Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 31/10/2025 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025103100091
91
Nº 208, sexta-feira, 31 de outubro de 2025
ISSN 1677-7042
Seção 1
ANEXO
. Órgão
.Quantitativo de GSISTE
. .
.NÍVEL SUPERIOR
.NÍVEL
INTERMEDIÁRIO
.Total
. .....................
.
.
.
. .2. Órgãos Setoriais e Seccionais .
.
.
. .............................
.
.
.
. .2.61. 
Agência 
Nacional 
do
Cinema
.1
.0
.1
. .2.62. 
Instituto 
Nacional 
de
Tecnologia da Informação
.2
.0
.2
. .2.63. Imprensa Nacional
.2
.2
.4
. .T OT A L
.1.087
.499
.1.586
SECRETARIA DE GOVERNO DIGITAL
PORTARIA SGD/MGI Nº 9.511, DE 28 DE OUTUBRO DE 2025
Institui o Programa de Privacidade e Segurança da
Informação no âmbito dos órgãos e das entidades
da administração pública federal direta, autárquica
e fundacional, que possuem unidades que integram
o Sistema de Administração
dos Recursos de
Tecnologia da Informação - SISP do Poder Executivo
federal.
O SECRETÁRIO DE GOVERNO DIGITAL DO MINISTÉRIO DA GESTÃO E DA
INOVAÇÃO EM SERVIÇOS PÚBLICOS, no uso das atribuições que lhe conferem o art. 23,
caput, inciso VI, do Decreto nº 12.102, de 8 de julho de 2024, o art. 3º, caput, inciso
VI, do Decreto 12.198, de 24 de setembro de 2024, e o art. 4º, caput, incisos I, III, IV
e V do Decreto nº 7.579, de 11 de outubro de 2011, e tendo em vista o disposto na
Portaria GSI/PR nº 93, de 18 de outubro de 2021, resolve:
CAPÍTULO I
DAS DISPOSIÇÕES PRELIMINARES
Art. 1º Esta Portaria institui o Programa de Privacidade e Segurança da
Informação - PPSI no âmbito dos órgãos e das entidades da administração pública
federal direta, autárquica e fundacional, que possuem unidades que integram o Sistema
de Administração dos Recursos de Tecnologia da Informação - SISP do Poder Executivo
federal.
Art. 2º Para fins desta Portaria, consideram-se:
I - controle de privacidade: conjunto de medidas técnicas e administrativas
para a proteção de dados pessoais em ativos de informação;
II - controle de segurança da informação: conjunto de medidas técnicas e
administrativas para assegurar a confidencialidade, a integridade, a disponibilidade e a
autenticidade das informações;
III - informações críticas sobre privacidade e segurança da informação:
quaisquer dados ou informações sobre infraestrutura, configurações e características
técnicas dos ativos de informação, políticas, normas e procedimentos operacionais e
arquiteturas de negócio que podem expor vulnerabilidades e comprometer a privacidade
dos titulares ou a confidencialidade, a integridade, a disponibilidade ou a autenticidade
das informações;
IV - medida de privacidade: ação técnica ou administrativa para proteger
dados pessoais contra acessos não autorizados, vazamentos, usos indevidos ou qualquer
outra forma de tratamento que possa comprometer a privacidade dos titulares;
V - medida de segurança da informação: ação técnica ou administrativa para
assegurar a confidencialidade, a integridade, a disponibilidade e a autenticidade das
informações; e
VI - plano de trabalho: instrumento tático de planejamento da implementação
das medidas de privacidade e de segurança da informação.
CAPÍTULO II
DO PROGRAMA DE PRIVACIDADE E SEGURANÇA DA INFORMAÇÃO
Art. 3º O PPSI caracteriza-se como um conjunto de ações, iniciativas e
estratégias distribuídas nas áreas temáticas de governança, maturidade, metodologia,
pessoas e tecnologia.
§ 1º O PPSI tem como objetivo elevar a maturidade e a resiliência dos órgãos
e entidades da administração pública federal direta, autárquica e fundacional, que
possuem unidades que integram o SISP, nos aspectos de privacidade e segurança da
informação.
