Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 15/02/2023 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152023021500065
65
Nº 33, quarta-feira, 15 de fevereiro de 2023
ISSN 1677-7042
Seção 1
a) atuar com neutralidade, ou seja, demonstrar que não tem razões para
alterar os documentos sob sua custódia e que não permitirá que outros alterem esses
documentos, acidental ou propositalmente;
b) implantar um sistema de uso, armazenamento e preservação confiável,
capaz de garantir autenticidade dos documentos.
III. garantir a preservação de todos os componentes digitais e não digitais dos
documentos produzidos, recebidos e armazenados de modo a permitir a apresentação
desses documentos no futuro;
IV. o grau de sigilo e a restrição de acesso à informação sensível relacionados
aos documentos produzidos, recebidos e armazenados têm que ser identificados
explicitamente e garantidos pelo CRCES;
V. gerenciar, no repositório, a permissão de acesso de documentos com grau
de sigilo e/ou que registrem informação sensível, de acordo com legislação vigente e as
normas de controle de acesso definidas no âmbito do CRCES. Essas restrições devem ser
registradas em metadados e procedimentos de acesso às áreas de armazenamento de
dados, documentos e arquivos da CRCES.
Seção IV - DA ABRANGÊNCIA
Art. 9º. O disposto neste instrumento aplicar-se-á a todos os conselheiros e
colaboradores que prestem serviços ao CRCES e que tenham acesso a qualquer
informação ou comunicação, obrigando-os ao cumprimento de suas diretrizes para
manuseio, tratamento, controle, proteção das informações e conhecimentos produzidos,
armazenados ou transmitidos pelos sistemas de informação.
CAPÍTULO II - DOS CONCEITOS E DA CLASSIFICAÇÃO DAS INFORMAÇÕES -
Seção I - DOS CONCEITOS E DAS DEFINIÇÕES
Art. 10. Para os efeitos desta Política de Armazenamento de Dados,
Documentos e Arquivos entende-se por:
I. Acessibilidade: facilidade no acesso ao conteúdo e ao significado de um
objeto digital;
II. Armazenamento digital: guarda de documentos digitais em dispositivos de
memória não volátil;
III. Armazenamento: guarda de documentos em local apropriado;
IV. Arquivamento: sequência de operações intelectuais e físicas que visam à
guarda ordenada de documentos;
V. Arquivo Digital: conjunto de bits que formam uma unidade lógica
interpretável por um programa de computador e armazenada em suporte apropriado;
VI. Ativo de informação: qualquer dispositivo de software ou hardware que
agrega valor ao negócio e compõe a infraestrutura de rede de dados do CRCES, assim
como também os locais onde se encontram estes dispositivos, gestão do pessoal que a
eles possuem acesso, além dos processos envolvidos na gestão e operacionalização dos
ativos de informação;
VII. Banco de Dados: um sistema de armazenamento de dados, ou seja, um
conjunto de registros que tem como objetivo organizar e guardar as informações;
VIII. Computação em nuvem: modelo computacional que permite acesso, por
demanda e independentemente da localização, a conjunto compartilhado de recursos
configuráveis de
computação (rede
de computadores,
servidores, armazenamento,
aplicativos e serviços), provisionados com esforços mínimos de gestão ou interação com
o provedor de serviços;
IX. 
