A Secretária de Orçamento Federal, no exercício de suas atribuições legais, considerando o disposto no art. 5º, inciso VII, da Instrução Normativa GSI/PR nº 1, de 13 de junho de 2008 ,

Resolve:

Art. 1º Regulamentar a Política de Segurança da Informação e Comunicação - PoSIC, no âmbito desta Secretaria, na forma do Anexo desta Portaria.

Art. 2º Esta Portaria entra em vigor na data de sua publicação

CÉLIA CORRÊA

Art. 1º O presente documento tem por objetivo instituir a Política de Segurança da Informação e Comunicação - PoSIC, no âmbito da Secretaria de Orçamento Federal - SOF.

Art. 2º A PoSIC objetiva garantir a disponibilidade, integridade, confidencialidade e autenticidade das informações produzidas ou custodiadas pela SOF.

Art. 3º O órgão observará as diretrizes, as normas, os procedimentos, os mecanismos, as competências e as responsabilidades estabelecidos nesta PoSIC.

Art. 4º Integram também a PoSIC as normas e os procedimentos complementares destinados à proteção da informação e à disciplina de sua utilização.

Art. 5º As diretrizes de Segurança da Informação e Comunicação - SIC consideram, prioritariamente, objetivos estratégicos, processos, requisitos legais e a estrutura da SOF.

Art. 6º A Gestão de Segurança da Informação e Comunicação - GSIC deverá apoiar e orientar a tomada de decisões institucionais e otimizar investimentos em segurança que visem à eficiência, eficácia e efetividade das atividades de SIC.

Art. 7º As diretrizes, normas complementares e manuais de procedimentos da PoSIC aplicam-se a servidores, prestadores de serviço, colaboradores, estagiários, consultores externos e outros que executem atividades vinculadas à SOF.

Parágrafo único. Todos deverão ser responsáveis e estar comprometidos com a SIC.

Art. 8º Os acordos de cooperação, contratos, convênios e outros instrumentos do mesmo gênero, celebrados com a SOF, observarão o disposto nesta PoSIC.

Art. 9º Esta política também se aplica, no que couber, no relacionamento da SOF com outros órgãos e entidades públicos ou privados.

Art. 10. No âmbito da PoSIC, considera-se:

I - ameaça: evento que tem potencial para comprometer os objetivos da organização por meio de danos diretos aos ativos físicos ou de informação ou prejuízos decorrentes de situações inesperadas;

II - ativos de informação: os meios de produção, armazenamento, transmissão e processamento de informações, os sistemas de informação, além das informações em si, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso;

III - autenticidade: propriedade de que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade;

IV - capacitação em SIC: saber o que é segurança da informação e comunicação, e sua aplicação para uso na rotina pessoal e profissional, servindo como multiplicador do tema e aplicando os conceitos e procedimentos na organização como gestor de SIC;

V - classificação da informação: identificação de quais são os níveis de proteção que as informações demandam e o estabelecimento de classes e formas de como identificá-las, além de determinar os controles de proteção necessários a cada uma delas;

VI - Comissão de Gestão da Informação - CGI: colegiado de caráter deliberativo responsável pela normatização e supervisão da gestão da informação, bem como pela gestão de SIC, no âmbito da SOF;

VII - Comitê de Segurança da Informação e Comunicação - CSIC: colegiado de caráter deliberativo responsável pela normatização e supervisão da segurança da informação e comunicação, no âmbito do Ministério do Planejamento, Orçamento e Gestão - MP;

VIII - confidencialidade: propriedade de que a informação não esteja disponível ou revelada a pessoa física ou jurídica, sistema, órgão ou entidade não autorizado e credenciado;

IX - conscientização em SIC: saber o que é segurança da informação e comunicação, e sua aplicação para uso pessoal e profissional, além de habilitar o usuário como multiplicador sobre o tema;

X - controle de acesso: conjunto de procedimentos, recursos e meios utilizados com a finalidade de permitir ou bloquear o acesso;

XI - custodiante do ativo de informação: é aquele que, de alguma forma, zela pelo armazenamento, pela operação, administração e preservação de ativos de informação que não lhe pertencem, mas que estão sob sua custódia;

