Copyright © Dia Oficial 2025 | contato@diaoficial.com

DOU 19/11/2025 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025111900045
45
Nº 221, quarta-feira, 19 de novembro de 2025
ISSN 1677-7042
Seção 1
Art. 23. A Gestão da Segurança da Informação é constituída, no mínimo, pelos
seguintes processos:
1. tratamento da informação;
2. segurança física e do ambiente;
3. gestão de incidentes em segurança da informação;
4. gestão de ativos;
5. gestão do uso dos recursos operacionais e de comunicações, tais como e-
mail, acesso à internet, mídias sociais e computação em nuvem;
6. controles de acesso;
7. gestão de riscos;
8. gestão de continuidade; e
9. auditoria e conformidade.
§ 1º O CGSD poderá definir outros processos de Gestão de Segurança da
Informação, desde que alinhados aos princípios e às diretrizes desta Política e destinados
à implementação de ações de segurança da informação.
§ 2º Para cada um dos processos que constituem a Gestão de Segurança da
Informação, deve ser observada a pertinência de elaboração de políticas, normas,
procedimentos, orientações ou manuais que disciplinem ou facilitem o seu entendimento
em conformidade com a legislação vigente e boas práticas de segurança de
informação.
Art. 24.
As políticas,
normas, procedimentos,
orientações ou
manuais
vinculados a segurança da informação e comunicação devem abordar, no mínimo,
aspectos relacionados:
1. a conformidade com as diretrizes dispostas na LGPD e demais normativos e
orientações emitidas pela ANPD;
2. a classificação da informação de acordo com seu nível de confidencialidade
e criticidade, entre outros fatores, com vistas a determinar os controles de segurança
adequados;
3. a proteção dos dados contra acessos não autorizados e de situações
acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de
tratamento inadequado ou ilícito;
4. ao uso aceitável da informação e a utilização de mídias de
armazenamento;
5. a entrada
e saída de ativos de informação
das instalações da
organização;
6. aos perímetros de segurança da organização;
7 aos controles de acesso baseados no princípio do menor privilégio;
8. as etapas de identificação, contenção, erradicação e recuperação e
atividades pós incidente;
9. aos critérios para a comunicação de incidentes aos titulares de dados
pessoas e a ANPD;
10. ao Plano de Gestão de Incidentes de Segurança, de forma a considerar
diferentes cenários;
11. a Política de Gestão de Ativos da organização, abordando aspectos
relacionados à proteção dos ativos, sua classificação de acordo com a criticidade do ativo
para o a organização; a manutenção de inventario atualizado de ativos da organização,
contendo o tipo de ativo, sua localização, seu proprietário ou custodiante e seu status de
segurança; uso aceitável de ativos, vedado o uso para fins particulares de seu
responsável; 
o 
mapeamento
de 
vulnerabilidades, 
ameaças 
e
suas 
respectivas
interdependências; o monitoramento de ativos, de acordo com os princípios legais de
Segurança da Informação e privacidade; a investigação de sua operação e uso quando
houver indícios de quebra de segurança e/ou privacidade;
12. a utilização adequada dos recursos operacionais e de comunicações
fornecidos pelo MCTI, a serem utilizados para fins profissionais, relacionados às atividades
deste Ministério, em conformidade com os princípios éticos e profissionais do MCTI,
evitando comportamentos
antiéticos, discriminatórios,
ofensivos ou
que possam
comprometer a reputação deste Ministério;
13. aos procedimentos para o uso de e-mail, o envio de informações
confidenciais, a instalação de software antivírus e a abertura de anexos de e-mail;
14. o acesso à internet, o download de arquivos da internet, vedado o uso de
sites inadequados e a instalação de software não autorizado;
15. o uso de mídias sociais, a divulgação de informações nas mídias sociais, o
uso de contas pessoais para fins profissionais e a interação com estranhos nas mídias
sociais;
16. as políticas e procedimentos para o uso da computação em nuvem, a
seleção de provedores de serviços em nuvem, a segurança dos dados na nuvem e a
conformidade com as leis e regulamentos aplicáveis;
17. as políticas e procedimentos para o controle de acesso, tais como o uso
de Múltiplo Fator de Autenticação (MFA), controles de autorização, baseados no princípio
do
menor privilégio,
controles de
segregação
de funções,
trilhas de
auditoria,
