POLTICA DE SEGURANA DA INFORMAO E COMUNICAES - PoSIC

Art. 1 O presente documento tem por objetivo atualizar a Poltica de Segurana da Informao e Comunicaes PoSIC no mbito do Ministrio do Planejamento, Oramento e Gesto - MP.

Captulo I
ESCOPO Seo I Objetivo da Poltica de Segurana da Informao e Comunicaes Art. 2 A PoSIC objetiva garantir a disponibilidade, integridade, confidencialidade e autenticidade - DICA das informaes produzidas ou custodiadas pelo MP. Art. 3 O MP deve observar as diretrizes, normas, procedimentos, mecanismos, competncias e responsabilidades estabelecidos nesta PoSIC. Art. 4 Integram tambm a PoSIC as normas e os procedimentos complementares destinados proteo da informao e disciplina de sua utilizao. Art. 5 As diretrizes de Segurana da Informao e Comunicaes - SIC devem considerar, prioritariamente, objetivos estratgicos, processos, requisitos legais e estrutura do MP. Art. 6 A Gesto de Segurana da Informao e Comunicaes - GSIC deve apoiar e orientar a tomada de decises institucionais e otimizar investimentos em segurana que visem eficincia, eficcia e efetividade das atividades de SIC. Seo II Abrangncia Art. 7 As diretrizes, normas complementares e manuais de procedimentos da PoSIC do MP aplicam-se a servidores, prestadores de servio, colaboradores, estagirios, consultores externos e a quem, de alguma forma, execute atividades vinculadas a este Ministrio. Pargrafo nico. Todos so responsveis e devem estar comprometidos com a segurana da informao e comunicaes. Art. 8 Os contratos, convnios, acordos e outros instrumentos congneres celebrados pelo MP devem atender a esta Po-SIC. Art. 9 Esta poltica tambm se aplica, no que couber, ao relacionamento do MP com outros rgos e entidades pblicos ou privados.

Captulo II
CONCEITOS E DEFINIES Art. 10. No mbito da PoSIC, considera-se: I - agente responsvel pela Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais - ETIR: servidor pblico ocupante de cargo efetivo ou militar de carreira de rgo ou entidade da APF incumbido de chefiar e gerenciar a ETIR; II - ameaa: evento que tem potencial em si prprio para comprometer os objetivos da organizao, seja trazendo danos diretos aos ativos ou prejuzos decorrentes de situaes inesperadas; III - ativos de informao: os meios de produo, armazenamento, transmisso e processamento de informaes, os sistemas de informao, alm das informaes em si, bem como os locais onde se encontram esses meios e as pessoas que a eles tm acesso; IV - autenticidade: propriedade de que a informao foi produzida, expedida, modificada ou destruda por uma determinada pessoa fsica, ou por um determinado sistema, rgo ou entidade; V - capacitao em SIC: saber o que segurana da informao e comunicaes, aplicando em sua rotina pessoal e profissional, servindo como multiplicador do tema e aplicando os conceitos e procedimentos na organizao como gestor de SIC; VI - classificao da informao: identificao de quais so os nveis de proteo que as informaes demandam e estabelecimento de classes e formas de identific-las, alm de determinar os controles de proteo necessrios a cada uma delas; VII - Comit de Segurana da Informao e Comunicaes - CSIC: colegiado de carter deliberativo responsvel pela normatizao e superviso da segurana da informao e comunicaes no mbito do MP; VIII - confidencialidade: propriedade de que a informao no esteja disponvel ou revelada a pessoa fsica, sistema, rgo ou entidade no autorizado e credenciado; IX - conscientizao em SIC: saber o que segurana da informao e comunicaes aplicando em sua rotina pessoal e profissional, alm de servir como multiplicador sobre o tema; X - controle de acesso: conjunto de procedimentos, recursos e meios utilizados com a finalidade de conceder ou bloquear o acesso;