XII - disponibilidade: propriedade de que a informação esteja acessível e utilizável, sob demanda, por uma pessoa física ou determinado sistema, órgão ou entidade;

XIII - equipe de tratamento e resposta a incidentes em redes computacionais - ETIR: grupo de pessoas com a responsabilidade de receber, analisar e responder às notificações e atividades relacionadas a incidentes de segurança em redes de computadores;

XIV - estrutura de gestão de segurança da informação e comunicação: grupo responsável pela gestão e execução da SIC no âmbito da SOF;

XV - gestão de ativos: processo de identificação dos ativos e de definição de responsabilidades pela manutenção apropriada dos controles desses ativos;

XVI - gestão de continuidade dos negócios: processo abrangente de gestão que identifica ameaças potenciais para uma organização e os possíveis impactos nas operações de negócio, caso essas ameaças se concretizem. Esse processo fornece a estrutura para que se desenvolva a resiliência organizacional que seja capaz de responder efetivamente a ameaças e a salvaguardar os interesses das partes interessadas, a reputação e a marca da organização e suas atividades de valor agregado;

XVII - gerenciamento de operações e comunicações: atividades, processos, procedimentos e recursos que visam disponibilizar e manter serviços, sistemas e infraestrutura que os suporta, satisfazendo os acordos de níveis de serviço;

XVIII - gestão de riscos de segurança da informação e comunicação - GRSIC: conjunto de processos contínuos que permitem identificar e implementar as medidas de proteção necessárias para minimizar ou eliminar os riscos a que estão sujeitos os ativos de informação e equilibrá-los com os custos operacionais e financeiros envolvidos;

XIX - gestão de segurança da informação e comunicação - GSIC: ações e métodos que visam à integração das atividades de gestão de riscos, gestão de continuidade do negócio, tratamento de incidentes, tratamento da informação, conformidade, credenciamento, segurança cibernética, física, lógica, orgânica e organizacional aos processos institucionais estratégicos, operacionais e táticos, não se limitando, portanto, no âmbito da tecnologia da informação e comunicação;

XX - gestor dos ativos de informação: unidade administrativa responsável por gerenciar determinado segmento de informação e todos os ativos relacionados;

XXI - gestor de SIC: servidor titular da Coordenação Geral de Tecnologia e da Informação da Secretaria-Adjunta de Gestão Corporativa - CGTEC/SEAGE, responsável pela GSIC no âmbito da SOF;

XXII - incidente de SIC: evento que tenha causado algum dano, colocado em risco algum ativo de informação crítico ou interrompida a execução de alguma atividade crítica por um período inferior ao tempo objetivo de recuperação;

XXIII - informação: conjunto de dados, textos, imagens, métodos, sistemas ou quaisquer formas de representação dotadas de significado em determinado contexto, independentemente do suporte em que resida ou da forma pela qual seja veiculado;

XXIV - infraestrutura de tecnologia da informação: instalações prediais (energia, água, climatização, acesso físico), computadores e equipamentos, software, redes e telecomunicações, sistemas de armazenamento e recuperação de dados (arquivos e armazenamento), aplicações computacionais, cabeamento e rede telefônica;

XXV - integridade: propriedade de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental;

XXVI - quebra de segurança: ação ou omissão, intencional ou acidental, que resulta no comprometimento da SIC;

XXVII - recursos criptográficos: sistemas, programas, processos e equipamento isolado ou em rede que utilizam algoritmo simétrico ou assimétrico para realizar a cifração ou decifração;

XXVIII - risco de SIC: potencial associado à exploração de uma ou mais vulnerabilidades de um ativo de informação ou de um conjunto de tais ativos, por uma ou mais ameaças, com impacto negativo no negócio da organização;

XXIX - segurança física e do ambiente: processo que trata da proteção dos ativos físicos da instituição, englobando instalações físicas, internas e externas, nas localidades em que a organização está presente;

XXX - sensibilização em SIC: saber o que é segurança da informação e comunicação, de forma a aplicá-la nas rotinas pessoal e profissional;

XXXI - terceiros: quaisquer pessoas, físicas ou jurídicas, de natureza pública ou privada, externas à SOF;

XXXII - tratamento de incidentes: serviço que consiste em receber, filtrar, classificar e responder às solicitações e alertas e realizar as análises dos incidentes de segurança, procurando extrair informações que permitam impedir a continuidade da ação maliciosa e também a identificação de tendências;

XXXIII - tratamento da informação: recepção, produção, reprodução, utilização, acesso, transporte, transmissão, distribuição, armazenamento, eliminação e controle da informação, inclusive as sigilosas; e

XXXIV - vulnerabilidade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.

