O Ministro de Estado do Trabalho E Emprego, no uso das suas atribuições legais e considerando o disposto na Norma Complementar nº 03/IN01/DSIC/GSIPR, de 10 de junho de 2009, e deliberação do Comitê de Segurança da Informação e Comunicações - CSIC, realizada em 28 de setembro de 2009,

Resolve:

Art. 1º Aprovar a Política de Segurança da Informação e Comunicações - POSIC do Ministério do Trabalho e Emprego - MTE.

Art. 2º A Política de Segurança da Informação e Comunicações - POSIC objetiva instituir diretrizes estratégicas, responsabilidades e competências, visando assegurar a integridade, confidencialidade, disponibilidade, autenticidade e legalidade dos dados, informações e documentos do MTE, contra ameaças e vulnerabilidades, de modo a preservar os seus ativos, inclusive sua imagem institucional.

Art. 3º A POSIC trata do uso e compartilhamento do conteúdo de dados, informações e documentos no âmbito do MTE, em todo o seu ciclo de duração - criação, manuseio, divulgação, armazenamento, transporte e descarte, visando à continuidade de seus processos vitais, em conformidade com a legislação vigente, normas pertinentes, requisitos regulamentares e contratuais, valores éticos e as melhores práticas de segurança da informação e comunicações.

Art. 4º Esta POSIC se aplica a todas as unidades da estrutura regimental do MTE, incluindo as unidades descentralizadas, os Órgãos Colegiados.

Art. 5º Para efeitos desta POSIC, fica estabelecido o significado dos seguintes termos e expressões:

I - Agente Público: aquele que, por força de lei, contrato ou qualquer ato jurídico, preste serviços de natureza permanente, temporária, excepcional ou eventual, ainda que sem retribuição financeira, ao MTE;

II - Ameaça: conjunto de fatores internos e externos ou causa potencial de um incidente, que pode resultar dano para um sistema ou para o MTE;

III - Ativo: aquilo que tem valor para o MTE (tais como informação, software, equipamentos, instalações, serviços, pessoas e imagem institucional);

IV - Autenticidade: propriedade que assevera que os dados ou informações são verdadeiros e fidedignos tanto na origem quanto no destino, permitindo, inclusive, a identificação do emissor e do equipamento utilizado, quando for o caso;

V - Comitê de Segurança da Informação e Comunicações: grupo de representantes de unidades do MTE com a responsabilidade de assessorar a implementação das ações de segurança da informação e comunicações;

VI - Confidencialidade: propriedade que garante acesso à informação somente a pessoas autorizadas, assegurando que indivíduos, sistemas, órgãos ou entidades não autorizados não tenham conhecimento da informação, de forma proposital ou acidental;

VII - Criticidade: grau de importância da informação para a continuidade das atividades e serviços do Ministério do Trabalho e Emprego;

VIII - Descarte: eliminação correta de informações, documentos, mídias e acervos digitais;

IX - Disponibilidade: propriedade de que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade;

X - Incidente de segurança da informação: evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores;

XI - Integridade: propriedade de salvaguarda da inviolabilidade do conteúdo da informação na origem, no trânsito e no destino, representa a fidedignidade da informação;

XII - Resiliência: capacidade de enfrentamento ágil de situações inesperadas e de superação das adversidades para restabelecer processo de normalidade;

XIII - Usuário: todo aquele que está autorizado a obter acesso a informações e sistemas; e

XIV - Vulnerabilidade: conjunto de fatores internos ou causa potencial de um incidente indesejado, que podem resultar em risco para o MTE, os quais podem ser evitados por uma ação interna de segurança da informação.

Art. 6º Esta POSIC observa a legislação e normas específicas, destacando-se:

I - Lei nº 8.112, de 11 de dezembro de 1990, que dispõe sobre o regime jurídico dos servidores públicos civis da União, das autarquias e das fundações públicas federais;

II - Lei nº 8.159, de 08 de janeiro de 1991; que dispõe sobre a Política Nacional de Arquivos Públicos e Privados e dá outras providências;

III - Lei nº 9.983, de 14 de julho de 2000, que altera o Decreto-Lei nº 2.848, de 07 de dezembro de 1940 - Código Penal e dá outras providências;

IV - Decreto nº 3.505, de 13 de junho de 2000, que institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal;