Confidencialidade:
propriedade 
de 
que
a 
informação
não 
será
disponibilizada ou divulgada a indivíduos, entidades ou processos sem autorização;
X. Controle de acesso: conjunto de procedimentos, recursos e meios utilizados
com a finalidade de conceder ou bloquear o acesso do usuário;
XI. Cópia de Segurança: guarda de dados em um meio separado do original, de
forma a protegê-los de qualquer eventualidade;
XII. Custódia: responsabilidade jurídica de guarda e proteção de arquivos,
independentemente de vínculo de propriedade;
XIII. Custodiante da informação: usuário que atua em uma ou mais fases do
tratamento da informação, recepção, produção, reprodução, utilização, acesso, transporte,
transmissão, distribuição, armazenamento, eliminação e controle da informação, incluindo
a sigilosa;
XIV. Disponibilidade: propriedade de estar acessível e utilizável sob demanda
por um usuário autorizado;
XV. Dispositivos móveis: equipamentos portáteis, dotados de capacidade
computacional e dispositivos removíveis de memória para armazenamento, entre eles,
notebooks, netbooks, smartphones, tablets, pendrives, USB drives, HD externos e cartões
de memória;
XVI. Documento arquivístico: documento produzido ou recebido no curso de
uma atividade prática como instrumento ou resultado dessa atividade, retido para ação ou
referência;
XVII. Documento digital: informação registrada, codificada em dígitos binários,
acessível e interpretável por meio de sistema computacional;
XVIII. Documento não Digital: documento que se apresenta em suporte,
formato e codificação
diferente dos digitais, tais como:
documentos em papel,
documentos em películas e documentos eletrônicos analógicos;
XIX. Fidedignidade: credibilidade de um documento arquivístico como uma
afirmação do fato. Existe quando um documento arquivístico pode sustentar o fato ao
qual se refere e é estabelecida pelo exame da completeza, da forma do documento e do
grau de controle exercido no processo de sua produção;
XX. Gestão de Segurança da Informação: ações e métodos que visam à
integração das atividades de gestão de riscos, gestão de continuidade do negócio,
tratamento de incidentes, tratamento da informação, conformidade, credenciamento,
segurança cibernética, segurança física, segurança lógica, segurança orgânica e segurança
organizacional aos processos institucionais estratégicos, operacionais e táticos, não se
limitando, portanto, à Tecnologia da Informação;
XXI. Incidente de segurança: evento ou conjunto de eventos de segurança da
informação, indesejados ou inesperados, confirmados ou sob suspeita, que tenham grande
probabilidade de comprometer as operações e ameaçar a segurança da informação;
XXII. Informação: conjunto de dados, textos, imagens, métodos, sistemas ou
quaisquer formas de representação dotadas de significado em determinado contexto,
independentemente do meio em que resida ou da forma pela qual seja veiculado;
XXIII. Integridade: propriedade de salvaguarda da exatidão e completeza da
informação contra alterações, intencionais ou acidentais, em seu estado e atividades;
XXIV. Metadados: dados estruturados que descrevem e permitem encontrar,
gerenciar, compreender e/ou preservar documentos arquivísticos ao longo do tempo;
XXV. Política de Segurança da
Informação: documento aprovado pela
autoridade responsável pelo órgão, com objetivo de fornecer diretrizes, critérios e suporte
administrativo suficientes à implementação da segurança da informação;
XXVI. Preservação: prevenção da deterioração e danos em documentos por
meio de adequado controle ambiental e/ou tratamento físico e/ou químico;
XXVII. Preservação digital: conjunto de ações gerenciais e técnicas exigidas para
superar as mudanças tecnológicas e a fragilidade dos suportes, garantindo o acesso e a
interpretação de documentos digitais pelo tempo que for necessário;