Art. 11. A PoSIC obedecerá aos princípios constitucionais, administrativos e ao arcabouço legislativo vigente que regem a Administração Pública Federal.

Art. 12. Fica instituída a estrutura organizacional de GSIC da SOF, composta pela CGI e pela área de SIC vinculada à CGTEC/SEAGE, as quais serão solidariamente responsáveis pelas seguintes atividades:

I - executar os processos de SIC;

II - desenvolver, implementar e monitorar estratégias de segurança que atendam aos objetivos estratégicos da SOF;

III - avaliar, selecionar, administrar e monitorar controles apropriados de proteção dos ativos de informação;

IV - desenvolver ações de conscientização dos usuários a respeito da implementação desses controles;

V - fornecer subsídios visando à verificação de conformidade de SIC; e

VI - promover a melhoria contínua nos processos e controles de GSIC.

Parágrafo único. A estrutura de GSIC deverá definir um Plano de SIC para a SOF.

Art. 13. A estrutura de GSIC da SOF compartilhará o sistema de registro de incidentes com a ETIR do MP.

Art. 14. Os membros da estrutura de GSIC da SOF serão regularmente capacitados nas disciplinas relacionadas à SIC.

Art. 15. A GSIC auxiliará a alta administração na priorização de ações e investimentos com vistas à correta aplicação de mecanismos de proteção, tendo como base as exigências estratégicas e necessidades operacionais prioritárias da SOF e as implicações que os níveis de segurança estipulados poderão trazer ao cumprimento dessas exigências.

Art. 16. A estrutura de GSIC da SOF planejará medidas de proteção e balanceará os custos na aplicação de controles, de acordo com os danos potenciais de falhas de segurança.

Art. 17. A SOF, além das diretrizes estabelecidas nesta PoSIC, orientar-se-á pelas melhores práticas e procedimentos de SIC recomendados por órgãos e entidades públicas e privadas responsáveis pelo estabelecimento de padrões no tema.

Art. 18. É vedado comprometer a autenticidade, a integridade, a confidencialidade ou a disponibilidade das informações criadas, manuseadas, armazenadas, transportadas, descartadas ou custodiadas pela SOF.

Art. 19. Todos os sistemas de informação da SOF, automatizados ou não, terão um gestor formalmente designado pela CGI ou pelo titular da SOF.

Parágrafo único. A não designação pressupõe que o gestor é o titular da CGTEC/SEAGE.

Art. 20. O custodiante do ativo de informação será formalmente designado pelo gestor do ativo de informação.

Parágrafo único. A não designação pressupõe que o custodiante é o próprio gestor.

Art. 21. Os contratos firmados pela SOF conterão cláusulas que determinem a observância da PoSIC e seus respectivos documentos.

Art. 22. Os ativos de informação devem:

I - ser inventariados e protegidos;

II - ter identificados os seus gestores e custodiantes;

III - ter mapeadas as suas ameaças, vulnerabilidades e interdependências;

IV - ser passíveis de monitoramento e ter seu uso investigado quando houver indícios de quebra de segurança, por meio de mecanismos que permitam a rastreabilidade do uso desses ativos; e

V - ser utilizados estritamente dentro do seu propósito, sendo vedado seu uso para fins particulares ou de terceiros, entretenimento, veiculação de opiniões político-partidárias, religiosas, discriminatórias e afins.

Art. 23. Os gestores da informação devem estabelecer regras e mecanismos que visem à manutenção de uma base de conhecimento sobre a realização de atividades na SOF, observadas as normas de SIC.

Art. 24. Devem ser estabelecidos processos permanentes de conscientização, capacitação e sensibilização em segurança da informação, que alcancem todos os usuários da SOF, de acordo com suas competências funcionais.

Parágrafo único. Os usuários da SOF devem ser sensibilizados e conscientizados para respeitar e apoiar esta PoSIC durante os seus trabalhos normais.

