Atenção:
- Decreto extraído do site www.planalto.gov.br. Pode conter anotações pessoais, jurisprudência de tribunais, negritos e realces de texto para fins didáticos.
- Texto legal atualizado até: 05/01/2024.
- Para pesquisar palavras-chave na página clique as teclas: "Ctrl + F" (Windows) ou "Command + F" (Mac).
DECRETO N.º 9.637, DE 26 DE DEZEMBRO DE 2018
Institui a Política Nacional de Segurança da Informação, dispõe sobre a governança da segurança da informação, e altera o Decreto n.º 2.295, de 4 de agosto de 1997, que regulamenta o disposto no art. 24, caput , inciso IX, da Lei n.º 8.666, de 21 de junho de 1993, e dispõe sobre a dispensa de licitação nos casos que possam comprometer a segurança nacional.
O PRESIDENTE DA REPÚBLICA , no uso da atribuição que lhe confere o art. 84, caput , inciso VI, alínea “a”, da Constituição,
DECRETA :
CAPÍTULO I
DISPOSIÇÕES GERAIS
Art. 1.º Fica instituída a Política Nacional de Segurança da Informação - PNSI, no âmbito da administração pública federal, com a finalidade de assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação em âmbito nacional. (Redação dada pelo Decreto n.º 10.641/2021)
Redação anterior:
"Art. 1.º - Fica instituída a Política Nacional de Segurança da Informação - PNSI, no âmbito da administração pública federal, com a finalidade de assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação a nível nacional."
Legislação correlata:
- Vide: Decreto n.º 10.222/2020 - Aprova a Estratégia Nacional de Segurança Cibernética.
Art. 2.º Para os fins do disposto neste Decreto, a segurança da informação abrange:
I̶ ̶-̶ ̶a̶ ̶s̶e̶g̶u̶r̶a̶n̶ç̶a̶ ̶c̶i̶b̶e̶r̶n̶é̶t̶i̶c̶a̶;̶ (Revogado pelo Decreto nº 11.856, de 2023)
II - a defesa cibernética;
III - a segurança física e a proteção de dados organizacionais; e
IV - as ações destinadas a assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação.
CAPÍTULO II
DOS PRINCÍPIOS
Art. 3.º São princípios da PNSI:
I - soberania nacional;
II - respeito e promoção dos direitos humanos e das garantias fundamentais, em especial a liberdade de expressão, a proteção de dados pessoais, a proteção da privacidade e o acesso à informação;
III - visão abrangente e sistêmica da segurança da informação;
IV - responsabilidade do País na coordenação de esforços e no estabelecimento de políticas, estratégias e diretrizes relacionadas à segurança da informação;
V - intercâmbio científico e tecnológico relacionado à segurança da informação entre os órgãos e as entidades da administração pública federal;
VI - preservação do acervo histórico nacional;
VII - educação como alicerce fundamental para o fomento da cultura em segurança da informação;
VIII - orientação à gestão de riscos e à gestão da segurança da informação;
IX - prevenção e tratamento de incidentes de segurança da informação;
X - articulação entre as ações de segurança cibernética, de defesa cibernética e de proteção de dados e ativos da informação;
XI - dever dos órgãos, das entidades e dos agentes públicos de garantir o sigilo das informações imprescindíveis à segurança da sociedade e do Estado e a inviolabilidade da intimidade da vida privada, da honra e da imagem das pessoas;
XII - need to know para o acesso à informação sigilosa, nos termos da legislação;
XIII - consentimento do proprietário da informação sigilosa recebida de outros países, nos casos dos acordos internacionais;
XIV - cooperação entre os órgãos de investigação e os órgãos e as entidades públicos no processo de credenciamento de pessoas para acesso às informações sigilosas;
XV - integração e cooperação entre o Poder Público, o setor empresarial, a sociedade e as instituições acadêmicas; e
XVI - cooperação internacional, no campo da segurança da informação.