XXXVIII. Público-Alvo: conjunto de usuários internos e externos atendidos pela
Comitê de Segurança da Informação;
XXIX. Recurso criptográfico: sistemas, programas, processos e equipamento
isolado ou em rede que utiliza algoritmo simétrico ou assimétrico para realizar a cifração
ou decifração;
XXX. Repositório arquivístico digital: repositório digital que armazena e
gerencia documentos arquivísticos, seja nas idades corrente e intermediária, seja na idade
permanente;
XXXI. Repositório arquivístico digital confiável: é o repositório que deve ser
capaz de atender aos procedimentos arquivísticos em suas diferentes fases e aos
requisitos de um repositório digital confiável;
XXXII. Repositório digital: complexo que apoia o gerenciamento dos materiais
digitais, pelo tempo que for necessário, e é formado por elementos de hardware,
software e metadados, bem como por uma infraestrutura organizacional e procedimentos
normativos e técnicos;
XXXIII. Repositório digital confiável: é um repositório digital que é capaz de
manter autênticos os materiais digitais, preservá-los e prover acesso a eles pelo tempo
necessário;
XXXIV. Risco: possibilidade potencial de
uma ameaça comprometer a
informação ou o sistema de informação pela exploração da vulnerabilidade;
XXXV. Segurança da Informação: ações que objetivam viabilizar e assegurar a
disponibilidade, integridade, confidencialidade e autenticidade das informações;
XXXVI. Tratamento da informação: recepção, produção, reprodução, utilização,
acesso, transporte, transmissão, distribuição, armazenamento, eliminação e controle da
informação, inclusive as sigilosas;
XXXVII. Unidade Gestora de Segurança da Informação: é a unidade responsável
pela gestão de segurança da informação na CRCES;
XXXVIII. Unidade Organizacional: unidade em que está lotado o empregado,
assessor, terceirizado, estagiário ou aprendiz;
XXXIX. Usuários: pessoa física ou
jurídica que opera algum sistema
informatizado da CRCES;
XL. Vulnerabilidade: fragilidade de um ativo ou grupo de ativos de informação
que pode ser explorada negativamente por uma ou mais ameaças.
Seção II - DA CLASSIFICAÇÃO DAS INFORMAÇÕES
Art. 11. A classificação e o tratamento da informação, realizados por meio de
procedimento definido, abrange informações provenientes dos serviços essenciais de
Tecnologia da Informação do CRCES. Parágrafo único. As informações devem ser
classificadas de forma a permitir tratamento diferenciado de acordo com o seu grau de
importância, criticidade, sensibilidade e em conformidade com requisitos legais.
Art. 12. As informações devem ser classificadas e identificadas por rótulos,
considerando os seguintes níveis:
I. Pública: são informações explicitamente aprovadas por seu responsável para
consulta irrestrita e cuja divulgação externa não compromete o negócio e que, por isso,
não necessitam de proteção efetiva ou tratamento específico, tais como editais de
licitação, agendas e rotinas;
II. Interna: são informações disponíveis aos colaboradores do CRCES para a
execução de suas tarefas rotineiras, não se destinando, portanto, ao uso do público
externo,
em
especial,
memorandos, procedimentos
internos,
avisos
e
campanhas
internas;
III. Sigilosa: são informações de acesso restrito a um colaborador ou grupo de
colaboradores. Sua revelação pode violar a privacidade de indivíduos, violar acordos de
confidencialidade, dentre outros, em especial, processos judiciais e dados cadastrais de
colaboradores;
IV. Sigilosa/Restrita são informações de acesso restrito a um colaborador ou
grupo de colaboradores que, obrigatoriamente, são destinatários. Em geral, informações
associadas ao interesse estratégico do CRCES e estão restritas à presidência, à diretoria,
aos coordenadores, gerentes e colaboradores, cujas funções requeiram conhecê-las.