Art. 25. A SOF deverá criar, gerir e avaliar critérios de tratamento e classificação da informação de acordo com o sigilo requerido, relevância, criticidade e sensibilidade, observando a legislação em vigor.

Art. 26. As informações produzidas por usuários internos e colaboradores, no exercício de suas funções, são patrimônio intelectual da SOF e não cabe a seus criadores qualquer forma de direito autoral.

Art. 27. É vedada a utilização de informações produzidas por terceiros, para uso exclusivo da SOF, em quaisquer outros projetos ou atividades de uso diverso do estabelecido pela Secretaria, salvo se houver autorização específica do titular da SOF, nos processos e documentos de sua competência, ou do titular do MP, nos demais casos.

Art. 28. Todos os eventos com potencial impacto à SIC deverão ser comunicados à estrutura de GSIC da SOF, por meio da área responsável da CGTEC/SEAGE.

Art. 29. A estrutura de GSIC estabelecerá processos de GRSIC que possibilitem identificar ameaças e reduzir vulnerabilidades e impactos dos ativos de informação.

Art. 30. A GRSIC deverá ser aplicada na implementação e operação da GSIC, tanto em planejamento, execução e análise crítica quanto em melhoria da SIC na SOF.

Art. 31. Os sistemas de informação, as aplicações, os recursos tecnológicos e as instalações de infraestrutura da SOF deverão ser protegidos contra indisponibilidade, alterações, acessos indevidos, falhas e interrupções não programadas.

Art. 32. A estrutura de GSIC estabelecerá:

I - mecanismos de proteção às instalações físicas e áreas de processamento de informações críticas ou sensíveis contra acesso indevido, danos e interferências; e

II - parâmetros adequados, relacionados à SIC, para a disponibilização dos serviços, sistemas e infraestrutura que os apoiam.

Art. 33. Deverão ser criados mecanismos para garantir a exatidão dos registros de auditoria nos ativos de informação.

Art. 34. Deverá ser realizada, com periodicidade mínima anual, verificação de conformidade das práticas de SIC da SOF com esta PoSIC e suas normas e procedimentos complementares, bem como com a legislação específica de SIC.

Parágrafo único. Nenhuma unidade administrativa da Secretaria poderá permanecer sem verificação de conformidade de suas práticas de SIC por um período superior a 2 (dois) anos.

Art. 35. A verificação de conformidade deverá ser realizada:

I - também, nos contratos, convênios, acordos de cooperação e outros instrumentos do mesmo gênero celebrados com a SOF; e

II - de forma planejada, mediante calendário de ações proposto pela estrutura de GSIC da SOF.

Art. 36. A execução da verificação de conformidade será realizada pela estrutura de GSIC e poderá ser subcontratada no todo ou em parte.

Art. 37. É vedado ao prestador de serviços executar a verificação da conformidade dos próprios serviços prestados.

Art. 38. A identificação do usuário, qualquer que seja o meio e a forma, é pessoal e intransferível e deve permitir, de maneira clara e inequívoca, o seu reconhecimento.

Art. 39. O usuário é responsável por todos os atos praticados com suas identificações, tais como nome de usuário/senha, crachá, carimbo, correio eletrônico e assinatura digital.

Art. 40. A autorização, o acesso e o uso das informações e dos recursos computacionais:

I - serão controlados e limitados ao necessário, considerando as atribuições de cada usuário;

II - estarão condicionados ao aceite a termo de sigilo e responsabilidade; e

III - dependerão de prévia autorização do gestor da área responsável pela informação.

Art. 41. A definição dos privilégios de acesso às informações será estabelecida pelo gestor do ativo.

Art. 42. Sempre que houver mudança nas atribuições de determinado usuário, os seus privilégios de acesso às informações e aos recursos computacionais deverão ser adequados imediatamente ou cancelados em caso de desligamento da SOF.

Art. 43. Os equipamentos de informática, notebooks, netbooks e tablets deverão ter a sua entrada e saída nas dependências da SOF autorizadas e registradas por autoridade competente.

Art. 44. O acesso à rede sem fio da SOF será regulamentado por meio de norma operacional específica.

Art. 45. O uso de Correio Eletrônico Corporativo observará o disposto na Norma Operacional SPOA/MP/Nº 002, de 8 de maio de 2007.

