Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 01/12/2023 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152023120100093
93
Nº 228, sexta-feira, 1 de dezembro de 2023
ISSN 1677-7042
Seção 1
Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, assim como
otimizar seus investimentos.
Art. 26. As normas, procedimentos, manuais e metodologias de Segurança da
Informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome
devem considerar, subsidiariamente, normas e padrões aceitos no mercado como referência
nos processos de governança e gestão de Segurança da Informação e devem estipular
mecanismos que garantam a orientação à conformidade dos controles de Segurança da
Informação associados, inclusive sua auditabilidade.
Art. 27. Deve ser estabelecida a integração e sinergia entre as instâncias e
estruturas de supervisão e apoio definidas nesta Política de Segurança da Informação e
aquelas definidas em outras políticas do Ministério do Desenvolvimento e Assistência Social,
Família e Combate à Fome, por meio de modelos de relacionamento que considerem e
compartilhem, quando possível, as competências, responsabilidades, informações e as
próprias estruturas.
Art. 28. As violações de segurança da informação e proteção de dados devem ser
registradas e tais registros analisados periodicamente para os propósitos de caráter
preventivo e corretivo, legais e de auditoria. Com o objetivo de reduzir o risco de fraude, erro
e desvio de controles de segurança da informação, o Ministério do Desenvolvimento e
Assistência Social, Família e Combate à Fome deve determinar quais funções e áreas de
responsabilidade precisam ser segregadas, tais como:
I - iniciar, aprovar e executar mudanças;
II - solicitar, aprovar e implementar direitos de acesso;
III - projetar, implementar e revisar códigos;
IV - desenvolvimento de software e administração de sistemas de produção;
V - utilização e administração de aplicações; e
VI - controles de segurança da informação.
CAPÍTULO IV
DAS DIRETRIZES ESPECÍFICAS
Art. 29. Para cada uma das diretrizes constantes das seções deste capítulo devem
ser elaboradas, no que couber, normas complementares à esta Política de Segurança da
Informação, padrões, manuais, metodologias e procedimentos.
Seção I
Dos recursos humanos
Art. 30. Os usuários de informação devem ter ciência:
I - das ameaças e preocupações relativas à Segurança da Informação; e
II - de suas responsabilidades e obrigações no âmbito desta Política de Segurança
da Informação.
Art. 31. A Política de Segurança da Informação e suas normas complementares
devem ser divulgadas e acessíveis para todos os usuários, devendo esses ter ciência e praticar
as diretrizes e boas práticas de Segurança da Informação.
Parágrafo único. Todos os usuários devem assinar o Termo de Responsabilidade e
Sigilo - Anexo II quanto a Política de Segurança da Informação e suas normas
complementares.
Art. 32. Todos os usuários devem difundir e exigir o cumprimento da Política de
Segurança da Informação, das normas de segurança e da legislação vigente acerca do tema.
Art. 33. Devem ser estabelecidos em norma complementar, pela estrutura de
Governança e de Gestão de Segurança da Informação, processos permanentes de
conscientização, capacitação e sensibilização em segurança da informação e em proteção de
dados, que alcancem todos os usuários do Ministério, de acordo com suas competências
funcionais.
Parágrafo único. É dever de todos os usuários de informação do Ministério
realizar, minimamente, os cursos de fundamentos em segurança da informação e em proteção
de dados disponíveis nas escolas de governo.
Art. 34. Devem ser implementadas medidas de segurança relacionadas ao trabalho
remoto para proteger as informações acessadas, processadas ou armazenadas fora das
instalações do Ministério do Desenvolvimento e Assistência Social, Família e Combate à
Fo m e .
Seção II
Da gestão dos ativos de informação
Art. 35. A estrutura de Gestão de Segurança da Informação deve definir um
processo de Mapeamento dos Ativos de Informação e de Dados Pessoais conforme legislação
vigente.
Art. 36. Os ativos de informação fornecidos pelo Ministério do Desenvolvimento e
Assistência Social, Família e Combate à Fome, tais como e-mail, computador, notebook,
dentre outros, são de uso corporativo, para os fins a que se destinam e no interesse da
administração, sendo considerada imprópria a utilização desses ativos para propósitos não
profissionais ou não autorizados.
Art. 37. O acesso dos usuários aos ativos de informação, bem como aos dados
pessoais e sua utilização, quando autorizados, deve ser condicionado ao aceite do Termo de
Responsabilidade e Sigilo - Anexo II.
Art. 38. Os ativos de informação do Ministério do Desenvolvimento e Assistência
Social, Família e Combate à Fome, tais como e-mail, internet, intranet, VPN, computadores,
sistemas e informações são passíveis de monitoramento e deve ter seu uso investigado,
quando houver indícios de quebra de segurança, por meio de mecanismos que permitam a
rastreabilidade do uso desses ativos.
Art. 39. A Estrutura de Governança e Gestão de Segurança da Informação do
Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome deve instituir
normas e procedimentos que garantam a adequada gestão dos ativos de informação do
Ministério, que incluam o fornecimento, uso e devolução dos ativos, em conjunto com as
unidades responsáveis pelos respectivos ativos.
