Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 15/06/2023 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152023061500066
66
Nº 112, quinta-feira, 15 de junho de 2023
ISSN 1677-7042
Seção 1
VIII - as atividades de tratamento de dados pessoais deverão observar
também os princípios de:
a) da boa-fé;
b) da finalidade;
c) da adequação;
d) da necessidade;
e) do livre acesso, transparência, segurança, prevenção, não discriminação,
responsabilização e prestação de contas.
CAPÍTULO IV
DAS DIRETRIZES GERAIS
SEÇÃO I
PRESSUPOSTOS BÁSICOS
Art. 6º As diretrizes de segurança da informação estabelecidas nesta POSIN
aplicam-se às informações armazenadas, acessadas, produzidas e transmitidas no
âmbito do Ministério do Meio Ambiente e Mudança do Clima, e devem ser observadas
por todos os usuários das informações.
Parágrafo único.
Independente da forma, ou
do meio pelo
qual a
informação 
seja 
apresentada, 
ou 
compartilhada, 
ela 
sempre 
será 
protegida
adequadamente, de acordo com a presente Política.
Art. 7º Os recursos de
tecnologia da informação e comunicação
disponibilizados pelo Ministério do Meio Ambiente
e Mudança do Clima serão
utilizados 
estritamente 
para 
apoiar 
as 
atividades 
laborais 
dos 
servidores
e
colaboradores, em alinhamento ao previsto no Planejamento Estratégico Integrado do
Ministério do Meio Ambiente e Mudança do Clima e de suas vinculadas.
§ 1º Os recursos disponíveis para o usuário deverão ser utilizados em
atividades relacionadas às suas funções institucionais.
§ 2º É vedado a qualquer agente público do Ministério do Meio Ambiente
e Mudança do Clima o uso desses recursos para fins pessoais (próprios ou de
terceiros), entretenimento, veiculação de opiniões político-partidárias, ou religiosas,
bem como para perpetrar ações que, de qualquer modo, possam constranger, assediar,
ofender, caluniar, ameaçar, violar direito autoral, ou causar prejuízos a qualquer pessoa
física, ou jurídica, assim como aquelas que atentem contra a moral e a ética, ou que
prejudiquem o cidadão, ou a imagem desta entidade, comprometendo a integridade, a
confidencialidade,
a
confiabilidade,
a autenticidade,
ou
a
disponibilidade das
informações.
SEÇÃO II
DA GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Art. 8º A Gestão da Segurança da Informação não se limita à tecnologia da
informação, compreendendo as ações e métodos que visam à integração das atividades
de gestão de riscos, de gestão de continuidade do negócio, de tratamento de
incidentes, de tratamento da informação, de conformidade, de credenciamento, de
segurança cibernética, de segurança física, de segurança lógica, de segurança orgânica
e de segurança organizacional aos processos institucionais estratégicos, táticos e
operacionais do Ministério do Meio Ambiente e Mudança do Clima.
Art. 9º A informação criada pelos usuários no exercício de suas atividades
laborais é considerada um bem de propriedade do Ministério do Meio Ambiente e
Mudança do Clima.
Parágrafo 
único.
As 
informações 
custodiadas 
em
decorrência 
das
competências do Ministério do Meio Ambiente e Mudança do Clima devem ser
protegidas de acordo com a sua classificação e conforme as diretrizes descritas nesta
Política e demais regulamentações em vigor.
Art.
10. A
utilização
dos recursos
de
tecnologia
da informação
será
monitorada com a finalidade de detectar e corrigir divergências entre as normas que
integram a POSIN e as práticas e os procedimentos adotados, fornecendo evidências
nos casos de incidentes de segurança, ou registros de incompatibilidades, para ajustes
das práticas e orientações das equipes.
§ 1º Poderão ser realizadas auditorias ordinárias a pedido da Assessoria
Especial de Controle Interno, cujos relatórios serão encaminhados ao Comitê de
Segurança da Informação (CSIN) e ao Comitê de Governança Digital (CGD).