MPOG

PoSIC-V2

POLTICA DE SEGURANA DA INFORMAO E COMUNICAES - PoSIC

XI - CTIR.GOV: Centro de Tratamento e Resposta a Incidentes de Segurana em Redes de Computadores da Administrao Pblica Federal, subordinado ao Departamento de Segurana de Informao e Comunicaes do Gabinete de Segurana Institucional da Presidncia da Repblica DSIC/GSI/PR; XII - custodiante do ativo de informao: aquele que, de alguma forma, zela pelo armazenamento, operao, administrao e preservao de ativos de informao que no lhe pertencem, mas que esto sob sua custdia; XIII - disponibilidade: propriedade de que a informao esteja acessvel e utilizvel, sob demanda, por uma pessoa fsica ou determinado sistema, rgo ou entidade; XIV - Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais - ETIR: colegiado com a responsabilidade de receber, analisar e responder s notificaes e atividades relacionadas a incidentes de segurana em redes de computadores no mbito do MP; XV - especializao em SIC: saber o que segurana da informao e comunicaes, aplicando em sua rotina pessoal e profissional, servindo como multiplicador sobre o tema, aplicando os conceitos e procedimentos na organizao como gestor de SIC e tornando-se referncia na pesquisa de novas solues e modelos de SIC; XVI - Estrutura de GSIC: grupo responsvel pela gesto e execuo da SIC; XVII - gesto de ativos: processo de identificao dos ativos e de definio de responsabilidades pela manuteno apropriada dos controles desses ativos; XVIII - gesto de continuidade dos negcios: processo abrangente de gesto que identifica ameaas potenciais para uma organizao e os possveis impactos nas operaes de negcio, caso essas ameaas se concretizem. Esse processo fornece uma estrutura para que se desenvolva uma resilincia organizacional que seja capaz de responder efetivamente e salvaguardar os interesses das partes interessadas, a reputao e a marca da organizao e suas atividades de valor agregado; XIX - gerenciamento de operaes e comunicaes: atividades, processos, procedimentos e recursos que visam disponibilizar e manter servios, sistemas e infraestrutura que os suporta, satisfazendo os acordos de nveis de servio; XX - gesto de riscos de segurana da informao e comunicaes - GRSIC: conjunto de processos que permite identificar e implementar as medidas de proteo necessrias para minimizar ou eliminar os riscos a que esto sujeitos os ativos de informao, e equilibr-los com os custos operacionais e financeiros envolvidos; XXI - gesto de segurana da informao e comunicaes - GSIC: aes e mtodos que visam integrao das atividades de gesto de riscos, gesto de continuidade do negcio, tratamento de incidentes, tratamento da informao, conformidade, credenciamento, segurana ciberntica, segurana fsica, segurana lgica, segurana orgnica e segurana organizacional aos processos institucionais estratgicos, operacionais e tticos, no se limitando, portanto, no mbito da tecnologia da informao e comunicaes; XXII - gestor dos ativos de informao: unidade administrativa responsvel por gerenciar determinado segmento de informao e todos os ativos relacionados; XXIII - Gestor de SIC: servidor nomeado pelo Ministro de Estado como responsvel pela gesto de segurana da informao e comunicaes no mbito do MP; XXIV - incidente de SIC: evento que tenha causado algum dano, colocado em risco algum ativo de informao crtico ou interrompido a execuo de alguma atividade crtica por um perodo de tempo inferior ao tempo objetivo de recuperao; XXV - informao: conjunto de dados, textos, imagens, mtodos, sistemas ou quaisquer formas de representao dotadas de significado em determinado contexto, independentemente do suporte em que resida ou da forma pela qual seja veiculado; XXVI - infraestrutura de TI: instalaes prediais (energia, gua, climatizao, acesso fsico), computadores e equipamentos, software, redes e telecomunicaes, sistemas de armazenamento e recuperao de dados (arquivos e armazenamento), aplicaes computacionais, cabeamento e rede telefnica; XXVII - integridade: propriedade de que a informao no foi modificada ou destruda de maneira no autorizada ou acidental; XXVIII - quebra de segurana: ao ou omisso, intencional ou acidental, que resulta no comprometimento da segurana da informao e das comunicaes; XXIX - recursos criptogrficos: sistemas, programas, processos e equipamento isolado ou em rede que utilizam algoritmo simtrico ou assimtrico para realizar a cifrao ou decifrao; XXX - risco de SIC: potencial associado explorao de uma ou mais vulnerabilidades de um ativo de informao ou de um conjunto de tais ativos, por parte de uma ou mais ameaas, com impacto negativo no negcio da organizao; XXXI - segurana fsica e do ambiente: processo que trata da proteo de todos os ativos fsicos da instituio, englobando instalaes fsicas, internas e externas, em todas as localidades em que a organizao est presente; XXXII - sensibilizao em SIC: saber o que segurana da informao e comunicaes aplicando em sua rotina pessoal e profissional; XXXIII - sistema estruturante: conjunto de sistemas informticos fundamentais e imprescindveis para a consecuo das atividades administrativas, de forma eficaz e eficiente; XXXIV - terceiros: quaisquer pessoas, fsicas ou jurdicas, de natureza pblica ou privada, externos ao MP;

MPOG

PoSIC-V2

POLTICA DE SEGURANA DA INFORMAO E COMUNICAES - PoSIC

XXXV - tratamento de incidentes: o servio que consiste em receber, filtrar, classificar e responder s solicitaes e alertas e realizar as anlises dos incidentes de segurana, procurando extrair informaes que permitam impedir a continuidade da ao maliciosa e tambm a identificao de tendncias; XXXVI - tratamento da informao: recepo, produo, reproduo, utilizao, acesso, transporte, transmisso, distribuio, armazenamento, eliminao e controle da informao, inclusive as sigilosas; e XXXVII - vulnerabilidade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaas.

