Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 30/12/2025 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025123000057
57
Nº 248, terça-feira, 30 de dezembro de 2025
ISSN 1677-7042
Seção 1
Art. 8º Ao usuário de informação é assegurado o mínimo acesso aos
recursos necessários para realizar uma dada tarefa.
Art. 9º A POSI-MGI e suas atualizações, bem como normas específicas de
segurança da informação e privacidade do Ministério da Gestão e da Inovação em
Serviços Públicos
deverão ser
divulgadas amplamente a
todos os
usuários de
informação a fim de promover sua observância, bem como a formação da cultura de
segurança da informação e privacidade.
§ 1º Os usuários de informação devem ser continuamente capacitados nos
procedimentos de segurança e privacidade e no uso correto dos ativos de informação
quando da realização de suas atribuições, de modo a minimizar possíveis riscos à
segurança da informação e privacidade.
§ 2º As ações de capacitação de que trata o §1º devem ser conduzidas de
modo a possibilitar o compartilhamento de materiais educacionais sobre segurança da
informação, observados os direitos autorais.
Art. 10. Os editais de licitação e contratos de solução de tecnologia da
informação com o Ministério da Gestão e da Inovação em Serviços Públicos deverão
conter cláusula específica sobre:
I - a obrigatoriedade de atendimento à POSI-MGI; e
II 
- 
a 
exigência 
de 
termo 
de 
responsabilidade 
e 
termo 
de
confidencialidade.
Parágrafo único. Ato da autoridade titular da Diretoria de Tecnologia da
Informação da Secretaria de Serviços Compartilhados disporá acerca dos termos de
responsabilidade e termo de confidencialidade de que trata o inciso II do caput.
CAPÍTULO II
DA GOVERNANÇA DA SEGURANÇA DA INFORMAÇÃO
Art. 11. A estrutura de Gestão de Segurança da Informação é composta
por:
I - alta administração do Ministério da Gestão e da Inovação em Serviços
Públicos;
II - Comitê de Governança Digital e Segurança da Informação, instituído pela
Portaria MGI nº 3.844, de 28 de julho de 2023;
III - Gestor de Segurança da Informação;
IV - Gestor de Tecnologia da Informação e Comunicação;
V - Encarregado pelo Tratamento de Dados Pessoais;
VI - responsável pela Unidade de Controle Interno;
VII - Equipe de Prevenção, Tratamento e Respostas a Incidentes Cibernéticos; e
VIII - usuários de informação.
Art. 12. À alta administração do Ministério da Gestão e da Inovação em
Serviços Públicos compete fornecer os recursos necessários para assegurar
o
desenvolvimento e a implementação da Gestão de Segurança da Informação e o
tratamento das ações e decisões de segurança da informação em um nível de
relevância e prioridade adequados.
Art. 13. No que se refere à segurança da informação compete ao Comitê de
Governança Digital e Segurança da Informação:
I - assessorar na implementação das ações de segurança da informação;
II - constituir grupos de trabalho para tratar de temas e propor soluções
específicas sobre segurança da informação;
III - propor alterações na POSI-MGI;
IV - propor normas internas relativas à segurança da informação; e
V - deliberar sobre os assuntos ministeriais relativos à Política Nacional de
Segurança da Informação - PNSI.
Art. 14. Ao Gestor de Segurança da Informação compete:
I - coordenar o Comitê de Governança Digital e Segurança da Informação
nas deliberações relacionadas à segurança da informação;
II - coordenar a elaboração da POSI-MGI e das normas internas de
segurança da informação do Ministério da Gestão e da Inovação em Serviços Públicos,
observadas a legislação vigente e as melhores práticas sobre o tema;
III - assessorar a alta administração na implementação da POSI-MGI;
IV - estimular ações de capacitação e de profissionalização de recursos
humanos em temas relacionados à segurança da informação;
V - promover a divulgação da política e das normas internas de segurança
da informação do órgão a todos os servidores, usuários e prestadores de serviços que
trabalham no Ministério da Gestão e da Inovação em Serviços Públicos;
VI - incentivar estudos de novas tecnologias, bem como seus eventuais
impactos relacionados à segurança da informação;
VII - propor recursos necessários às ações de segurança da informação;
VIII - acompanhar os trabalhos da Equipe de Tratamento e Resposta a
Incidentes Cibernéticos;
IX - verificar os resultados dos trabalhos de auditoria sobre a gestão da
segurança da informação;
X - acompanhar a aplicação de ações corretivas e administrativas cabíveis
nos casos de violação da segurança da informação; e
XI -
manter contato
direto com o
Departamento de
Segurança da
Informação do Gabinete de Segurança Institucional da Presidência da República em
assuntos relativos à segurança da informação.
Parágrafo único. O Gestor de Segurança da Informação será designado em
ato da autoridade máxima do Ministério da Gestão e da Inovação em Serviços Públicos,
dentre servidores públicos efetivos ou empregados públicos com formação ou
capacitação técnica compatível com as atribuições previstas no caput.
