Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 02/12/2025 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025120200072
72
Nº 229, terça-feira, 2 de dezembro de 2025
ISSN 1677-7042
Seção 1
Métricas de gerenciamento de vulnerabilidades
Art. 4º As funções e responsabilidades formais das equipes para a execução
das atividades previstas nesta norma devem ser estabelecidas de maneira oportuna,
contínua, eficaz e proporcional aos negócios do CNPq.
Art. 5º A consistência e a eficácia do PGV devem ser aferidas por meio de
métricas e indicadores de gerenciamento de vulnerabilidades que atendam às
necessidades do CNPq.
§ 1º As métricas deverão ser definidas pelo Comitê de Segurança da
Informação (CSI), aprovadas, revisadas e comunicadas, e suas medições serão
apresentadas de acordo com a periodicidade definida pelo Coordenador do Comitê.
§ 2º Quando aplicável, as métricas de que trata o caput poderão ser
compartilhadas com outras unidades do CNPq que tenham responsabilidade direta ou
indireta sobre os desvios das métricas.
Detecção de vulnerabilidades
Art. 6º As funções, as atividades e as responsabilidades das equipes de
detecção de vulnerabilidades devem ser estabelecidas, comunicadas e conhecidas.
Art. 7º Devem ser utilizadas as seguintes ferramentas e métodos para
detecção de vulnerabilidades:
I - ferramentas de monitoramento de rede e Sistemas de Detecção de
Intrusões (IDS), para identificar e responder rapidamente a atividades suspeitas;
II - Testes Estático e Dinâmico de Segurança de Aplicações do CNPq (SAST e
DAST), por meio de ferramentas de Segurança de Aplicações (AppSec) reconhecidas no
mercado;
III - varreduras de vulnerabilidades na rede corporativa, realizadas por equipe
interna, terceiros ou uma combinação de ambos; e
IV - testes de intrusão, realizados periodicamente conforme a necessidade do
CNPq, em situações atípicas, anormalidades, demandas e, ou, projetos pontuais.
§ 1º As ferramentas de detecção devem ser configuradas e ajustadas
adequadamente de acordo com as necessidades e plataformas tecnológicas do CNPq.
§ 2º A frequência dos testes de segurança deve levar em consideração os
requisitos legais, regulamentares ou contratuais, bem como a avaliação dos riscos
associados aos ativos.
§ 3º Para cada teste, é necessário verificar se a varredura ocorreu
corretamente nos ativos analisados, se existem exceções de vulnerabilidades ou falhas de
execução.
§ 4º A detecção manual de vulnerabilidades deve ser considerada como
complemento à detecção automática, em caso de dúvidas ou como medida de dupla
validação.
Elaboração e manutenção dos relatórios
Art. 8º A equipe de gerenciamento de vulnerabilidades deverá elaborar
relatórios após cada ciclo de detecção para auxiliar o CNPq a entender e mensurar as
vulnerabilidades existentes.
§ 1º Os resultados da varredura devem ser analisados pela equipe para
identificação de possíveis falsos positivos, os quais devem ser justificados e eliminados.
§ 2º Os grupos de ativos de informação devem ser classificados por tipo de
ambiente, sistema, ID, vulnerabilidade ou grupo responsável, a fim de facilitar o
tratamento e encaminhamento.
§ 3º A equipe deverá adotar métricas para os relatórios, incluindo a
porcentagem de ativos vulneráveis por gravidade, de acordo com indicadores como EPSS,
CVSS, VPR, ExPR, QVS ou similares.
Art. 9º O relatório de vulnerabilidades deve ser classificado de acordo com a
sensibilidade das informações e a política de classificação do CNPq.
Parágrafo único. Todas as versões do relatório devem ser formalmente
remetidas ao Comitê de Segurança da Informação e ao gestor de segurança da
informação,
com informações
estratificadas que
destaquem
possíveis pontos de
atenção.
Art.
10. Deverá
ser mantido
um
de dados
de vulnerabilidades,
com
informações de vulnerabilidade, análise para priorização e, quando disponível, o plano ou
recomendação de correção.
§ 1º O banco de dados de que trata o caput deve ser atualizado regularmente
com informações de várias fontes, como sites de segurança, boletins e publicações de
fornecedores.
§ 2º É recomendável que o banco de dados seja integrado a outras
ferramentas de segurança, como scanners e sistemas de gerenciamento de patches, para
agilizar a identificação e correção de vulnerabilidades.
Priorização e remediação das vulnerabilidades
Art. 11. O tratamento de vulnerabilidades deve ser priorizado com base em
sua classificação de risco e criticidade, tempo esperado para correção, impacto em caso
de exploração e no valor que o ativo tem para o CNPq.
Parágrafo único. As vulnerabilidades devem ser tratadas de acordo com seu
nível de severidade e nos prazos estipulados, conforme os indicadores definidos em
procedimento dedicado.
Art. 12. Os testes de vulnerabilidade que resultarem em falha devem ser
reagendados até que sua execução seja concluída com êxito.
