Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 09/10/2023 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152023100900030
30
Nº 193, segunda-feira, 9 de outubro de 2023
ISSN 1677-7042
Seção 1
a) gestão centralizada: quando o desenvolvimento, a aquisição, a manutenção
ou a internalização da solução forem realizados de forma direta e centralizada pela
Diretoria de Tecnologia e Inovação;
b)
gestão descentralizada:
quando
o
desenvolvimento, a
aquisição,
a
manutenção ou a internalização da solução forem realizados diretamente por outras
unidades internas, sob gestão técnica da Diretoria de Tecnologia e Inovação; e
c)
gestão compartilhada:
quando
o
desenvolvimento, a
aquisição,
a
manutenção ou a internalização da solução forem realizados com compartilhamento de
responsabilidades entre a Diretoria de Tecnologia e Inovação e outras unidades
internas.
§2°. A aplicação de quaisquer das modalidades e abordagens de provimento
de soluções de software para uso corporativo do FNDE, incluindo as soluções de caráter
departamental, se sujeita à prévia análise e manifestação técnica da Diretoria de
Tecnologia e Inovação.
Art. 26. O desenvolvimento de soluções e produtos de software pelo FNDE
deverá observar, ainda, as seguintes diretrizes específicas:
I - o desenvolvimento de sistemas e aplicações de software deve ter foco na
otimização dos processos de trabalho, na capacidade de integração entre soluções e na
reutilização de dados e componentes;
II - durante o processo de concepção e especificação de soluções de software
devem ser considerados tanto os requisitos funcionais quanto os requisitos não funcionais
relevantes, principalmente aqueles relacionados à segurança da informação, integração,
disponibilidade, desempenho e usabilidade;
III - o contexto de utilização e os domínios funcionais das aplicações devem
ser respeitados de modo que suas regras de negócio e funcionalidades sejam consistentes
com seu propósito (finalidade), objetivando a evitar redundâncias funcionais, proliferação
de soluções altamente pontuais, perda de integridade de dados e elevação dos custos de
desenvolvimento e manutenção;
IV - os padrões técnicos e arquiteturais mantidos pela Diretoria de Tecnologia
e Inovação devem ser obedecidos de modo a garantir a manutenibilidade e a capacidade
de interoperabilidade entre os sistemas corporativos;
V
- direitos
de
propriedade
intelectual devem
cobrir
códigos-fonte,
documentos e outros elementos integrantes de soluções desenvolvidas especificamente
para a instituição, com recursos próprios ou de terceiros, devendo o FNDE possuir a
guarda e a gestão desses itens;
VI - modelos de testes adequados devem ser utilizados para garantir a
aderência das soluções às regras de negócio e aos requisitos especificados, como
premissa 
para
entrada 
em
produção, 
independentemente
do 
processo
de
desenvolvimento de software adotado;
VII - sempre que possível, metodologias e práticas ágeis deverão ser
priorizadas em detrimento das práticas tradicionais de engenharia de software,
assegurando a adoção de ciclos de desenvolvimento mais curtos e a entrega de valor
constante para a organização; e
VIII - sempre que necessário deve ser aplicado o respectivo processo de
capacitação de gestores e usuários para nivelamento de conhecimentos em relação aos
sistemas e aplicações corporativas do FNDE.