CAPÍTULO III
DOS OBJETIVOS
Art. 4.º São objetivos da PNSI:
I - contribuir para a segurança do indivíduo, da sociedade e do Estado, por meio da orientação das ações de segurança da informação, observados os direitos e as garantias fundamentais;
II - fomentar as atividades de pesquisa científica, de desenvolvimento tecnológico e de inovação relacionadas à segurança da informação;
III - aprimorar continuamente o arcabouço legal e normativo relacionado à segurança da informação;
IV - fomentar a formação e a qualificação dos recursos humanos necessários à área de segurança da informação;
V - fortalecer a cultura da segurança da informação na sociedade;
VI - orientar ações relacionadas a:
a) segurança dos dados custodiados por entidades públicas;
b) segurança da informação das infraestruturas críticas;
c) proteção das informações das pessoas físicas que possam ter sua segurança ou a segurança das suas atividades afetada, observada a legislação específica; e
d) tratamento das informações com restrição de acesso; e
VII - contribuir para a preservação da memória cultural brasileira.
CAPÍTULO IV
DOS INSTRUMENTOS
Art. 5.º São instrumentos da PNSI:
I - a Estratégia Nacional de Segurança da Informação; e
II - os planos nacionais.
Art. 6.º A Estratégia Nacional de Segurança da Informação conterá as ações estratégicas e os objetivos relacionados à segurança da informação, em consonância com as políticas públicas e os programas do Governo federal, e será dividida nos seguintes módulos, entre outros, a serem definidos no momento de sua publicação:
I̶ ̶-̶ ̶a̶ ̶s̶e̶g̶u̶r̶a̶n̶ç̶a̶ ̶c̶i̶b̶e̶r̶n̶é̶t̶i̶c̶a̶;̶ (Revogado pelo Decreto nº 11.856, de 2023)
II - defesa cibernética;
III - segurança das infraestruturas críticas;
IV - segurança da informação sigilosa; e
V - proteção contra vazamento de dados.
Parágrafo único. A construção da Estratégia Nacional de Segurança da Informação terá a ampla participação da sociedade e dos órgãos e das entidades do Poder Público.
Legislação correlata:
- Vide: Decreto n.º 10.222/2020 - Aprova a Estratégia Nacional de Segurança Cibernética.
Art. 7.º Os planos nacionais de que trata o inciso II do caput do art. 5.º conterão:
I - o detalhamento da execução das ações estratégicas e dos objetivos da Estratégia Nacional de Segurança da Informação;
II - o planejamento, a organização, a coordenação das atividades e do uso de recursos para a execução das ações estratégicas e o alcance dos objetivos da Estratégia Nacional de Segurança da Informação; e
III - a atribuição de responsabilidades, a definição de cronogramas e a apresentação da análise de riscos e das ações de contingência que garantam o atingimento dos resultados esperados.
Parágrafo único. Os planos nacionais serão divididos em temas e designados a um órgão responsável, conforme estabelecido na Estratégia Nacional de Segurança da Informação.
CAPÍTULO V
DO COMITÊ GESTOR DA SEGURANÇA DA INFORMAÇÃO
Art. 8.º Fica instituído o Comitê Gestor da Segurança da Informação, com atribuição de assessorar o Gabinete de Segurança Institucional da Presidência da República nas atividades relacionadas à segurança da informação.
Art. 9.º O Comitê será composto por um representante titular e respectivo suplente indicados pelos seguintes órgãos:
I - Gabinete de Segurança Institucional da Presidência da República, que o coordenará;
II - Casa Civil da Presidência da República;
III - Ministério da Justiça e Segurança Pública; (Redação dada pelo Decreto n.º 9.832, de 2019)
IV - Ministério da Defesa; (Redação dada pelo Decreto n.º 9.832, de 2019)
V - Ministério das Relações Exteriores; (Redação dada pelo Decreto n.º 9.832, de 2019)
VI - Ministério da Economia; (Redação dada pelo Decreto n.º 9.832, de 2019)
VII - Ministério da Infraestrutura; (Redação dada pelo Decreto nº 9.832, de 2019)
VIII - Ministério da Agricultura, Pecuária e Abastecimento; (Redação dada pelo Decreto n.º 9.832, de 2019)
IX - Ministério da Educação; (Redação dada pelo Decreto n.º 9.832, de 2019)
X - Ministério da Cidadania; (Redação dada pelo Decreto n.º 9.832, de 2019)
XI - Ministério da Saúde; (Redação dada pelo Decreto n.º 9.832, de 2019)
XI-A - Ministério do Trabalho e Previdência; (Incluído pelo Decreto n.º 10.849, de 2021)
