Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 01/09/2022 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152022090100019
19
Nº 167, quinta-feira, 1 de setembro de 2022
ISSN 1677-7042
Seção 1
CAPÍTULO III
DOS PAPÉIS E RESPONSABILIDADES
Art. 17. Os papéis são os seguintes:
. PAPEL
PERFIL
ASSOCIADO DESCRIÇÃO
. Usuário Interno
Colaboradores, 
conforme
definição
disposta no art. 4º
Todos os servidores, gestores, técnicos, estagiários, bolsistas de programas, consultores e
colaboradores terceirizados, que fazem uso dos recursos informacionais e computacionais do
CNPq.
. Usuário Externo
Prestadores
de 
serviço
e
demais
colaboradores externos.
Prestadores de serviços contratados direta ou indiretamente pelo CNPq e demais colaboradores
externos (clientes dos serviços do CNPq) que fazem uso de seus recursos informacionais e
computacionais.
. Gestores
Presidente,
Diretores, 
Chefe
de
Gabinete, 
Coordenadores
Gerais,
Coordenadores e Chefes de Serviço.
Todos aqueles que exercem funções de gerência no âmbito da organização, administrando
pessoas e/ou processos.
. Área de TI
Coordenação Geral
de Tecnologia
da
Informação (CGETI)
Unidade organizacional responsável pela gestão e operação dos recursos de TI na organização e
Custodiante da informação.
. Gestor de Segurança da - GSI
Gestão técnica
Responsável pelas ações de segurança da informação no âmbito do órgão ou entidade da
Administração Pública Federal - APF.
. Equipe de
Tratamento e
Resposta a
Incidentes em Redes Computacionais -
ETIR
Equipe técnica
Grupo de pessoas com a responsabilidade de receber, analisar e responder a notificações e
atividades relacionadas a incidentes de segurança em redes de computadores.
. Comitê de Segurança da Informação -
CSI
Alta Administração
Grupo de pessoas com a responsabilidade de assessorar a implementação das ações de segurança
da informação no âmbito do órgão ou entidade da APF.
Responsabilidades gerais e comuns
Art. 18. São responsabilidades gerais e comuns a todos os usuários e gestores de serviços de rede de dados, internet, telecomunicações, estações de trabalho, correio
eletrônico e demais recursos de informação e comunicação do CNPq:
I - respeitar a propriedade intelectual, não copiando, modificando, usando ou divulgando, no todo ou em parte, textos, artigos, programas ou qualquer outro material, sem
a permissão expressa, por escrito, do detentor destes direitos;
II - zelar pelos equipamentos de TI que utiliza, não sendo permitida qualquer remoção, movimentação, desconexão de partes, substituição ou qualquer alteração em suas
características físicas ou técnicas;
III - zelar pela segurança de seu usuário corporativo, departamental ou de rede local, bem como de seus respectivos dados e credenciais de acesso;
IV - não executar programas, instalar equipamentos ou executar ações que tenham como finalidade a decodificação de senhas, a monitoração da rede do CNPq, a leitura
de dados de terceiros, a facilitação do acesso à rede do CNPq de usuários não autorizados, a propagação de vírus de computador, enganar programas e sistemas de segurança, a
destruição parcial ou total de arquivos ou causar a indisponibilidade de serviços;
V - não utilizar os direitos especiais de acesso ou de qualquer outro privilégio já extintos com o término do período de ocupação de cargo ou função que tenha exercido
no CNPq;
VI - não utilizar a rede do CNPq ou permissões de acesso concedidas para divulgar informações a terceiros que são sigilosas ou de interesse apenas do CNPq;
VII - não compartilhar credenciais de acesso e conexões com outras pessoas;
VIII - manter a confidencialidade, memorizar e não registrar a senha em lugar algum;
IX - alterar a senha sempre que existir qualquer suspeita do seu comprometimento;
X - comunicar imediatamente à área de Tecnologia da Informação suspeita de comprometimento de senha;
XI - seguir, de forma colaborativa, as orientações fornecidas pelos setores competentes em relação ao uso dos recursos corporativos de informação, utilizando-os sempre
de forma ética, legal e consciente; e
XII - manter-se atualizado em relação a esta PoSIN, às suas normas complementares e aos procedimentos relacionados, buscando informação junto ao GSI sempre que não
estiver absolutamente seguro quanto à obtenção, tratamento, uso e/ou descarte de informações.
Responsabilidades dos usuários internos e externos
Art. 19. Cabe aos usuários internos e externos:
I - conhecer e cumprir todos os princípios, diretrizes, normas complementares e procedimentos desta PoSIN, bem como os demais normativos e resoluções relacionados
à segurança da informação;
II - obedecer aos requisitos de controle especificados pelos gestores e custodiantes da informação;
III - comunicar imediatamente à ETIR os incidentes que afetam a segurança dos ativos de informação;
IV - não permitir ou colaborar com o acesso aos recursos computacionais por parte de pessoas não autorizadas. Os usuários são responsáveis por qualquer atividade
desenvolvida através de suas contas e pelos eventuais custos dela decorrentes em atividades não autorizadas;
V - zelar pelo uso adequado dos recursos de TI a eles disponibilizados; e
VI - cooperar na aplicação e no cumprimento desta PoSIN, bem como das normas complementares e procedimentos relacionados.
