Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 16/12/2025 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025121600151
151
Nº 239, terça-feira, 16 de dezembro de 2025
ISSN 1677-7042
Seção 1
Parágrafo único. O consentimento para tais registros e monitoramento é
presumido por parte dos usuários, não cabendo qualquer contestação ou alegação de
desconhecimento dessa regra.
Art. 28. As comunicações eletrônicas são comunicações formais e espera-se que os
usuários exerçam cuidado e profissionalismo na aplicação desses recursos, assim como o faria
com qualquer outro expediente de comunicação formal emitido em nome do Ministério de
Minas e Energia.
Parágrafo único. O uso dos recursos de comunicação eletrônica deverá ser
disciplinado em regramento próprio, associado a esta Política.
Acesso à Internet
Art. 29. O acesso à Internet no ambiente de trabalho do Ministério de Minas e
Energia está condicionado às necessidades dos agentes públicos no exercício de suas
atribuições e será regido por norma específica, em conformidade com esta Política e demais
orientações governamentais e legislação em vigor.
Art. 30. Cada usuário de informação é responsável por tomar todas as medidas
razoáveis para utilizar os recursos de Internet de forma responsável e segura, tendo em vista
que credenciais de acesso são pessoais e intransferíveis, sendo que o usuário é individualmente
responsável por todas as atividades exercidas a partir de sua credencial.
Art. 31. O uso da Internet no Ministério de Minas e Energia será monitorado e os
acessos serão registrados em dispositivo ou sistema computacional que assegure a
possibilidade de rastreio e apuração de responsabilidades em caso de incidentes cibernéticos,
incidentes de segurança e outras violações a esta Política.
Art. 32. Para apuração das quebras de segurança relativas ao uso da Internet, os
ativos de informação fornecidos pelo Ministério de Minas e Energia poderão ser analisados, a
qualquer tempo, pela Equipe de Prevenção e Tratamento e Resposta a Incidentes Cibernéticos
deste Ministério.
Art. 33. No que se refere ao acesso à Internet, cada usuário deverá:
I - utilizar os recursos de forma a proteger a organização de qualquer risco legal,
regulatório, operacional ou de reputação;
II - não compartilhar suas credenciais de acesso;
III - não acessar websites ou objetos com conteúdo inadequado ou ilegal; e
IV - estar ciente de suas responsabilidades pelo uso apropriado da Internet e de
que o uso dela está sujeito a registro e pode ser monitorado de acordo com as exigências das
leis e dos regulamentos aplicáveis.
Computação em Nuvem
Art. 34. O uso de aplicativos e a contratação de serviços em nuvem deverá
assegurar que toda a cadeia de suprimentos de TIC, baseada em provedores de serviços no
ambiente de computação em nuvem, seja avaliada por todos os aspectos de segurança para
proteger dados, metadados, informações e conhecimentos produzidos ou custodiados pelo
Ministério de Minas e Energia, incluindo o cumprimento da legislação e regulamentação
nacional e estrangeira, o gerenciamento de identidades, o monitoramento e auditoria
regulares e as restrições de localizações geográficas.
Mídias Sociais
Art. 35. Os critérios, limitações e responsabilidades no uso institucional das mídias
sociais, será regido por norma específica, em conformidade com esta Política e demais
orientações governamentais e legislação em vigor.
Seção VII
Dos controles de acesso
Art. 36. Todo usuário de informação que faça uso dos recursos de Tecnologia da
Informação e Comunicação do Ministério de Minas e Energia deverá possuir uma conta de
acesso único e intransferível, que permita seu reconhecimento individual de maneira
inequívoca, e cujos concessão e gerenciamento serão regulamentados em norma específica
associada.
Art. 37. A concessão e a revogação dos privilégios de acesso às informações ficam
atribuídas ao agente responsável pelo tratamento dos dados sob a sua tutela, considerando
sempre o princípio do menor privilégio.
Art. 38. O controle de acesso aos ativos de informação e às áreas e instalações deve
ser implantado nos níveis físico e lógico, conforme procedimentos estabelecidos pelas áreas
competentes.
Seção VIII
Da gestão de riscos
Art. 39. A gestão de riscos em segurança da informação e proteção de dados deverá
observar a legislação em vigor, e no que couber, as disposições da Política de Gestão de Riscos
do Ministério de Minas e Energia.
Art. 40. O processo de gestão de riscos em segurança da informação deverá
fornecer uma estrutura consistente de gerenciamento por meio da qual os riscos relacionados
às funções, ativos da informação e aos processos críticos possam ser identificados, avaliados,
monitorados e tratados mediante sistemas de revisão, controle e garantia.
Seção IX
Da gestão de continuidade
Art. 41. O Ministério de Minas e Energia deve estabelecer um Programa de Gestão
de Continuidade de Negócio - PGCN, em Segurança da Informação e Proteção de Dados
visando a reduzir a possibilidade de interrupção causada por desastres ou falhas nos recursos
de Tecnologia da Informação e Comunicação que suportam as operações do Ministério.