Art. 46. Deverão ser adotados controles de SIC no acesso à Internet, e seu uso está sujeito a monitoramento.

Parágrafo único. A Política de Uso Aceitável da Internet será regulamentada por norma operacional específica, a ser editada em até 6 (seis) meses a partir da publicação desta Portaria.

Art. 47. O usuário é responsável pelo recurso criptográfico que receber e assinará Termo de Responsabilidade pelo seu uso.

Art. 48. A estrutura de GSIC estabelecerá critérios e metodologia de segurança para desenvolvimento de sistemas de informação, de forma a abranger todas as fases do ciclo de desenvolvimento e atividades de manutenção.

Art. 49. O processo de aquisição de sistemas e aplicações corporativas atenderá os requisitos de segurança previstos em norma específica.

Art. 50. Os acordos de nível de serviço serão compatíveis com padrões de mercado e requisitos de segurança.

Art. 51. Nos casos de obtenção de informações de terceiros, o gestor da área, na qual a informação será utilizada, providenciará junto ao cedente, se necessário, a documentação formal relativa à cessão de direitos sobre informações de terceiros antes de seu uso.

Art. 52. Os acordos com terceiros poderão incluir, quando necessário e justificado, permissão para acesso de outras partes, desde que expressamente autorizado pela SOF.

Art. 53. Todos os contratos, convênios, acordos e outros instrumentos do mesmo gênero conterão cláusulas que estabeleçam a obrigatoriedade de observância desta PoSIC.

Parágrafo único. O contrato, convênio, acordo ou instrumento do mesmo gênero deverá prever a obrigação da outra parte de divulgar esta PoSIC e suas normas complementares aos seus empregados e prepostos envolvidos em atividades na SOF.

Art. 54. Os investimentos em SIC serão realizados de forma planejada e consolidados em um plano de investimentos.

Art. 55. O plano de investimentos em SIC será:

I - elaborado com base na priorização dos riscos a serem tratados, com base em método que considere, no mínimo, a probabilidade e o impacto do risco; e

II - aprovado pela CGI/SOF, mediante recomendação proposta pela estrutura de GSIC.

Art. 56. Ações que violem a PoSIC ou quaisquer de suas diretrizes, normas e procedimentos ou que quebrem os controles de SIC serão devidamente apuradas e aplicadas aos responsáveis as sanções penais, administrativas e civis em vigor.

Art. 57. Compete ao titular da SOF, ou a seu substituto, aprovar as atualizações da PoSIC.

Art. 58. Compete ao Gestor de SIC:

I - promover cultura de segurança da informação e Comunicação;

II - acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança;

III - propor recursos necessários às ações de SIC;

IV - realizar e acompanhar estudos de novas tecnologias, quanto a possíveis impactos na SIC;

V - propor normas relativas à SIC;

VI - manter lista atualizada dos gestores dos ativos de informação com seus respectivos ativos; e

VII - prover à CGI, quando necessário, as informações pertinentes à Gestão de SIC no âmbito da SOF.

Art. 59. Compete à CGI:

I - normatizar e supervisionar a SIC no âmbito da SOF;

II - constituir grupos de trabalho multidisciplinares para tratar de temas e propor soluções específicas sobre SIC;

III - propor alterações na PoSIC;

IV - solicitar apurações quando houver suspeita de ocorrências de quebras de SIC;

V - avaliar, revisar e analisar criticamente a PoSIC e suas normas complementares;

VI - dirimir eventuais dúvidas e deliberar sobre assuntos relativos à PoSIC da SOF; e

VII - aprovar o plano de investimentos em SIC da SOF.