§ 2º As auditorias extraordinárias serão realizadas com o intuito de apurar
eventos que deponham contra a segurança e contra as boas práticas no uso dos
recursos de tecnologia da informação.
SEÇÃO III
DA PROPRIEDADE DA INFORMAÇÃO
Art. 11. A propriedade da
informação será regida pelas seguintes
diretrizes:
I - toda informação, criada, ou custodiada, que for manuseada, armazenada,
transportada, ou descartada, por usuários que tenham acesso às informações do
Ministério do Meio Ambiente e Mudança do Clima no exercício de suas atividades é
de propriedade do órgão e será protegida segundo essas diretrizes e regulamentações
em vigor, conforme a classificação das informações, sem prejuízo da autoria, conforme
definido em lei;
II - quando da obtenção de informação de terceiros, o gestor da informação
providenciará, junto ao concedente e antes de seu uso, a documentação formal
atinente aos direitos de acesso;
III - na cessão de bases de dados nominais custodiadas ou na informação
de propriedade do Ministério do Meio Ambiente e Mudança do Clima a terceiros, o
gestor da informação providenciará a documentação formal relativa à autorização de
acesso às informações;
IV - a cessão de base de dados deverá atender, sempre que possível, os
requisitos de proteção de dados, tais como a criptografia, a anonimização e a
tokenização.
§ 1º Será respeitada a autodeterminação informativa dos titulares de dados
pessoais.
§ 2º O uso compartilhado e a cessão de bases de dados contendo dados
pessoais, pelo Poder Público, deverá ser realizado para o atendimento de sua
finalidade pública, na persecução do interesse público, com o objetivo de executar as
competências legais, ou cumprir as atribuições legais do órgão, desde que sejam
informadas as hipóteses em que, no exercício de suas competências, o tratamento de
dados pessoais será realizado, fornecendo informações claras e atualizadas sobre a
previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução
dessas atividades, disponibilizadas em veículos de fácil acesso, preferencialmente no
sítio eletrônico do órgão.
SEÇÃO IV
DA CLASSIFICAÇÃO E TRATAMENTO DA INFORMAÇÃO
Art. 12. A classificação e o tratamento da informação observarão os
seguintes requisitos e critérios:
I - o valor, os requisitos legais, a sensibilidade e a criticidade da informação
para o Ministério do Meio Ambiente e Mudança do Clima;
II - o conjunto apropriado de procedimentos para rotulação e tratamento da
informação, que será
definido e implementado de acordo com
o critério de
classificação adotado pelo Ministério do Meio Ambiente e Mudança do Clima.
Art. 13. As informações criadas, manuseadas, armazenadas, transportadas ou
descartadas no Ministério do Meio Ambiente e Mudança do Clima que se enquadrem
nas hipóteses previstas na Lei nº 12.527, de 18 de novembro de 2011, serão
classificadas com o grau de sigilo correspondente.
Art. 14. O Ministério do Meio Ambiente e Mudança do Clima utilizará o
Glossário de Segurança da Informação, aprovado pelo GSI/PR por meio da Portaria
GSI/PR nº 93, de 26 de setembro de 2019, como referência na elaboração de
normativos internos afetos à segurança da informação e correlatos.
Art. 15. As informações sob gestão do Ministério do Meio Ambiente e
Mudança do Clima serão asseguradas de maneira a serem adequadamente protegidas
quanto ao acesso e ao uso, sendo que, caso sejam consideradas de alta criticidade,
serão tomadas medidas especiais de tratamento, limitando sua exploração.
Parágrafo único. Os dispositivos de proteção deverão ser implementados
proporcionalmente ao grau de confidencialidade e de criticidade da informação, a fim
de assegurar sua autenticidade, integridade e disponibilidade, independentemente de
seu meio de origem, ou da forma pela qual seja veiculada.