Art. 42. O PGCN deve prever a recuperação de perdas de ativos de informação em
nível aceitável, por intermédio de ações de resposta a incidentes e recuperação de desastres.
Art. 43. O processo de gestão de continuidade de negócios deve se basear no
PGCN, estruturado a partir da análise e avaliação dos riscos de Segurança da Informação
identificados e da prioridade de recuperação dos processos de negócio.
Art. 44. Toda e qualquer solução, sistema, aplicação e/ou serviço crítico do
Ministério de Minas e Energia deverá estar suportado pelo Programa de Gestão de
Continuidade de Negócio.
Seção X
Da auditoria e conformidade
Art. 45. O uso dos recursos de Tecnologia da Informação e Comunicação
disponibilizados pelo Ministério de Minas e Energia é passível de monitoramento e auditoria,
incluindo a análise regular de registros de eventos [log] com aplicação, sempre que viável, de
softwares utilitários específicos para monitoramento do uso de sistemas computacionais.
Art. 46. Sempre que possível, deverão ser implementados e mantidos mecanismos
que permitam a rastreabilidade dos recursos de TIC por meio de estratégias como: trilhas de
auditoria, rastreamento, acompanhamento, controle e verificação de acessos para todos os
sistemas corporativos e rede corporativa.
Art. 47. Como medida de preservação de evidências, sempre que tecnicamente
possível, todo e qualquer ativo de informação deverá ser configurado para armazenar registros
históricos de registros de eventos (log) em formato que permita a completa identificação dos
fluxos de dados e das operações de seus usuários e/ou administradores.
Parágrafo único. Esses registros devem ser armazenados pelo período mínimo de
seis meses, sem prejuízo de outros prazos previstos em normativos específicos e os ativos de
informação devem ser configurados de forma a armazenar seus registros de eventos [log] não
apenas localmente, como também remotamente, por meio de tecnologia aplicável.
CAPÍTULO IV
DAS COMPETÊNCIAS E ESTRUTURA DE GESTÃO
Art. 48. A estrutura de Gestão de Segurança da Informação do Ministério de Minas
e Energia possui a seguinte composição:
I - Alta administração: representada pela autoridade máxima do Ministério de
Minas e Energia ou o seu substituto nomeado oficialmente, responsável por fornecer os
recursos necessários para assegurar o desenvolvimento e a implementação da Gestão de
Segurança da Informação e adotar as decisões acerca do tratamento das informações e dos
dados vinculados à atuação institucional do Ministério;
II - Subsecretaria de Tecnologia e Inovação: unidade responsável pela gestão da
informação e proteção de dados em meio eletrônico no âmbito do Ministério de Minas e
Energia, apoia as unidades na definição de procedimentos para proteção de suas informações
e seus dados, monitora e avalia as práticas de segurança da informação e coordena ações de
conscientização e treinamento bem como de tratamento de incidentes de segurança da
informação, promove ações para viabilizar a aderência do Ministério às normas, boas práticas
e controles de segurança cibernética, aplicáveis a seus ativos de informação, considerando as
suas competências institucionais previstas no Decreto nº 11.492, de 17 de abril de 2023;
III - Comitê de Governança Digital - CGD/MME: órgão colegiado de natureza
consultiva e deliberativa e de caráter permanente, de cunho estratégico e executivo, instituído
para deliberar sobre assuntos relativos à Governança Digital e às ações, aos programas, às
políticas e aos projetos de Tecnologia da Informação e Comunicação no âmbito do Ministério
de Minas e Energia, conforme competências estabelecidas na Portaria MME nº 784, de 6 de
maio de 2024;
IV - Comitê de Segurança da Informação e da Comunicação - CSIC/MME: colegiado
responsável por tratar de assuntos relacionados à segurança da informação nos ambientes
convencionais e de TIC e a cibersegurança das infraestruturas críticas, no âmbito do Ministério
de Minas e Energia, conforme competências estabelecidas na Portaria MME nº 784, de 6 de
maio de 2024, considerado como estrutura equivalente àquela prevista no art. 20 da Instrução
Normativa GSI/PR nº 1, de 27 de maio de 2020;
V - Gestor de Segurança da Informação: servidor formalmente designado para
exercer as competências definidas no art. 19 da Instrução Normativa GSI/PR nº 1, de 27 de
maio de 2020;
VI - Dirigente de Unidade ou Subunidade: responsável por conscientizar servidores,
demais colaboradores e terceiros em relação aos conceitos e às práticas de segurança da
informação bem como incorporá-las aos processos de trabalho da unidade. Em caso de
comprometimento da segurança da informação, devem tomar medidas administrativas para
que sejam adotadas ações corretivas em tempo hábil;
VII - Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos -
ETIR/MME: responsável por receber, analisar e responder às notificações e atividades
relacionadas a incidentes cibernéticos no âmbito do Ministério de Minas e Energia, prevista no
art. 22 da Instrução Normativa GSI/PR nº 1, de 27 de maio de 2020, e regulamentada pela
Norma Complementar nº 05/IN01/DSIC/GSIPR; e
VIII - Servidores, demais Colaboradores e Terceiros: qualquer pessoa que tenha
acesso a informações e dados do Ministério de Minas e Energia, responsável pela segurança da
informação dos ativos a que tenha acesso.
