Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 02/08/2023 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152023080200015
15
Nº 146, quarta-feira, 2 de agosto de 2023
ISSN 1677-7042
Seção 1
Seção X
Do Uso de Dispositivos Móveis
Art. 35. O uso de dispositivos móveis institucionais e demais dispositivos móveis
para acesso aos ativos de informação do Ministério da Cultura deverá ser controlado com
a implementação de mecanismos de autenticação, autorização e registro de acesso, a
serem previstos detalhadamente em norma interna de segurança da informação.
Seção XI
Da Gestão de Vulnerabilidades Técnicas
Art. 36. A gestão de vulnerabilidades técnicas será implementada com vistas a
prevenir a exploração de vulnerabilidades na rede corporativa do Ministério da Cultura, e
será implementada por ações sistemáticas de identificação, classificação e tratamento das
vulnerabilidades, sendo regulamentada por norma interna de segurança da informação.
Art. 37. O processo de gestão de vulnerabilidades técnicas disponibilizará à alta
administração e ao Comitê de Governança Digital e Segurança da Informação, sempre que
solicitado, as informações sobre vulnerabilidades referentes aos ativos de informação e de
sistemas informatizados do ministério, de forma a permitir a eficaz detecção e remediação
de vulnerabilidades no menor tempo possível.
Art. 38. O inventário completo e atualizado dos ativos de informação é pré-
requisito para o efetivo processo de gestão de vulnerabilidades técnicas e deverá
identificar, no mínimo, os ativos de hardware, software, serviços em nuvem e o respectivo
responsável pela sua gestão.
Seção XII
Da Gestão de Continuidade de Serviços em Segurança da Informação
Art. 39. O Ministério da Cultura deverá manter processo de Gestão de
Continuidade de Serviços em Segurança da Informação que forneça estrutura para
assegurar a continuidade das atividades do ministério em casos de ameaças, ataques,
incidentes de segurança e, em caso de interrupção, assegurar a sua retomada no menor
tempo possível.
Art. 40. Os ativos de informação de propriedade ou custodiados pelo Ministério
da Cultura, quando armazenados em meio eletrônico, deverão ser providos de cópia de
segurança atualizada e guardada em local seguro, de forma a garantir a continuidade das
atividades do órgão.
Art. 41. Deverá ser elaborado um Plano de Continuidade de Serviços em
Segurança da Informação que contenha os procedimentos e as informações necessárias
para que o Ministério da Cultura mantenha seus ativos de informação e a continuidade de
suas atividades em local alternativo, em caso de incidente de segurança.
Parágrafo único. O Plano de Continuidade de Serviços em Segurança da
Informação será elaborado pelo Gestor de Segurança da Informação e deverá ser testado
e revisado periodicamente, de forma a se manter atualizado para responder às ameaças
identificadas.
Seção XIII
Da Auditoria e Conformidade
Art. 42. O Ministério da Cultura
deverá criar e manter registros e
procedimentos, como trilhas de auditoria, que possibilitem o rastreamento, o
acompanhamento, o controle e a verificação de acessos aos seus sistemas corporativos e
à sua rede interna.
Art. 43. Deverá ser realizada, com periodicidade mínima anual, a verificação de
conformidade das práticas de Segurança da Informação aplicadas no Ministério da Cultura
com esta POSIN, bem como com as normas elaboradas pelo Gabinete de Segurança
Institucional da Presidência da República, na forma do art. 12 do Decreto nº 9.637, de
2018.
§ 1º A verificação de conformidade também deverá ser realizada nos contratos,
convênios, acordos de cooperação e outros instrumentos de parceria firmados pelo
Ministério da Cultura.
§ 2º A verificação de conformidade poderá combinar ampla variedade de
técnicas, tais como análise de documentos, análise de registros (logs), análise de código-
fonte, entrevistas, simulação de intrusão e testes de invasão.
§ 3º Os resultados de cada ação de verificação de conformidade serão
documentados em Relatório de Avaliação de Conformidade a ser elaborado pelo Gestor de
Segurança da Informação.
Art. 44. Os procedimentos e as metodologias utilizados na auditoria e
conformidade serão definidos em norma interna de segurança da informação do Ministério
da Cultura.
CAPÍTULO IV
DAS COMPETÊNCIAS
Art. 45. A estrutura de Gestão de Segurança da Informação no Ministério da
Cultura será composta pelo Gestor de Segurança da Informação e pelo Comitê de
Governança Digital e Segurança da Informação, instituído no art. 44 desta Portaria.
Art. 46. Ao Comitê de Governança Digital e Segurança da Informação, instituído
na forma do art. 15, inciso IV, do Decreto nº 9.637, de 2018, e do art. 2º do Decreto nº
10.332, de 28 de abril de 2020, compete:
I - supervisionar a implementação das ações de segurança da informação e de
governo digital no âmbito do ministério;
II - propor normas internas de segurança da informação, bem como alterações
na POSIN/MinC;
III - deliberar sobre a implementação da Estratégia de Governo Digital e seus
instrumentos no âmbito do ministério; e
IV - aprovar o Plano de Transformação Digital, o Plano Diretor de Tecnologia da
Informação e Comunicação e o Plano de Dados Abertos do ministério.
