Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 12/09/2023 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152023091200095
95
Nº 174, terça-feira, 12 de setembro de 2023
ISSN 1677-7042
Seção 1
Art. 27. Será autorizado o uso de equipamentos pessoais em atividades
institucionais somente com a implementação de soluções de segurança da informação
com padrões que atendam aos parâmetros definidos no art. 5º, nesses equipamentos.
Art. 28. Os ativos de informação disponibilizados pelo Ministério do Turismo
deverão ser utilizados exclusivamente para a execução de atividades institucionais.
Art. 29. Toda a informação que trafega pelos ativos de informação poderá ser
monitorada de acordo com as necessidades de segurança da informação estabelecidas
em norma interna de segurança da informação do Ministério do Turismo, conforme
diretrizes desta POSIN e respeitada a legislação vigente.
Art. 30. Em caso de desligamento ou impedimento de um agente público que
tenha executado atividades no Ministério do Turismo, sua chefia imediata poderá
requisitar a recuperação de informações armazenadas em ativos de informação que
estejam sob a guarda da instituição, com a finalidade de continuidade das atividades
realizadas pelo agente público.
Art. 31. Serão estabelecidos processos permanentes de conscientização,
capacitação e sensibilização em segurança da informação, que alcancem todos os agentes
públicos que executem atividades no Ministério do Turismo, de acordo com suas
competências funcionais.
Seção VI
Do Uso do E-mail institucional
Art. 32. O uso do e-mail institucional deverá ser definido em ato específico do
Ministro do Turismo, em conformidade com as diretrizes desta POSIN, e deverá tratar,
dentre outras coisas, do controle de acesso.
Art. 33. O serviço de e-mail será oferecido como um recurso institucional para
apoiar os seus usuários no cumprimento das atividades institucionais.
Art. 34. O e-mail institucional deverá ser utilizado somente para fins corporativos
e relacionados às atividades do agente público, sendo vedado o uso para fins pessoais.
Seção VII
Do Uso e Acesso à Internet
Art. 35. A concessão de acesso à internet no âmbito do Ministério do Turismo
será limitada às atividades de trabalho do usuário de informação, seguindo os
procedimentos definidos em norma interna de segurança da informação do Ministério do
Turismo, em conformidade com as diretrizes desta POSIN, orientações governamentais e
legislações específicas em vigor.
Parágrafo Único. As solicitações de exceção de acesso deverão ser justificadas
pelo usuário de informação e consentidas pela autoridade hierarquicamente superior, no
mínimo CCE-15/FCE-15, cabendo à área de segurança da informação realizar a avaliação
dos riscos da exceção para encaminhar à avaliação da aprovação final pelo Gestor de
Segurança da Informação.
Art. 36. As publicações oficiais na internet deverão ser autorizadas pela área
responsável pelo conteúdo.
Seção VIII
Do Serviço de Backup
Art. 37. Os procedimentos de backup deverão ser fixados por norma interna
de segurança da informação do Ministério do Turismo, considerando as seguintes
diretrizes gerais desta POSIN.
§ 1º
O serviço de backup
deverá ser automatizado
por sistemas
informacionais próprios, considerando, inclusive, a execução agendada fora do horário de
expediente.
§ 2º
A solução
de backup deverá
ser mantida
sempre atualizada,
considerando suas diversas características, tais como atualizações de correção, novas
versões, ciclo de vida, garantia, melhorias, entre outros.
§3º As mídias de backups deverão ser armazenadas em instalações seguras,
preferencialmente com estrutura de cofres e salas-cofres, objetivando manter a sua
segurança e integridade.
§4º
A
execução
de
rotinas
de backup
e
de
recuperação
deverá
ser
rigidamente controlada, documentada e auditada, conforme norma interna de segurança
da informação do Ministério do Turismo .
Seção IX
Das Redes Sociais
Art. 38. O uso institucional das redes sociais deverá ser norteado por diretrizes,
critérios, limitações e responsabilidades, em conformidade com as diretrizes desta POSIN.
Parágrafo único. A utilização de perfis institucionais mantidos em redes sociais
com o objetivo de prestar atendimento e serviços públicos, divulgar ou compartilhar
informações do Ministério do Turismo será regida por norma interna de segurança da
informação do Ministério do Turismo, em consonância com esta POSIN e com os
objetivos estratégicos deste Ministério.
Art. 39. Os perfis institucionais mantidos nas redes sociais deverão ser
administrados e custodiados por agentes públicos autorizados pelo Ministério do
Turismo, tendo suas credenciais de acesso monitoradas pela área de tecnologia da
informação a fim de assegurar o previsto no art. 72.
Seção X
Da Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação
Art. 40. As atividades de aquisição, manutenção e desenvolvimento de
sistemas de informação deverão observar os padrões, critérios e controles de segurança
e seguir o estabelecido na Instrução Normativa SGD/ME nº 94, de 23 de dezembro de
2022.