Art. 40. Ações e controles específicos de segurança deverão garantir a proteção
adequada dos ativos de informação do Ministério do Desenvolvimento e Assistência Social,
Família e Combate à Fome, em níveis compatíveis ao seu grau de importância para a
consecução das atividades e objetivos estratégicos do órgão.
Art. 41. Os ativos de informação e os dados pessoais devem ser associados a
controles de segurança implementados independentemente do meio em que se encontram,
devendo ser protegidos contra divulgação, modificações, remoção ou destruição não
autorizadas.
Art. 42. Os gestores dos ativos informação devem estabelecer regras e
mecanismos de Segurança da Informação que visem à manutenção de uma base de
conhecimento sobre as informações compartilhadas no Ministério do Desenvolvimento e
Assistência Social, Família e Combate à Fome, observadas as normas de Segurança da
Informação e de proteção de dados pessoais e a legislação pertinente.
Art. 43. Devem ser definidas regras para o uso aceitável dos ativos de informação
e procedimentos para o manuseio de informações e dos dados pessoais devem ser
identificados, documentados e implementados.
Art. 44. As pessoas e usuários externos que usem ou tenham acesso às
informações ou dados pessoais e outros ativos associados geridos ou custodiados pelo
Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome devem estar
cientes dos requisitos de segurança da informação para proteger e lidar com as informações,
dados pessoais e outros ativos associados.
Art. 45. Deve ser formalizado um processo de devolução de todos os ativos físicos
e eletrônicos previamente emitidos de propriedade ou confiados ao Ministério do
Desenvolvimento e Assistência Social, Família e Combate à Fome.
Art. 46. Nos casos de uso de equipamentos pessoais, devem ser estabelecidos e
seguidos procedimentos para assegurar que todas as informações relevantes sejam rastreadas
e transferidas para o Ministério do Desenvolvimento e Assistência Social, Família e Combate à
Fome e excluídas com segurança do equipamento.
Art. 47. As atividades operacionais de Tecnologia da Informação do Ministério do
Desenvolvimento e Assistência Social, Família e Combate à Fome devem ser documentadas e
devem compor uma base de conhecimento das operações realizadas por servidores,
contratados e prestadores de serviços do Ministério.
Seção III
Da classificação e do tratamento da informação e dos dados pessoais
Art. 48. O Ministério do Desenvolvimento e Assistência Social, Família e Combate
à Fome deve criar, gerir e avaliar critérios de tratamento e classificação da informação e dos
dados pessoais de acordo com o sigilo requerido, relevância, criticidade e sensibilidade,
observando a legislação em vigor.
Art. 49. Toda informação institucional deste Ministério em qualquer suporte,
materiais, áreas, comunicações e sistemas de informação institucionais, é patrimônio do
Estado brasileiro e deve ser tratada nos termos da legislação pertinente em vigência.
Art. 50. O tratamento da informação e dos dados pessoais ao longo de seu ciclo de
vida deve ser realizado de modo ético e responsável pelos agentes e servidores públicos deste
Ministério.
Art. 51. O tratamento da informação e dos dados pessoais deve ser feito conforme
a legislação vigente e as boas práticas, assegurando-se os requisitos da disponibilidade, da
integridade, da confidencialidade e da autenticidade da informação e dos dados pessoais em
todo seu ciclo de vida.
Art. 52. As informações e dados pessoais armazenados em sistemas de
informação, dispositivos ou em qualquer outra mídia de armazenamento devem ser excluídas
quando não forem mais necessárias, com o objetivo de reduzir os riscos da exposição
desnecessária de informações confidenciais e dos dados pessoais geridos e custodiados pelo
Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.
Seção IV
Dos controles de acesso
Art. 53. O controle de acesso aos ativos de informação e aos dados pessoais e o
acesso às informações em áreas e instalações consideradas críticas devem ser implantados
nos níveis físico e lógico e serão definidos em norma específica, em conformidade com as
diretrizes desta Política de Segurança da Informação.
Art. 54. A estrutura de Segurança da Informação deve estabelecer e implementar
um processo de gerenciamento de identidades com regras específicas de acesso aos ativos de
informação, em conformidade com a legislação vigente, e em especial quanto ao acesso às
informações em áreas e instalações consideradas críticas, bem como aos dados pessoais.
Parágrafo único. Deve ser gerenciado o ciclo de vida completo das identidades
para permitir a identificação única de indivíduos e sistemas que acessam os ativos de
informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome
e para permitir a cessão adequada de direitos de acesso.
Art. 55. O acesso às informações e aos recursos de processamento da informação
devem ser limitados, formalmente autorizados, com regras específicas de aprovação,
provisionamento, revisão, ajuste e remoção, tendo como base papéis e responsabilidades,
estrutura da instituição e obedecendo a legislação em vigor.