§ 1º Para o cumprimento de suas atribuições, o comitê poderá constituir
grupos de trabalho, por prazo determinado, para tratar de temas específicos, mediante
designação de seu coordenador.
§ 2º O Comitê de Governança Digital e Segurança da Informação terá a
seguinte composição:
I - o gestor da segurança da informação, representante da Secretaria-Executiva,
que o coordenará;
II - um representante da Secretaria de Cidadania e Diversidade Cultural;
III - um representante da Secretaria de Direitos Autorais e Intelectuais;
IV - um representante da Secretaria de Economia Criativa e Fomento
Cultural;
V - um representante da Secretaria de Formação, Livro e Leitura;
VI - um representante da Secretaria do Audiovisual;
VII - um representante da Secretaria dos Comitês de Cultura;
VIII - o Subsecretário de Tecnologia da Informação e Inovação; e
IX - pelo encarregado pelo tratamento de dados pessoais, designado na forma
do art. 41 da Lei nº 13.709, de 14 de agosto de 2018.
§ 3º Os membros relacionados nos incisos I a VIII do § 2º serão designados em
ato específico do Ministro de Estado da Cultura, juntamente com a designação de
suplentes quando não houver previsão de substituto legal.
§ 4º O comitê reunir-se-á em reuniões ordinárias trimestrais ou em reuniões
extraordinárias convocadas por seu coordenador, com antecedência mínima de dois dias
úteis.
§ 5º As deliberações do comitê serão tomadas por maioria absoluta e lavradas
em ata assinada por todos os presentes, cabendo ao seu coordenador expedir suas
resoluções.
Art. 47. O Gestor de Segurança da Informação será servidor ocupante de cargo
efetivo, com formação ou capacitação técnica na área de segurança da informação,
competindo-lhe:
I - planejar, coordenar, supervisionar, executar e controlar a execução das
atividades
de tecnologia
da informação
em
conformidade com
as diretrizes
da
POSIN/MinC;
II - definir estratégias para a implementação da POSIN/MinC e suas normas
internas de segurança da informação;
III - supervisionar e analisar a efetividade dos processos, procedimentos,
sistemas e dispositivos de segurança da informação;
IV - acompanhar as investigações e as avaliações dos danos decorrentes de quebras
de segurança e adotar as medidas administrativas necessárias à aplicação de ações corretivas;
V - encaminhar às autoridades competentes para aplicação de penalidades os
fatos apurados em incidentes de segurança ou incidentes cibernéticos que constituam
violações administrativas, civis ou penais à POSIN/MinC;
VI - realizar a gestão de risco e demais atividades de gestão de segurança da
informação;
VII - verificar se os procedimentos de segurança da informação estão sendo
aplicados em conformidade com as legislações vigentes e normas internas de segurança da
informação;
VIII - promover, com apoio da alta administração, a ampla divulgação da
POSIN/MinC, das normas internas de segurança da informação e de suas atualizações, de
forma ampla e acessível, a todos os usuários de informação e aos prestadores de
serviço;
IX - propor recursos necessários às ações de segurança da informação e das
comunicações;
X - acompanhar as atividades da Equipe de Prevenção, Tratamento e Resposta
a Incidentes Cibernéticos;
XI - promover e acompanhar estudos de novas tecnologias quanto a possíveis
impactos na segurança da informação e comunicações;
XII - propor normas internas de segurança da informação e comunicações;
XIII - promover a melhoria contínua dos processos de gestão de segurança da
informação e propor ajustes corretivos a serem incluídos nas revisões desta POSIN; e
XIV - propor conteúdo sobre segurança da informação, com vistas a facilitar a
capacitação e a instrução dos servidores e colaboradores para a utilização de sistemas
corporativos e acesso a informações nos níveis físico e lógico, em conformidade com as
diretrizes da POSIN/MinC.
CAPÍTULO V
DAS RESPONSABILIDADES
Seção I
Do Proprietário de Informação
Art. 48. O proprietário de informação é o responsável primário pela sua
integridade, autenticidade, disponibilidade e, quando aplicável, por sua confidencialidade.
Art. 49. Ao proprietário de informação caberá:
I - comunicar ao Gestor de Segurança da Informação acerca do ingresso, da
alteração de lotação ou localização, e do desligamento de servidor, estagiário, prestador de
serviço ou colaborador em sua unidade organizacional; e
II - colher a assinatura do Termo de Responsabilidade disponível no Anexo II e
do Termo de Confidencialidade disponível no Anexo III dos usuários de informação em sua
unidade organizacional.