XII - Ministério de Minas e Energia; (Redação dada pelo Decreto n.º 9.832, de 2019)
XII-A - Ministério das Comunicações; (Incluído pelo Decreto n.º 10.641, de 2021)
XIII - Ministério da Ciência, Tecnologia e Inovações; (Redação dada pelo Decreto n.º 10.641, de 2021)
XIV - Ministério do Meio Ambiente; (Redação dada pelo Decreto n.º 9.832, de 2019)
XV - Ministério do Turismo; (Redação dada pelo Decreto n.º 9.832, de 2019)
XVI - Ministério do Desenvolvimento Regional; (Redação dada pelo Decreto n.º 9.832, de 2019)
XVII - Controladoria-Geral da União; (Redação dada pelo Decreto n.º 9.832, de 2019)
XVIII - Ministério da Mulher, da Família e dos Direitos Humanos; (Redação dada pelo Decreto n.º 9.832, de 2019)
XIX - Secretaria-Geral da Presidência da República; (Redação dada pelo Decreto n.º 9.832, de 2019)
XX - Secretaria de Governo da Presidência da República; (Redação dada pelo Decreto n.º 9.832, de 2019)
XXI - Advocacia-Geral da União; (Redação dada pelo Decreto n.º 10.849, de 2021)
XXII - Banco Central do Brasil; e (Redação dada pelo Decreto n.º 10.849, de 2021)
XXII-A - Autoridade Nacional de Proteção de Dados. (Incluído pelo Decreto n.º 10.849, de 2021)
XXIII - (Revogado pelo Decreto n.º 9.832, de 2019)
XXIV - (Revogado pelo Decreto n.º 9.832, de 2019)
XXV - (Revogado pelo Decreto n.º 9.832, de 2019)
XXVI - (Revogado pelo Decreto n.º 9.832, de 2019)
XXVII - (Revogado pelo Decreto n.º 9.832, de 2019)
XXVIII - (Revogado pelo Decreto n.º 9.832, de 2019)
XXIX - (Revogado pelo Decreto n.º 9.832, de 2019)
§ 1.º Os membros do Comitê Gestor da Segurança da Informação e os respectivos suplentes serão indicados pelos titulares dos órgãos que representam e designados em ato do Ministro de Estado Chefe do Gabinete de Segurança Institucional da Presidência da República. (Redação dada pelo Decreto n.º 10.641, de 2021)
§ 2.º Os membros de que trata o § 1.º deverão ser indicados dentre os agentes públicos que possuam atribuição para definir políticas ou normas relacionadas à tecnologia da informação ou à segurança da informação nos respectivos órgãos. (Redação dada pelo Decreto n.º 10.641, de 2021)
§ 3.º Os membros titulares do Comitê serão substituídos pelos respectivos suplentes, em suas ausências ou impedimentos.
§ 4.º A participação no Comitê Gestor da Segurança da Informação e nos subcolegiados será considerada prestação de serviço público relevante, não remunerada. (Redação dada pelo Decreto n.º 9.832, de 2019)
§ 5.º O Coordenador do Comitê Gestor da Segurança da Informação aprovará o regimento interno, que disporá sobre a organização e o funcionamento do Comitê, no prazo de 90 (noventa) dias, contado da data de publicação do Decreto n.º 9.832, de 12 de junho de 2019. (Redação dada pelo Decreto n.º 9.832, de 2019)
Redação anterior:
"III - Ministério da Justiça;"
"IV - Ministério da Segurança Pública;"
"V - Ministério da Defesa;"
"VI - Ministério das Relações Exteriores;"
"VII - Ministério da Fazenda;"
"IX - Ministério da Agricultura, Pecuária e Abastecimento;"
"X - Ministério da Educação;"
"XI - Ministério da Cultura;"
"XII - Ministério do Trabalho;"
"XIII - Ministério do Desenvolvimento Social;"
"XIII - Ministério da Ciência, Tecnologia, Inovações e Comunicações; (Redação dada pelo Decreto n.º 9.832, de 2019)"
"XIV - Ministério da Saúde;"
"XV - Ministério da Indústria, Comércio Exterior e Serviços;"
"XVI - Ministério de Minas e Energia;"
"XVIII - Ministério da Ciência, Tecnologia, Inovações e Comunicações;"
"XVII - Ministério do Planejamento, Desenvolvimento e Gestão;"
"XIX - Ministério do Meio Ambiente;"
"XX - Ministério do Esporte;"
"XXI - Ministério do Turismo;"
"XXI - Advocacia-Geral da União; e (Redação dada pelo Decreto n.º 9.832, de 2019)"
"XXII - Ministério da Integração Nacional;"
"XXII - Banco Central do Brasil. (Redação dada pelo Decreto n.º 9.832, de 2019)"
"XXIII - Ministério das Cidades;"
"XXIV - Ministério da Transparência e Controladoria-Geral da União;"
"XXV - Ministério dos Direitos Humanos;"
"XXVI - Secretaria-Geral da Presidência da República;"
"XXVII - Secretaria de Governo da Presidência da República;"
"XXVIII - Advocacia-Geral da União; e"
"XXIX - Banco Central do Brasil."