Parágrafo único. Caso a vulnerabilidade não possa ser corrigida, ela poderá ser
incluída na lista de exceções, mediante aprovação de pessoal autorizado e com base no
processo de aceitação de risco.
Art. 13. Quando as vulnerabilidades não puderem ser corrigidas dentro do
prazo estabelecido, a equipe de gerenciamento de vulnerabilidades deve enviar um ofício
ao Comitê de Segurança da Informação, contendo, no mínimo:
I - detalhes do sistema, componente ou ativo;
II - descrição detalhada da vulnerabilidade;
III - avaliação de risco que justifique a não correção imediata;
IV - justificativa clara pela qual a correção não pode ser realizada no prazo;
V - detalhes dos controles existentes ou contramedidas aplicáveis;
VI - novo prazo de correção; e
VII - plano de ação da remediação, obedecendo ao novo prazo.
Implementação e verificação das correções de vulnerabilidades
Art. 14. As correções de vulnerabilidades que forem efetivamente testadas em
ambiente de homologação e aprovadas devem ser implantadas em produção.
§ 1º As correções podem incluir a instalação de patches de segurança, ajustes
de configuração, remoção de software e contramedidas.
§ 2º A instalação de patches, notas e ajustes de configuração deve ser
realizada por meio do processo de gestão de mudanças para que os controles
apropriados sejam implementados para teste, avaliação de riscos e respectiva
reparação.
Exceções, logs e comunicações
Art. 15. Para os ativos de informação não contemplados por esta norma em
função de dificuldades técnicas, restrições tecnológicas, obrigações contratuais,
normativas ou outras razões legítimas, as exceções deverão ser documentadas e
aprovadas por meio de um processo de gerenciamento de exceções, conduzido pelo
Comitê de Segurança da Informação.
Parágrafo único. A lista de exceções de ativos de informação deve ter
validade, devendo ser revisada após esse período.
Registros de logs
Art. 16. Deverá ser definido um procedimento para análise de logs, que
contemple, no mínimo:
I - ferramentas de análise e correlação;
II - execução periódica das análises;
III - proteção contra adulteração, acesso não autorizado, uso indevido e, ou,
exfiltração; e
IV - exclusão segura, garantindo que os registros sejam completamente
apagados, em linha com os períodos de retenção legal.
Comunicação das ocorrências
Art. 17. As vulnerabilidades e as informações de correção devem ser comunicadas
aos usuários afetados, como administradores de sistema, proprietários e usuários finais.
Parágrafo único. As correções bem-sucedidas de vulnerabilidades poderão ser
testadas por meio de verificação de vulnerabilidades do ativo, verificação de logs de
patches, testes de invasão e verificação das definições de configuração.
Serviços em nuvem ou de terceiros
Art. 18. Para serviços em nuvem, as responsabilidades compartilhadas do
provedor de serviços com o CNPq devem ser definidas e acordadas em contrato.
Art. 19. Terceiros deverão cumprir
os requisitos deste Programa de
Gerenciamento de Vulnerabilidades, sendo essa obrigação incluída em contratos.
Competências
Art. 20. Compete à Coordenação-Geral de Tecnologia da Informação (CGETI):
I - a identificação de potenciais ameaças e vulnerabilidades cibernéticas
quanto ao acesso ao ambiente do CNPq;
II - mapear ameaças, vulnerabilidades e interdependências aos ativos de
informação e tomar ações para evitá-las;
III - prover os meios tecnológicos necessários à utilização, fornecimento e
manutenção do PGV;
IV - manter, em local seguro e restrito, dados de auditoria, logs e demais
informações relevantes acerca da utilização do programa;
V - divulgar esta Norma aos usuários, sendo responsável por sua atualização,
comunicação e conscientização;
VI - zelar pela não introdução de vulnerabilidades ou fragilidades nos ativos ou
ambientes informacionais do CNPq durante sua operação ou em eventos de mudança de
ambiente; e
VII - reportar imediatamente ao setor a que está subordinada, anomalias,
problemas, erros ou situações não identificadas que possam causar indisponibilidade ou
impossibilitem a execução do programa.
Art. 21. Compete à Coordenação-Geral de Administração e Logística (CGLOG)
informar tempestivamente a CGETI sobre exclusões, transferências ou afastamentos de
servidores, estagiários e prestadores de serviço contratados que atuem no CNPq e que
impliquem a necessidade de suspensão ou revogação definitiva da permissão de
acesso.
Art. 22. Compete à Diretoria de Análise de Resultados e Soluções Digitais
(DASD) zelar pelo atendimento aos princípios desta Norma, da segurança, integridade,
sigilo e disponibilidade dos serviços e dados necessários à sustentação do P GV .
Art. 23. Compete à Coordenação-Geral de Gestão de Pessoas (CGGEP)
capacitar, sempre que necessário, os usuários e os responsáveis pela manutenção do
programa para o uso seguro da ferramenta, da tecnologia, dos processos e de seus
recursos.
CAPÍTULO II
DISPOSIÇÕES FINAIS
Art. 24. O usuário que fizer uso de forma indevida ou não-autorizada dos
recursos de tecnologia da informação, em desacordo com os termos desta norma, fica
sujeito à aplicação das penalidades legais.