SUBSEÇÃO XIII - DA GESTÃO DE SEGURANÇA DA INFORMAÇÃO, PRIVACIDADE
E PROTEÇÃO DE DADOS
Art. 27. O processo de gerenciamento de segurança da informação, proteção
de dados e privacidade deve buscar equilíbrio entre o estabelecimento de políticas fortes,
capacidade de auditoria, capacitação e implementação de processos de gestão de riscos,
considerando as seguintes diretrizes específicas:
I - toda e qualquer informação e dado gerado, custodiado, manipulado,
utilizado ou armazenado no FNDE deve ser considerado um ativo relevante para a
organização, sendo objeto de proteção com vistas à preservação dos atributos de
disponibilidade, integridade, confidencialidade e autenticidade, na forma das leis e das
normas vigentes;
II - todo ativo de informação deve ser classificado e tratado segundo sua
classificação, de maneira a receber adequada proteção durante todo seu ciclo de vida
(criação, coleta, utilização, custódia e descarte);
III - todo acesso a dado deve ter a autorização expressa do gestor do dado,
além da necessidade de assinatura de Termo de Responsabilidade para acesso a dados
sensíveis, pessoais ou sigilosos, na forma da legislação vigente;
IV -
as medidas
e controles
de segurança
devem ser
estabelecidos
considerando a relevância dos ativos, os níveis de risco associados, o ambiente, o valor
e a criticidade das informações e dos dados, de forma proporcional e balanceada, visando
sempre a prevenção à ocorrência de incidentes;
V - pessoas e aplicações devem ter o menor privilégio e o mínimo acesso aos
recursos necessários para realizar uma determinada tarefa, tendo como condição
essencial a ciência expressa quanto às responsabilidades e compromissos decorridos deste
acesso e o conhecimento das penalidades cabíveis pela inobservância das regras
previstas;
VI - todos os usuários são individualmente responsáveis pela segurança dos
ativos sob sua custódia e pelo uso e guarda de suas credenciais de acesso, vedada a
exploração de eventuais vulnerabilidades que, assim que identificadas, devem ser
imediatamente comunicadas às instâncias competentes;
VII - todos os contratos de prestação de serviços firmados pelo FNDE deverão
conter cláusula específica sobre a obrigatoriedade de conhecimento e atendimento às
diretrizes e normas vinculadas a gestão de segurança da informação, privacidade e
proteção
de dados,
incluindo,
sempre que
possível, a
assinatura
de termo
de
responsabilidade pelas empresas contratadas e de termo de ciência pelos colaboradores
diretamente envolvidas na execução dos serviços contratados.
§1°. As diretrizes e objetivos dos processos de gestão de segurança da
informação, privacidade e proteção de dados devem ser consolidadas em Política de
Segurança
da
Informação
e
de Comunicações,
que
se
desdobrará
em
normas
complementares 
e
procedimentos 
operacionais
para 
cada
segmento 
específico
relevante.
§2°. A gestão de segurança da informação deve ser suportada por ações e
métodos que visem a integração das atividades de gestão de riscos, gestão de
continuidade do negócio, tratamento de incidentes, tratamento das informações e dados,
conformidade, credenciamento, segurança cibernética, segurança física, segurança lógica,
segurança orgânica e segurança organizacional dos processos institucionais estratégicos,
táticos e operacionais.
§3°. O uso dos recursos de Tecnologia da Informação e Comunicação
disponibilizados pelo FNDE deve ser passível de monitoramento e auditoria, incluindo a
análise regular de registros de eventos (log) com a aplicação, sempre que viável, de
softwares 
utilitários 
específicos 
para 
monitoramento 
do 
uso 
de 
sistemas
computacionais.
§4°. Sempre que possível deverão ser implementados e mantidos mecanismos
que permitam a rastreabilidade dos recursos de TIC através de estratégias como trilhas de
auditoria, rastreamento, acompanhamento, controle e verificação de acessos para toda a
rede e sistemas corporativos.
§5°. Deve ser instituído o Subcomitê de Segurança da Informação, como
estrutura multidisciplinar subordinada ao Comitê de Governança Digital, para tratar dos
assuntos específicos relacionados ao conjunto de políticas, processos, procedimentos e
controles relacionados à segurança da informação, segurança cibernética, privacidade e
proteção de dados no âmbito do FNDE.
§6°. Os processos de gestão de segurança da informação, privacidade e
proteção de dados devem ser periodicamente avaliados com relação ao grau de
implementação de suas práticas, bem como avaliação dessas práticas quanto ao seu grau
de eficiência, eficácia e efetividade de modo a subsidiar aplicação de ajustes e sua
melhoria contínua.