V - Decreto nº 4.553, de 27 de dezembro de 2002, que dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado, no âmbito da Administração Pública Federal, e dá outras providências;

VI - Decreto nº 5.063, de 03 de maio de 2004, que aprova a Estrutura Regimental e o Quadro Demonstrativo dos Cargos em Comissão e das Funções Gratificadas do Ministério do Trabalho e Emprego, e dá outras providências;

VII - Decreto nº 5.482, de 30 de junho de 2005, que dispõe sobre a divulgação de dados e informações pelos órgãos e entidades da Administração Pública Federal, por meio da Rede Mundial de Computadores - Internet;

VIII - Decreto nº 6.029, de 1º de fevereiro de 2007, que institui o Sistema de Gestão da Ética do Poder Executivo Federal, e dá outras providências;

IX - Decreto nº 6.932, de 11 de agosto de 2009, que dispõe sobre a simplificação do atendimento público prestado ao cidadão, ratifica a dispensa do reconhecimento de firma em documentos produzidos no Brasil, institui a "Carta de Serviços ao Cidadão" e dá outras providências;

X - Portaria Interministerial nº 140, de 16 de março de 2006, que disciplina a divulgação de dados e informações pelos órgãos e entidades da Administração Pública Federal, por meio da rede mundial de computadores - Internet e dá outras providências;

XI - Portaria nº 1.177, de 30 de dezembro de 2008, que institui o Comitê de Segurança da Informação e Comunicações e designa o titular da Coordenação-Geral de Planejamento e Gestão Estratégica Gestor da Segurança da Informação e Comunicações no âmbito do MTE;

XII - Instrução Normativa GSI nº 1, de 13 de junho de 2008, que disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta, e dá outras providências;

XIII - Norma Complementar nº 03/IN01/DSIC/GSIPR, de 10 de junho de 2009, que estabelece as diretrizes, critérios e procedimentos para elaboração, institucionalização, divulgação e atualização da Política de Segurança da Informação e Comunicações nos órgãos e entidades da Administração Pública Federal, direta e indireta - APF;

XIV - Norma Complementar nº 04/IN01/DSIC/GSICPR, de 14 de agosto de 2009, que estabelece diretrizes para o processo de Gestão de Riscos de Segurança da Informação e Comunicações - GRSIC nos órgãos ou entidades da Administração Pública Federal, direta e indireta - APF;

XV - Norma Complementar nº 05/IN01/DSIC/GSICPR, de 14 de agosto de 2009, que disciplina a criação de Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais - ETIR nos órgãos e entidades da Administração Pública Federal, direta e indireta - APF; e

XVI - Normas ABNT NBR ISO/IEC 27001e 27002, que instituem o código de melhores práticas para gestão da segurança da informação.

Art. 7º Esta POSIC observa os seguintes princípios, assim definidos:

I - Responsabilidade: os servidores, colaboradores, estagiários, consultores externos e prestadores de serviço devem conhecer e respeitar todas as normas sobre Segurança da Informação e Comunicações do MTE;

II - Ética: os direitos dos servidores, colaboradores, estagiários, consultores externos e prestadores de serviço devem ser preservados, sem o comprometimento da Segurança da Informação e Comunicações;

III - Celeridade: as ações de segurança da informação e comunicações devem oferecer respostas rápidas a incidentes e falhas de segurança;

IV - Clareza: as regras de segurança dos ativos de tecnologia da informação, documentação e comunicações devem ser precisas, concisas e de fácil entendimento;

V - Privacidade: informação que fira o respeito à intimidade e à honra dos cidadãos não pode ser divulgada; e

VI - Publicidade: dar transparência no trato da informação, observados os critérios legais.

Art. 8º A Gestão da Segurança da Informação e Comunicações não se limita à tecnologia da informação e comunicações, compreendendo as ações e métodos que visam à integração das atividades de gestão de riscos, gestão de continuidade do negócio, tratamento de incidentes, tratamento da informação, conformidade, credenciamento, segurança cibernética, segurança física, segurança lógica, segurança orgânica e segurança organizacional aos processos institucionais estratégicos, operacionais e táticos.

