DOU 16/12/2025 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025121600150
150
Nº 239, terça-feira, 16 de dezembro de 2025
ISSN 1677-7042
Seção 1
Dos conceitos e definições
Art. 8º Para os efeitos da POSIN-MME, os termos utilizados seguem as definições
do Glossário de Segurança da Informação do Gabinete de Segurança Institucional da
Presidência da República e, no que couber, as do art. 5º da Lei Geral de Proteção de Dados, em
especial:
I - agente público: todo aquele que exerce, ainda que transitoriamente ou sem
remuneração, por eleição, nomeação, designação, contratação, ou qualquer outra forma de
investidura ou vínculo, mandato, cargo, emprego ou função nos órgãos e entidades da
administração pública federal, direta e indireta;
II - ativos de informação: meios de armazenamento, transmissão e processamento
da informação, equipamentos necessários a isso, sistemas utilizados para tal, locais onde se
encontram esses meios, recursos humanos que a eles têm acesso e conhecimento ou dado que
tem valor para um indivíduo ou organização;
III - auditoria: processo de exame cuidadoso e sistemático das atividades
desenvolvidas, cujo objetivo é averiguar se elas estão de acordo com as disposições planejadas
e estabelecidas previamente, se foram implementadas com eficácia e se estão adequadas e em
conformidade à consecução dos objetivos;
IV - autenticidade: propriedade pela qual se assegura que a informação foi
produzida, expedida, modificada ou destruída por uma determinada pessoa física,
equipamento, sistema, órgão ou entidade;
V - confidencialidade: propriedade pela qual se assegura que a informação não
esteja disponível ou não seja revelada à pessoa, ao sistema, ao órgão ou à entidade não
autorizados nem credenciados;
VI - controle de acesso: conjunto de procedimentos, recursos e meios utilizados
com a finalidade de conceder ou bloquear o acesso ao uso de recursos físicos ou
computacionais. Geralmente, requer procedimentos de autenticação;
VII - defesa cibernética: ações realizadas no espaço cibernético, no contexto de um
planejamento nacional de nível estratégico, coordenado e integrado pelo Ministério da Defesa,
com as finalidades de proteger os ativos de informação de interesse da defesa nacional, obter
dados para a produção de conhecimento de inteligência e buscar superioridade sobre os
sistemas de informação do oponente;
VIII - disponibilidade: propriedade pela qual se assegura que a informação esteja
acessível e utilizável, sob demanda, por uma pessoa física ou determinado sistema, órgão ou
entidade devidamente autorizados;
IX - gestão de continuidade de negócios em segurança da informação: processo que
identifica ameaças potenciais para uma organização e os possíveis impactos nas operações de
negócio, caso estas ameaças se concretizem. Esse processo fornece uma estrutura para que se
desenvolva uma resiliência organizacional que seja capaz de responder efetivamente e
salvaguardar os interesses das partes interessadas, a reputação, a marca da organização e suas
atividades de valor agregado;
X - integridade: propriedade pela qual se assegura que a informação não foi
modificada ou destruída de maneira não autorizada ou acidental;
XI - tratamento da informação: conjunto de ações referentes à produção, recepção,
classificação, utilização, acesso, reprodução, transporte, transmissão, distribuição, arquivamento,
armazenamento, eliminação, avaliação, destinação ou controle da informação; e
XII - usuário de informação (ou usuário): pessoa física, seja servidor ou equiparado,
empregado ou prestador de serviços, habilitada pela administração para acessar os ativos de
informação de um órgão ou entidade da administração pública federal, formalizada por meio
da assinatura de Termo de Responsabilidade.
CAPÍTULO II
DOS PRINCÍPIOS
Art. 9º A POSIN-MME é orientada pelos princípios estabelecidos na Política
Nacional de Segurança da Informação e pelos princípios constitucionais, administrativos e do
arcabouço legislativo vigente que regem a Administração Pública Federal, bem como os
seguintes princípios orientadores:
I - alinhamento estratégico e sistêmico: necessidade desta política de alinhamento
com o planejamento estratégico institucional, com o modelo de governança e com a Política de
Gestão de Riscos do Ministério de Minas e Energia;
II - transparência: obrigação fundamental de prestar informações confiáveis,
relevantes e tempestivas à sociedade, visando à participação social na proposição e no
monitoramento da execução das políticas públicas geridas pelo Ministério de Minas e Energia.