"§ 1.º Os membros do Comitê serão indicados pelos titulares dos órgãos mencionados no caput, no prazo de 10 (dez) dias, contado da data de publicação deste Decreto, e serão designados em ato do Ministro de Estado Chefe do Gabinete de Segurança Institucional da Presidência da República, no prazo de 20 (vinte) dias, contado da data de publicação deste Decreto."
"§ 2.º A indicação do membro titular dos órgãos mencionados no caput recairá no gestor de segurança da informação de que trata o inciso III do caput do art. 15, e o respectivo suplente deverá ocupar cargo em comissão do Grupo-Direção e Assessoramento Superiores, de nível 4 ou superior, ou equivalente."
"§ 2.º O membro titular do Comitê Gestor da Segurança da Informação deverá ser o gestor de segurança da informação de que trata o inciso III do caput do art. 15, e seu suplente deverá ser ocupante de cargo em comissão ou função de confiança equivalente ou superior ao nível 4 do Grupo-Direção e Assessoramento Superiores. (Redação dada pelo Decreto n.º 9.832, de 2019)"
"§ 4.º A participação no Comitê será considerada prestação de serviço público relevante, não remunerada."
"§ 5.º No prazo de noventa dias, contado da data de publicação deste Decreto, será aprovado regimento interno para dispor sobre a organização e o funcionamento do Comitê."
Art. 10. O Comitê se reunirá, em caráter ordinário, semestralmente e, em caráter extraordinário, por convocação de seu Coordenador.
§ 1.º As reuniões do Comitê ocorrerão, em primeira convocação, com a presença da maioria simples de seus membros ou, 15 (quinze) minutos após a hora estabelecida, em segunda convocação, com a presença de, no mínimo, um terço de seus membros.
§ 2.º - (Revogado pelo Decreto n.º 9.832, de 2019)
§ 3.º - (Revogado pelo Decreto n.º 9.832, de 2019)
§ 4.º As deliberações do Comitê serão aprovadas pela maioria simples dos membros presentes e o Coordenador, além do voto regular, terá o voto de desempate.
§ 5.º Os membros do Comitê Gestor da Segurança da Informação que se encontrarem no Distrito Federal se reunirão presencialmente ou por videoconferência, nos termos do disposto no Decreto n.º 10.416, de 7 de julho de 2020, e os membros que se encontrarem em outros entes federativos participarão da reunião por meio de videoconferência. (Redação dada pelo Decreto n.º 10.641, de 2021)
Redação anterior:
"§ 2.º O Comitê poderá instituir grupos de trabalho ou câmaras técnicas para tratar de temas específicos relacionados à segurança da informação e poderá convidar representantes do setor público ou privado e especialistas com notório saber. (Revogado pelo Decreto n.º 9.832, de 2019)"
"§ 3.º A composição, o funcionamento e as competências dos grupos de trabalho ou câmaras técnicas serão estabelecidos pelo Comitê. (Revogado pelo Decreto n.º 9.832, de 2019)"
"§ 5.º Os membros do Comitê Gestor da Segurança da Informação que se encontrarem no Distrito Federal se reunirão presencialmente e os membros que se encontrem em outros entes federativos participarão da reunião por meio de videoconferência. (Incluído pelo Decreto n.º 9.832, de 2019)"
Art. 10-A. O Comitê Gestor da Segurança da Informação poderá instituir subcolegiados com o objetivo de tratar de temáticas específicas relacionadas à segurança da informação. (Incluído pelo Decreto n.º 9.832, de 2019)
Art. 10-B. Os subcolegiados a que se refere o art. 10-A: (Incluído pelo Decreto n.º 9.832, de 2019)
I - serão compostos na forma de ato do Comitê Gestor da Segurança da Informação; (Incluído pelo Decreto n.º 9.832, de 2019)
II - não poderão ter mais de 07 (sete) membros; (Incluído pelo Decreto n.º 9.832, de 2019)
III - terão caráter temporário e duração não superior a 01 (um) ano; e (Incluído pelo Decreto n.º 9.832, de 2019)
IV - estão limitados a 04 (quatro) operando simultaneamente. (Incluído pelo Decreto n.º 9.832, de 2019)
Art. 11. A Secretaria-Executiva do Comitê Gestor da Segurança da Informação será exercida pelo Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República. (Redação dada pelo Decreto n.º 10.641, de 2021)
Redação anterior:
"Art. 11. O Gabinete de Segurança Institucional da Presidência da República prestará o apoio técnico e administrativo necessário ao Comitê."