Art. 41. O apoio técnico aos processos de planejamento e avaliação da
qualidade das soluções de tecnologia da informação poderá ser objeto de contratação,
desde que sob supervisão exclusiva de agente público designado pelo Ministério do
Turismo, conforme disposto no art. 3º da Instrução Normativa SGD/ME nº 1, de 2019.
§ 1º O Termo de Referência ou Projeto Básico para contratação de soluções
de tecnologia deverá conter, no que couber ao objeto contratado, requisitos e obrigações
de segurança da informação e privacidade, conforme estabelecido no Anexo I - Item 7
da Instrução Normativa SGD/ME nº 94, de 2022.
§ 2º Nos editais de licitação e nos contratos de solução de tecnologia da
informação com o Ministério do Turismo deverá constar cláusula específica sobre a
obrigatoriedade de atendimento a esta POSIN, bem como que verse sobre a exigência
estabelecida para empresa contratada e prestador de serviços assinarem o Termo de
Responsabilidade e o Termo de Confidencialidade, conforme os Anexos II e III desta Portaria.
§ 3º A empresa contratada deverá demonstrar que possui mecanismos que
assegurem a segurança das informações do Ministério do Turismo por ela acessadas
direta ou indiretamente e cumprir o disposto nesta POSIN quando aplicável.
Art. 42. Não poderá ser objeto de contratação a Gestão de Processos de
Tecnologia da Informação ou a Gestão de Segurança da Informação, conforme disposto
no art. 3º da Instrução Normativa SGD/ME nº 94, de 2022.
Seção XI
Do Uso de Computação em Nuvem
Art. 43. A implementação ou contratação de computação em nuvem deverá
estar em conformidade com as diretrizes desta POSIN e com a Instrução Normativa MTur
nº 5, de 30 de agosto de 2021.
§ 1º O uso de recursos de computação em nuvem para suprir demandas de
transferência e armazenamento de documentos, processamento de dados, aplicações,
sistemas e demais tecnologias da informação será regido por norma interna de segurança
da informação que deverá ser instituída pela unidade responsável pelos ativos de
tecnologia e atenderá às determinações desta POSIN.
§ 2º Fica vedado o uso de recurso de computação em nuvem não
disponibilizado pelo Ministério do Turismo para o armazenamento de ativo de
informação institucional.
Seção XII
Do Uso de Dispositivos Móveis
Art. 44. O uso de dispositivos móveis para acesso aos recursos computacionais
do Ministério do Turismo deverá ser controlado com a implementação de mecanismos de
autenticação, autorização e registro de acesso.
Parágrafo Único. Norma interna de segurança da informação definirá os
procedimentos específicos para o uso de dispositivos móveis que acessarem ativos de informação
do Ministério do Turismo, conforme diretrizes desta Política de Segurança da Informação.
Seção XIII
Dos Controles de Acesso
Art. 45. O controle de acesso aos sistemas corporativos e o credenciamento
de usuário de informações serão definidos em norma interna de segurança da
informação do Ministério do Turismo.
Art. 46. A autorização, o acesso e o uso dos ativos de informação deverão ser
controlados e limitados ao necessário para o cumprimento das atribuições de cada
usuário de informação.
Art. 47. A identificação do usuário de informação, qualquer que seja o meio
e a
forma adotados, deverá ser
pessoal e intransferível, permitindo
o seu
reconhecimento de maneira clara, inequívoca e irrefutável.
Art. 48. Sempre que houver mudança nas atribuições de determinado usuário
de informação, os seus privilégios de acesso aos ativos de informação deverão ser
imediatamente readequados, devendo ser cancelados em caso de seu desligamento do
Ministério do Turismo.
Art. 49. A criação e a administração de contas serão realizadas de acordo com
os procedimentos especificados em norma interna de segurança da informação do
Ministério do Turismo para todo e qualquer usuário de informação.
Art. 50. As práticas de segurança deverão contemplar procedimentos de acesso
físico a áreas e instalações, gestão de acessos e delimitação de perímetros de segurança.
Art. 51. A credencial de acesso concedida a usuários de informação pela área
de tecnologia da informação poderá ser revogada, a qualquer tempo, pela área de
segurança da informação, em virtude do descumprimento desta POSIN ou das normas e
procedimentos específicos dela decorrentes, cabendo recurso ao Gestor de Segurança da
Informação.
Seção XIV
Da Gestão de Riscos em Segurança da Informação
Art. 52. A Gestão de Riscos em Segurança da Informação será instituída por
norma interna de segurança da informação do Ministério do Turismo com vistas a
identificar os ativos de informação relevantes e determinar ações de gestão
apropriadas.
§ 1º O processo de levantamento de riscos deverá avaliar os riscos relativos à
segurança dos ativos de informação e a conformidade com as exigências regulatórias ou legais.
§ 2º A Gestão de Riscos em Segurança da Informação deverá estar alinhada
às diretrizes desta POSIN e com a unidade organizacional responsável pela Gestão de
Riscos do Ministério do Turismo, implementando, no que couber, suas diretrizes e
procedimentos.