Art. 9º Toda informação criada, adquirida ou custodiada pelo usuário, no exercício de suas atividades no MTE, é considerada um bem e propriedade do Ministério e deve ser protegida segundo as diretrizes descritas nesta Política e demais regulamentações em vigor.

Art. 10. A informação e comunicações devem ser protegidas de forma preventiva, com o objetivo de minimizar riscos às atividades e serviços do MTE.

Art. 11. Nos editais de licitação e nos contratos de empresas prestadoras de serviços com o MTE deverá constar cláusula específica sobre a obrigatoriedade de atendimento às normas desta POSIC, bem como deverá ser exigida, da empresa contratada e do prestador que venha laborar no MTE, a assinatura do Termo de Confidencialidade, conforme anexo.

§ 1º A empresa contratada também deverá demonstrar que possui mecanismos formais de segurança que assegurem o sigilo das informações.

§ 2º O disposto no caput deste artigo se aplica a consultores contratados e pesquisadores autorizados, remunerados ou não.

Art. 12. As informações criadas, armazenadas, manuseadas, transportadas ou descartadas no MTE devem ser classificadas segundo o grau de sigilo, criticidade e outros, conforme normas e legislação específica em vigor.

Parágrafo único. A Secretaria-Executiva regulamentará competências e procedimentos para classificação de informações segundo o grau de sigilo, obedecendo ao disposto nas normas específicas em vigor.

Art. 13. Todo usuário deve ser capaz de identificar a classificação atribuída a uma informação tratada pelo MTE e, a partir dela, conhecer e obedecer às restrições de acesso e divulgação associadas.

Art. 14. O MTE desenvolverá processo permanente de divulgação, sensibilização, conscientização e capacitação dos usuários sobre os cuidados e deveres relacionados à segurança da informação e comunicações.

Art. 15. As áreas responsáveis por ativos da informação devem implementar processo contínuo de Gestão de Riscos, o qual será aplicado na implementação e operação da Gestão de Segurança da Informação e Comunicações.

Art. 16. As áreas devem manter processo de gestão de continuidade das atividades e serviços do MTE, visando não permitir que estes sejam interrompidos e assegurar a sua retomada em tempo hábil, quando for o caso.

Art. 17. A resiliência do MTE contra possíveis interrupções de sua capacidade em atingir seus principais objetivos deve ser uma prática pró-ativa de todos os titulares de unidade administrativa, de forma a proteger a reputação e a imagem institucional do MTE.

Art. 18. Aprovado pelo Comitê de Segurança da Informação e Comunicações, a área de tecnologia da informação do MTE deverá manter Plano de Contingências, gradado de acordo com o grau de probabilidade de ocorrência do evento ou sinistro, estabelecendo o conjunto de estratégias e procedimentos que devem ser adotados em situações que comprometam o andamento normal dos processos e a conseqüente prestação dos serviços.

Parágrafo único. As medidas constantes do Plano de Contingências devem minimizar o impacto sofrido diante do acontecimento de situações inesperadas, desastres, falhas de segurança, entre outras, até que se retorne à normalidade.

Art. 19. A área de tecnologia da informação manterá Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais - ETIR, instituída pelo Comitê de Segurança da Informação e Comunicações, com a responsabilidade de receber, analisar e responder notificações e atividades relacionadas a incidentes de segurança em rede de computadores.

Art. 20. É expressamente proibido o acesso, guarda e encaminhamento de material não ético, discriminatório, malicioso, obsceno ou ilegal, por intermédio de quaisquer dos meios e recursos de comunicações disponibilizados pelo MTE.

Art. 21. A área de tecnologia da informação manterá registros e procedimentos, como trilhas de auditoria e outros que assegurem o rastreamento, acompanhamento, controle e verificação de acessos a todos os sistemas corporativos e rede interna do MTE.

Art. 22. As regras de controle de acesso a todo sistema corporativo, Intranet, informações e dados do MTE deverão ser definidas em norma interna específica.

Art. 23. O acesso às instalações do MTE deverá ser regulamentado com o objetivo de garantir a segurança dos servidores e a proteção dos seus ativos.

Art. 24. O correio eletrônico é um meio de comunicação corporativa do MTE.

§ 1º As regras de acesso e utilização de e-mail @mte.gov.br devem atender às orientações desta POSIC, norma interna específica e demais diretrizes do Governo.