"Art. 11. A Secretaria-Executiva do Comitê Gestor da Segurança da Informação será exercida pelo Departamento de Segurança da Informação da Secretaria de Coordenação de Sistemas do Gabinete de Segurança Institucional da Presidência da República. (Redação dada pelo Decreto n.º 9.832, de 2019)"
CAPÍTULO VI
DAS COMPETÊNCIAS
Seção I
Do Gabinete de Segurança Institucional da Presidência da República
Art. 12. Compete ao Gabinete de Segurança Institucional da Presidência da República, nos temas relacionados à segurança da informação: (Redação dada pelo Decreto n.º 10.641, de 2021)
I - estabelecer norma sobre a definição dos requisitos metodológicos para a implementação da gestão de risco dos ativos da informação pelos órgãos e pelas entidades da administração pública federal;
II - aprovar diretrizes, estratégias, normas e recomendações;
III - elaborar e implementar programas sobre segurança da informação destinados à conscientização e à capacitação dos servidores públicos federais e da sociedade;
IV - acompanhar a evolução doutrinária e tecnológica, em âmbito nacional e internacional;
V - elaborar e publicar a Estratégia Nacional de Segurança da Informação, em articulação com o Comitê Interministerial para a Transformação Digital, criado pelo Decreto n.º 9.319, de 21 de março de 2018 ;
VI - apoiar a elaboração dos planos nacionais vinculados à Estratégia Nacional de Segurança da Informação;
VII - estabelecer critérios que permitam o monitoramento e a avaliação da execução da PNSI e de seus instrumentos;
VIII - propor a edição dos atos normativos necessários à execução da PNSI; (Redação dada pelo Decreto n.º 10.641, de 2021)
IX - estabelecer os requisitos mínimos de segurança para o uso dos produtos que incorporem recursos de segurança da informação, de modo a assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação e garantir a interoperabilidade entre os sistemas de segurança da informação, ressalvadas as competências específicas de outros órgãos; e (Redação dada pelo Decreto n.º 10.641, de 2021)
X - articular-se com centros nacionais de prevenção, tratamento e resposta a incidentes cibernéticos pertencentes a outros países. (Incluído pelo Decreto n.º 10.641, de 2021)
Parágrafo único. Nas hipóteses de que trata o inciso IX do caput, quando se tratar de competência de outro órgão, caberá ao Gabinete de Segurança Institucional da Presidência da República propor as atualizações referentes à segurança da informação.
Redação anterior:
"Art. 12. Compete ao Gabinete de Segurança Institucional da Presidência da República, nos temas relacionados à segurança da informação, assessorado pelo Comitê Gestor da Segurança da Informação:"
"VIII - propor a edição dos atos normativos necessários à execução da PNSI; e"
"IX - estabelecer os requisitos mínimos de segurança para o uso dos produtos que incorporem recursos de segurança da informação, de modo a assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação e garantir a interoperabilidade entre os sistemas de segurança da informação, ressalvadas as competências específicas de outros órgãos."
Seção II
Do Ministério da Defesa
Art. 13. Ao Ministério da Defesa compete:
I - apoiar o Gabinete de Segurança Institucional da Presidência da República nas atividades relacionadas à segurança cibernética; e
II - elaborar as diretrizes, os dispositivos e os procedimentos de defesa que atuem nos sistemas relacionados à defesa nacional contra ataques cibernéticos.
Seção III
Do Ministério da Transparência e Controladoria-Geral da União
Art. 14. Compete à Controladoria-Geral da União auditar a execução das ações da PNSI de responsabilidade dos órgãos e das entidades da administração pública federal. (Redação dada pelo Decreto n.º 10.641, de 2021)
Redação anterior:
"Art. 14. Ao Ministério da Transparência e Controladoria-Geral da União compete auditar a execução das ações da Política Nacional de Segurança da Informação de responsabilidade dos órgãos e das entidades da administração pública federal."