Seção II
Das Responsabilidades do Usuário de Informação
Art. 50. Ao Usuário de Informação caberá:
I - acessar a rede de dados do Ministério da Cultura somente após tomar
ciência desta POSIN e das normas internas de Segurança da Informação e assinar o termo
do Anexo II ou III que lhe for cabível;
II - manter sigilo e trocar periodicamente a senha pessoal de acesso aos
sistemas do ministério;
III - não usar a identificação de acesso e senha de terceiros;
IV - portar crachá de identificação de maneira visível ou uniforme, para os
cargos que o exigirem, quando dentro das instalações do Ministério da Cultura;
V - zelar pelos equipamentos e ativos de informação disponibilizados pelo
ministério, os quais deverão ser preservados como patrimônio público;
VI - utilizar as informações digitais disponibilizadas e os sistemas e produtos
computacionais de propriedade ou direito de uso do Ministério da Cultura para o interesse
do serviço;
VII - preservar o conteúdo das informações sigilosas a que tiver acesso, sem
divulgá-las para pessoas não autorizadas ou que não tenham necessidade de conhecê-
las;
VIII - não tentar obter acesso à informação cujo grau de sigilo não seja
compatível com a sua Credencial de Segurança ou cujo teor não tenha autorização ou
necessidade de conhecer;
IX - não utilizar o ambiente computacional do Ministério da Cultura para
acessar, transmitir, copiar ou reter conteúdo ou arquivos com textos, fotos, filmes ou
quaisquer outros registros que estejam em desacordo com a legislação vigente e a
LG P D ;
X - não transferir qualquer tipo de arquivo que pertença ao Ministério da
Cultura para outro local, seja por meio magnético ou não, exceto no interesse do serviço
e mediante autorização da autoridade competente;
XI - estar ciente de que o processamento, o trâmite e o armazenamento de
arquivos que não sejam de interesse do serviço não serão permitidos na rede
computacional do Ministério da Cultura;
XII - preservar o sigilo das informações previamente classificadas a que
eventualmente tenha acesso e abster-se de ter acesso àquelas para as quais não tenha a
credencial de segurança compatível com o grau de sigilo;
XIII - estar ciente de que toda informação digital armazenada, processada e
transmitida no ambiente computacional do Ministério da Cultura poderá ser auditada;
XIV - estar ciente de que o e-mail institucional é de uso prioritário para o
interesse do serviço, devendo ser evitado o seu uso para fins pessoais;
XV - informar prontamente ao proprietário de informação a que esteja
diretamente subordinado qualquer fato em desacordo com a POSIN/MinC de que tenha
ciência, bem como qualquer informação de cuja veracidade suspeite; e
XVI - no caso de exoneração, demissão, licença, término de prestação de
serviço ou qualquer tipo de afastamento, preservar o sigilo das informações e documentos
sigilosos a que eventualmente teve acesso.
Art. 51. O usuário de informação responderá pelo prejuízo que vier a ocasionar
ao Ministério da Cultura em decorrência do descumprimento de qualquer regra da
POSIN/MinC e suas normas internas de segurança da informação.
Seção III
Das Responsabilidades do Custodiante da Informação
Art. 52. Ao Custodiante da Informação caberá:
I - cumprir e zelar pela observância integral das diretrizes da POSIN/MinC e
demais normas e procedimentos decorrentes;
II - zelar pela disponibilidade, integridade e autenticidade das informações e
recursos em qualquer suporte sob sua custódia, bem como sua confidencialidade, quando
cabível;
III - assinar o termo de responsabilidade de que trata o Anexo II desta
portaria;
IV - proteger as informações contra acesso, modificação, destruição ou
divulgação não autorizados;
V - preservar o sigilo das informações previamente classificadas a que
eventualmente tenha acesso e abster-se de ter acesso àquelas para as quais não tenha a
credencial de segurança compatível com o grau de sigilo;
VI - adotar as medidas de proteção necessárias para minimizar ou eliminar os
riscos a que estão sujeitos os ativos de informação sob sua custódia; e
VII - comunicar imediatamente ao Proprietário da Informação e ao Gestor de
Segurança da Informação sobre qualquer incidente que possa comprometer a
disponibilidade, a integridade, a confidencialidade e a autenticidade das informações sob
sua custódia ou sobre qualquer fato em desacordo com a POSIN/MinC da qual tome
conhecimento.
CAPÍTULO VI
DAS PENALIDADES
Art. 53. A violação das regras estabelecidas na POSIN/MinC ou suas normas
internas de segurança, por qualquer pessoa física ou jurídica, acarretará as penalidades
civis, penais e administrativas previstas na legislação, conforme o caso.
CAPÍTULO VII
DAS DISPOSIÇÕES FINAIS
Art. 54. Esta POSIN, suas normas internas de segurança e suas atualizações
deverão ser divulgadas amplamente aos usuários de informações do Ministério da Cultura.

Fechar