SEÇÃO V
DA PROTEÇÃO DE DADOS PESSOAIS
Art. 16. O tratamento de dados pessoais pelo Ministério do Meio Ambiente
e Mudança do Clima deverá respeitar os princípios e requisitos estipulados pela Lei
Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709, de 14 de agosto de
2018.
§ 1º As unidades finalísticas deverão preencher e manter atualizado o
Inventário de Dados Pessoais, contendo o registro das operações de tratamento de
dados pessoais que realizarem, nos termos do art. 37 da LGPD, e em conformidade
com as orientações prestadas pelo Encarregado pelo Tratamento de Dados Pessoais.
§ 2º O Ministério do Meio Ambiente e Mudança do Clima divulgará em seu
sítio eletrônico a listagem resumida das hipóteses em que, no exercício de suas
competências, será efetuado o tratamento de dados pessoais, com a identificação das
finalidades almejadas.
SEÇÃO VI
DO TRATAMENTO DE INCIDENTES DE REDE
Art. 17. A área de Tecnologia da Informação manterá uma Equipe de
Prevenção, 
Tratamento 
e 
Resposta 
a 
Incidentes 
Cibernéticos 
(ETIR), 
com 
a
responsabilidade de receber, analisar e responder notificações e atividades relacionadas
a incidentes de segurança cibernética.
SEÇÃO VII
DA GESTÃO DE RISCOS
Art. 18. O Processo de Gestão de Riscos em Segurança da Informação será
implementado considerando, prioritariamente, os objetivos estratégicos, os processos,
os requisitos legais e a estrutura do Ministério do Meio Ambiente e Mudança do
Clima, alinhando-se à metodologia denominada PDCA (Plan - Do - Check - Act),
observadas as diretrizes e normas específicas, no âmbito da Administração Pública
Federal, para fomentar sua melhoria contínua.
SEÇÃO VIII
DA GESTÃO DE CONTINUIDADE
Art. 19. As unidades do Ministério do Meio Ambiente e Mudança do Clima,
com apoio das áreas técnicas e da Secretaria Executiva, devem manter um processo de
gestão de continuidade das atividades e dos serviços, prevenindo sua interrupção e,
em caso positivo, assegurando a sua retomada em tempo hábil.
Art. 20. A área de Tecnologia da Informação do Ministério do Meio
Ambiente e Mudança do Clima deverá manter um Plano de Contingências, formalizado
e aprovado pelo CSIN, estabelecendo o conjunto de estratégias e procedimentos que
devem ser adotados em situações que comprometam o andamento normal dos
processos, e a consequente prestação dos serviços, de acordo com o grau de
probabilidade de ocorrência do evento, ou sinistro.
Parágrafo único. As medidas constantes no Plano de Contingências devem
minimizar o impacto oriundo de situações inesperadas, desastres, falhas de segurança,
dentre outras assemelhadas, até que se retorne à normalidade.
SEÇÃO IX
DO MONITORAMENTO, AUDITORIA E CONFORMIDADE
Art. 21. O monitoramento, a auditoria e a conformidade observarão os
seguintes aspectos:
I - o uso dos recursos de tecnologia da informação disponibilizados pelo
Ministério do Meio Ambiente e Mudança do Clima é passível de monitoramento e
auditoria, devendo ser implementados e mantidos, sempre que possível, mecanismos
que permitam a sua rastreabilidade;
II - a entrada e a saída de ativos de informação do Ministério do Meio
Ambiente
e Mudança
do Clima
serão
registradas e
autorizadas por
autoridade
competente, mediante procedimento formal; e
III - a área de tecnologia da informação manterá registros e procedimentos,
como
trilhas
de auditoria
e
outros
métodos
que assegurem
o
rastreamento,
acompanhamento, controle e verificação de acesso aos sistemas corporativos, à rede
interna e à internet.