Seção IV
Dos órgãos e das entidades da administração pública federal
Art. 15. Aos órgãos e às entidades da administração pública federal, em seu âmbito de atuação, compete:
I - implementar a PNSI;
II - elaborar sua política de segurança da informação e as normas internas de segurança da informação, observadas as normas de segurança da informação editadas pelo Gabinete de Segurança Institucional da Presidência da República;
III - designar um gestor de segurança da informação interno, indicado pela alta administração do órgão ou da entidade;
IV - instituir comitê de segurança da informação ou estrutura equivalente, para deliberar sobre os assuntos relativos à PNSI;
V - destinar recursos orçamentários para ações de segurança da informação;
VI - promover ações de capacitação e profissionalização dos recursos humanos em temas relacionados à segurança da informação;
VII - instituir e implementar equipe de prevenção, tratamento e resposta a incidentes cibernéticos, que comporá a rede de equipes dos órgãos e das entidades da administração pública federal, coordenada pelo Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo do Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República; (Redação dada pelo Decreto n.º 10.641, de 2021)
VIII - coordenar e executar as ações de segurança da informação no âmbito de sua atuação;
IX - consolidar e analisar os resultados dos trabalhos de auditoria sobre a gestão de segurança da informação; e
X - aplicar as ações corretivas e disciplinares cabíveis nos casos de violação da segurança da informação.
§ 1.º O comitê de segurança da informação interno de que trata o inciso IV do caput será composto por:
I - o gestor da segurança da informação do órgão ou da entidade, de que trata o inciso III do caput, que o coordenará;
II - um representante da Secretaria-Executiva ou da unidade equivalente do órgão ou da entidade;
III - um representante de cada unidade finalística do órgão ou da entidade; e
IV - o titular da unidade de tecnologia da informação e comunicação do órgão ou da entidade.
§ 2.º (Revogado pelo Decreto n.º 10.641, de 2021)
§ 3.º O comitê de segurança da informação interno dos órgãos e das entidades da administração pública federal tem as seguintes atribuições:
I - assessorar na implementação das ações de segurança da informação;
II - constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre segurança da informação;
III - propor alterações na política de segurança da informação interna; e
IV - propor normas internas relativas à segurança da informação.
§ 4.º O gestor de segurança da informação será designado dentre os servidores públicos ocupantes de cargo efetivo, empregados públicos e militares do órgão ou da entidade, com formação ou capacitação técnica compatível com as normas estabelecidas por este Decreto. (Incluído pelo Decreto n.º 10.641, de 2021)
Redação anterior:
"§ 2.º Os membros do comitê de segurança da informação interno de que tratam os incisos II e III do § 1.º deverão ocupar cargo em comissão do Grupo-Direção e Assessoramento Superiores, de nível 5 ou superior, ou equivalente."
"§ 2.º Os membros do comitê de segurança da informação interno de que tratam os incisos I a III do § 1.º deverão ocupar cargo em comissão ou função de confiança de nível 5 ou superior do Grupo-Direção e Assessoramento Superiores ou equivalente. (Redação dada pelo Decreto n.º 9.832, de 2019)"
"VII - instituir e implementar equipe de tratamento e resposta a incidentes em redes computacionais, que comporá a rede de equipes formada pelos órgãos e entidades da administração pública federal, coordenada pelo Centro de Tratamento de Incidentes de Redes do Governo do Gabinete de Segurança Institucional da Presidência da República;"
Legislação correlata:
- Vide: Decreto n.º 10.748/2021 - Institui a Rede Federal de Gestão de Incidentes Cibernéticos.
- Vide: Art. 15 do Decreto n.º 10.433/2020.
"Art. 6.º Fica instituído o Subcomitê de Segurança da Informação da Presidência da República, de caráter permanente, vinculado ao Comitê de Governança Digital e Segurança da Informação da Presidência da República, e coordenado pelo gestor de segurança da informação da Secretaria-Geral da Presidência da República.
§ 1.º O Subcomitê de Segurança da Informação da Presidência da República será composto pelos gestores de segurança da informação dos órgãos que integram o Comitê de Governança Digital e Segurança da Informação da Presidência da República, observado o disposto no inciso I do caput do art. 15 do Decreto n.º 9.637, de 2018, e pelo Gestor de Segurança da Informação em Meios Tecnológicos da Presidência da República.
§ 2.º Compete ao Subcomitê de Segurança da Informação da Presidência da República elaborar e monitorar a implementação do plano de ação de segurança da informação da Presidência da República e da Vice-Presidência da República.