Captulo III
PRINCPIOS Art. 11. A PoSIC deve obedecer aos princpios constitucionais, administrativos e do arcabouo legislativo vigente que regem a Administrao Pblica Federal.

Captulo IV
DIRETRIZES GERAIS Art. 12. O cumprimento desta poltica de segurana e de suas normas complementares dever ser avaliado periodicamente por meio de verificaes de conformidade, realizadas por grupo de trabalho formalmente constitudo pelo Comit de Segurana da Informao e Comunicaes - CSIC, buscando a certificao do cumprimento dos requisitos de segurana da informao e garantia de clusula de responsabilidade e sigilo. Art. 13. Cabe Secretaria de Logstica e Tecnologia da Informao - SLTI instituir programas permanentes e regulares de conscientizao, sensibilizao e capacitao em SIC, buscando parcerias com outros rgos e entidades. Art. 14. Os rgos e entidades do Sistema de Administrao dos Recursos de Informao e Informtica - SISP podem adotar ou utilizar esta PoSIC e suas normas complementares como modelos de referncia para elaborao dos seus documentos. Art. 15. Fica instituda a Estrutura de GSIC do MP, composta pelo Comit de Segurana da Informao e Comunicaes - CSIC e pela Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais - ETIR, os quais sero solidariamente responsveis pelas seguintes atividades: I - executar os processos de segurana da informao e comunicaes; II - desenvolver, implementar e monitorar estratgias de segurana que atendam aos objetivos estratgicos do MP; III - avaliar, selecionar, administrar e monitorar controles apropriados de proteo dos ativos de informao; IV - desenvolver aes de conscientizao dos usurios a respeito da implementao desses controles; V - fornecer subsdios visando verificao de conformidade de segurana da informao e comunicaes; e VI - promover a melhoria contnua nos processos e controles de GSIC. Pargrafo nico. A Estrutura de GSIC deve definir um Plano de SIC para o MP. Art. 16. As unidades administrativas que contam com corpo tcnico e infraestrutura de tecnologia da informao prprios possuem autonomia para sua estrutura de GSIC, desde que submetidas e aderentes a esta PoSIC. Art. 17. A estrutura central de SIC do MP e as estruturas descentralizadas de Gesto de SIC devem compartilhar o sistema de registro de incidentes de SIC. Art. 18. Os membros da Estrutura da GSIC devem receber regularmente capacitao especializada nas disciplinas relacionadas SIC. Art. 19. A GSIC do MP deve auxiliar a alta administrao na priorizao de aes e investimentos com vistas correta aplicao de mecanismos de proteo, tendo como base as exigncias estratgicas e necessidades operacionais prioritrias do Ministrio e as implicaes que o nvel de segurana poder trazer ao cumprimento dessas exigncias. Art. 20. A Estrutura de GSIC deve planejar medidas de proteo e balancear os custos na aplicao de controles, de acordo com os danos potenciais de falhas de segurana. Art. 21. O MP, alm das diretrizes estabelecidas nesta PoSIC, deve tambm se orientar pelas melhores prticas e procedimentos de SIC recomendados por rgos e entidades pblicas e privadas responsveis pelo estabelecimento de padres. Art. 22. vetado comprometer a integridade, a confidencialidade ou a disponibilidade das informaes criadas, manuseadas, armazenadas, transportadas, descartadas ou custodiadas pelo MP. Art. 23. O custodiante do ativo de informao deve ser formalmente designado pelo gestor do ativo de informao. Pargrafo nico. A no designao pressupe que o gestor o prprio custodiante. Art. 24. Os contratos firmados pelo MP devem conter clusulas que determinem a observncia da PoSIC e seus respectivos documentos. Art. 25. A utilizao da computao em nuvem deve ser regulamentada pelo CSIC por norma especfica.

Captulo V
DIRETRIZES ESPECFICAS Art. 26. Para cada uma das diretrizes constantes das sees deste captulo devem ser elaboradas normas tticas especficas, manuais e procedimentos.

