4250. Definir políticas de responsabilidades para a gestão da segurança da informação
14251. A organização dispõe de uma política de segurança da informação (1).
Fundamentação:
1 
BRASIL. Presidência da República. Decreto nº 9.637, de 26 de dezembro de 2018.
• Art. 1º Fica instituída a Política Nacional de Segurança da Informação - PNSI, no âmbito da administração pública federal, com a finalidade de assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação a nível nacional. [...] Art. 5º São instrumentos da PNSI: I - a Estratégia Nacional de Segurança da Informação; e II - os planos nacionais. [...] Art. 15. Aos órgãos e às entidades da administração pública federal, em seu âmbito de atuação, compete: I - implementar a PNSI; II - elaborar sua política de segurança da informação e as normas internas de segurança da informação, observadas as normas de segurança da informação editadas pelo Gabinete de Segurança Institucional da Presidência da República; III - designar um gestor de segurança da informação interno, indicado pela alta administração do órgão ou da entidade; IV - instituir comitê de segurança da informação ou estrutura equivalente, para deliberar sobre os assuntos relativos à PNSI; V - destinar recursos orçamentários para ações de segurança da informação; VI - promover ações de capacitação e profissionalização dos recursos humanos em temas relacionados à segurança da informação; VII - instituir e implementar equipe de tratamento e resposta a incidentes em redes computacionais, que comporá a rede de equipes formada pelos órgãos e entidades da administração pública federal, coordenada pelo Centro de Tratamento de Incidentes de Redes do Governo do Gabinete de Segurança Institucional da Presidência da República; VIII - coordenar e executar as ações de segurança da informação no âmbito de sua atuação; IX - consolidar e analisar os resultados dos trabalhos de auditoria sobre a gestão de segurança da informação; e X - aplicar as ações corretivas e disciplinares cabíveis nos casos de violação da segurança da informação. § 1º O comitê de segurança da informação interno de que trata o inciso IV do caput será composto por: I - o gestor da segurança da informação do órgão ou da entidade, de que trata o inciso III do caput, que o coordenará; [...]
BRASIL. Presidência da República. Medida Provisória nº 2.200-2, de 24 de agosto de 2001.
• Art. 1º Fica instituída a Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil, para garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a realização de transações eletrônicas seguras. Art. 10º Consideram-se documentos públicos ou particulares, para todos os fins legais, os documentos eletrônicos de que trata esta Medida Provisória. § 1º As declarações constantes dos documentos em forma eletrônica produzidos com a utilização de processo de certificação disponibilizado pela ICP-Brasil presumem-se verdadeiros em relação aos signatários, na forma do art. 131 da Lei nº 3.071, de 1º de janeiro de 1916 - Código Civil.
BRASIL. Tribunal de Contas da União. Acórdão 1.603/2008-TCU-Plenário.
• 9.1. recomendar ao Conselho Nacional de Justiça - CNJ e ao Conselho Nacional do Ministério Público - CNMP que, nos órgãos integrantes da estrutura do Poder Judiciário Federal e do Ministério Público da União, respectivamente: 9.1.3. orientem sobre a importância do gerenciamento da segurança da informação, promovendo, inclusive mediante normatização, ações que visem estabelecer e/ou aperfeiçoar a gestão da continuidade do negócio, a gestão de mudanças, a gestão de capacidade, a classificação da informação, a gerência de incidentes, a análise de riscos de TI, a área específica para gerenciamento da segurança da informação, a política de segurança da informação e os procedimentos de controle de acesso; 9.2. recomendar ao Gabinete de Segurança Institucional da Presidência da República - GSI/PR que oriente os órgãos/entidades da Administração Pública Federal sobre a importância do gerenciamento da segurança da informação, promovendo, inclusive mediante orientação normativa, ações que visem estabelecer e/ou aperfeiçoar a gestão da continuidade do negócio, a gestão de mudanças, a gestão de capacidade, a classificação da informação, a gerência de incidentes, a análise de riscos de TI, a área específica para gerenciamento da segurança da informação, a política de segurança da informação e os procedimentos de controle de acesso;
BRASIL. Presidência da República. Gabinete de Segurança Institucional. Norma Complementar 03/IN01/DSIC/GSIPR. Diretrizes para elaboração de política de segurança da informação e comunicações nos órgãos e entidades da Administração Pública Federal.
• Objetivo: Estabelecer diretrizes, critérios e procedimentos para elaboração, institucionalização, divulgação e atualização da Política de Segurança da Informação e Comunicações (POSIC) nos órgãos e entidades da Administração Pública Federal, direta e indireta – APF.
BRASIL. Lei 12.527, de 18 de nov. 2011.Regula o acesso a informações.
