Copyright © Dia Oficial 2025 | contato@diaoficial.com

DOU 19/11/2025 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025111900044
44
Nº 221, quarta-feira, 19 de novembro de 2025
ISSN 1677-7042
Seção 1
Ministério da Ciência, Tecnologia e Inovação
GABINETE DA MINISTRA
PORTARIA MCTI Nº 9.609, DE 14 DE NOVEMBRO DE 2025
Institui a Política de Segurança da Informação do
Ministério da Ciência, Tecnologia
e Inovação -
PSI/MC TI.
A MINISTRA DE ESTADO DA CIÊNCIA, TECNOLOGIA E INOVAÇÃO, no uso das
atribuições que lhe confere o art. 87, parágrafo único, incisos II e IV, da Constituição
Federal, e considerando o disposto no inciso IV do art. 10, do Decreto nº 12.572, de 4
de agosto de 2025, e no art. 9º da Instrução Normativa GSI/PR nº 1, de 27 de maio de
2020, resolve:
Art. 1º Fica instituída a Política de Segurança da Informação do Ministério da
Ciência, Tecnologia e Inovação - PSI/MCTI, com a finalidade de estabelecer princípios,
diretrizes, responsabilidades e competências para a gestão da segurança da
informação.
Art. 2º Esta Política de Segurança da Informação - PSI aplica-se a todas as
unidades organizacionais do Ministério da Ciência Tecnologia e Inovação - MCTI, e deverá
ser observada por todos os usuários de informação, seja servidor ou equiparado,
empregado, prestador de serviços ou pessoa habilitada pela administração, por meio da
assinatura de Termo de Responsabilidade, para acessar os ativos de informação sob
responsabilidade deste Ministério.
Art. 3º Fica revogada a Portaria MCTI nº 4.711, de 18 de agosto de 2017.
Art. 4º Esta Portaria entra em vigor na data de sua publicação.
LUCIANA SANTOS
ANEXO I
CAPÍTULO I - TERMOS E DEFINIÇÕES
Art. 1º Para fins desta Política de Segurança da Informação, considera-se:
I - CONFIDENCIALIDADE: propriedade pela qual se assegura que a informação
não esteja disponível ou não seja revelada à pessoa, ao sistema, ao órgão ou à entidade
não autorizados nem credenciados;
II - DADO PESSOAL: informação relacionada a pessoa natural identificada ou
identificável;
III - DADO PESSOAL SENSÍVEL: dado pessoal sobre origem racial ou étnica,
convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter
religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou
biométrico, quando vinculado a uma pessoa natural;
IV - DISPONIBILIDADE: propriedade pela qual se assegura que a informação
esteja acessível e utilizável, sob demanda, por uma pessoa física ou determinado sistema,
órgão ou entidade devidamente autorizados;
V - INFORMAÇÃO: dados, processados ou não, que podem ser utilizados para
produção e para transmissão de conhecimento, contidos em qualquer meio, suporte ou
formato;
VI - INTEGRIDADE: propriedade pela qual se assegura que a informação não foi
modificada ou destruída de maneira não autorizada ou acidental;
VII - SEGURANÇA DA INFORMAÇÃO: ações que objetivam viabilizar e assegurar
a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações;
e
VIII - TITULAR DO DADO: pessoa natural a quem se referem os dados pessoais
que são objeto de tratamento.
CAPÍTULO II - DISPOSIÇÕES GERAIS
Art. 2º São objetivos da Política de Segurança da Informação - PSI/MCTI:
estabelecer princípios e diretrizes a fim de proteger ativos de informação e
conhecimentos gerados ou recebidos;
estabelecer orientações gerais de segurança da informação e, desta forma,
contribuir para a gestão eficiente dos riscos, limitando-os a níveis aceitáveis, bem como
preservar os princípios da disponibilidade, integridade, confiabilidade e autenticidade das
informações;
estabelecer competências e responsabilidades
quanto à segurança da
informação;
nortear a elaboração das normas necessárias à efetiva implementação da
segurança da informação; e
promover o alinhamento das ações de segurança da informação com as
estratégias de planejamento organizacional do MCTI.
Art. 3º Para os efeitos desta Portaria e de suas regulamentações, aplicam-se
os termos do Glossário de Segurança da Informação, aprovado pela Portaria GSI/PR nº 93,
de 18 de outubro de 2021.