MPOG

PoSIC-V2

POLTICA DE SEGURANA DA INFORMAO E COMUNICAES - PoSIC

Seo I Da Gesto de Ativos da Informao Art. 27. Os ativos de informao devem: I - ser inventariados e protegidos; II - ter identificados os seus proprietrios e custodiantes; III - ter mapeadas as suas ameaas, vulnerabilidades e interdependncias; IV - ter a sua a entrada e sada nas dependncias do MP autorizadas e registradas por autoridade competente; V - ser passveis de monitoramento e ter seu uso investigado quando houver indcios de quebra de segurana, por meio de mecanismos que permitam a rastreabilidade do uso desses ativos; VI - ser regulamentados por norma especfica quanto a sua utilizao; e VII - ser utilizados estritamente dentro do seu propsito, sendo vedado seu uso para fins particulares ou de terceiros, entretenimento, veiculao de opinies poltico-partidrias, religiosas, discriminatrias e afins. Art. 28. Os gestores da informao devem estabelecer regras e mecanismos que visem manuteno de uma base de conhecimento sobre a realizao de atividades no MP, observadas as normas de SIC. Art. 29. O MP deve criar, gerir e avaliar critrios de tratamento e classificao da informao de acordo com o sigilo requerido, relevncia, criticidade e sensibilidade, observando a legislao em vigor. Art. 30. Os recursos tecnolgicos e as instalaes de infraestrutura devem ser protegidos contra indisponibilidade, acessos indevidos, falhas, bem como perdas, danos, furtos, roubos e interrupes no programadas. Art. 31. Os sistemas de informao e as aplicaes do MP devem ser protegidos contra indisponibilidade, alteraes ou acessos indevidos, falhas e interrupes no programadas. Art. 32. O acesso dos usurios aos ativos de informao e sua utilizao, quando autorizados, deve ser condicionado ao aceite a termo de sigilo e responsabilidade. Seo II Da Gesto de Riscos Art. 33. A Estrutura de GSIC deve estabelecer processos de Gesto de Riscos de Segurana da Informao e Comunicaes - GRSIC que possibilitem identificar ameaas e reduzir vulnerabilidades e impactos dos ativos de informao. Art. 34. A GRSIC um processo contnuo e deve ser aplicado na implementao e operao da Gesto de Segurana da Informao e Comunicaes, levando em considerao o planejamento, execuo, anlise crtica e melhoria da SIC no Ministrio. Seo III Da Segurana Fsica e do Ambiente Art. 35. A Estrutura de GSIC deve estabelecer mecanismos de proteo s instalaes fsicas e reas de processamento de informaes crticas ou sensveis contra acesso indevido, danos e interferncias. Art. 36. As protees devem estar alinhadas aos riscos identificados. Seo IV Da Segurana em Recursos Humanos Art. 37. Os usurios devem ter cincia: I - das ameaas e preocupaes relativas SIC; e II - de suas responsabilidades e obrigaes no mbito desta PoSIC. Art. 38. Todos os usurios devem difundir e exigir o cumprimento da PoSIC, das normas de segurana e da legislao vigente acerca do tema. Art.39. Devem ser estabelecidos processos permanentes de conscientizao, capacitao e sensibilizao em segurana da informao, que alcancem todos os usurios do MP, de acordo com suas competncias funcionais. Art. 40. Os usurios devem ser sensibilizados e conscientizados para apoiar esta PoSIC durante os seus trabalhos normais. Art. 41. O controle de pessoal: I - de responsabilidade do titular da unidade administrativa juntamente com a Coordenao-Geral de Pessoas da Subsecretaria de Planejamento, Oramento e Administrao da Secretaria Executiva - COGEP/SPOA/SE; e II - deve estabelecer controles de perfis, permisses e procedimentos necessrios para a salvaguarda da SIC. Seo V Da Gesto de Operaes e Comunicaes Art. 42. A Estrutura de GSIC deve estabelecer parmetros adequados, relacionados SIC, para a disponibilizao dos servios, sistemas e infraestrutura que os apoiam, de forma que atendam aos requisitos mnimos de qualidade e