É também refletida no dever institucional e dos agentes públicos de garantir o sigilo das
informações e dos dados imprescindíveis à segurança da sociedade e do Estado e à
inviolabilidade da intimidade da vida privada, da honra e da imagem das pessoas;
III - corresponsabilidade: constituída pelo dever de todas as partes envolvidas em
conhecer e respeitar a Política e as normas específicas a ela associadas;
IV - clareza: as responsabilidades pela segurança dos ativos do Ministério de Minas
e Energia e pelo cumprimento de processos de segurança devem ser claramente definidas;
V - ética: todos os direitos e interesses legítimos dos usuários devem ser
respeitados sem comprometimento da segurança;
VI - menor privilégio: restringir o acesso às informações, ao estritamente necessário
ao exercício das funções;
VII - continuidade dos processos e serviços críticos: caráter de essencialidade ao
funcionamento do Ministério de Minas e Energia e ao cumprimento de sua missão
institucional, protegendo sua disponibilidade e segurança e definindo uma estratégia adequada
de prevenção, gestão e recuperação de incidentes, visando à continuidade do negócio e à
redução dos impactos em ocorrências de interrupção causadas por desastres e/ou falhas;
VIII - educação, treinamento, conscientização, comunicação e cooperação: para
fomento e aprimoramento das práticas de promoção da cultura em segurança da
informação;
IX - conformidade das normas e das ações de segurança da informação com a
legislação regulamentos aplicáveis; e
X - respeito ao acesso à informação, à proteção de dados pessoais e à proteção da
privacidade.
CAPÍTULO III
DAS DIRETRIZES
Seção I
Dos pressupostos básicos
Art. 10. A gestão de segurança da informação deve ser suportada por ações e
métodos que visem à integração das atividades de gestão de riscos, à gestão de continuidade
do negócio, ao tratamento de incidentes, ao tratamento das informações e dos dados, à
conformidade, à segurança cibernética, à segurança física, à segurança lógica, à segurança
orgânica e à segurança organizacional dos processos institucionais estratégicos, operacionais e
táticos, considerando, sob caráter geral, o seguinte:
I - informações e dados como ativos: toda e qualquer informação e dado gerados,
custodiados, manipulados, utilizados ou armazenados no Ministério de Minas e Energia
compõem um ativo de informação relevante para as suas atividades e devem ser protegidos e
tratados
com
vistas
à
preservação dos
princípios
de
disponibilidade,
integridade,
confidencialidade e autenticidade, bem como à proteção de dados pessoais e à privacidade,
conforme as normas em vigor estabelecidas;
II - classificação da informação como requisito: todo ativo de informação deve ser
classificado e tratado segundo sua classificação de segurança da informação, de maneira a
proteger adequadamente as informações e os dados na sua criação, coleta, utilização, custódia
e no descarte;
III - segregação de funções: sempre que processualmente viável, devem ser
segregadas funções ou áreas de responsabilidade conflitantes, para que ninguém detenha
controle de um processo crítico na sua totalidade, visando a reduzir os riscos de mau uso,
acidental ou deliberado, dos ativos de informação;
IV - estabelecer controles adequados à relevância e ao risco: as medidas e os
controles de segurança devem ser estabelecidos considerando a relevância dos ativos de
informação e os níveis de risco associados - considerando o ambiente, o valor e a criticidade
das informações e dos dados - de forma proporcional e balanceada, visando sempre à
prevenção da ocorrência de incidentes;
V - menor privilégio e mínimo acesso: pessoas e aplicações devem ter o menor
privilégio e o mínimo de acesso aos recursos necessários para realizar uma determinada tarefa,
tendo como condição a ciência expressa dos termos desta Política, as responsabilidades e os
compromissos decorridos deste acesso e o conhecimento das penalidades cabíveis pela
inobservância das regras previstas;
VI - responsabilização individual: todos os usuários são responsáveis pela segurança
dos ativos de informação que estejam sob sua custódia, pelo uso e pela guarda de suas
credenciais de acesso, sendo vedada a exploração de eventuais vulnerabilidades - que, assim
que identificadas, devem ser imediatamente comunicadas às instâncias superiores;