SUBSEÇÃO XIV - DA GESTÃO DA CONTINUIDADE DO NEGÓCIO
Art. 28. Deve ser implementado um Programa de Gestão de Continuidade de
Negócio (PGCN) visando estabelecimento de práticas e critérios de análise de impacto,
contingência, recuperação e resiliência dos serviços e ambientes de TIC, de modo a
mitigar a possibilidade de interrupção das atividades da Autarquia causada por desastres
ou falhas em recursos de TIC que suportam processos operacionais da organização.
§1°. O Programa de Gestão de Continuidade de Negócio - PGCN definirá os
objetivos, princípios e diretrizes de alto nível que traduzirão a visão estratégica
organizacional para a gestão da continuidade de negócio, além de orientar a elaboração
dos planos correlatos, a análise de riscos e de impacto, as estratégias de continuidade
segundo a cadeia de valor integrada, os procedimentos e as ações relacionadas ao
retorno do ambiente ao seu estado de normalidade.
§2°. A resiliência dos serviços e ambientes de TIC deve ser testada e revisada
periodicamente, para refletir as mudanças tanto da estratégia corporativa quando das
infraestruturas físicas e lógicas de TIC correlacionadas.
§3°. Os processos de gestão de da continuidade do negócio devem ser
periodicamente avaliados com relação ao grau de cumprimento de suas práticas, bem
como avaliação dessas práticas quanto ao seu grau de eficiência, eficácia e efetividade de
modo a subsidiar aplicação de ajustes e sua melhoria contínua.
SUBSEÇÃO XV - DA GESTÃO DE RISCOS, INTEGRIDADE, CONTROLE INTERNO E
CO N FO R M I DA D E
Art. 29. Deve ser executado um processo de gestão dos riscos de TIC no qual
estejam estabelecidos papéis e responsabilidades, estratégias gerais e critérios de
identificação e avaliação de riscos, preferencialmente como parte do processo
institucional de gestão de riscos, considerando as seguintes diretrizes específicas:
I - o fomento à cultura de gestão de riscos como processo essencial de apoio
a implementação de estratégias, planos, projetos e tomada de decisões para consecução
dos objetivos estratégicos organizacionais e setoriais;
II - riscos de TIC devem ser identificados, mapeados, analisados, avaliados,
tratados, monitorados e comunicados de forma contínua;
III - estabelecimento de critérios para tratamento dos riscos relacionados à
TIC, considerando-se os aspectos legais, financeiros, operacionais, tecnológicos, negociais
e de preservação da imagem da instituição; e
IV - atuação sistemática da gestão de riscos de TIC concomitantemente ao
monitoramento da execução da estratégia, dos planos táticos e operacionais e das ações
e projetos.
§1°. Deve ser elaborada e mantida uma política de gestão de riscos em
Tecnologia da Informação, que definirá os objetivos, os princípios e as diretrizes de alto
nível oriundos da visão estratégica organizacional para a gestão de riscos de TIC -
orientando a elaboração de normas e procedimentos correlatos.
§2°. Os processos de negócio críticos da Autarquia devem ter seus riscos de
TIC mapeados, analisados e avaliados. Devendo ser produzido e mantido atualizado um
plano de tratamento e resposta aos riscos avaliados, envolvendo ações para mitigação,
transferência,
eliminação ou
aceitação
de riscos,
conforme
os
critérios a
serem
estabelecidos.
Art. 30. A integridade em TIC observará as seguintes diretrizes específicas,
associadas à gestão de riscos:
I - definição e implementação de controles de integridade para prevenção,
detecção e remediação de ocorrências e atos indesejados;
II - garantir a prestação de contas de forma transparente, sistemática e
ativa;
III - assegurar a integridade de dados e informações;
IV - assegurar a integridade dos processos de governança e gestão de TIC, em
aderência às boas práticas vigentes;
V
-
desenvolver práticas
e
mecanismos
para
garantir a
proteção
da
disponibilidade, da confidencialidade, da acessibilidade e da integridade de dados e
informações corporativas, com a definição de padrões específicos e atualizados de
segurança para as bases de dados internas, para preservar os processos e a imagem da
instituição; e
VI - assessorar e subsidiar, no que couber, as instâncias internas competentes
visando implementar ações de melhoria contínua das práticas de gestão e governança em TIC.