MPOG

PoSIC-V2

POLTICA DE SEGURANA DA INFORMAO E COMUNICAES - PoSIC

reflitam as necessidades operacionais do MP. Os acordos de nvel de servio devem ser compatveis com padres de mercado e requisitos de segurana. Seo VI Dos Controles de Acessos Art. 43. Devem ser registrados eventos relevantes, previamente definidos, para a segurana e o rastreamento de acesso s informaes. Art. 44. Devem ser criados mecanismos para garantir a exatido dos registros de auditoria nos ativos de informao. Art. 45. Os usurios do MP so responsveis por todos os atos praticados com suas identificaes, tais como: nome de usurio/ senha, crach, carimbo, correio eletrnico e assinatura digital. Art. 46. A identificao do usurio,, qualquer que seja o meio e a forma,, deve ser pessoal e intransfervel, permitindo de maneira clara e inequvoca o seu reconhecimento. Art. 47. A autorizao, o acesso e o uso das informaes e dos recursos computacionais devem ser controlados e limitados ao necessrio, considerando as atribuies de cada usurio, e qualquer outra forma de uso ou acesso alm do necessrio depende de prvia autorizao do gestor da rea responsvel pela informao. Art. 48. Todos os sistemas de informao do MP, automatizados ou no, devem ter um gestor, formalmente designado pela autoridade competente, que deve definir os privilgios de acesso s informaes. Art. 49. Sempre que houver mudana nas atribuies de determinado usurio, os seus privilgios de acesso s informaes e aos recursos computacionais devem ser adequados imediatamente, devendo ser cancelados em caso de desligamento do MP. Art. 50. Os sistemas estruturantes devem possuir normas especficas, no mbito de sua atuao, que regrem o controle de acesso quanto: I - ao acesso s suas bases de dados; II - extrao, carga e transformao de dados; e III - aos servios acessveis via linguagem de programao. Art. 51. Os sistemas estruturantes devem possuir mecanismos automticos para: I - revogar as concesses e desativar as contas de acesso do servidor nos casos de exonerao, demisso, aposentadoria e falecimento do servidor; II - bloquear as contas de acesso do servidor nos casos de licena, afastamento, cesso e disponibilidade do servidor; e III - tratar os casos de remoo e redistribuio do servidor, segundo as definies constantes na norma de controle de acesso ao sistema. Art. 52. responsabilidade do gestor do Sistema Integrado de Administrao de Recursos Humanos - SIAPE disponibilizar, com periodicidade mensal, os registros de todas as movimentaes de pessoal referenciadas no Art. 51 ocorridas no perodo, na forma definida por norma complementar. Seo VII Da Criptografia Art. 53. O uso de recursos criptogrficos interfere na DICA, sendo, portanto, responsabilidade do Gestor de SIC a implementao dos procedimentos relativos ao seu uso, no mbito das informaes produzidas e custodiadas no MP, em conformidade com as orientaes contidas em norma especfica. Art. 54. O usurio responsvel pelo recurso criptogrfico que receber, devendo assinar Termo de Responsabilidade pelo seu uso. Seo VIII Da Aquisio, do Desenvolvimento e da Manuteno de Sistemas Art. 55. A Estrutura de GSIC deve estabelecer critrios e metodologia de segurana para desenvolvimento de sistemas de informao, de forma a abranger todas as fases do ciclo de desenvolvimento e atividades de manuteno. Art. 56. O processo de aquisio de sistemas e aplicaes corporativas deve atender requisitos de segurana previstos em norma especfica. Seo IX Do Tratamento de Incidentes Art. 57. A Estrutura de GSIC deve instituir metodologias ou normas que estabeleam processos de gesto para tratamento e respostas a incidentes de segurana, de forma a observar o disposto no arcabouo tcnico normativo do CTIR.GOV. Art. 58. Deve ser instituda a Equipe de Tratamento e Resposta a Incidentes de Segurana. Seo X Da Gesto de Continuidade Art. 59. A Estrutura de GSIC deve instituir metodologias ou normas que estabeleam a Gesto de Continuidade do Negcio.