Art. 25. A partir da data em que esta norma entrar em vigor, estudos serão
realizados no sentido de efetivar as contratações dos serviços citados, a divulgação aos
usuários do órgão e as devidas
capacitações de pessoal necessárias ao seu
cumprimento.
Art. 26. Casos omissos e dúvidas com relação a esta Portaria serão submetidos
ao Comitê de Segurança da Informação.
Art. 27. Esta Portaria entra em vigor 90 (noventa) dias após a data de sua
publicação.
OLIVAL FREIRE JUNIOR
Ministério das Comunicações
SECRETARIA DE RADIODIFUSÃO
DEPARTAMENTO DE INOVAÇÃO, REGULAMENTAÇÃO
E FISCALIZAÇÃO
COORDENAÇÃO-GERAL DE FISCALIZAÇÃO, MONITORAMENTO
E APURAÇÃO DE INFRAÇÕES
PORTARIA Nº 20.634, DE 28 DE NOVEMBRO DE 2025
A COORDENADORA-GERAL DE FISCALIZAÇÃO, MONITORAMENTO E APURAÇÃO
DE INFRAÇÕES, no uso de suas atribuições, observados os critérios e parâmetros
estabelecidos pela Portaria de Consolidação GM/MCOM nº 1, de 2/6/2023, e tendo em
vista o que consta da Nota Técnica nº 18993/2025/SEI-MCOM (12948749), que integra
o Processo nº 53115.019282/2025-54, cujos fundamentos encontram-se motivados na
forma prevista no art. 50, § 1º, da Lei nº 9.784, de 29/1/1999, resolve:
Art.1º Aplicar à RÁDIO CLUBE MARCONI LTDA - ME, Fistel nº 02008011801,
inscrita no CNPJ nº 50.833.763/0001-91, outorgada para executar o Serviço de
Radiodifusão Sonora em Onda Média, por meio da frequência 1190 KHz, no Município
de Paraguaçu Paulista, Estado de São Paulo, a sanção de advertência, em razão da
prática da infração capitulada no art. 6º, caput, do Decreto nº 10.405/2020, com
redação dada pelo Decreto nº 10.775/2021.
Art. 2º Esta Portaria entra em vigor na data de sua publicação.
CAROLINA AUMONDI COSTA SILVA RATKIEWICZ
PORTARIA Nº 20.636, DE 28 DE NOVEMBRO DE 2025
A COORDENADORA-GERAL DE FISCALIZAÇÃO, MONITORAMENTO E APURAÇÃO
DE INFRAÇÕES, no uso de suas atribuições, observados os critérios e parâmetros
estabelecidos pela Portaria de Consolidação GM/MCOM nº 1, de 2/6/2023, e tendo em
vista o que consta da Nota Técnica nº 18992/2025/SEI-MCOM (12948748), que integra
o Processo nº 53115.019283/2025-07, cujos fundamentos encontram-se motivados na
forma prevista no art. 50, § 1º, da Lei nº 9.784, de 29/1/1999, resolve:
Art.1º Aplicar à RÁDIO CENTRO MINAS FM LTDA, Fistel nº 04030139760,
inscrita no CNPJ nº 23.363.575/0001-74, outorgada para executar o Serviço de
Radiodifusão Sonora em Frequência Modulada, por meio do canal nº 232, no Município
de Curvelo, Estado de Minas Gerais, a sanção de advertência, em razão da prática da
infração capitulada no art. 6º, caput, do Decreto nº 10.405/2020, com redação dada
pelo Decreto nº 10.775/2021.
Art. 2º Esta Portaria entra em vigor na data de sua publicação.
CAROLINA AUMONDI COSTA SILVA RATKIEWICZ
PORTARIA Nº 20.638, DE 28 DE NOVEMBRO DE 2025
A COORDENADORA-GERAL DE FISCALIZAÇÃO, MONITORAMENTO E APURAÇÃO
DE INFRAÇÕES, no uso de suas atribuições, observados os critérios e parâmetros
estabelecidos pela Portaria de Consolidação GM/MCOM nº 1, de 2/6/2023, e tendo em
vista o que consta da Nota Técnica nº 18991/2025/SEI-MCOM (12948747), que integra
o Processo nº 53115.019284/2025-43, cujos fundamentos encontram-se motivados na
forma prevista no art. 50, § 1º, da Lei nº 9.784, de 29/1/1999, resolve:
Art.1º Aplicar à RÁDIO CLUBE DE ALAGOAS LTDA, Fistel nº 07008000502,
inscrita no CNPJ nº 12.347.589/0001-88, outorgada para executar o Serviço de
Radiodifusão Sonora em Frequência Modulada, por meio do canal nº 266, no Município
de Arapiraca, Estado de Alagoas, a sanção de advertência, em razão da prática da
infração capitulada no art. 6º, caput, do Decreto nº 10.405/2020, com redação dada
pelo Decreto nº 10.775/2021.
Art. 2º Esta Portaria entra em vigor na data de sua publicação.
CAROLINA AUMONDI COSTA SILVA RATKIEWICZ

Fechar