§ 2º São iniciativas do PPSI:
I - definir e manter a estrutura de controles e medidas de privacidade e
segurança da informação, além de metodologias e ferramentas de apoio;
II - diagnosticar o grau de implementação das medidas de privacidade e
segurança da informação pelos órgãos e entidades do SISP fundamentado em processo
de gestão de riscos;
III - acompanhar a implementação das medidas de privacidade e segurança da
informação;
IV - orientar a estrutura de governança do PPSI, prevista no art. 7º, quanto
às melhores práticas relacionadas à privacidade e segurança da informação;
V - fomentar a integração da gestão de riscos em privacidade e segurança da
informação com a gestão de riscos do órgão ou entidade;
VI - promover parcerias com órgãos e entidades públicas, instituições privadas
e organismos internacionais para desenvolver e dar sustentação às iniciativas
relacionadas aos temas, nos termos da legislação vigente;
VII - promover a cultura e as boas práticas em privacidade e segurança da
informação;
VIII - estabelecer e coordenar o Centro de Excelência em Privacidade e
Segurança da Informação do Governo Digital;
IX - estabelecer e coordenar o Centro Integrado de Segurança Cibernética do
Governo Digital;
X - apoiar na prevenção, tratamento e resposta a incidentes cibernéticos; e
XI - identificar e disseminar informações sobre ameaças e vulnerabilidades
para a prevenção, tratamento e resposta a incidentes cibernéticos.
§ 3º São valores do PPSI:
I - a soberania;
II - a maturidade;
III - a resiliência;
IV - a inteligência;
V - a efetividade; e
VI - a colaboração.
Art. 4º O PPSI constitui instrumento de governança dos órgãos e entidades da
administração pública federal direta, autárquica e fundacional, e deve ser implementado
em conformidade com políticas, normas e sistemas aplicáveis, incluindo, mas não se
limitando:
I - à Lei nº 13.709, de 14 de agosto de 2018;
II - à Lei nº 14.129, de 29 de março de 2021;
III - ao Decreto nº 9.203, de 22 de novembro de 2017;
IV - ao Decreto nº 11.856, de 26 de dezembro de 2023;
V - ao Decreto nº 12.572, de 4 de agosto de 2025;
VI - ao Decreto nº 12.573, de 4 de agosto de 2025; e
VII - aos normativos emitidos pelo Gabinete de Segurança Institucional da Presidência da
República relacionados à segurança da informação e pela Agência Nacional de Proteção de Dados.
Art. 5º As informações críticas geradas a partir da execução de quaisquer
etapas, atividades ou
procedimentos previstos nesta Portaria
são consideradas
imprescindíveis à segurança da sociedade e do Estado e somente podem ser acessadas por
profissionais autorizados pelas autoridades responsáveis pelos respectivos ativos de
informação, conforme previsto no art. 15 do Decreto nº 10.748, de 16 de julho de 2021.
Art. 6º A Secretaria de Governo Digital atua no apoio técnico à realização das
ações, iniciativas e estratégias do Programa, em articulação com a estrutura de
governança do PPSI dos órgãos e entidades.
CAPÍTULO III
ESTRUTURA DE GOVERNANÇA DO PPSI
Art. 7º Compõem a estrutura de governança do PPSI:
I - a alta administração, nos termos do art. 2º, caput, inciso III, do Decreto
nº 9.203, de 22 de novembro de 2017;
II - o gestor de tecnologia da informação e comunicação, de que trata o art.
4º, caput, inciso IV, da Portaria SGD/ME nº 778, de 4 de abril de 2019;
III - o gestor de segurança da informação, de que trata a Instrução Normativa
nº 1, de 27 de maio de 2020;
IV - o encarregado pelo tratamento de dados pessoais, de que trata o art. 41,
§ 2º, da Lei nº 13.709, de 14 de agosto de 2018; e
V - o responsável setorial pela gestão da integridade, de que trata o art. 5º,
caput, inciso II, do Decreto nº 11.529, de 16 de maio de 2023.
Art. 8º À alta administração compete gerir os riscos no âmbito organizacional,
fornecer os recursos necessários para assegurar a gestão da privacidade e da segurança
da informação, viabilizar a implementação da estrutura de governança do PPSI e adotar
decisões sobre privacidade e segurança da informação em um nível de relevância e
prioridade adequadas e alinhadas com a estratégia e com a consecução dos objetivos do
órgão ou entidade no cumprimento da sua missão institucional.
Art. 9º Ao gestor de tecnologia da informação e comunicação compete
planejar, desenvolver, executar e monitorar as medidas de privacidade e segurança da
informação em soluções de tecnologia da informação e comunicação, considerando
inclusive a cadeia de suprimentos relacionada à solução.
Art.
10.
Ao gestor
de
segurança
da
informação compete
conduzir
o
diagnóstico de segurança da informação, bem como orientar, planejar e monitorar as
medidas de segurança da informação.
Art. 11. Ao encarregado pelo tratamento de dados pessoais compete conduzir
o diagnóstico de privacidade, bem como orientar os agentes de tratamento no
planejamento, implementação e monitoramento das medidas de privacidade.
Art. 12. Ao responsável setorial pela gestão da integridade compete o
diagnóstico das medidas relativas à estruturação básica e instrumentos fundamentais de
governança do PPSI, além da coordenação e gestão dos riscos para a integridade
relacionados aos temas.