§ 3.º O quórum de reunião e de aprovação do Subcomitê de Segurança da Informação da Presidência da República é de maioria absoluta.
§ 4.º Além do voto ordinário, o Coordenador do Subcomitê de Segurança da Informação da Presidência da República terá o voto de qualidade em caso de empate.
§ 5.º O Subcomitê de Segurança da Informação da Presidência da República se reunirá, em caráter ordinário, no mínimo, semestralmente e, em caráter extraordinário, sempre que convocado por seu Coordenador."
Art. 16. Os órgãos e as entidades da administração pública federal editarão atos para definir a forma de funcionamento dos respectivos comitês de segurança da informação, observado o disposto neste Decreto e na legislação.
Art. 17. Compete à alta administração dos órgãos e das entidades da administração pública federal a governança da segurança da informação, e especialmente:
I - promover a simplificação administrativa, a modernização da gestão pública e a integração dos serviços públicos, especialmente aqueles prestados por meio eletrônico, com vistas à segurança da informação;
II - monitorar o desempenho e avaliar a concepção, a implementação e os resultados da sua política de segurança da informação e das normas internas de segurança da informação;
III - incorporar padrões elevados de conduta para a garantia da segurança da informação e orientar o comportamento dos agentes públicos, em consonância com as funções e as atribuições de seus órgãos e de suas entidades;
IV - planejar a execução de programas, de projetos e de processos relativos à segurança da informação;
V - estabelecer diretrizes para o processo de gestão de riscos de segurança da informação;
VI - observar as normas que estabelecem requisitos e procedimentos para a segurança da informação publicadas pelo Gabinete de Segurança Institucional da Presidência da República;
VII - implementar controles internos fundamentados na gestão de riscos da segurança da informação;
VIII - instituir um sistema de gestão de segurança da informação;
IX - implantar mecanismo de comunicação imediata sobre a existência de vulnerabilidades ou incidentes de segurança que impactem ou possam impactar os serviços prestados ou contratados pelos órgãos da administração pública federal; e
X - observar as normas e os procedimentos específicos aplicáveis, implementar e manter mecanismos, instâncias e práticas de governança da segurança da informação em consonância com os princípios e as diretrizes estabelecidos neste Decreto e na legislação.
§ 1.º O planejamento e a execução de programas, de projetos e de processos relativos à segurança da informação de que trata o inciso IV do caput serão orientados para:
I - a utilização de recursos criptográficos adequados aos graus de sigilo exigidos no tratamento das informações e as restrições de acesso estabelecidas para o compartilhamento das informações, observada a legislação;
II - o aumento da resiliência dos ativos de tecnologia da informação e comunicação e dos serviços definidos como estratégicos pelo Governo federal;
III - a contínua cooperação entre as equipes de prevenção, tratamento e resposta a incidentes cibernéticos na administração pública federal direta, autárquica e fundacional e o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo do Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República; e (Redação dada pelo Decreto n.º 10.641, de 2021)
IV - a priorização da interoperabilidade de tecnologias, processos, informações e dados, com a promoção:
a) da integração e do compartilhamento dos ativos de informação do Governo federal ou daqueles sob sua custódia;
b) da uniformização e da redução da fragmentação das bases de informação de interesse do Governo federal e da sociedade;
c) da integração e do compartilhamento das redes de telecomunicações da administração pública federal direta, autárquica e fundacional; e
d) da padronização da comunicação entre sistemas.
§ 2.º O sistema de gestão de segurança da informação de que trata o inciso VIII do caput identificará as necessidades da organização quanto aos requisitos de segurança da informação e implementará o processo de gestão de riscos de segurança da informação.
Redação anterior:
"III - a contínua cooperação entre as equipes de resposta e de tratamento de incidentes de segurança na administração pública federal direta, autárquica e fundacional e o Centro de Tratamento de Incidentes de Redes do Governo do Gabinete de Segurança Institucional da Presidência da República; e"
Legislação correlata:
- Vide: Decreto n.º 10.748/2021 - Institui a Rede Federal de Gestão de Incidentes Cibernéticos.