rastreamento, acompanhamento, controle e verificação de acessos para os ativos de
informação, desligamento ou afastamento de colaboradores e parceiros que utilizam ou
operam os ativos de informação do MCTI;
18. as políticas e procedimentos para a gestão dos riscos de segurança da
informação que possam afetar seus ativos de informação, abordando a análise do
ambiente do MCTI, dos seus ativos de informação e das ameaças à segurança da
informação; a adoção de uma metodologia estruturada para identificar riscos, a
documentação dos riscos identificados, incluindo sua descrição, origem, impacto potencial
e probabilidade de ocorrência; a avaliação de riscos, de forma a determinar o risco a se
concretizar e o impacto potencial nos ativos de informação, bem como quais riscos
devem ser priorizados para tratamento; o tratamento dos riscos identificados e avaliados,
o que pode incluir a mitigação de riscos, por meio da implementação de controles de
segurança, ou a aceitação de riscos;
19. as políticas e procedimentos para Gestão de Continuidade de Negócios da
organização, incluindo o Plano de Continuidade para garantir que o MCTI possa continuar
suas atividades em caso de um incidente de segurança da informação e a realização de
testes e exercícios periódicos baseados no Plano de Continuidade para garantir sua
eficácia;
20. as políticas e procedimentos para a Gestão de Mudanças nos ativos de
informação da organização, respaldado pelas informações dos relatórios de avaliação e
tratamento de risco de segurança da informação, com a designação de papéis e
responsabilidades para a avaliação, aprovação e implementação de mudanças e a criação
de um processo formal para solicitação e documentação de mudanças; e
21. as políticas e procedimentos para a auditoria e conformidade da
organização, abordando o Plano de Verificação de Conformidade, que considere as
unidades abrangidas, os aspectos para verificação da conformidade, as ações e atividades
a serem realizadas, os documentos necessários para a fundamentação da verificação de
conformidade e as responsabilidades e o Relatório de Avaliação de Conformidade, que
considere o detalhamento das ações e das atividades com identificação do responsável,
o parecer de conformidade e as recomendações.
§ 1º As unidades organizacionais do MCTI devem realizar periodicamente
auditorias internas de sua segurança da informação para assegurar que ela esteja em
conformidade com esta Política e com outros requisitos de segurança da informação
aplicáveis.
§ 2º Todas as ações, realizadas pelas unidades do MCTI, que envolvem a
segurança da informação devem estar em conformidade com as leis e regulamentos
aplicáveis à esta temática.
§ 3º As atividades, produtos e serviços desenvolvidos no MCTI devem estar
em conformidade com requisitos de privacidade e proteção de dados pessoais constantes
de leis, regulamentos, resoluções, normas, estatutos e contratos jurídicos vigentes.
CAPÍTULO V - DAS VEDAÇÕES E DISPOSIÇÕES FINAIS
Art. 25. É vedada a utilização dos recursos de tecnologia da informação
disponibilizados pelo MCTI para acesso, armazenamento ou divulgação de material
incompatível com ambiente do serviço, que viole direitos autorais ou que infrinja a
legislação vigente.
Art. 26. São vedados o uso e a instalação de recursos de tecnologia da
informação que não tenham sido homologados ou adquiridos pelo MCTI.
Art. 27. É vedada a divulgação a terceiros de mecanismos de identificação,
autenticação e autorização baseados em conta e senha ou certificação digital, de uso
pessoal e intransferível, que são fornecidos aos usuários.
Art. 28. É vedada a exploração de eventuais vulnerabilidades, as quais devem
ser comunicadas às instâncias superiores assim que identificadas.
Art. 29. A unidades organizacionais do MCTI devem promover ações de treinamento
e conscientização para que os seus colaboradores compreendam suas responsabilidades e
procedimentos relacionados à segurança da informação e à proteção de dados.
Parágrafo único. A conscientização, a capacitação e a sensibilização em
segurança da informação devem ser adequadas aos papéis e responsabilidades dos
colaboradores.
Art. 30. As denúncias de violação a esta Política podem ser comunicadas ao
Gestor de Segurança da Informação e feitas preferencialmente pela Internet (Fala.BR -
Plataforma Integrada de Ouvidoria e Acesso à Informação), ou através dos seguintes
canais: e-mail (ouvidoria@mcti.gov.br) ou pelo telefone (61) 2033-8522.