SEÇÃO X
DOS CONTROLES DE ACESSOS E USO DE SENHAS
Art. 22. O controle de acesso inclui o credenciamento de usuário e a criação
de senha segura, ou outro método de acesso seguro aos ativos de informação em uso
no Ministério do Meio Ambiente e Mudança do Clima.
Parágrafo único. O controle de acesso e o uso de senhas observará o
seguinte:
I - o usuário que utiliza os recursos de tecnologia da informação e
comunicação terá uma conta específica de acesso, pessoal e intransferível, conforme
norma interna;
II - a autorização, o acesso, o uso da informação e dos recursos de
tecnologia da informação e comunicações serão controlados e limitados ao
cumprimento das atribuições de cada usuário, necessitando de prévia autorização
formal do gestor de cada setor, ou unidade organizacional, para ser atribuído;
III - no caso de desvinculação temporária, ou definitiva do usuário, os
privilégios de acesso serão suspensos, ou cancelados;
IV - os usuários serão orientados, de forma regular e periódica, a seguir as
boas práticas de segurança da informação na seleção e no uso de senhas;
V - é responsabilidade do Gestor, ou do Chefe da área requisitante que
autorizou o cadastro do usuário, a comunicação à área de Tecnologia da Informação,
quando do desligamento do usuário para que seja retirado o seu acesso aos recursos
disponibilizados;
VI - constitui falta gravíssima, sujeita às sanções administrativas cabíveis, o
compartilhamento intencional, pelo usuário, de senha, ou meio de acesso ao perfil com
privilégio de administrador, mantenedor ou desenvolvedor, bem como ao serviço digital
essencial, ao sistema estruturante, à informação classificada ou ao dado pessoal.
Art. 23. O acesso às instalações da rede de computadores do Ministério do
Meio Ambiente e Mudança do Clima, composta por sala-cofre (datacenter), salas de
racks do Edifício
Sede e demais ambientes físicos onde
estão localizados os
equipamentos de rede (switches, roteadores e servidores de redes), deve observar as
seguintes diretrizes:
I - a entrada, ou retirada de qualquer equipamento do datacenter será
precedida de preenchimento da solicitação de liberação e autorização formal deste
instrumento pela autoridade competente da área de tecnologia da informação, de
acordo com os termos do procedimento e controle de transferência patrimonial
vigentes;
II - as portas de acesso ao datacenter devem permanecer fechadas, com
mecanismos de autenticação individual;
III - a sala-cofre e demais compartimentos vinculados ao sistema de
segurança, tais como sala de rack, sala-UPS, sala de máquinas condensadoras e sala do
gerador, deverão ser mantidos limpos e organizados, evitando-se seu uso para
finalidades alheias à sustentação da infraestrutura de tecnologia da informação;
IV - o acesso ao datacenter sem identificação prévia só poderá ocorrer em
situações 
de 
emergência, 
quando 
a 
segurança 
física 
do 
Datacenter 
estiver
comprometida, como, por exemplo, em caso de incêndio, inundação ou abalo da
estrutura predial;
V - a área de tecnologia da informação deverá garantir, por meio de
contratos de serviços de tecnologia da
informação e comunicações, a atuação
presencial, ou remota, de profissionais especializados nas áreas de segurança da
informação e de sustentação de infraestrutura, devendo garantir a atuação presencial
de, no mínimo, um profissional durante o horário comercial, com capacidade de
identificar
os equipamentos
em operação,
os
alertas de
falhas mecânicas
dos
equipamentos e dos dispositivos de energia elétrica e de climatização, além de ser
responsável pelo acompanhamento e registro de todos os acessos físicos de pessoal à
sala-cofre;
VI - o acesso físico de terceiros ao datacenter deverá ocorrer com
agendamento prévio e autorização da área de tecnologia da Informação do Ministério
do Meio Ambiente e Mudança do Climae deverá ser realizado com acompanhamento
de um servidor da área de tecnologia da Informação do órgão, ou de um profissional
da empresa contratada para a sustentação do Datacenter;

Fechar