•  Art. 8º É dever dos órgãos e entidades públicas promover, independentemente de requerimentos, a divulgação em local de fácil acesso, no âmbito de suas competências, de informações de interesse coletivo ou geral por eles produzidas ou custodiadas. Art. 25. É dever do Estado controlar o acesso e a divulgação de informações sigilosas produzidas por seus órgãos e entidades, assegurando a sua proteção.
ABNT. Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27005:2011. Tecnologia da informação: Técnicas de segurança. Gestão de riscos de segurança da informação.
•  p. 8 - 6 Visão geral do processo de gestão de riscos de segurança da informação – O processo de gestão de riscos de segurança da informação consiste na definição do contexto (Seção 7), processo de avaliação de riscos (Seção 8), tratamento do risco (Seção 9), aceitação do risco (Seção 10), comunicação e consulta do risco (Seção 11) e monitoramento e análise crítica de riscos (Seção 12). P. 15 7.4 Organização para gestão de riscos de segurança da informação – Convém que a organização e as responsabilidades para o processo de gestão de riscos de segurança da informação sejam estabelecidas e mantidas.
BRASIL. Tribunal de Contas da União. Acórdão 1.233/2012-TCU-Plenário.
• 9.2. recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, à Secretaria de Logística e Tecnologia da Informação (SLTI/MP) que: 9.2.9. em atenção ao Decreto-Lei 200/1967, art. 6º, V, estabeleça, normativamente para todos os entes sob sua jurisdição, a obrigatoriedade de a alta administração implantar uma estrutura de controles internos mediante a definição de atividades de controle em todos os níveis da organização para mitigar os riscos de suas atividades, pelo menos nos seguintes processos (subitem II.11): 9.2.9.7. segurança da informação; 9.8. Recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, ao Gabinete de Segurança Institucional da Presidência da república (GSI/PR) que: 9.8.1. em atenção à Lei 10.168/2003, art. 6º, IV, articule-se com as escolas de governo, notadamente à Enap, a fim de ampliar a oferta de ações de capacitação em segurança da informação para os entes sob sua jurisdição (subitem II.8); 9.8.2. em atenção a Lei 10.168/2003, art. 6º, IV, oriente os órgãos e entidades sob sua jurisdição que a implantação dos controles gerais de segurança da informação positivados nas normas do GSI/PR não é faculdade, mas obrigação da alta administração, e sua não implantação sem justificativa é passível da sanção prevista na Lei 8.443/1992, art. 58, II (subitem II.8); 9.11. recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, à Comissão Interministerial de Governança Corporativa e de Administração de Participações Societárias da União (CGPAR) que: 9.11.12. em atenção ao Decreto-Lei 200/1967, art. 6º, V, estabeleça, normativamente para todos os entes sob sua jurisdição, a obrigatoriedade de a alta administração implantar uma estrutura de controles internos mediante a definição de atividades de controle em todos os níveis da organização para mitigar os riscos de suas atividades, pelo menos nos seguintes processos (subitem II.11): 9.11.12. 8. segurança da informação; 9.13. Recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, ao Conselho Nacional da Justiça (CNJ) que: 9.13.9. crie procedimentos para orientar os entes sob sua jurisdição na implementação dos seguintes controles (subitem II.8): 9.13.9.1. nomeação de responsável pela segurança da informação na organização, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 6.1.3 – Atribuição de responsabilidade para segurança da informação; 9.13.9.2. criação de comitê para coordenar os assuntos de segurança da informação, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 6.1.2 – Coordenação de segurança da informação; 9.13.9.3. processo de gestão de riscos de segurança da informação, à semelhança das orientações contidas na NBR ISO/IEC 27005 – Gestão de riscos de segurança da informação; 9.13.9.4. estabelecimento de política de segurança da informação, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 5.1 – Política de segurança da informação; 9.13.9.5. processo de elaboração de inventário de ativos, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 7.1 – Inventário de ativos; 9.13.9.6. processo de classificação da informação, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 7.2 – Classificação da informação, processo necessário segundo o Decreto 4.553/2002, art. 6º, § 2º, inciso II, e art. 67; 9.13.14. em atenção ao Decreto-Lei 200/1967, art. 6º, V, estabeleça, normativamente para todos os entes sob sua jurisdição, a obrigatoriedade de a alta administração implantar uma estrutura de controles internos mediante a definição de atividades de controle em todos os níveis da organização para mitigar os riscos de suas atividades, pelo menos nos seguintes processos (subitem II.11): 9.13.14.8. segurança da informação; 9.15. recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, ao Conselho Nacional do Ministério Público (CNMP) que: 9.15.12. estabeleça a obrigatoriedade de que os entes sob sua jurisdição implementem os seguintes controles gerais de TI relativos à segurança da informação (subitem II.8): 9.15.12.1. nomeação de responsável pela segurança da informação na organização, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 6.1.3 – Atribuição de responsabilidade para segurança da informação; 9.15.12.2. criação de comitê para coordenar os assuntos de segurança da informação, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 6.1.2 – Coordenação de segurança da informação; 9.15.12.3. processo de gestão de riscos de segurança da informação, à semelhança das orientações contidas na NBR ISO/IEC 27005 – Gestão de riscos de segurança da informação; 9.15.12.4. estabelecimento de política de segurança da informação, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 5.1 – Política de segurança da informação; 9.15.12.5. processo de elaboração de inventário de ativos, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 7.1 – Inventário de ativos; 9.15.12.6. processo de classificação da informação, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 7.2 – Classificação da informação, processo necessário segundo o Decreto 4.553/2002, art. 6º, § 2º, inciso II e art. 67; 9.15.13. crie procedimentos para orientar os entes sob sua jurisdição na implementação dos controles listados no item acima (subitem II.8); 9.15.18. em atenção ao Decreto-Lei 200/1967, art. 6º, V, estabeleça, normativamente para todos os entes sob sua jurisdição, a obrigatoriedade de a alta administração implantar uma estrutura de controles internos mediante a definição de atividades de controle em todos os níveis da organização para mitigar os riscos de suas atividades, pelo menos, nos seguintes processos (subitem II.11): 9.15.18.8. segurança da informação;
ABNT. Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27002:2013.