Parágrafo Único. Devem ser implementados, em conformidade com a legislação
vigente, sempre que necessário, controles de mascaramento de dados, pseudônimo ou
anonimização, com o objetivo de limitar a exposição de dados confidenciais, incluindo
informações pessoalmente identificáveis.
Art. 56. É responsabilidade do setor de Gestão de Pessoas disponibilizar os
registros de todas as movimentações de pessoal ocorridas, na forma definida por norma
complementar.
Seção V
Da criptografia
Art. 57. Deve ser utilizada Algoritmo de Estado no tratamento ou na transferência
de informações sensíveis, sigilosas, classificadas e de dados pessoais ou de informações que
possam comprometer a segurança do Estado e da Sociedade, conforme a legislação vigente.
Seção VI
Da segurança física e do ambiente
Art. 58. A Estrutura de Governança e Gestão de Segurança da Informação deve
definir e implementar, em conjunto com a Segurança Patrimonial, controles de Segurança da
Informação que impeçam perdas, danos, furtos ou comprometimento dos ativos de
informação e dos dados pessoais ou interrupção das operações deste Ministério.
Seção VII
Da segurança nas operações
Art. 59. Os
procedimentos operacionais devem ser
documentados e
disponibilizados para os usuários, para a correta e segura operação dos ativos de
informação.
Art. 60. Procedimentos de gestão de capacidade devem ser realizados pela área
responsável pela Tecnologia da Informação (TI) para que a utilização dos ativos de informação
seja monitorada e ajustada, e que as projeções sejam feitas para necessidades futuras,
garantindo o desempenho necessário dos ativos de informação.
Art. 61. Os ambientes de desenvolvimento, teste e produção de software devem
ser segregados para reduzir riscos de acessos ou modificações indevidos ou não autorizados
no ambiente de produção.
Art. 62. É responsabilidade da Subsecretaria de Tecnologia da Informação a
implementação de controles de detecção, prevenção e recuperação nos ativos de informação
contra códigos maliciosos, combinando com um programa adequado de conscientização dos
usuários do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.
Art. 63. Todos os registros de eventos (logs) dos ativos de informação, das
atividades (de usuários, operadores e administradores de ativos), exceções, falhas e
eventos/incidentes de Segurança da Informação devem ser produzidos, mantidos e analisados
criticamente de forma planejada e quando houver quebra de segurança nos ativos de
informação ou dos dados pessoais.
Art. 64. Devem ser implementados controles de Segurança da Informação nos
registros de eventos (logs) que permitam trilhas de auditoria e que possam reduzir os riscos de
acessos e adulterações indevidos.
Art. 65. A Estrutura de Governança e Gestão em Segurança da Informação deve
estabelecer parâmetros adequados, relacionados à Segurança da Informação, para a
disponibilização dos serviços, sistemas e infraestrutura que os apoiam, de forma que atendam
aos requisitos mínimos de qualidade e reflitam as necessidades operacionais do Ministério do
Desenvolvimento e Assistência Social, Família e Combate à Fome. Os acordos de nível de
serviço devem ser compatíveis com padrões de mercado e com os requisitos de segurança da
informação.
Seção VIII
Da gestão de mudanças
Art. 66. Um processo de Gestão de Mudanças deve ser implementado para que as
mudanças realizadas nos ativos de informação sejam planejadas e controladas.
Parágrafo único. O processo de gestão de mudanças de segurança da informação
tem por objetivo preparar e adaptar o Ministério para as mudanças decorrentes da evolução
de processos e de tecnologias da informação, visando à obtenção de mudanças eficazes e
eficientes e à mitigação de eventuais resistências.
Seção IX
Da segurança nas comunicações
Art. 67. Devem ser implementados controles de Segurança da Informação para
proteger as informações e os dados pessoais em todo seu ciclo de vida bem como os recursos
de rede e de tratamento dessas informações e dados.
Art. 68. Devem ser definidos e implementados normas, procedimentos e controles
de segurança adequados para a transferência das informações e dos dados pessoais com
quaisquer entidades externas de acordo com a classificação, criticidade e sensibilidade e em
conformidade com a legislação pertinente.
Seção X
Da aquisição, desenvolvimento e manutenção de sistemas
Art. 69. A Segurança da Informação deve ser projetada e implementada em todo o
ciclo de desenvolvimento e manutenção de sistemas de informação, seguindo os princípios e
metodologia de desenvolvimento seguro.
Seção XI
Da segurança da informação para uso de serviços em nuvem
Art. 70. Devem ser estabelecidos processos para aquisição, uso, gerenciamento e
saída de serviços em nuvem em conformidade com os requisitos de segurança da informação
do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fo m e .
Seção XII
Dos fornecedores e prestadores de serviço
Art. 71. Devem ser definidos e implementados processos e procedimentos para
gerenciar a segurança da informação e os riscos associados ao uso dos produtos e serviços
prestados por fornecedores, inclusive os prestadores de serviço em nuvem, para reduzir os
riscos relacionados ao acesso de terceiros aos ativos de informação e aos dados pessoais
geridos, custodiados ou tratados neste Ministério.

Fechar