VII - corresponsabilidade de terceiros: todos os contratos de prestação de serviços,
firmados pelo Ministério de Minas e Energia deverão conter cláusula específica sobre a
obrigatoriedade de atendimento às diretrizes desta Política, incluindo a assinatura de Termo de
Responsabilidade pelas empresas contratadas e de Termo de Ciência pelos colaboradores
diretamente envolvidas na execução dos serviços contratados;
VIII - restrição de uso dos ativos de informação: o acesso e uso das informações e
dados que não sejam de domínio público e dos ativos de informação do Ministério de Minas e
Energia são controlados e limitados às atribuições necessárias para cumprimento das
atividades dos solicitantes e usuários devidamente autorizados e utilizados no estrito interesse
do custodiante, apenas para as finalidades profissionais, lícitas, éticas, administrativamente
aprovadas e devidamente autorizadas. Qualquer outra forma de acesso e uso necessitará de
prévia autorização do proprietário do ativo de informação;
IX - uso seguro dos ativos de informação: apenas os ativos de informação
homologados e autorizados pelo Ministério de Minas e Energia devem ter uso permitido, desde
que sejam identificados de forma individual, inventariados, protegidos e tenham um proprietário
do ativo de informação responsável. Os ativos de informação devem ter documentação
atualizada, riscos mapeados, capacidade e contingência adequadas e sua operação deve estar de
acordo com as normas, cláusulas contratuais e a legislação em vigor; e
X - divulgação desta política e suas atualizações, bem como normas específicas de
segurança da informação do Ministério: devem ser divulgadas amplamente a todos os usuários
de Informação, que devem ser continuamente capacitados nos procedimentos de segurança e
no uso correto dos ativos de informação, a fim de promover sua observância, seu
conhecimento, bem como a formação da cultura de segurança da informação.
Art. 11. Essas diretrizes gerais constituem os pilares da gestão de segurança da
informação e proteção de dados do Ministério de Minas e Energia e norteiam a construção de
ações, planos e normas associados que objetivam a garantia dos princípios básicos de
segurança da informação estabelecidos nesta Política.
Seção II
Do tratamento da informação
Art. 12. Toda
informação e dado criados
manuseados, armazenados,
transportados, descartados ou custodiados pelo Ministério de Minas e Energia são de sua
responsabilidade e devem ser protegidos, classificados e tratados adequadamente, quanto aos
aspectos de confidencialidade, integridade, autenticidade e disponibilidade, bem como à
proteção de dados pessoais e à privacidade, segundo as diretrizes descritas e demais
regulamentações em vigor.
Art. 13. Toda informação e dado institucionais, se eletrônicos, serão armazenados
nos servidores de arquivos (físicos, virtuais ou em nuvem) e bases de dados sob gestão e
administração da Subsecretaria de Tecnologia e Inovação e, se não eletrônicos, mantidos em
local físico adequado.
Art. 14. Toda informação e dado institucionais sob a forma eletrônica deverão estar
salvaguardados por meio de cópia de segurança (backup) em solução que garanta sua
preservação e recuperação,
quando necessária, conforme disposto
em normas
e
procedimentos específicos sob responsabilidade da Subsecretaria de Tecnologia e Inovação.
Art. 15. É expressamente proibido o acesso, a guarda ou o encaminhamento de
material discriminatório, malicioso, não ético, obsceno ou ilegal por intermédio de quaisquer meios
e recursos de tecnologia da informação disponibilizados pelo Ministério de Minas e Energia.
Art. 16. As informações e os dados classificados, considerando a legislação vigente,
que sejam produzidos, armazenados e/ou transportados em meio eletrônico utilizarão
criptografia compatível com o respectivo grau de sigilo, em especial as informações de
autenticação de usuários das aplicações geridas pelo Ministério de Minas e Energia.
Art. 17. No tratamento das informações, deve-se respeitar a classificação segundo
o grau de sigilo, a criticidade e a proteção de dados pessoais, conforme normas internas e
legislação específica em vigor.
Art. 18. A manipulação e a eliminação de informações classificadas em qualquer
grau de sigilo devem seguir as normas internas e a legislação em vigor.