MPOG

PoSIC-V2

POLTICA DE SEGURANA DA INFORMAO E COMUNICAES - PoSIC

Seo XI Da Conformidade Art. 60. Deve ser realizada, com periodicidade mnima anual, verificao de conformidade das prticas de SIC do MP e de suas unidades administrativas com esta PoSIC e suas normas e procedimentos complementares, bem como com a legislao especfica de SIC. Art. 61. A verificao de conformidade deve tambm ser realizada nos contratos, convnios, acordos de cooperao e outros instrumentos do mesmo gnero celebrados com o MP. Art. 62. A verificao da conformidade ser realizada de forma planejada, mediante calendrio de aes proposto pela Estrutura de GSIC e aprovado pelo CSIC. Art. 63. O calendrio de aes de verificao de conformidade ser elaborado com base na priorizao dos riscos identificados ou percebidos. Art. 64. Nenhuma unidade administrativa poder permanecer sem verificao de conformidade de suas prticas de SIC por perodo superior a 2 (dois) anos. Art. 65. A execuo da verificao de conformidade ser realizada pela Estrutura de GSIC, podendo, com a prvia aprovao do CSIC, ser subcontratada no todo ou em parte. Art. 66. vedado ao prestador de servios executar a verificao da conformidade dos prprios servios prestados. Art. 67. A verificao de conformidade poder combinar ampla variedade de tcnicas, tais como anlise de documentos, anlise de registros (logs), anlise de cdigo-fonte, entrevistas e testes de invaso. Art. 68. Os resultados de cada ao de verificao de conformidade sero documentados em relatrio de avaliao de conformidade, o qual ser encaminhado pelo Gestor de SIC ao Gestor da unidade administrativa verificada, para cincia e tomada das aes cabveis. Seo XII Do Plano de Investimentos em SIC do MP Art. 69. Os investimentos em SIC sero realizados de forma planejada e consolidados em um plano de investimentos. Art. 70. O plano de investimentos ser elaborado com base na priorizao dos riscos a serem tratados e ser obtido a partir da aplicao de mtodo que considere, no mnimo, a probabilidade e o impacto do risco. Art. 71. Os investimentos em SIC constituiro ao oramentria especfica e permanente na Lei Oramentria Anual, distinta das aes oramentrias relativas a investimentos em segurana da informao destinados Administrao Pblica Federal como um todo. Art. 72. O plano de investimentos, assim como a correspondente proposta oramentria, ser aprovado pelo CSIC, mediante recomendao elaborada pela Estrutura de GSIC. Art. 73. Caso a dotao concedida na Lei Oramentria Anual - LOA seja inferior solicitada na proposta oramentria, ou haja limitao na execuo oramentria, caber ao CSIC realizar a correspondente reviso do plano de investimentos. Seo XIII Da Propriedade Intelectual Art. 74. As informaes produzidas por usurios internos e colaboradores, no exerccio de suas funes, so patrimnio intelectual do MP e no cabe a seus criadores qualquer forma de direito autoral. Art. 75. vedada a utilizao de informaes produzidas por terceiros para uso exclusivo do MP em quaisquer outros projetos ou atividades de uso diverso do estabelecido pelo Ministrio, salvo autorizao especfica pelos titulares das unidades administrativas, nos processos e documentos de sua competncia, ou pelo Ministro, nos demais casos. Seo XIV Dos Contratos, Convnios, Acordos e Instrumentos Congneres Art. 76. Nos casos de obteno de informaes de terceiros, o gestor da rea na qual a informao ser utilizada deve, se necessrio, providenciar junto ao cedente a documentao formal relativa cesso de direitos sobre informaes de terceiros antes de seu uso. Art. 77. Os acordos com terceiros podem tambm envolver outras partes. Pargrafo nico. Os acordos que concedam o acesso a terceiros podem incluir, quando necessrio e justificado, permisso para designao de outras partes autorizadas e condies para os seus acessos desde que expressamente autorizadas pelo MP. Art. 78. Todos os contratos, convnios, acordos e instrumentos congneres devem conter clusulas que estabeleam a obrigatoriedade de observncia desta PoSIC. Art. 79. O contrato, convnio, acordo ou instrumento congnere dever prever a obrigao da outra parte de divulgar esta PoSIC e suas normas complementares aos seus empregados e prepostos envolvidos em atividades no MP. Art. 80. Um plano de contingncia deve ser elaborado no caso de uma das partes desejar encerrar a relao antes do final do acordo.

MPOG

PoSIC-V2

POLTICA DE SEGURANA DA INFORMAO E COMUNICAES - PoSIC

Art. 81. Deve ser definido um processo adequado/objetivo de gesto de mudanas que ser detalhado em norma especfica.

Captulo VI
PENALIDADES Art. 82. Aes que violem a PoSIC ou quaisquer de suas diretrizes, normas e procedimentos ou que quebrem os controles de SIC sero devidamente apuradas e aos responsveis sero aplicadas as sanes penais, administrativas e civis em vigor.