Parágrafo único. As soluções digitais de uso corporativo devem considerar
aspectos relativos à ética, integridade, inclusão social, responsabilidade socioambiental,
eficiência, eficácia, legalidade, sustentabilidade, segurança da informação, empatia,
idoneidade, além do respeito à diversidade e valorização das pessoas.
Art. 31. Os controles internos de TIC devem observar as seguintes diretrizes
específicas, associadas à gestão de riscos e à integridade:
I - monitoramento da conformidade, do desempenho e das práticas de
governança e gestão de TIC por meio da implementação de controles adequados e
promoção de ações corretivas quando desvios forem identificados;
II - assegurar que as estratégias definidas e os normativos formulados estejam
sempre em consonância com a legislação, as normas e os padrões vigentes; e
III - medir continuamente a maturidade das práticas de gestão e governança
através da autoavaliação ou por meio da contratação de consultorias especializadas, para
garantir que os processos internos de TIC estejam fornecendo o valor esperado para as
partes interessadas internas ou externas.
Art. 32. Os processos de gestão de riscos, integridade, controles internos e
conformidade devem ser periodicamente avaliados com relação ao grau de cumprimento
de suas práticas, bem como avaliação dessas práticas quanto ao seu grau de eficiência,
eficácia e efetividade de modo a subsidiar aplicação de ajustes e sua melhoria
contínua.
CAPÍTULO VI - DOS PAPÉIS E DAS RESPONSABILIDADES
Art. 33. O gestor de TIC é responsável pelo planejamento, desenvolvimento,
execução e monitoramento das atividades de Tecnologia da Informação e Comunicação,
devendo, diretamente ou sob delegação regimental, assessorar o Comitê de Governança
Digital no exercício de suas competências, provendo todas as informações de gestão para
a tomada de decisão das instâncias superiores, competindo-lhe ainda:
I - elaborar o plano de monitoramento de governança e gestão de TIC;
II - elaborar relatórios de acompanhamento dos controles e indicadores
definidos;
III - propor normativos específicos de apoio à Governança Digital e aos seus
subdomínios;
IV - propor alterações nesta Política de Governança Digital; e
V - conscientizar os demais agentes públicos internos sobre os objetivos
estratégicos de TIC e suas responsabilidades em cada processo ou prática relacionada.
Art. 34. Compete à alta administração, através do Comitê de Governança
Digital:
I - aprovar, manter e revisar a Política de Governança Digital;
II - avaliar, direcionar e monitorar as normas e ações de governança e gestão
de TIC; e
III - estabelecer as metas, os indicadores e os ciclos de avaliação do grau de
maturidade em governança e gestão de TIC e realizar a análise crítica das práticas
envolvidas.
Parágrafo único. Outras competências e atribuições específicas para o Comitê
de Governança Digital e seus subcomitês poderão ser definidas em seus respectivos
instrumentos de criação.
CAPÍTULO VII - DOS RECURSOS, DO MONITORAMENTO E DA ATUALIZAÇÃO DA
POLÍTICA
SEÇÃO I - DOS RECURSOS
Art. 35. A Política de Governança Digital do FNDE deve ser considerada
instrumento essencial para o sucesso das estratégias e dos projetos de Tecnologia da
Informação e Comunicação, devendo os recursos necessários para a sua devida
instrumentalização serem considerados sempre em conjunto com as demandas de TIC
propriamente ditas.
SEÇÃO II - DO MONITORAMENTO E DA ATUALIZAÇÃO DA POLÍTICA
Art. 36. Esta POLÍTICA deve ser revisada e atualizada, no máximo, a cada 2
(dois) anos.
Parágrafo único. A devida publicidade das alterações deste normativo e
publicações relacionadas a este instrumento deve ser assegurada para todas as partes
interessadas envolvidas.

Fechar