Art. 49. Quanto à composição normativa, a gestão de segurança da informação do
Ministério de Minas e Energia obedece à seguinte estrutura:
I - política (nível estratégico): documento que define objetivos, princípios e
diretrizes de alto nível que traduzem a visão estratégica do órgão nessa temática e orientam a
elaboração de normas, procedimentos e ações de segurança da informação e proteção de
dados;
II - normas (nível tático): especificam, no plano tático, as regras, as escolhas
tecnológicas e os controles que deverão ser implementados para execução dos objetivos e das
diretrizes oriundas da Política de Segurança da Informação, dotando-a de instrumentos de
implementação; e
III - procedimentos (nível operacional): instrumentalizam o disposto nas normas,
orientando e direcionando sua aplicação.
CAPÍTULO V
DAS PENALIDADES
Art. 50. Ações que violem a Política Corporativa de Segurança da Informação do
Ministério de Minas e Energia caracterizam infração funcional e poderão acarretar, isolada ou
cumulativamente, nos termos da legislação aplicável, sanções administrativas, civis e penais,
assegurado aos envolvidos o contraditório e a ampla defesa.
CAPÍTULO VI
DA ATUALIZAÇÃO E REVISÃO
Art. 51. A Política de Segurança da Informação do Ministério de Minas e Energia
deverá ser revisada em função de alterações na legislação pertinente, das diretrizes superiores
do Governo Federal, de alterações nos normativos internos, quando considerada necessária ou
no prazo máximo de quatro anos, a contar da data de sua publicação, mediante proposição do
Comitê de Segurança da Informação e Comunicações.
Art. 52. O Comitê de Segurança da Informação e Comunicações poderá expedir
normas complementares associadas à POSIN-MME, no âmbito de sua competência regimental,
visando a detalhar particularidades e procedimentos relativos à sua implementação no âmbito
do Ministério de Minas e Energia.
Art. 53. Incumbe à Subsecretaria de Tecnologia e Inovação expedir e gerir os
procedimentos de
nível operacional
que instrumentalizam
o disposto
nas normas
complementares e nesta Política.
CAPÍTULO VII
DAS DISPOSIÇÕES FINAIS
Art. 54. Esta Política de Segurança da Informação e suas atualizações deverão ser
divulgadas amplamente a todos os servidores, demais colaboradores e terceiros do Ministério
de Minas e Energia, ainda que sua atuação no Órgão seja temporária, a fim de promover sua
observância e seu conhecimento bem como a formação da cultura de segurança da
informação.
Art. 55. É responsabilidade de todos os gestores do Ministério de Minas e Energia
promover o conhecimento e a disseminação desta Política e demais normas associadas à
segurança da informação aos servidores, demais colaboradores e terceiros sob a sua gestão.
Art. 56. É vedada a utilização dos recursos de tecnologia da informação
disponibilizados pelo Ministério para acesso, guarda e divulgação de material incompatível com
ambiente do serviço, que viole direitos autorais ou que infrinja a legislação vigente.
Art. 57. São vedados o uso e a instalação de recursos de tecnologia da informação
que não tenham sido homologados ou adquiridos pelo Ministério.
Art. 58. É vedada a divulgação a terceiros de mecanismos de identificação,
autenticação e autorização baseados em conta e senha ou certificação digital, de uso pessoal e
intransferível, que são fornecidos aos usuários.
Art. 59. É vedada a exploração de eventuais vulnerabilidades de processos e ativos
digitais de informação, as quais devem ser comunicadas às instâncias superiores assim que
identificadas.
Art. 60. As unidades organizacionais do Ministério de Minas e Energia devem
promover ações de treinamento e conscientização para que os seus colaboradores entendam
suas responsabilidades e procedimentos voltados à segurança da informação e à proteção de
dados.
Parágrafo único. A conscientização, a capacitação e a sensibilização em segurança
da informação devem ser adequadas aos papéis e responsabilidades dos colaboradores.
Art. 61. Os casos omissos e as dúvidas sobre a POSIN-MME e seus complementos
devem ser submetidas ao Comitê de Segurança da Informação e das Comunicações do
Ministério de Minas e Energia.
Art. 62. As referências normativas citadas neste documento devem ser
consideradas em sua versão vigente, na data de publicação da Política. Caso venham a ser
atualizadas ou substituídas, recomenda-se a adoção da versão mais recente, salvo disposição
em contrário.
Art. 63. Fica revogada a Portaria MME nº 679, de 29 de dezembro de 2014.
Art. 64. Esta Portaria entra em vigor na data de sua publicação.
ALEXANDRE SILVEIRA

Fechar