Seção XV
Da Gestão de Vulnerabilidades Técnicas
Art. 53. A Gestão de Vulnerabilidades Técnicas será implementada com vistas
a prevenir a exploração de vulnerabilidades na rede corporativa do Ministério do Turismo
por meio da aplicação sistemática de ações de identificação, classificação e tratamento
de vulnerabilidades, sendo regulamentada por norma interna de segurança da
informação do Ministério do Turismo.
Art. 54. O processo de Gestão de Vulnerabilidades deverá assegurar que
sejam disponibilizadas à Alta Administração e ao Comitê de Governança Digital e
Segurança da Informação, sempre que solicitado, as informações sobre vulnerabilidades
referentes aos ativos de rede e de sistemas informatizados geridos pelas áreas de
tecnologia da informação, de forma a permitir a eficaz detecção e remediação de
vulnerabilidades no menor tempo possível.
Art. 55. O inventário completo e atualizado dos ativos de rede e sistemas
informatizados será pré-requisito para o efetivo processo de gestão de vulnerabilidades
e deverá identificar, no mínimo, os ativos de hardware, software, serviços em nuvem, o
grau de criticidade e o respectivo responsável pela sua gestão.
Seção XVI
Da Gestão de Continuidade de Negócios em Segurança da Informação
Art. 56. O Ministério do Turismo deverá manter processo de Gestão de
Continuidade de Negócios em Segurança da Informação que forneça estrutura a fim de
permitir a continuidade das atividades e, caso sejam interrompidas, assegurar a sua
retomada em tempo hábil.
Art. 57. Os ativos de informação de propriedade ou custodiados pelo
Ministério do Turismo, quando armazenados em meio eletrônico, deverão ser providos
de cópia de segurança atualizada e guardada em local seguro, de forma a garantir a
continuidade das atividades do órgão.
Art. 58. Deverá ser elaborado um Plano de Continuidade de Negócios em
Segurança da Informação - PCN que contenha os procedimentos e as informações
necessárias para que o Ministério do Turismo mantenha seus ativos de informação
críticos e a continuidade de suas atividades críticas em local alternativo, em um nível
previamente definido, em caso de incidente.
Parágrafo único. O Plano de Continuidade de Negócios em Segurança da
Informação será elaborado pelo Gestor de Segurança da Informação e deverá ser testado
e revisado periodicamente, de forma a se manter atualizado para responder às ameaças
identificadas.
Seção XVII
Da Auditoria e Conformidade
Art. 59.
O Ministério do
Turismo deverá
criar e manter
registros e
procedimentos, como trilhas de auditoria, que possibilitem o rastreamento, o
acompanhamento, o controle e a verificação de acessos aos seus sistemas corporativos
e à sua rede interna.
Art. 60. Deverá ser realizada, com periodicidade mínima anual, a verificação
de conformidade das práticas de Segurança da Informação aplicadas no Ministério do
Turismo com esta POSIN, bem como com as normas elaboradas pelo Gabinete de
Segurança Institucional da Presidência da República, em vigor.
§ 1º A verificação de conformidade também deverá ser realizada nos
contratos, convênios, acordos de cooperação e outros instrumentos do mesmo gênero
celebrados com o Ministério do Turismo.
§ 2º A verificação de conformidade poderá combinar ampla variedade de
técnicas, tais como análise de documentos, análise de registros (logs), análise de código-
fonte, entrevistas, simulação de intrusão e testes de invasão.
§ 3º Os resultados de cada ação de verificação de conformidade serão
documentados em Relatório de Avaliação de Conformidade a ser elaborado pelo Gestor
de Segurança da Informação.
Art. 61. Os procedimentos e as metodologias utilizados na auditoria e
conformidade serão definidos em norma interna de segurança da informação do
Ministério do Turismo.
CAPÍTULO IV
DAS COMPETÊNCIAS
Art. 62. A estrutura de Gestão de Segurança da Informação no Ministério do
Turismo será composta pelo Gestor de Segurança da Informação -GSI- e pelo Comitê de
Governança Digital e Segurança da Informação -CGDSI.
Seção I
Do Comitê de Governança Digital e Segurança da Informação
Art. 63. O Comitê de Governança Digital e Segurança da Informação, instituído
pela Portaria MTur nº 20, de 5 de julho de 2023, deverá realizar reuniões periódicas para
acompanhamento das atividades de segurança institucional, avaliação do cumprimento de
metas de segurança e a efetiva aplicação dessa POSIN.
Seção II
Do Gestor de Segurança da Informação
Art. 64. O Gestor de Segurança da Informação é o responsável pelas ações de
segurança da informação no âmbito do órgão ou entidade da administração pública federal.
Art. 65. Ao Gestor de Segurança da Informação compete:
I - planejar, coordenar, supervisionar, executar e controlar a execução das
atividades de tecnologia da informação em conformidade com as diretrizes desta POSIN;
II - definir estratégias para a implementação desta POSIN e suas normas
internas de segurança da informação;
III - supervisionar e analisar a efetividade dos processos, procedimentos,
sistemas e dispositivos de Segurança da Informação;

Fechar