Captulo VII
COMPETNCIAS E RESPONSABILIDADES Art. 83. Cabe ao Gestor de SIC: I - promover cultura de segurana da informao e comunicaes; II - acompanhar as investigaes e as avaliaes dos danos decorrentes de quebras de segurana; III - propor recursos necessrios s aes de SIC; IV - coordenar o CSIC e a ETIR; V - realizar e acompanhar estudos de novas tecnologias, quanto a possveis impactos na SIC; VI - manter contato direto com o DSIC/GSI/PR para o trato de assuntos relativos segurana da informao e comunicaes; e VII - propor normas relativas SIC. Art. 84. Cabe ao CSIC: I - normatizar e supervisionar a SIC no mbito do MP; II - constituir grupos de trabalho para tratar de temas e propor solues especficas sobre SIC; III - propor alteraes na PoSIC; IV - solicitar apuraes quando da suspeita de ocorrncias de quebras de SIC; V - avaliar, revisar e analisar criticamente a PoSIC e suas normas complementares, visando a sua aderncia aos objetivos institucionais do MP e s legislaes vigentes; VI - dirimir eventuais dvidas e deliberar sobre assuntos relativos PoSIC do MP; VII - constituir grupo de trabalho para realizar verificaes de conformidade; VIII - aprovar o plano de investimentos em SIC do MP; IX - monitorar e avaliar periodicamente o plano de SIC de que trata o pargrafo nico do Art. 15, assim como determinar os ajustes cabveis; e X - definir e atualizar seu Regimento Interno. Pargrafo nico. de competncia privativa do CSIC baixar normas e procedimentos complementares a esta PoSIC. Art. 85. Cabe ETIR: I - facilitar e coordenar as atividades de tratamento e resposta a incidentes de segurana; II - promover a recuperao de sistemas; III - agir proativamente com o objetivo de evitar que ocorram incidentes de segurana, divulgando prticas e recomendaes de SIC e avaliando condies de segurana de redes por meio de verificaes de conformidade; IV - realizar aes reativas que incluem recebimento de notificaes de incidentes, orientao de equipes no reparo a danos e anlise de sistemas comprometidos buscando causas, danos e responsveis; V - analisar ataques e intruses na rede do MP; VI - executar as aes necessrias para tratar quebras de segurana; VII - obter informaes quantitativas acerca dos incidentes ocorridos que descrevam sua natureza, causas, data de ocorrncia, frequncia e custos resultantes; VIII - cooperar com outras equipes de Tratamento e Resposta a Incidentes; e IX - participar em fruns, redes nacionais e internacionais relativos SIC. Art. 86. Cabe ao Gestor do Ativo de Informao: I - garantir a segurana dos ativos de informao sob sua responsabilidade; II - definir e gerir os requisitos de segurana para os ativos de informao sob sua responsabilidade, em conformidade com esta PoSIC; III - conceder e revogar acessos aos ativos de informao; IV - comunicar ETIR a ocorrncia de incidentes de SIC; e V - designar custodiante dos ativos de informao, quando aplicvel. Art. 87. Cabe ao custodiante do ativo de informao proteger e manter as informaes, bem como controlar o acesso, conforme requisitos definidos pelo gestor da informao e em conformidade com esta PoSIC. Art. 88. Cabe ao titular da unidade administrativa: I - corresponsabilizar-se pelas aes realizadas por aqueles que esto sob sua responsabilidade; II - conscientizar os usurios sob sua superviso em relao aos conceitos e s prticas de SIC; III - incorporar aos processos de trabalho de sua unidade, ou de sua rea, prticas inerentes SIC;

MPOG

PoSIC-V2

POLTICA DE SEGURANA DA INFORMAO E COMUNICAES - PoSIC

IV - tomar as medidas administrativas necessrias para que sejam aplicadas aes corretivas nos casos de comprometimento da SIC por parte dos usurios sob sua superviso; V - informar COGEP/SPOA/SE a movimentao de pessoal de sua unidade; VI - realizar o tratamento e a classificao da informao; VII - autorizar, de acordo com a legislao vigente, a divulgao das informaes produzidas na sua unidade administrativa; VIII - comunicar ETIR os casos de quebra de segurana; e IX - manter lista atualizada dos ativos de informao sob sua responsabilidade com seus respectivos gestores. Art. 89. Cabe aos terceiros e fornecedores, conforme previsto em contrato: I - tomar conhecimento desta PoSIC; II - fornecer listas atualizadas da documentao dos ativos, licenas, acordos ou direitos relacionados aos ativos de informao objetos do contrato; e III - fornecer toda a documentao dos sistemas, produtos, servios relacionados s suas atividades. Art. 90. Cabe aos usurios: I - conhecer e cumprir todos os princpios, diretrizes e responsabilidades desta PoSIC, bem como os demais normativos e resolues relacionados SIC; II - obedecer aos requisitos de controle especificados pelos gestores e custodiantes da informao; e III - comunicar os incidentes que afetam a segurana dos ativos de informao e comunicaes ETIR.

Captulo VIII
ATUALIZAO Art. 91. Esta PoSIC, bem como os documentos gerados a partir dela, devero ser revisados anualmente, ou por deliberao do CSIC. Pargrafo nico. O CSIC formalizar a proposta de reviso da PoSIC por meio de Resoluo, a qual deve ser, sucessivamente, apreciada pela Secretaria Executiva e aprovada pelo Ministro de Estado.