CAPÍTULO III - DOS PRINCÍPIOS E DIRETRIZES
Art. 4º As ações de segurança da informação do MCTI são norteadas pelos
princípios constitucionais e administrativos que norteiam a Administração Pública Federal,
bem como pelos seguintes princípios:
1. 
disponibilidade, 
integridade, 
confidencialidade
e 
autenticidade 
das
informações;
2. continuidade dos processos e serviços essenciais para o funcionamento do
MC TI;
3. economicidade da proteção dos ativos de informação;
4. respeito ao acesso à informação, à proteção de dados pessoais e à proteção
da privacidade;
5. observância da
publicidade como preceito geral e
do sigilo como
exceção;
6. responsabilidade do usuário de informação pelos atos que comprometam a
segurança dos ativos de informação;
7. alinhamento estratégico da Política de Segurança da Informação com o
planejamento estratégico do MCTI, assim como demais normas específicas de segurança
da informação da Administração Pública Federal;
8. conformidade das normas e das ações de segurança da informação com a
legislação regulamentos aplicáveis; e
9. educação e comunicação como alicerces fundamentais para o fomento da
cultura e segurança da informação.
Art. 5º. Estas diretrizes constituem os principais pilares da gestão de segurança
da informação norteando a elaboração de políticas, planos e normas complementares no
âmbito deste Ministério e objetivam a garantia dos princípios básicos de segurança da
informação estabelecidos nesta Política.
Art. 6º As normas, procedimentos, manuais e metodologias de segurança da
informação do MCTI devem considerar, como referência, além dos normativos vigentes,
as melhores práticas de segurança da informação.
Art. 7º As ações de segurança da informação devem:
1.
considerar,
prioritariamente,
os 
objetivos
estratégicos,
os
planos
institucionais, a estrutura e a finalidade do MCTI;
2. ser tratadas de forma integrada, respeitando as especificidades e a
autonomia das unidades do MCTI;
3. ser adotadas proporcionalmente aos riscos existentes e à magnitude dos
danos potenciais, considerados o ambiente, o valor e a criticidade da informação; e
4. visar à prevenção da ocorrência de incidentes.
Art. 8º O investimento necessário em medidas de segurança da informação
deve ser dimensionado segundo o valor do ativo a ser protegido e de acordo com o risco
de potenciais prejuízos ao MCTI.
Art. 9º Toda e qualquer informação gerada, custodiada, manipulada, utilizada
ou armazenada no MCTI compõe o seu rol de ativos de informação e deve ser protegida
conforme normas em vigor.
Parágrafo único. As informações citadas no caput, que tramitem pelo
ambiente computacional do MCTI, são passíveis de monitoramento e auditoria pela área
de Tecnologia da Informação e Comunicação -TIC, respeitados os limites legais.
Art. 10. Pessoas e sistemas devem ter o menor privilégio e o mínimo acesso
aos recursos necessários para realizar uma dada tarefa.
Parágrafo único. É condição para acesso aos recursos de tecnologia da
informação do MCTI a assinatura, preferencialmente eletrônica, de Termo de
Responsabilidade indicando a ciência aos termos desta Política, as responsabilidades e os
compromissos em decorrência deste acesso, bem como as penalidades cabíveis pela
inobservância das regras previstas nas normas de segurança da informação neste
Ministério.
Art. 11. A Política de Segurança da Informação e suas atualizações, bem como
normas específicas de segurança da informação do MCTI, devem ser divulgadas
amplamente a todos os Usuários de Informação, a fim de promover sua observância, seu
conhecimento, bem como a formação da cultura de segurança da informação.
§ 1º Os Usuários de Informação devem ser continuamente capacitados nos
procedimentos de segurança e no uso correto dos ativos de informação quando da
realização de suas atribuições, de modo a minimizar possíveis riscos à segurança da
informação.
§ 2º As ações de capacitação previstas no §1º devem ser conduzidas de modo
a possibilitar o compartilhamento de materiais educacionais sobre segurança da
informação.
Art. 12. Todos os contratos de prestação de serviços firmados pelo MCTI
conterão cláusula específica sobre a obrigatoriedade de atendimento à esta Política de
Segurança da Informação, bem como se suas normas decorrentes.
CAPÍTULO IV - DA GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Art. 13. A estrutura de Gestão de Segurança da Informação é composta por:
1. Alta Administração;
2. Comitê Integrado de Governança de Digital, Segurança da Informação e
Governança de Dados - CGSD;
3. Gestor de Segurança da Informação;
4. Gestor de Tecnologia da Informação e Comunicação -TIC;
5. Encarregado pelo Tratamento de Dados Pessoais;
6. Responsável pela Unidade de Controle Interno;
7. Equipe de Prevenção, Tratamento e Respostas a Incidentes Cibernéticos - ETIR;
8. Executivo de Dados;
9. Curadores de Bases de Dados; e
10. Usuários de Informação.
Art. 14. Compete à Alta Administração:
1. fornecer os recursos necessários para assegurar o desenvolvimento e a
implementação da Gestão de Segurança da Informação do MCTI, bem como com o
tratamento das ações e decisões de segurança da informação em um nível de relevância
e prioridade adequados; e
2. formalizar e aprovar a Política de Segurança da Informação do MCTI, bem
como suas alterações e atualizações.
