Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 01/09/2022 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152022090100020
20
Nº 167, quinta-feira, 1 de setembro de 2022
ISSN 1677-7042
Seção 1
VIII - propor normas relativas à segurança da informação.
Responsabilidades da ETIR
Art. 24. Cabe à ETIR:
I - facilitar e coordenar as atividades de tratamento e resposta a incidentes
de segurança;
II - agir proativamente com o objetivo de evitar que ocorram incidentes de
segurança, divulgando práticas e recomendações de segurança da informação
e
avaliando
condições 
de
segurança
de 
redes
por
meio
de 
verificações
de
conformidade;
III - realizar ações reativas que incluem recebimento de notificações de
incidentes, orientação de equipes no reparo
a danos e análise de sistemas
comprometidos buscando causas, danos e responsáveis;
IV - analisar ataques e intrusões na rede do CNPq;
V - executar as ações necessárias para tratar quebras de segurança;
VI - obter informações quantitativas acerca dos incidentes ocorridos que
descrevam sua natureza, causas, data de ocorrência, frequência e custos resultantes;
VII - cooperar com outras equipes de Tratamento e Resposta a Incidentes;
e
VIII - participar em fóruns, redes nacionais e internacionais relativas à
segurança da informação.
Responsabilidades do CSI
Art. 25. Cabe ao Comitê de Segurança da Informação - CSI:
I - estabelecer, regulamentar e rever, quando necessário, os princípios e
diretrizes desta Política, promover e supervisionar a implementação das ações
preventivas e corretivas de segurança da informação, de forma sistêmica e integrada aos
negócios, e respaldar a realização de auditorias, dentre outras competências previstas
em seu regimento;
II - aprovar o plano de investimentos em segurança da informação;
III - solicitar apuração de suspeitas de ocorrência de quebra de segurança da
informação; e
IV - estabelecer normas e procedimentos destinados a disciplinar e proteger
o uso da informação no âmbito do CNPq, complementando a Política de Segurança da
Informação do Órgão, sobre, dentre outros que julgar pertinente, os seguintes temas
julgados relevantes para a sua atuação:
a) tratamento da informação;
b) tratamento de incidentes de rede;
c) gestão de riscos;
d) gestão de continuidade;
e) auditoria e conformidade;
f) controles de acesso;
g) uso do correio eletrônico corporativo;
h) acesso à internet;
h) gestão de ativos de informação;
i) segurança física e do ambiente;
j) segurança em recursos humanos;
h) gestão de operações e comunicações;
i) criptografia; e
j) desenvolvimento seguro de software.
Art. 26. A alegação de desconhecimento das regras contidas nesta PoSIN não
exime 
o
usuário 
de 
suas 
responsabilidades
por 
atos 
praticados
em 
sua
desconformidade.
CAPÍTULO IV
DAS DIRETRIZES GERAIS
Art. 27. O cumprimento desta PoSIN e de suas normas complementares e
procedimentos deverá ser avaliado periodicamente por meio de verificações de
conformidade, realizadas por grupo de trabalho formalmente constituído pelo CSI,
buscando a certificação do cumprimento dos requisitos de segurança da informação e
garantia de cláusula de responsabilidade e sigilo.
Art. 28. As normas complementares, procedimentos, manuais e metodologias
de segurança da informação do CNPq devem considerar as melhores práticas no tema,
além das referências legais e normativas citadas nesta Portaria.
Art. 29. Toda e qualquer informação gerada, custodiada, manipulada, utilizada
ou armazenada no CNPq compõe o seu ativo da informação e deve ser protegida
conforme a PoSIN, normas complementares e procedimentos em vigor, incluídas as
referências legais e normativas citadas nesta Portaria
Art. 30. Cabe à Autoridade máxima de Tecnologia da Informação, com o
apoio da área de Tecnologia da Informação, da Comunicação Social, da área de Recursos
Humanos e demais unidades pertinentes, instituir programas permanentes e regulares de
conscientização, sensibilização e capacitação em segurança da informação, buscando
parcerias com outros órgãos e entidades sempre que possível e desejável.
Art. 31. Fica instituída a Estrutura de Segurança da Informação do CNPq,
composta pelo Gestor de Segurança da Informação - GSI, pelo Comitê de Segurança da
Informação - CSI e pela Equipe de Tratamento e Resposta a Incidentes em Redes
Computacionais - ETIR, os quais serão solidariamente responsáveis pelas seguintes
atividades:
I - executar os processos de segurança da informação;
II - desenvolver, implementar e monitorar estratégias de segurança da
informação que atendam aos objetivos estratégicos do CNPq;
III - avaliar, selecionar, administrar e monitorar controles apropriados de
proteção dos ativos de informação e desenvolver ações de conscientização dos usuários
a respeito da implementação desses controles;
IV - fornecer subsídios visando à verificação de conformidade de segurança
da informação; e
V - promover a melhoria contínua nos processos e controles de Segurança da
Informação.