Responsabilidades dos gestores
Art. 20. Cabe aos Gestores - titular ou substituto - da unidade administrativa:
I - corresponsabilizar-se pelas ações realizadas por aqueles que estão sob sua responsabilidade;
II - conscientizar os usuários sob sua supervisão em relação aos conceitos e às práticas de segurança da informação;
III - incorporar aos processos de trabalho de sua unidade, ou de sua área, práticas inerentes à segurança da informação;
IV - tomar as medidas administrativas necessárias para que sejam aplicadas ações corretivas nos casos de comprometimento da segurança da informação por parte dos
usuários sob sua supervisão;
V - informar à área de Recursos Humanos ou à área de Gestão de Contratos, conforme a condição do colaborador, por meio de formulário específico, a movimentação
de pessoal de sua unidade;
VI - autorizar, de acordo com a legislação vigente, a divulgação das informações produzidas na sua unidade administrativa;
VII - comunicar à ETIR os casos de quebra de segurança; e
VIII - defender os direitos autorais (copyright), as leis que regulamentam o acesso e o uso das informações, e as regras e normas específicas de uso de recursos de
TI.
Responsabilidades da área da TI
Art. 21. Cabe à área de Tecnologia da Informação:
I - garantir a segurança dos ativos de informação sob sua responsabilidade;
II - definir e gerir os requisitos de segurança para os ativos de informação, em conformidade com esta PoSIN;
III - manter os recursos de TI do Data Center, ou de estrutura similar, do CNPq sob sua gestão;
IV - preservar a disponibilidade, integridade, confidencialidade e autenticidade dos dados e informações sob sua custódia;
V - configurar os recursos informacionais e computacionais concedidos aos usuários com os controles necessários para cumprir os requerimentos de segurança da informação
estabelecidos nesta PoSIN, bem como pelas normas complementares e procedimentos de segurança da informação;
VI - gerar e manter trilhas para auditoria com nível de detalhe suficiente para rastrear possíveis falhas e fraudes;
VII - zelar pela segregação de funções gerenciais e operacionais, a fim de restringir ao mínimo necessário os privilégios de cada indivíduo;
VIII - nas movimentações internas dos ativos de TI, assegurar-se de que as informações de determinado usuário sejam removidas antes de disponibilizar o ativo para outro
usuário;
IX - gerir o armazenamento, processamento e transmissão de dados de forma a garantir os níveis de segurança requeridos;
X - atribuir cada conta de acesso a computadores, sistemas, bases de dados e qualquer outro ativo de informação a um responsável identificável como pessoa física,
responsável pelo uso da conta;
XI - proteger continuamente todos os ativos de informação contra ameaças de segurança, buscando assegurar que novos ativos apenas sejam integrados ao ambiente de
produção após cumprirem os requisitos de segurança da informação definidos;
XII - zelar pela não introdução de vulnerabilidades ou fragilidades indesejadas nos ativos de informação ou nos ambientes informacionais do CNPq durante sua operação
ou de eventos de mudança de ambiente, como de desenvolvimento para teste, homologação ou produção, dentre outros;
XIII - definir regras para instalação de softwares e hardwares no ambiente corporativo e demais ambientes vinculados; e
XIV - definir metodologia e realizar auditorias periódicas de configurações técnicas e análise de riscos.
Responsabilidades da área de logística e patrimônio
Art. 22. Cabe à área de Logística e Patrimônio:
I - proteger os ativos de informação contra perdas, danos, furtos, roubos e interrupções não programadas, inclusive quanto ao fornecimento de energia e controle
climático;
II - inventariar e proteger:
a) identificação e classificação de ativos de informação;
b) identificação de potenciais ameaças e vulnerabilidades quanto ao acesso físico ao ambiente do CNPq; e
c) avaliação de riscos aos ativos de informação.
III - identificar os proprietários e custodiantes;
IV - mapear ameaças, vulnerabilidades e interdependências aos ativos de informação e tomar ações visando evitá-las;
V - autorizar e registrar a entrada e saída nas dependências do CNPq de ativos de informação; e
VI - gerenciar os proprietários dos ativos de informação, realizando o registro das seguintes atividades:
a) descrever o ativo de informação;
b) definir as exigências de segurança da informação do ativo de informação;
c) comunicar as exigências de segurança da informação do ativo de informação a todos os custodiantes e usuários;
d) buscar assegurar-se de que as exigências de segurança da informação estejam cumpridas por meio de monitoramento; e
e) indicar os riscos que podem afetar os ativos de informação.
Responsabilidades do GSI
Art. 23. Cabe ao Gestor de Segurança da Informação - GSI:
I - promover cultura de Segurança da Informação;
II - acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança;
III - elaborar plano de investimentos com a correspondente proposta orçamentária para as ações de Segurança da Informação;
IV - coordenar a ETIR;
V - comunicar ao CSI os resultados e outras informações pertinentes;
VI - realizar e acompanhar estudos de novas tecnologias, quanto a possíveis impactos na segurança da informação;
VII - manter contato direto com o DSIC/GSI/PR para o trato de assuntos relativos à segurança da informação; e

Fechar