Art. 18. Os órgãos e as entidades da administração pública federal direta, autárquica e fundacional, nos atos administrativos que envolvam ativos de tecnologia da informação, sem prejuízo dos demais dispositivos legais, incorporarão as normas de segurança da informação estabelecidas pelo Gabinete de Segurança Institucional da Presidência da República. (Redação dada pelo Decreto n.º 10.641, de 2021)
Redação anterior:
"Art. 18. Os órgãos e as entidades da administração pública federal direta, autárquica e fundacional, nos atos administrativos que envolvam ativos de tecnologia da informação, sem prejuízo dos demais dispositivos legais, incorporarão as normas de segurança da informação estabelecidas pelo Gabinete de Segurança Institucional da Presidência da República e os normativos de gestão de tecnologia da informação e comunicação e de segurança da informação do Ministério do Planejamento, Desenvolvimento e Gestão."
CAPÍTULO VII
DISPOSIÇÕES FINAIS
Art. 19. O Ministro de Estado Chefe do Gabinete de Segurança Institucional da Presidência da República editará, no prazo de 90 (noventa) dias, contado da data de publicação deste Decreto, glossário com a definição dos termos técnicos e operacionais relativos à segurança da informação, que será utilizado como referência conceitual para as normas e os regulamentos relacionados à segurança da informação.
Art. 20. O Ministro de Estado Chefe do Gabinete de Segurança Institucional da Presidência da República poderá expedir atos complementares necessários à aplicação deste Decreto.
A̶r̶t̶.̶ ̶2̶1̶.̶ ̶O̶ ̶D̶e̶c̶r̶e̶t̶o̶ ̶n̶.̶º̶ ̶2̶.̶2̶9̶5̶,̶ ̶d̶e̶ ̶4̶ ̶d̶e̶ ̶a̶g̶o̶s̶t̶o̶ ̶d̶e̶ ̶1̶9̶9̶7̶ ̶,̶ ̶p̶a̶s̶s̶a̶ ̶a̶ ̶v̶i̶g̶o̶r̶a̶r̶ ̶c̶o̶m̶ ̶a̶s̶ ̶s̶e̶g̶u̶i̶n̶t̶e̶s̶ ̶a̶l̶t̶e̶r̶a̶ç̶õ̶e̶s̶:̶
“̶A̶r̶t̶.̶ ̶1̶.̶º̶ ̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶
̶I̶I̶I̶ ̶-̶ ̶a̶q̶u̶i̶s̶i̶ç̶ã̶o̶ ̶d̶e̶ ̶e̶q̶u̶i̶p̶a̶m̶e̶n̶t̶o̶s̶ ̶e̶ ̶c̶o̶n̶t̶r̶a̶t̶a̶ç̶ã̶o̶ ̶d̶e̶ ̶s̶e̶r̶v̶i̶ç̶o̶s̶ ̶t̶é̶c̶n̶i̶c̶o̶s̶ ̶e̶s̶p̶e̶c̶i̶a̶l̶i̶z̶a̶d̶o̶s̶ ̶p̶a̶r̶a̶ ̶a̶s̶ ̶á̶r̶e̶a̶s̶ ̶d̶e̶ ̶i̶n̶t̶e̶l̶i̶g̶ê̶n̶c̶i̶a̶,̶ ̶d̶e̶ ̶s̶e̶g̶u̶r̶a̶n̶ç̶a̶ ̶d̶a̶ ̶i̶n̶f̶o̶r̶m̶a̶ç̶ã̶o̶,̶ ̶d̶e̶ ̶s̶e̶g̶u̶r̶a̶n̶ç̶a̶ ̶c̶i̶b̶e̶r̶n̶é̶t̶i̶c̶a̶,̶ ̶d̶e̶ ̶s̶e̶g̶u̶r̶a̶n̶ç̶a̶ ̶d̶a̶s̶ ̶c̶o̶m̶u̶n̶i̶c̶a̶ç̶õ̶e̶s̶ ̶e̶ ̶d̶e̶ ̶d̶e̶f̶e̶s̶a̶ ̶c̶i̶b̶e̶r̶n̶é̶t̶i̶c̶a̶.̶
̶̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶.̶”̶ ̶(̶N̶R̶)̶
Art. 22. Ficam revogados:
I - o Decreto n.º 3.505, de 13 de junho de 2000 ; e
II - o Decreto n.º 8.135, de 4 de novembro de 2013 .
Art. 23. Este Decreto entra em vigor na data de sua publicação.
Brasília, 26 de dezembro de 2018; 197.º da Independência e 130.º da República.
MICHEL TEMER
Sergio Westphalen Etchegoyen
Este texto não substitui o publicado no DOU de 27.12.2018