Art. 19. Os responsáveis pelos ativos de informação devem manter registros e
procedimentos que assegurem o rastreamento, o acompanhamento, o controle e a verificação
de acesso, em especial aos sistemas corporativos e às redes computacionais.
Seção III
Da segurança física e do ambiente
Art. 20. As ações de segurança física e ambiental, no que se referem aos aspectos
de segurança da informação, deverão prover normas e procedimentos que abordem, no
mínimo, os seguintes aspectos:
I - controle e monitoramento de acesso físico: compreendem as necessidades de
controle e monitoramento de acesso às instalações e aos ambientes físicos do Órgão,
estabelecimento dos perímetros de segurança, regras de controle de acesso da gestão de
autorizações e manutenção de registros de acesso de pessoal autorizado e de visitantes;
II - controles ambientais: compreendem provisão e manutenção dos controles
ambientais necessários, com base em uma avaliação de requisitos, que inclui, mas não se
limita, a energia de reserva para facilitar um processo de desligamento ordenado (no mínimo),
a detecção e supressão de incêndios, os controles de temperatura e umidade e a detecção e
mitigação de danos ambientais; e
III - descarte seguro de equipamentos: compreende a provisão e manutenção de
controles para identificação e remoção permanente de quaisquer dados sensíveis e softwares
licenciados em equipamentos antes do descarte.
Seção IV
Da gestão de incidentes em segurança da informação
Art. 21. O Ministério de Minas e Energia deverá prover e manter normas e
procedimentos de resposta a incidentes consistentes com as leis e políticas governamentais
aplicáveis, incluindo, mas não se limitando, a identificação de papéis e responsabilidades, a
investigação, os procedimentos de contenção e escalonamento, a documentação e
preservação de evidências, os protocolos de comunicação e as lições aprendidas.
Art. 22. O processo de gestão de incidentes deverá envolver também
procedimentos adequados de comunicação de incidentes incluindo, mas não se limitando, a
treinamento de servidores, demais colaboradores e terceiros para identificar e comunicar
rapidamente incidentes e preparação e apresentação de relatórios de acompanhamento.
Art. 23. Os incidentes que afetem dados pessoais deverão ser imediatamente comunicados
ao Encarregado pelo Tratamento de Dados Pessoais, que orientará as práticas a serem adotadas.
Art. 24. Caberá à Subsecretaria de Tecnologia e Inovação a responsabilidade pela
infraestrutura necessária para fins de registro e resposta aos incidentes de segurança da
informação no âmbito da rede corporativa do Ministério de Minas e Energia.
Seção V
Da gestão de ativos
Art. 25. O Ministério de Minas e Energia manterá um processo de inventário e
mapeamento dos ativos de informação objetivando a segurança das infraestruturas críticas que
garantem suas informações e dados. O processo de inventário e mapeamento de ativos de
informação subsidiará o conhecimento, a valoração, a proteção, a auditoria e a manutenção de
seus ativos de informação e deverá ser dinâmico, periódico e estruturado, para manter a base
de dados de ativos de informação atualizada.
Seção VI
Da gestão do uso dos recursos operacionais e de comunicações
Comunicações
Art. 26. Todos os sistemas de comunicação eletrônica, quer seja de origem externa,
quer seja interna, são recursos de Tecnologia da Informação e Comunicação disponibilizados
pelo Ministério de Minas e Energia a seus servidores, demais colaboradores e terceiros.
Parágrafo único. Esses sistemas deverão ser utilizados precipuamente no exercício
das funções institucionais, em conexão com a finalidade do Órgão e de forma aderente a esta
Política e à legislação vigente, podendo ser concedidos ou revogados a qualquer tempo, em
caráter total ou parcial, de acordo com os interesses do Ministério.
Art. 27. Ao Ministério de Minas e Energia se reserva o direito de monitorar, acessar
e revisar quaisquer aspectos de seus recursos de informação eletrônica e sistemas de
comunicação, incluindo, entre outros, o uso da Internet, sistemas de comunicação eletrônica
como e-mail, sistemas de telefonia, tráfego da rede e revisar ativos armazenados em qualquer
sistema de comunicação.
Fechar