Art. 31. O cumprimento desta Política, bem como dos normativos que a
complementam devem ser avaliados pelo MCTI periodicamente por meio de verificações
de conformidade, buscando a certificação do cumprimento dos requisitos de segurança da
informação e da garantia de cláusula de responsabilidade e sigilo constantes de termos
de responsabilidade, contratos, convênios, acordos e instrumentos congêneres.
Art. 32. A não observância do disposto nesta Política, bem como em seus
instrumentos normativos correlatos, sujeita o infrator à aplicação de sanções
administrativas conforme a legislação vigente, sem prejuízo das responsabilidades penal e
civil, assegurados sempre aos envolvidos o contraditório e a ampla defesa.
Art. 33. Esta Política será revisada periodicamente, pelo menos a cada quatro
anos, ou com mais frequência se necessário, para refletir as mudanças no ambiente do
MCTI, nos riscos à segurança da informação e nas melhores práticas de segurança da
informação.
Art. 34. Os casos omissos e as dúvidas sobre a Política de Segurança da
Informação - PSI e seus documentos devem ser submetidas ao CGSD.
ANEXO II
Referências Bibliográficas
ASSOCIAÇÃO BRASILEIRA
DE NORMAS
TÉCNICAS: ABNT
NBR ISO/IEC
27701:2019: Técnicas de segurança - Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR
ISO/IEC 27002 para gestão da privacidade da informação - Requisitos e diretrizes. Rio de
Janeiro, 2019.
ASSOCIAÇÃO BRASILEIRA
DE NORMAS
TÉCNICAS: ABNT
NBR ISO/IEC
27001:2022: Segurança da informação, segurança cibernética e proteção à privacidade -
Sistemas de gestão da segurança da informação - Requisitos. Rio de Janeiro, 2022.
ASSOCIAÇÃO BRASILEIRA
DE NORMAS
TÉCNICAS: ABNT
NBR ISO/IEC
27002:2022: Segurança da informação, segurança cibernética e proteção à privacidade -
Controles de segurança da informação- Requisitos. Rio de Janeiro, 2023.
BRASIL. Presidência da República. Casa Civil. Subchefia para Assuntos Jurídicos.
Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais.
Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm.
Acesso em: 07 ago. 2025.
BRASIL. Presidência da República. Casa Civil. Secretaria Especial de Assuntos
Internos. Decreto nº 12.572, de 4 de agosto de 2025. Política Nacional de Segurança da
Informação. 
Disponível 
em: 
http://www.planalto.gov.br/ccivil_03/_ato2023-
2026/2025/decreto/D12572.htm. Acesso em: 07 ago. 2025.
BRASIL. Presidência da República. Gabinete de Segurança Institucional. Portaria
nº 93, de 26 de setembro de 2019. Glossário de Segurança da Informação. Disponível em:
https://www.in.gov.br/en/web/dou/-/portaria-n-93-de-26-de-setembro-de-2019-
%20219115663. Acesso em: 07 ago. 2025.
BRASIL. Presidência
da República. Gabinete de
Segurança Institucional.
Departamento de Segurança da Informação e Comunicações. Instrução Normativa nº 01,
de
27 
de
maio
de
2020. 
Brasília,
DF,
GSI/PR,
2020. 
Disponível
em:
https://www.in.gov.br/en/web/dou/-/instrucao-normativa-n-1-de-27-de-maio-de-2020-
258915215. Acesso em: 07 ago. 2025.
BRASIL. Presidência
da República. Gabinete de
Segurança Institucional.
Departamento de Segurança da Informação e Comunicações. Instrução Normativa nº 03,
de
28 
de
maio
de
2021. 
Brasília,
DF,
GSI/PR,
2021. 
Disponível
em:
https://www.gov.br/gsi/pt-br/ssic/legislacao/copy_of_IN03_consolidada.pdf. Acesso em: 07
ago. 2025.
DIRETORIA DE PRIVACIDADE E SEGURANÇA DA INFORMAÇÃO DA SECRETARIA
DE GOVERNO DIGITAL - DPSI/SGD. Guia do Framework de Privacidade e Segurança da
Informação. Dezembro de 2024. Disponível em: https://www.gov.br/governodigital/pt-
br/privacidade-e-seguranca/ppsi/guia_framework_psi.pdf . Acesso em: 07 ago. 2025.