§ 2º A área de tecnologia deverá manter os controles do uso e cancelamento de acesso ao correio eletrônico.

Art. 25. O acesso à rede mundial de computadores - Internet, no ambiente de trabalho, deverá ser regido por norma interna, atendendo esta POSIC e demais orientações governamentais e legislação em vigor.

Art. 26. O uso da telefonia fixa e móvel e outros meios de telecomunicação no MTE deverá ser regido por norma interna, em conformidade com esta POSIC e legislação específica.

Art. 27. Por questão de segurança, é obrigatório o uso de crachá de identificação em todos os ambientes e instalações do MTE.

Art. 28. O usuário responderá disciplinar, civil e/ou penalmente pelo prejuízo que vier a ocasionar ao MTE, em decorrência do descumprimento das regras previstas nesta POSIC e demais normas internas e legislação vigente.

Art. 29. A desobediência às normas estabelecidas implicará na aplicação das sanções previstas em regulamentações internas e legislação em vigor.

Art. 30. Compete a CGPGE dar o suporte administrativo necessário à gestão da POSIC.

Art. 31. O usuário é responsável pela segurança dos ativos e processos que estejam sob sua responsabilidade e por todos os atos executados com suas identificações, tais como: crachá, login, senha eletrônica, certificado digital e endereço de correio eletrônico.

Parágrafo único. A identificação do usuário deve ser pessoal e intransferível, qualquer que seja a forma, permitindo de maneira clara e irrefutável o seu reconhecimento.

Art. 32. Independentemente da adoção de outras medidas, o titular da unidade administrativa deverá, de imediato, comunicar todo incidente de segurança que ocorra no âmbito de suas atividades ao Comitê de Segurança da Informação e Comunicações - CSIC, mediante o envio de relatório circunstanciado.

Art. 33. No caso de incidente em redes de computadores, o comunicado deve ser feito à Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais - ETIR do MTE.

Art. 34. É dever do Agente Público do MTE conhecer e zelar pelo cumprimento desta Política de Segurança da Informação e Comunicações.

Art. 35. Quando for o caso, o titular da unidade administrativa do MTE providenciará autorização relativa à cessão de direitos sobre as informações de terceiros, antes de utilizá-las.

Art. 36. A cessão de informação do MTE a terceiros, deverá ser submetida, previamente à autorização do Titular desta Pasta.

Art. 37. Após a publicação desta POSIC, deverá ser dada ampla divulgação a todos os servidores e colaboradores do MTE, inclusive com publicação permanente na página da Intranet do MTE.

Parágrafo único. Cabe ao Gestor de Segurança da Informação e Comunicações providenciar a divulgação interna desta POSIC.

Art. 38. Na apresentação de prestador de serviços contratado será entregue um exemplar desta POSIC, bem como colhida a assinatura do Termo de Confidencialidade, conforme anexo.

Art. 39. Ao servidor será exigida a confirmação de conhecimento desta POSIC, quando do acesso à rede do MTE.

Art. 40. Esta POSIC deverá ser revisada e atualizada, no máximo, a cada dois anos, a contar da data de sua publicação.

Art. 41. As áreas têm prazo de noventa dias, a contar da publicação desta POSIC, para submeterem ao Comitê de Segurança da Informação e Comunicações - CSIC proposta de atualização ou criação das normas internas complementares e específicas sobre segurança da informação e comunicações.

Art. 42. Esta POSIC entra em vigor na data de sua publicação.

CARLOS ROBERTO LUPI

Eu _________________________, portador do RG nº _____________________________, CPF _________________________, residente e domiciliado na _____________, cidade de _______________________/_____________, CEP ___________________, assumo o compromisso de manter a confidencialidade de toda documentação, informação e dados a que tenho acesso em razão de minha prestação de serviços objeto de contrato com o Ministério do Trabalho e Emprego - MTE, inclusive após o término do contrato. Comprometo-me a guardar sigilo absoluto, e não divulgar, revelar, ou reproduzir, por quaisquer meios, documentações, informações e dados pertencentes ao MTE. Estou ciente que o descumprimento deste termo acarretará responsabilização civil e criminal.

___________________, _____de ___________ de 20_____

_________________________________________________

Assinatura

(*) Republicada por ter saído, no DOU de 14.06.2010, Seção 1, págs. 126 a 128, com incorreção no original.