Art. 15. As competências do CGSD vinculadas a segurança da informação estão
previstas na Portaria MCTI nº 9.325, de 22.08.2025 .
Art. 16. Compete ao Gestor de Segurança da Informação:
1. coordenar as ações de segurança da informação no âmbito do CGSD;
2. coordenar a elaboração da Política de Segurança da Informação - PSI e das
normas internas de segurança da informação do órgão, observadas a legislação vigente e
as melhores práticas sobre o tema;
3. assessorar a Alta Administração na implementação da Política de Segurança
da Informação - PSI;
4. estimular ações de capacitação e de profissionalização de recursos humanos
em temas relacionados à segurança da informação;
5. promover a divulgação da política e das normas internas de segurança da
informação do órgão a todos os servidores, usuários e prestadores de serviços que
trabalham no órgão;
6. incentivar estudos de novas tecnologias, e seus eventuais impactos
relacionados à segurança da informação;
7. propor recursos necessários às ações de segurança da informação;
8. acompanhar os trabalhos da Equipe de Prevenção, Tratamento e Resposta
a Incidentes Cibernéticos - ETIR;
9. verificar os resultados dos trabalhos de auditoria sobre a gestão da
segurança da informação;
10. acompanhar a aplicação de ações corretivas e administrativas cabíveis nos
casos de violação da segurança da informação; e
11. manter contato direto com o Gabinete de Segurança Institucional da
Presidência da República em assuntos relativos à segurança da informação.
Parágrafo único. O Gestor de Segurança da Informação do MCTI será
designado em Portaria emitida pelo Secretaria-Executiva, de acordo com a legislação
vigente.
Art. 17. Compete ao Gestor de Tecnologia da Informação e Comunicação,
dentre outras atribuições dispostas na legislação vigente, em especial ao disposto na
Portaria SGD/ME nº 778, de 4 de abril de 2019, planejar, implementar e melhorar
continuamente os controles de privacidade e segurança da informação em soluções de
tecnologia da informação e comunicações, considerando a cadeia de suprimentos
relacionada à solução.
Art. 18. Compete ao Encarregado pelo Tratamento dos Dados Pessoais, dentre
outras atribuições dispostas na legislação vigente, em especial ao disposto na Lei nº
13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados - LGPD) e demais
normativos e orientações emitidas pela Autoridade Nacional de Proteção de Dados
(ANPD), conduzir o diagnóstico de privacidade, bem como orientar, no que couber, os
gestores proprietários dos ativos de informação, responsáveis pelo planejamento,
implementação e melhoria
contínua dos controles de privacidade
em ativos de
informação que realizem o tratamento de dados pessoais ou dados pessoais sensíveis.
Art. 19. Compete ao Responsável pela Unidade de Controle Interno, dentre
outras atribuições dispostas na legislação vigente, apoiar, supervisionar e monitorar as
atividades desenvolvidas pela primeira linha de defesa prevista pela Instrução Normativa
CGU nº 3, de 9 de junho de 2017.
Art. 20. Compete à Equipe de Prevenção, Tratamento e Respostas a Incidentes
Cibernéticos - ETIR:
1. facilitar, coordenar e executar as atividades de prevenção, tratamento e
resposta a incidentes cibernéticos no MCTI;
2. monitorar as redes computacionais;
3. detectar e analisar ataques e intrusões;
4. tratar incidentes de segurança da informação;
5. identificar vulnerabilidades e artefatos maliciosos;
6. recuperar sistemas de informação; e
7. promover a cooperação com outras equipes, e participar de fóruns e redes
relativas à segurança da informação.
Parágrafo único. A composição, estrutura, recursos e funcionamento da Equipe
de Prevenção, Tratamento e Respostas a Incidentes Cibernéticos - ETIR serão definidos
em Portaria emitida pela Secretaria-Executiva, de acordo com a legislação vigente.
Art. 21. Compete aos Usuários de Informação conhecer, cumprir e fazer cumprir
esta Política e às demais normas específicas de segurança da informação do MC TI.
Parágrafo único. Todos os Usuários de Informação são responsáveis pela
segurança dos ativos de informação que estejam sob a sua responsabilidade.
Art. 22. A Política de Segurança da Informação e demais normativos
decorrentes desta Política integram o arcabouço normativo da Gestão de Segurança da
Informação do MCTI.

Fechar