Art. 32. A Estrutura de Segurança da Informação do CNPq deve possuir um
sistema para o registro de incidentes sobre o tema.
Art. 33. Os membros da Estrutura de Segurança da Informação devem
receber, regularmente, capacitação especializada nas disciplinas relacionadas à segurança
da informação de acordo com suas funções.
Art. 34. A Estrutura de Segurança da Informação do CNPq deve auxiliar a Alta
Administração na priorização de ações e investimentos com vistas à correta aplicação de
mecanismos de proteção, tendo como base as exigências estratégicas e necessidades
operacionais prioritárias da instituição e as implicações que o nível de segurança poderá
trazer ao cumprimento dessas exigências.
Art. 35. A Estrutura de Segurança da Informação deve planejar medidas de
proteção e balancear os custos na aplicação de controles, de acordo com os danos
potenciais de falhas de segurança.
Art. 36. É vetado comprometer a integridade, a confidencialidade ou a
disponibilidade das informações criadas, manuseadas, armazenadas, transportadas,
descartadas ou custodiadas pelo CNPq.
Art. 37. O custodiante do ativo de informação deve ser formalmente
designado pelo gestor do ativo de informação.
Parágrafo único. A não designação pressupõe que o gestor é o próprio
custodiante.
CAPÍTULO V
DA CONFORMIDADE
Art. 38. Deve ser realizada, periodicamente, verificação de conformidade das
práticas de segurança da informação do CNPq e de suas unidades administrativas com
esta PoSIN e suas normas complementares e procedimentos, bem como com a legislação
específica de segurança da informação.
Art. 39. A verificação de conformidade deve também ser realizada nos
contratos, convênios, acordos de cooperação e outros instrumentos do mesmo gênero
celebrados pelo CNPq.
Art. 40. A verificação da conformidade será realizada de forma planejada,
mediante calendário de ações proposto pela Estrutura de Segurança da Informação e
aprovado pelo CSI.
Art. 41. O calendário de ações de verificação de conformidade será elaborado
com base na priorização dos riscos identificados ou percebidos.
Art. 42. A execução da verificação de conformidade será realizada pela
Estrutura de Segurança da Informação, podendo, com a prévia aprovação do CSI, ser
subcontratada no todo ou em parte.
Art. 43. É vedado a prestador de serviços executar a verificação da
conformidade dos próprios serviços prestados.
Art. 44. A verificação de conformidade poderá combinar ampla variedade de
técnicas, tais como análise de documentos, análise de registros (logs), análise de código-
fonte, entrevistas e testes de invasão.
Art. 45. Os resultados de cada ação de verificação de conformidade serão
documentados em relatório de avaliação de conformidade, o qual será encaminhado
pelo GSI ao gestor da unidade administrativa verificada, para ciência e tomada das ações
cabíveis.
CAPÍTULO VI
DO PLANO DE INVESTIMENTOS EM SEGURANÇA DA INFORMAÇÃO
Art. 46. O plano de investimentos será elaborado com base na priorização
dos riscos a serem tratados e será obtido a partir da aplicação de método que
considere, no mínimo, a probabilidade e o impacto do risco.
Art. 47. Caso haja limitação na execução orçamentária, caberá ao CSI realizar
a correspondente revisão do plano de investimentos.
CAPÍTULO VII
DOS CONTRATOS, CONVÊNIOS, ACORDOS E INSTRUMENTOS CONGÊNERES
Art. 48. Nos casos de obtenção de informações de terceiros, o gestor da área
na qual a informação será utilizada deve, se necessário, providenciar junto ao cedente
a documentação formal relativa à cessão de direitos sobre informações de terceiros
antes de seu uso.
Art. 49. Os acordos que concedam o acesso a terceiros podem incluir,
quando necessário e justificado, permissão para designação de outras partes autorizadas
e condições para os seus acessos desde que expressamente autorizadas pelo CNPq.
Art. 50. Todos os contratos, convênios, acordos e instrumentos congêneres
devem conter cláusulas que estabeleçam a obrigatoriedade de observância desta PoSIN
e de suas normas complementares.
Art. 51. O contrato, convênio, acordo ou instrumento congênere deverá
prever a obrigação da outra parte de divulgar esta PoSIN e suas normas complementares
aos seus empregados e prepostos envolvidos em atividades no CNPq.
Art. 52. Um plano de contingência deve ser elaborado no caso de uma das
partes desejar encerrar a relação antes do final do acordo.