Art. 15. Ao Gestor de Tecnologia da Informação e Comunicação compete
planejar, implementar e melhorar continuamente os controles de privacidade e
segurança da informação em soluções de tecnologia da informação e comunicações,
considerando a cadeia de suprimentos relacionada à solução, observado o disposto na
Portaria SGD/ME nº 778, de 4 de abril de 2019.
Art. 16. Ao Encarregado pelo Tratamento de Dados Pessoais compete
conduzir o diagnóstico de privacidade e
orientar, no que couber, os gestores
proprietários 
dos 
ativos 
de 
informação, 
responsáveis 
pelo 
planejamento,
implementação e melhoria contínua dos controles de privacidade em ativos de
informação que realizem o tratamento de dados pessoais ou dados pessoais sensíveis,
observado o disposto na Lei nº 13.709, de 14 de agosto de 2018, e demais normativos
e orientações emitidas pela Autoridade Nacional de Proteção de Dados - ANPD.
Art. 17. Ao responsável pela unidade de controle interno compete apoiar,
supervisionar e monitorar as atividades desenvolvidas pela primeira linha de defesa, de
que trata a Instrução Normativa CGU nº 3, de 9 de junho de 2017.
Art. 18. À Equipe de Prevenção, Tratamento e Respostas a Incidentes
Cibernéticos compete:
I - facilitar, coordenar e executar as atividades de prevenção, tratamento e
resposta a incidentes cibernéticos no Ministério da Gestão e da Inovação em Serviços
Públicos;
II - monitorar as redes computacionais;
III - detectar e analisar ataques e intrusões;
IV - tratar incidentes de segurança da informação;
V - identificar vulnerabilidades e artefatos maliciosos;
VI - recuperar sistemas de informação;
VII - promover a cooperação com outras equipes, bem como participar de
fóruns e redes relativas à segurança da informação;
VIII - apoiar a condução de políticas de segurança cibernética e da
informação;
IX - realizar ações voltadas para o fortalecimento da resiliência cibernética
do Ministério da Gestão e da Inovação em Serviços Públicos;
X - comunicar ao Centro de Prevenção, Tratamento e Resposta a Incidentes
Cibernéticos de Governo - CTIR Gov a ocorrência de incidentes cibernéticos com a
maior brevidade possível; e
XI - manter registro histórico de incidentes cibernéticos e vulnerabilidades
que permitam a geração de dados estatísticos.
Parágrafo único. Ato da autoridade titular da Secretaria de Serviços Compartilhados
do Ministério da Gestão e da Inovação em Serviços Públicos disporá acerca da Equipe de
Prevenção, Tratamento e Respostas a Incidentes Cibernéticos de que trata o caput.
Art. 19. Aos usuários de informação compete observar a POSI-MGI e as
demais normas específicas de segurança da informação do Ministério da Gestão e da
Inovação em Serviços Públicos.
Parágrafo único. Os usuários de informação são responsáveis pela segurança
dos ativos de informação que estejam sob a sua responsabilidade e devem comunicar
às Unidades Gestoras, às áreas de segurança pertinentes ou diretamente ao Gestor de
Segurança da Informação do Ministério da Gestão e da Inovação em Serviços Públicos
quando 
tiver 
conhecimento 
de 
tratamento 
de 
dados 
e 
informações 
em
desconformidade com o disposto nesta Portaria.
CAPÍTULO III
DA GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Art.20. A POSI-MGI e demais normativos decorrentes desta Política integram
o arcabouço normativo da Gestão de Segurança da Informação.
Art. 21. A Gestão da Segurança da Informação é constituída, no mínimo,
pelos seguintes processos:
I - tratamento da informação;
II - segurança física e do ambiente;
III - gestão de incidentes em segurança da informação;
IV - gestão de ativos;
V - gestão do uso dos recursos operacionais e de comunicações, tais como
e-mail, acesso à internet, mídias sociais e computação em nuvem;
VI - controles de acesso;
VII - gestão de riscos;
VIII - gestão de continuidade;
IX - gestão de mudanças; e
X - auditoria e conformidade.
§ 1º O Comitê de Governança Digital e Segurança da Informação poderá
definir outros processos de gestão de segurança da informação, desde que alinhados
aos princípios e às diretrizes da POSI-MGI e destinados à implementação de ações de
segurança da informação.
§ 2º Para cada um dos processos que constituem a Gestão de Segurança da
Informação, deve ser observada a pertinência de elaboração de políticas, normas,
procedimentos, orientações ou manuais que disciplinem ou facilitem o seu
entendimento em conformidade com a legislação vigente e boas práticas de segurança
de informação e privacidade.