CAPÍTULO IV
DO FRAMEWORK DO PPSI
Art. 13. O framework do PPSI é composto por um conjunto de controles e
medidas de privacidade e segurança da informação.
Art. 14. Os órgãos e entidades da administração pública federal direta,
autárquica e fundacional, que possuem unidades que integram o SISP, devem adotar o
framework de privacidade e de segurança da informação, sendo sua gestão sob
responsabilidade da estrutura de governança do PPSI.
Art. 15. Consideram-se etapas para a execução do framework:
I -
diagnóstico: o
órgão ou
entidade deve
executar o
diagnóstico,
considerando o modelo de avaliação disponibilizado por meio do framework;
II - análise de lacunas: identificar, a partir do diagnóstico previsto no inciso
I do caput, a necessidade de implementação de medidas ou de aprimoramento das
medidas já implementadas de privacidade e segurança da informação, para aumento da
maturidade do órgão ou entidade;
III - planejamento: a partir da etapa prevista no inciso II do caput, planejar
e especificar os prazos e os recursos necessários à implementação das medidas,
considerando aspectos orçamentários e de recursos humanos do próprio órgão ou
entidade; e
IV - implementação: implementar medidas priorizadas e gerenciar as medidas
já implementadas, conforme planejamento previsto no inciso III do caput, para aumento
da maturidade do órgão ou entidade nos aspectos de privacidade e segurança da
informação.
Parágrafo único. A Secretaria de Governo Digital poderá definir o conjunto de
medidas prioritárias a serem implementadas pelos órgãos e entidades da administração
pública federal direta, autárquica e fundacional que possuem unidades que integram o
SISP, bem como outras orientações necessárias para a adequada implementação do PPSI.
Art. 16. O diagnóstico e o plano de trabalho resultante da etapa de
planejamento devem ser encaminhados à Secretaria de Governo Digital, conforme
definido por esta Secretaria.
§ 1º O plano de trabalho para implementar as medidas do framework deve
ser integrado aos instrumentos de planejamento institucional do órgão ou entidade.
§
2º As
ações
decorrentes
do plano
de
trabalho
que demandem
a
necessidade de contratação de solução de tecnologia da informação e comunicação
devem ser vinculadas ao Plano Diretor de Tecnologia da Informação e Comunicação -
PDTIC do órgão ou entidade.
Art. 17. A Secretaria de Governo Digital pode solicitar evidências da
implementação das medidas de privacidade e segurança da informação para fins de
análise, monitoramento e adequação do apoio ao PPSI.
CAPÍTULO V
DO CENTRO
INTEGRADO DE SEGURANÇA CIBERNÉTICA
DO GOVERNO
DIGITAL
Art. 18. Fica instituído o Centro Integrado de Segurança Cibernética do
Governo Digital - CISC gov.br, como uma unidade de coordenação setorial, com o
objetivo de integrar e fortalecer as ações de prevenção, tratamento e resposta a
incidentes cibernéticos nos órgãos e entidades da administração pública federal direta,
autárquica e fundacional que possuem unidades que integram o SISP, nos termos do
Decreto nº 10.748, de 16 de julho de 2021.
Parágrafo único. Compete à Secretaria de Governo Digital a prospecção, o
planejamento, a implementação, o monitoramento, a melhoria contínua e o
gerenciamento das ações no âmbito do CISC gov.br.
Art. 19. Compete ao CISC gov.br:
I - atuar como equipe principal para prevenção, tratamento e resposta a
incidentes cibernéticos da Plataforma gov.br e dos demais serviços sob responsabilidade
da Secretaria de Governo Digital;
II - apoiar o planejamento, a implementação, a operação, a prevenção, o
tratamento e a resposta das equipes de resposta a incidentes cibernéticos dos órgãos e
entidades da administração pública federal direta, autárquica e fundacional que possuem
unidades que integram o SISP;
III -
promover a
comunicação e colaboração
com outras
equipes de
prevenção, tratamento e resposta a incidentes cibernéticos, tanto dos órgãos e entidades
da administração pública federal direta, autárquica e fundacional quanto das
organizações privadas;
IV - estabelecer padrões, procedimentos e processos técnicos, observando os
normativos do Gabinete de Segurança Institucional;
V - executar testes de intrusão em ativos de informação, sob demanda;
VI - executar testes estáticos e dinâmicos de segurança em aplicações;
VII - realizar análises não invasiva e contínua de ameaças e vulnerabilidades
em ativos de informação;
VIII - realizar análises de ameaças e vulnerabilidades em ativos de informação,
sob demanda;
IX - desenvolver atividades de inteligência de ameaças cibernéticas;
X - elaborar e publicar alertas e recomendações;
XI - emitir determinações e prazos para correção de vulnerabilidades com alta criticidade; e

Fechar