CAPÍTULO III - DAS COMPETÊNCIAS, ATRIBUIÇÕES E RESPONSABILIDADES -
Seção I - DAS COMPETÊNCIAS
Art. 13. Ao Setor de TI, juntamente com o Comitê de Segurança da Informação
- CSI, compete:
I. promover e estruturar a preservação e o armazenamento dos documentos
arquivísticos digitais, nas fases corrente, intermediária e permanente, que devem estar
associadas a um repositório digital confiável. Os arquivos devem dispor de repositórios
digitais confiáveis para a gestão, a preservação e o acesso de documentos digitais;
II. elaborar plano de ação para disponibilizar os repositórios digitais confiáveis
para a gestão, a preservação e o acesso de documentos digitais;
III. implantar os parâmetros para repositórios arquivísticos digitais confiáveis,
de forma
a garantir a
autenticidade, identidade,
integridade, confidencialidade,
disponibilidade, o acesso e a preservação, tendo em vista a perspectiva necessidade de
manutenção 
dos 
acervos 
documentais 
por 
longos 
períodos 
ou, 
até 
mesmo,
permanentemente;
Seção II - DAS RESPONSABILIDADES -
Subseção I - DOS USUÁRIOS
Art. 14. Os usuários e quaisquer outras pessoas que prestam serviços ao CRCES
e tenham acesso ao ambiente de uso e armazenamento de dados, documentos e arquivos
digitais e não digitais do Conselho, têm as seguintes responsabilidades:
I. ter pleno conhecimento e cumprir fielmente esta Política, as normas e os
procedimentos de uso e armazenamento do CRCES;
II. solicitar esclarecimentos à Comissão de Implantação da LGPD, em caso de
dúvidas relacionadas à esta Política;
III. gerenciar os dados, documentos e arquivos digitais e não digitais sob sua
responsabilidade e garantir que os dados, documentos e arquivos não digitais ou digitais,
os equipamentos e os recursos tecnológicos à sua disposição permaneçam seguros;
IV. armazenar documentos não digitais em ambientes seguros, não devendo
permanecer sobre a mesa de trabalho do usuário quando não estiver em uso, ou em
locais onde pessoas, não autorizadas tenham acesso ao seu conteúdo;
V. remover do espaço de trabalho dados, informações, documentos e arquivos
sensíveis e/ou sigilosas quando ausente e ao final do dia de trabalho;
VI. manter trancados armários, arquivos e gavetas que contenham documentos
sensíveis e/ou sigilosos quando não estiverem em uso;
VII. manter em sigilo as chaves/senhas/credenciais usadas para acesso a
informações, documentos e arquivos sensíveis; VIII. evitar a impressão de documentos que
contenham informações sensíveis e/ou sigilosas. Em caso de impressão, remover
imediatamente da impressora;
IX. restituir prontamente os documentos recebidos por empréstimo de outras
unidades, quando não forem mais necessários;
X.
utilizar recursos
de
criptografia e
guardar
em
locais seguros
de
armazenamento documentos que contenham informações sensíveis e/ou sigilosas;
XI. salvar e armazenar dentro de pasta ou unidade lógica específicas,
documentos que contenham dados pessoais;
XII. zelar pela custódia de dados e informações institucionais e evitar o
salvamento de conteúdos e informações pessoais em máquinas e espaço físico do CRCES;
XIII. tratar terminais particulares como se institucionais fossem;
XIV. garantir que todas as informações não digitais e digitais, sejam mantidas
e armazenadas em local seguro quando não estiverem em uso;
XV. Armazenar os documentos que contenham dados pessoais somente pelo
período necessário ao seu uso ou cumprimento do seu dever legal e prazos de guarda e
locais indicados na Tabela de Temporalidade de Documentos utilizada no CRCES ;
XVI. seguir os procedimentos e a legislação vigente para a eliminação de
documentos digitais e não-digitais do CRCES;
XVII. estar ciente de que toda informação digital ou não digital armazenada,
processada e transmitida no ambiente computacional ou físico do CRCES pode ser
auditada. Subseção
II - DO CUSTODIANTE
Art.
15. 
Ao
custodiante 
da
Informação
cabem 
as
seguintes
responsabilidades:
I. cumprir e zelar pela observância integral das diretrizes desta Política e
demais normas e procedimentos decorrentes;
II. zelar pela disponibilidade, integridade e confidencialidade das informações e
recursos em qualquer suporte sob sua custódia, conforme condições estabelecidas nesta
Política e demais normas e procedimentos referentes ao uso e armazenamento de dados,
documentos e arquivos;
III. participar de capacitação e treinamento em procedimentos de uso e
armazenamento de dados, documentos e arquivos, quando convocado;
IV. proteger as informações contra acesso, modificação, destruição ou
divulgação não autorizada;
V. comunicar prontamente ao seu gestor imediato e ao Comitê de Segurança
da Informação qualquer incidente de que tenha conhecimento ou situações que
comprometam
a disponibilidade,
integridade e
confidencialidade das
informações
armazenadas.

Fechar