Art. 53. Deve ser definido um processo adequado/objetivo de gestão de
mudanças que será detalhado em norma específica.
CAPÍTULO VIII
DAS PENALIDADES
Art. 54. Ações que violem a PoSIN do CNPq e suas normas complementares
poderão acarretar, isolada ou cumulativamente, nos termos da legislação aplicável,
sanções administrativas, civis e penais, assegurados aos envolvidos o direito ao
contraditório e a ampla defesa.
CAPÍTULO IX
DA APROVAÇÃO E REVISÃO
Art. 55. De acordo com a Norma Complementar nº 03/IN01/DSIC/GSI/PR
todos os instrumentos normativos gerados a partir da PoSIN, incluindo a própria PoSIN,
devem ser revisados sempre que se fizer necessário, não excedendo o período máximo
de 3 (três) anos.
Art. 56. Os documentos integrantes da estrutura normativa de governança de
segurança da informação do CNPq deverão ser elaborados e aprovados pelas seguintes
instâncias competentes: Presidente do CNPq e Comitê de Segurança da Informação - CSI
do CNPq.
CAPÍTULO IX
DISPOSIÇÕES FINAIS
Art. 57. Fica revogada a Resolução Normativa nº 33, de 23 de outubro de
2012.
Art. 58. Esta Portaria entra em vigor no primeiro dia útil do mês seguinte ao
da sua publicação.
EVALDO FERREIRA VILELA
PORTARIA CNPQ Nº 1.022, DE 29 DE AGOSTO DE 2022
O Presidente do CONSELHO NACIONAL DE DESENVOLVIMENTO CIENTÍFICO E
TECNOLÓGICO - CNPq, no uso das atribuições que lhe são conferidas pelo Estatuto
aprovado pelo Decreto nº 8.866, de 3 de outubro de 2016, considerando as disposições do
Decreto nº 10.139, de 28 de novembro de 2019 e adotando a motivação constante do
processo nº 01300.0010505/2020-23, resolve:
Art. 1º Fica divulgada, na forma do Anexo, listagem completa dos atos
normativos inferiores a decreto de competência do CNPq, vigentes em 1º de agosto de
2022, em cumprimento ao disposto no Decreto nº 10.139, de 28 de novembro de 2019.
Art 2º Esta Portaria entra em vigor a partir da data da sua publicação.
EVALDO FERREIRA VILELA
ANEXO
Listagem de Atos Normativos Vigentes em 1º de agosto de 2022
(Artigo 19-A, do Decreto nº 10.139, de 28 de novembro de 2019)
RE - Resolução
RN - Resolução Normativa
IN - Instrução Normativa
IS - Instrução de Serviço
PO - Portaria
POC - Portaria Conjunta
. AT O
NÚMERO
DAT A
A S S U N T O / T I T U LO / M AT É R I A / E M E N T A
. RE
11
17/03/2022 Regulamenta o Prêmio Melhor Ideia do CNPq
. RE
10
04/03/2022 Disciplina e regulamenta o Prêmio Almirante Álvaro
Alberto para a Ciência e Tecnologia
. RE
9
11/02/2022 Regulamento do Prêmio Destaque na Iniciação Científica e
Tecnológica (Alteração)
. RE
8
31/12/2021 Termos de Outorga de Bolsas, Auxílios, Bônus Tecnológico
e Representante Institucional (Alteração)
. RE
7
03/12/2021 Regulamenta o Título de Pesquisador Emérito do CNPq e a
Menção Especial de Agradecimentos
. RE
6
23/08/2021 Termos de Outorga (Alteração)
. RE
4
27/05/2021 Regulamenta o Prêmio Destaque na Iniciação Científica e
Tecnológica
. RE
3
21/05/2021 Regulamenta o Prêmio de Fotografia - Ciência e Arte
. RE
2
21/05/2021 Regulamenta o Prêmio José Reis de Divulgação Científica e
Tecnológica
. RE
1
26/03/2021 Regulamenta 
o
Programa 
de
Treinamento 
em
Epidemiologia Aplicada aos Serviços do Sistema Único de
Saúde (EpiSUS) no âmbito do CNPq
. RE
12
05/10/2020 Altera, inclui e revoga dispositivos da Norma Específica de
Pós-Graduação - Mestrado e Doutorado no País
. RE
11
10/07/2020 Dispõe sobre a instituição de Comissão de Monitoramento
e Avaliação
de Parcerias
firmadas pelo
CNPq com
Organizações da Sociedade Civil.
. RE
10
1º/07/2020
Altera os critérios de seleção de candidatos a bolsa de
Pós-Doutorado Júnior

Fechar