;
III - realizar e acompanhar estudos de novas tecnologias quanto a possíveis
impactos na segurança da informação e comunicação da organização; e
IV
- manter
contato direto
com
o Departamento
de Segurança
da
Informação e Comunicações (DSIC/GSI/PR) para o trato de assuntos relativos à
segurança da informação e comunicações.
Art. 13 O Gestor de Segurança da Informação e Comunicações da ANM e
o seu substituto serão designados em portaria ou resolução específica.
Seção III
Dos usuários
Art. 14 Compete aos usuários abrangidos pelo escopo da PSI:
I - conhecer e cumprir fielmente as políticas, normas, os procedimentos e
as orientações de segurança da informação e comunicações da ANM;
II - buscar orientação do superior hierárquico imediato em caso de dúvidas
relacionadas à segurança da informação;
III - assinar o Termo de Responsabilidade, formalizando a ciência e o aceite
da Política, bem como assumindo a responsabilidade por seu cumprimento;
IV - proteger as informações contra acesso, modificação, destruição ou
divulgação não autorizadas pela ANM;
V - evitar o acesso de pessoas não autorizadas a documentos físicos ou
digitais, sob sua responsabilidade;
VI - obedecer aos requisitos de controle especificados pelos gestores e
custodiantes da informação;
VII - utilizar ferramentas de comunicação institucionais, conforme normas
internas específicas; e
VIII - comunicar os incidentes que afetam a segurança dos ativos de
informação à ETIR.
CAPÍTULO VII
DAS PENALIDADES
Art.
15
A
não
observância desta
política
e/ou
de
seus
documentos
complementares, bem como a quebra de controles de segurança da informação e
comunicações, poderá acarretar, isolada ou cumulativamente, as penalidades previstas
nos art. 127 a 142 da Lei nº 8.112/1990, na Lei nº 10.406/2002, na Lei nº 12.737/2012
e na Lei nº 13.709/2018), quando aplicável.
Parágrafo único. A aplicação das sanções será precedida de processo
administrativo que assegure o contraditório e a ampla defesa.
CAPÍTULO VIII
DA REVISÃO E ATUALIZAÇÃO
Art. 16 Esta política, bem como o conjunto de instrumentos normativos
gerados a partir dela, serão revisados de forma periódica, não excedendo o período
máximo de
02 (dois)
anos, ou
sempre que
se fizer
necessário por
questões
normativas.
Art. 17 Fica revogada a RESOLUÇÃO ANM Nº 53, DE 13 DE JANEIRO DE
2021.
Art. 18 Esta Resolução entra em vigor na data de sua publicação.
MAURO HENRIQUE MOREIRA SOUSA
Diretor

Fechar