BRASIL. Presidência da República. Agência Nacional de Proteção de Dados -
ANPD. Guia Orientativo - Tratamento de dados pessoais pelo Poder Público. Junho 2023.
Disponível em:
https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/documentos-
de-publicacoes/guia-poder-publico-anpd-versao-final.pdf. Acesso em: 07 ago. 2025.
CONSELHO NACIONAL DE CONTROLE DE EXPERIMENTAÇÃO ANIMAL
DELIBERAÇÃO CONCEA/MCTI Nº 14, DE 14 DE NOVEMBRO DE 2025
A Coordenadora do Conselho Nacional de Controle de Experimentação Animal
- CONCEA/MCTI, no uso de suas atribuições e de acordo com o inc. II, art. 5º da Lei nº
11.794/2008; arts. 34 e 35 do
Decreto nº 6.899/2009; e Resolução Normativa
CONCEA/MCTI nº 24/2015, torna público a Deliberação do Plenário do CONCEA/MCTI, em
desfavor da CRUZEIRO DO SUL EDUCACIONAL S.A.
Processo nº 01245.000204/2024-16 (PI-086.2024)
O Plenário da 70º Reunião Ordinária do CONCEA/MCTI, após análise do recurso
apresentado pela CRUZEIRO DO SUL EDUCACIONAL S.A. (SEI 12826572) e do PARECER
TÉCNICO Nº 551/2025/SEI-MCTI
(SEI 12836020), deliberou pela
manutenção da
classificação da infração cometida pela instituição CRUZEIRO DO SUL EDUCACIONAL S.A.
(CNPJ 62.984.091/0009-51) como de natureza grave com aplicação de multa de
R$15.000,00 (quinze mil reais).
A íntegra deste processo encontra-se arquivada na Coordenação da Secretaria
Executiva 
do
CONCEA/MCTI 
(SE-CONCEA/MCTI).
Solicitações 
de
informações
complementares deverão ser encaminhadas por escrito à SE-CONCEA/MCTI.
LUISA MARIA GOMES DE MACEDO BRAGA
SECRETARIA DE CIÊNCIA E TECNOLOGIA PARA TRANSFORMAÇÃO
DIGITAL
PORTARIA SETAD/MCTI Nº 9.611, DE 17 DE NOVEMBRO DE 2025
Habilitação à fruição do crédito financeiro de que
tratam o art. 4º da Lei nº 8.248, de 23 de outubro
de 1991, e os arts. 2º, 3º e 4º da Lei nº 13.969, de
26 de dezembro de 2019.
O SECRETÁRIO DE CIÊNCIA E TECNOLOGIA PARA TRANSFORMAÇÃO DIGITAL
DO MINISTÉRIO DA CIÊNCIA, TECNOLOGIA E INOVAÇÃO, no uso da atribuição conferida
pelo parágrafo único do art. 6º do Decreto nº 10.356, de 20 de maio de 2020, tendo
em vista o disposto nos arts. 4º e 9º deste Decreto, e considerando o que consta no
Processo MCTI nº 01245.011013/2025-61, de 16 de junho de 2025, resolve:
Art. 1º Fica habilitada a pessoa jurídica SWEDA INFORMATICA LTDA, inscrita
no Cadastro Nacional da Pessoa Jurídica do Ministério da Fazenda - CNPJ/MF sob o nº
53.485.215/0001-06, à fruição do crédito financeiro de que tratam o art. 4º da Lei nº
8.248, de 23 de outubro de 1991, os arts. 2º, 3º e 4º da Lei nº 13.969, de 26 de
dezembro de 2019, e o Decreto nº 10.356, de 20 de maio de 2020.
§ 1º Fica cadastrado o estabelecimento fabril da pessoa jurídica identificada
no caput, CNPJ/MF nº 53.485.215/0001-06, responsável pela fabricação do(s) seguinte(s)
bem(ns) de tecnologias da informação e comunicação:
I - Terminal de Autoatendimento
para Compra de Mercadorias em
Estabelecimentos Comerciais (Self-Checkout);

Fechar