Art. 60. Compete à área de segurança da CGTEC/SEAGE:

I - manter contato direto com o Comitê de Segurança de Informação e Comunicação do MP (CSIC-MP) para o trato de assuntos relativos à SIC;

II - prover ao Gestor de SIC da SOF, quando necessário, todas as informações pertinentes à GSIC;

III - propor normas relativas à SIC;

IV - facilitar e coordenar as atividades de tratamento e resposta a incidentes de segurança;

V - atuar na recuperação de sistemas, quando da ocorrência de quebra de segurança;

VI - agir proativamente com o intuito de evitar que ocorram incidentes de segurança, divulgando práticas e recomendações de SIC e avaliando condições de segurança de redes por meio de verificações de conformidade;

VII - realizar ações reativas que incluem recebimento de notificações de incidentes, orientação de equipes no reparo a danos e análise de sistemas comprometidos buscando causas, danos e responsáveis;

VIII - analisar ataques e intrusões na rede da SOF;

IX - executar ações necessárias para tratar quebras de segurança;

X - obter informações quantitativas acerca dos incidentes ocorridos e descrever sua natureza, causas, data de ocorrência, frequência e custos resultantes;

XI - cooperar com a ETIR do MP e, eventualmente, com outras equipes de Tratamento e Resposta a Incidentes; e

XII - participar em fóruns, redes e seminários nacionais e internacionais relativos à SIC.

Art. 61. Compete ao Gestor do Ativo de Informação:

I - garantir a segurança dos ativos de informação sob sua responsabilidade;

II - definir e gerir os requisitos de segurança para os ativos de informação sob sua responsabilidade, em conformidade com esta PoSIC e suas normas relacionadas;

III - conceder e revogar acessos aos ativos de informação;

IV - comunicar à área de segurança da CGTEC/SEAGE a ocorrência de incidentes de SIC, bem como participar de sua investigação, quando necessário; e

V - designar custodiante dos ativos de informação sob sua responsabilidade, quando aplicável.

Art. 62. Compete ao Custodiante do Ativo de Informação proteger e manter as informações, bem como controlar o acesso, conforme requisitos definidos pelo gestor da informação e em conformidade com esta PoSIC.

Art. 63. Compete aos titulares das unidades organizacionais da SOF:

I - cumprir e fazer cumprir esta PoSIC e suas normas relacionadas;

II - assegurar que suas equipes possuam acesso à PoSIC, bem como às normas e aos procedimentos relacionados;

III - tomar medidas administrativas necessárias para que sejam aplicadas ações corretivas nos casos de comprometimento da SIC por parte dos usuários sob sua supervisão;

IV - informar à área de Recursos Humanos da SOF a movimentação de pessoal de sua unidade;

V - autorizar, de acordo com a legislação vigente, a divulgação das informações produzidas na sua unidade organizacional; e

VI - comunicar à área de segurança da CGTEC/SEAGE os casos de quebra de segurança.

Art. 64. Compete a terceiros e fornecedores, conforme previsto em contrato:

I - cumprir e fazer cumprir, no que lhes couber, o disposto nesta PoSIC e suas normas relacionadas;

II - fornecer listas atualizadas da documentação dos ativos, licenças, acordos ou direitos relacionados aos ativos de informação objetos do contrato; e

III - fornecer a documentação dos sistemas, produtos, serviços relacionados às suas atividades.

Art. 65. Compete aos usuários:

I - difundir e exigir o cumprimento da PoSIC, das normas de segurança e da legislação vigente acerca do tema;

II - conhecer e cumprir os princípios, diretrizes e responsabilidades desta PoSIC, bem como os demais normativos e as resoluções relacionados à SIC;

III - obedecer aos requisitos de controle especificados pelos gestores e custodiantes da informação; e

IV - comunicar os incidentes que afetam a segurança dos ativos de informação e comunicação à sua chefia imediata ou à área de segurança da CGTEC/SEAGE.

Art. 66. Compete à área de Recursos Humanos da SOF informar prontamente à CGTEC/SEAGE os desligamentos, os afastamentos e as modificações no quadro funcional.

Art. 67. Esta PoSIC, bem como os documentos gerados a partir dela, deverão ser atualizados anualmente, ou por deliberação da CGI.

Art. 68. Esta PoSIC foi elaborada com base os dispositivos legais e nas normas técnicas relacionados:

I - no Quadro I - Quadro de dispositivos legais de caráter federal aplicáveis à SIC;

II - no Quadro II - Quadro de legislação específica de caráter federal relacionada à SIC; e

III - no Quadro III - Quadro de normas técnicas relacionadas à SIC.

Quadro I - Quadro de dispositivos legais de caráter federal aplicáveis à SIC

Quadro II - Quadro de legislação específica de caráter federal relacionada à SIC

Quadro III - Quadro de normas técnicas relacionadas à SIC