Art. 22. As políticas, normas, procedimentos, orientações ou manuais de que
trata o art. 21, §2º, devem abordar, no mínimo, aspectos relacionados a:
I - conformidade com as diretrizes dispostas na Lei nº 13.709, de 14 de
agosto de 20218, e demais normativos e orientações emitidas pela ANPD;
II 
- 
classificação 
da 
informação 
de
acordo 
com 
seu 
nível 
de
confidencialidade e criticidade, entre outros fatores, com vistas a determinar os
controles de segurança adequados;
III - proteção dos dados contra acessos não autorizados e de situações
acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma
de tratamento inadequado ou ilícito;
IV 
-
uso 
aceitável
da 
informação
e 
a
utilização 
de
mídias 
de
armazenamento;
V - entrada e saída de ativos de informação das instalações do Ministério
da Gestão e da Inovação em Serviços Públicos;
VI - perímetros de segurança do Ministério da Gestão e da Inovação em
Serviços Públicos;
VII - controles de acesso baseados no princípio do menor privilégio;
VIII - etapas de identificação, contenção, erradicação e recuperação e
atividades pós incidente;
IX - critérios para a comunicação de incidentes aos titulares de dados
pessoas e à ANPD;
X - Plano de Gestão de Incidentes de Segurança, de forma a considerar
diferentes cenários;
XI - Política de Gestão de Ativos do Ministério da Gestão e da Inovação em
Serviços Públicos e dos órgãos solicitantes do ColaboraGov;
XII - utilização adequada dos recursos operacionais e de comunicações
fornecidos pelo Ministério da Gestão e da Inovação em Serviços Públicos, em
conformidade com os princípios éticos e profissionais;
XIII - procedimentos para o uso de e-mail, o envio de informações
confidenciais, a instalação de software antivírus e a abertura de anexos de e-mail;
XIV - acesso à internet, o download de arquivos da internet, vedado o uso
de sites inadequados e a instalação de software não autorizado;
XV - uso de mídias sociais, a divulgação de informações nas mídias sociais,
o uso de contas pessoais para fins profissionais e a interação com estranhos nas mídias
sociais;
XVI - políticas e procedimentos para o uso da computação em nuvem, a
seleção de provedores de serviços em nuvem, a segurança dos dados na nuvem e a
conformidade com as leis e regulamentos aplicáveis;
XVII - políticas e procedimentos para o controle de acesso, tais como:
a) o uso de Múltiplo Fator de Autenticação - MFA;
b) controles de autorização, baseados no princípio do menor privilégio;
c) controles de segregação de funções; e
d) trilhas
de auditoria,
rastreamento, acompanhamento,
controle e
verificação de acessos para os ativos de informação do Ministério da Gestão e da
Inovação em Serviços Públicos e dos órgãos solicitantes do ColaboraGov, desligamento
ou afastamento de colaboradores e parceiros que utilizam ou operam os ativos de
informação;
XVIII - políticas e procedimentos para a gestão dos riscos de segurança da
informação que possam afetar seus ativos de informação;
XIX - políticas e procedimentos para Gestão de Continuidade de Negócios da
organização, incluindo o Plano de Continuidade para garantir que o Ministério da
Gestão e da Inovação em Serviços Públicos e órgãos solicitantes do ColaboraGov
possam continuar
suas atividades em
caso de
um incidente de
segurança da
informação e a realização de testes e exercícios periódicos baseados no Plano de
Continuidade para garantir sua eficácia;
XX - políticas e procedimentos para a Gestão de Mudanças nos ativos de
informação do Ministério da Gestão e da Inovação em Serviços Públicos e dos órgãos
solicitantes do ColaboraGov, respaldado pelas informações dos relatórios de avaliação
e tratamento de risco de segurança da informação, com a designação de papéis e
responsabilidades para a avaliação, aprovação e implementação de mudanças e a
criação de um processo formal para solicitação e documentação de mudanças; e
XXI - políticas e procedimentos para a auditoria e conformidade do
Ministério da Gestão e da Inovação em Serviços Públicos , abordando o Plano de
Verificação de Conformidade, que considere as unidades abrangidas, os aspectos para
verificação da conformidade, as ações e atividades a serem realizadas, os documentos
necessários 
para 
a 
fundamentação 
da 
verificação 
de 
conformidade 
e 
as
responsabilidades e o Relatório de Avaliação de Conformidade, que considere o
detalhamento das ações e das atividades com identificação do responsável, o parecer
de conformidade e as recomendações.
§ 1º Para os fins do disposto no inciso XI do caput, devem ser abordados
aspectos relacionados a:
I - proteção dos ativos e sua classificação de acordo com a criticidade do
ativo para o Ministério da Gestão e da Inovação em Serviços Públicos e para os órgãos
solicitantes do ColaboraGov;
II - manutenção de inventário atualizado de ativos do Ministério da Gestão
e da Inovação em Serviços Públicos e dos órgãos solicitantes do ColaboraGov, contendo
o tipo de ativo, sua localização, seu proprietário ou custodiante e seu status de
segurança;
III - uso aceitável de ativos, vedado o uso para fins particulares de seu
responsável;
IV - mapeamento
de vulnerabilidades, ameaças e
suas respectivas
interdependências; o monitoramento de ativos, de acordo com os princípios legais de
segurança da informação e privacidade; e

Fechar