•  p. 2 - 5 Política de segurança da informação. Objetivo: Prover orientação da Direção e apoio para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. 5.1 Política de segurança da informação – Convém que um conjunto de políticas de segurança da informação seja definido, aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes. Convém que, no mais alto nível, a organização defina uma política de segurança da informação, que seja aprovada pela direção e estabeleça a abordagem da organização para gerenciar os objetivos de segurança da informação. P. 4-5 6 Organização da segurança da informação. 6.1 Organização interna – Objetivo: Estabelecer uma estrutura de gerenciamento para iniciar e controlar a implementação e operação da segurança da informação dentro da organização. 6.1.1. Responsabilidades e papéis pela segurança da informação – Convém que todas as responsabilidades pela segurança da informação sejam definidas e atribuídas. Muitas organizações atribuem a um gestor de segurança da informação a responsabilidade global pelo desenvolvimento e implementação da segurança da informação, e para apoiar a identificação de controles.
BRASIL. Tribunal de Contas da União. Acórdão 3.051/2014 - TCU-Plenário.
•  9.3. recomendar ao Gabinete de Segurança Institucional da Presidência da República – GSI que: 9.3.1. elabore e acompanhe periodicamente, a exemplo do realizado na Estratégia Geral de Tecnologia da Informação no Sisp e da Estratégia de TIC no Poder Judiciário, planejamento que abranja a estratégia geral de segurança da informação para o setor sob sua jurisdição, envolvendo não somente a tecnologia da informação, mas também os demais segmentos relacionados à proteção das informações institucionais; 9.3.2. alerte as organizações sob sua jurisdição que a elaboração periódica de planejamento das ações de segurança da informação é obrigação expressa prevista no item 3.1 da Norma Complementar 2/IN01/DSIC/GSIPR, além de ser boa prática prevista na NBR ISO/IEC 27.001/2013, item 6, bem como no Cobit 5, Prática de Gestão APO 13.2. 9.4. recomendar ao Conselho Nacional de Justiça (CNJ) que: 9.4.1. elabore e acompanhe periodicamente, a exemplo do realizado na Estratégia Geral de Tecnologia da Informação no Sisp e na Estratégia de TIC no Poder Judiciário, planejamento que abranja a estratégia geral de segurança da informação para o setor sob sua jurisdição, envolvendo não somente a tecnologia da informação, mas todos os segmentos relacionados à proteção das informações institucionais; 9.4.2. alerte as organizações sob sua jurisdição que o estabelecimento de um modelo de gestão que abranja, entre outros processos, a elaboração periódica de planejamento estratégico de segurança da informação é diretriz expressa pelo Conselho Nacional de Justiça para a gestão da segurança da informação, além de ser boa prática prevista na NBR ISO/IEC 27.001/2013, item 6, bem como no Cobit 5, Prática de Gestão APO 13.2. 9.5. recomendar ao Conselho Nacional do Ministério Público (CNMP) que: 9.5.1. elabore e acompanhe periodicamente, a exemplo do realizado na Estratégia Geral de Tecnologia da Informação no Sisp e na Estratégia de TIC no Poder Judiciário, planejamento que abranja a estratégia geral de segurança da informação para o setor sob sua jurisdição, envolvendo não somente a tecnologia da informação, mas todos os segmentos relacionados à proteção das informações institucionais; 9.5.2. alerte as organizações sob sua jurisdição que o estabelecimento de um modelo de gestão que contemple, entre outros processos, a elaboração periódica de planejamento estratégico de segurança da informação é boa prática prevista na NBR ISO/IEC 27.001/2013, item 6, bem como no Cobit 5, Prática de Gestão APO 13.2.