Nota:
1) Revogada pela Portaria MP nº 27, de 03.02.2012, DOU 06.02.2012 .

2) Redação Anterior:

O Ministro de Estado do Planejamento, Orçamento e Gestão, no uso das atribuições que lhe confere o Decreto nº 7.063, de 10 de janeiro de 2010 , e considerando o disposto no inciso VII do art. 5º da Instrução Normativa GSI/PR nº 01, de 13 de junho de 2008 ,

Resolve:

Art. 1º Fica instituída, na forma do Anexo, a Política de Segurança da Informação e Comunicações - POSIC no âmbito do Ministério do Planejamento, Orçamento e Gestão, que estabelece as diretrizes, critérios e suporte administrativo e define o tratamento que deve ser dado às informações produzidas, processadas ou transmitidas e armazenadas no ambiente convencional ou no ambiente de tecnologia deste Ministério.

Art. 2º Esta Portaria entra em vigor na data de sua publicação.

PAULO BERNARDO SILVA

1. OBJETIVO

A Política de Segurança da Informação e Comunicações - POSIC tem por objetivo estabelecer as diretrizes para o tratamento que deve ser dado às informações produzidas, processadas ou transmitidas e armazenadas no ambiente convencional ou de tecnologia do Ministério do Planejamento, Orçamento e Gestão.

2. DEFINIÇÕES

I - ativo de informação: patrimônio composto por todos os dados, informações e conhecimentos obtidos, gerados e manipulados durante a execução dos sistemas e processos de trabalho do Ministério;

II - política de segurança da informação e comunicações: instrumento por meio do qual se estabelece as diretrizes, critérios e suporte administrativo necessário à segurança da informação e comunicações no Ministério;

III - gestor de segurança da informação e comunicações: servidor designado pela Secretaria-Executiva responsável pelas ações de segurança da informação e comunicações no âmbito do Ministério;

IV - comitê de segurança da informação e comunicações: colegiado vinculado à Secretaria-Executiva com a responsabilidade de assessorar a implementação das ações de segurança da informação e comunicações no âmbito do Ministério; e

V - equipe de tratamento e resposta a incidentes em redes computacionais: grupo instituído pelo Departamento Setorial de Tecnologia da Informação da Secretaria de Logística e Tecnologia da Informação com a responsabilidade de receber, analisar e responder as notificações e atividades relacionadas a incidentes de segurança em computadores.

3. PRINCÍPIOS

I - garantia ao direito pessoal e coletivo à intimidade e ao sigilo da correspondência e das comunicações individuais;

II - proteção dos dados, informações e conhecimentos produzidos no Ministério classificados como sigilosos; e

III - proteção e controle da informação, independente de seu suporte, como instrumento de apoio à Administração e como elemento comprobatório de suas ações.

4. DIRETRIZES

I - preservação da disponibilidade, integridade, confiabilidade e autenticidade dos dados, informações e conhecimentos que compõem o ativo da informação do Ministério;

II - continuidade das atividades;

III - economicidade da proteção dos ativos de informação;

IV - pessoalidade e utilidade do acesso aos ativos de informação; e

V - responsabilização do usuário pelos atos que comprometam a segurança do sistema da informação.

5. ABRANGÊNCIA

Os servidores, estagiários, colaboradores, consultores externos e demais agentes públicos ou particulares que, por força de convênios, protocolos, acordos de cooperação e instrumentos congêneres, executem atividades vinculadas ao Ministério, são responsáveis pela observância e cumprimento das normas de segurança da informação e comunicações.

6. REGRAS GERAIS

I - os dados, informações, documentos e materiais sigilosos deverão ter acesso restrito conforme seu grau de sigilo;

II - as ações para garantir a disponibilidade, integridade, confidencialidade e autenticidade das informações, serviços, sistemas de informação e recursos computacionais deverão considerar os critérios relativos à gestão de riscos e à gestão de continuidade dos negócios;

III - a aquisição e/ou contratação de serviços relativos a recursos computacionais deverá conter cláusulas de segurança em seus contratos;

IV - o nível, a complexidade e os custos das ações de segurança da informação e comunicações no Ministério serão adequados ao entendimento administrativo e ao valor do ativo a proteger; e

V - os procedimentos relacionados à segurança do ambiente físico, do ambiente lógico e à gestão de riscos, incidentes e continuidade do negócio deverão ser normatizados pelo Comitê de Segurança da Informação e Comunicações do Ministério, em articulação com as unidades administrativas competentes e sob orientação da Coordenação de Modernização Administrativa da Subsecretaria de Planejamento, Orçamento e Administração.

7. DISPOSIÇÕES FINAIS

I - os instrumentos normativos gerados a partir da POSIC deverão ser revisados sempre que se fizer necessário, não devendo exceder o período máximo de um ano;

II - os servidores, consultores externos, estagiários e prestadores de serviço no Ministério deverão tomar ciência das normas de segurança da informação e comunicações para o pleno desempenho de suas atribuições; e

III - o descumprimento ou violação da Política de Segurança da Informação e Comunicações do Ministério poderá resultar na aplicação de sanções administrativas, penais e civis.

8. REFERÊNCIAS

I - Decreto-Lei nº 2.848, de 7 de dezembro de 1940 - Código Penal ;

II - Lei nº 9.610, de 19 de fevereiro de 1998 , que altera, atualiza e consolida a legislação sobre direitos autorais;

III - Decreto nº 3.505, de 13 de julho de 2000 , que institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal;

IV - Decreto nº 4.553, de 27 de dezembro de 2002 , que dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse de segurança da sociedade e do estado, no âmbito da Administração Pública Federal, e dá outras providências;

V - Instrução Normativa GSI nº 01, de 13 de julho de 2008 , que disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública federal;

VI - Portaria GM/MP nº 145, de 11 de maio de 2007 , que constitui a Comissão Permanente de Avaliação de Documentos Sigilosos do Ministério do Planejamento, Orçamento e Gestão - CPADS/MP, alterada pela Portaria GM/MP nº 312, de 14 de setembro de 2007 ;

VII - NBR/ISO/IEC 27001/2005, que institui o código de melhores práticas para gestão de segurança da informação;

VIII - NBR/ISO/IEC 27001/2006, que estabelece os elementos de um Sistema de Gestão de Segurança da Informação;

XI - NBR/ISO 15408/2008, que estabelece as especificações de requisitos de segurança funcional, atualizada em 2009; e

X - NBR/ISO 15489.1/2001 e 15489.2/2001, que trata da gestão de documentos, atualizada em 2006.