MPOG

PoSIC-V2

ANEXO II
REFERNCIAS LEGAIS E NORMATIVAS I - Quadro dos dispositivos legais de carter federal, aplicveis segurana da informao: Dispositivo
Constituio Federal, Art. 5, inciso X. Constituio Federal, Art. 5, inciso XII. Constituio Federal, Art. 5, inciso XIV. Constituio Federal, Art. 5, inciso XXXIII e Art. 37, 3, inciso II. Constituio Federal, Art. 5, inciso XXXIV. Constituio Federal, Art. 23, incisos III e IV. Constituio Federal, Art. 216, 2. Constituio Federal, Art. 37, caput. Constituio Federal, Art. 37, 6 e Cdigo Civil, Art. 43. Constituio Federal, Art. 37, 7. Consolidao das Leis do Trabalho - CLT, Art. 482, alnea "g". Cdigo de Conduta da Alta Administrao, Art. 5, 4. Cdigo de Conduta da Alta Administrao, Art.14, inciso II. Decreto n 1.171/1994 (Cdigo de tica do Servidor Pblico), alnea "h" do inciso XV da Seo II. Decreto n 1.171/1994 (Cdigo de tica do Servidor Pblico), alnea "l" do inciso XV da Seo II. Decreto n 1.171/1994 (Cdigo de tica do Servidor Pblico), inciso X da Seo I. Decreto n 1.171/1994 (Cdigo de tica do Servidor Pblico), inciso VII da Seo I. Decreto n 1.171/1994 (Cdigo de tica do Servidor Pblico), inciso IX da Seo I. Decreto n 1.171/1994 (Cdigo de tica do Servidor Pblico), alnea "e" do inciso XIV da Seo II. Cdigo de Propriedade Industrial, Art. 75. Cdigo de Defesa do Consumidor, arts. 43 e 44. Cdigo Penal, Art. 151. Cdigo Penal, Art. 152. Cdigo Penal, Art. 153. Cdigo Penal, Art. 154. Cdigo Penal, Art. 184, 3. Cdigo Penal, Art. 297. Cdigo Penal, Art. 298. Cdigo Penal, Art. 305. Cdigo Penal, Art. 307.

Aspecto da SI
Sigilo das informaes relacionadas intimidade ou vida privada de algum. Sigilo dos dados telemticos e das comunicaes privadas. Sigilo das informaes relacionadas intimidade ou vida privada de algum. Disponibilidade das informaes constantes nos rgos pblicos. Disponibilidade das informaes constantes nos rgos pblicos. Proteo da integridade, da autenticidade e da disponibilidade das informaes pelo Estado. Proteo da integridade, da autenticidade, da disponibilidade e do sigilo das informaes constantes nos rgos e entidades integrantes da Administrao Pblica. Quanto melhor a gesto das informaes, mais eficiente ser o rgo ou entidade, da a necessidade de implantao de uma Poltica de Segurana da Informao. Responsabilidade objetiva do Estado por dano decorrente da m gesto das informaes pelos rgos e entidades da Administrao Pblica e pessoas de direito privado prestadoras de servios pblicos. Necessidade de regulamentao do acesso a informaes privilegiadas. Proteo das informaes sigilosas acessadas no exerccio de emprego pblico (empresas pblicas e sociedades de economia mista). Sigilo das informaes fiscais e tributrias das autoridades pblicas (sigilo perante terceiros e no em face da Administrao Pblica). Proteo das informaes privilegiadas produzidas ou acessadas no exerccio de cargo ou funo pblica. Proteo da integridade das informaes pblicas. Proteo da disponibilidade das informaes pblicas. Proteo da disponibilidade das informaes pblicas. Proteo da disponibilidade das informaes pblicas e garantia da publicidade das informaes de interesse da coletividade. Proteo da integridade do patrimnio pblico, a exemplo de equipamentos, materiais, reas e instalaes. Disponibilidade das comunicaes. Sigilo das patentes de interesse da defesa nacional. Garantia da integridade e disponibilidade das informaes dos consumidores arquivadas em bancos de dados. Proteo do sigilo, integridade e disponibilidade das informaes de carter pessoal veiculadas atravs dos meios de comunicao. Proteo do sigilo e da disponibilidade das informaes dos estabelecimentos comerciais. Proteo do sigilo das informaes classificadas constantes nos sistemas ou bancos de dados da Administrao Pblica. Proteo do sigilo das informaes conhecidas em razo de funo, ministrio, ofcio ou profisso. Proteo da autenticidade. Proteo da integridade e autenticidade dos documentos pblicos. Proteo da integridade e autenticidade dos documentos particulares. Proteo da disponibilidade e integridade das informaes constantes nos rgos e entidades pblicos. Proteo da autenticidade.

MPOG

PoSIC-V2

Cdigo Penal, Art. 313-A. Cdigo Penal, Art. 313-B. Cdigo Penal, Art. 314. Cdigo Penal, Art. 325. Cdigo Processo Penal, Art. 20. Cdigo Processo Penal, Art. 207. Cdigo Processo Penal, Art. 745. Cdigo Tributrio Nacional, Art. 198. Cdigo de Processo Civil, Art. 347, inciso II c/c Art. 363, inciso IV. Cdigo de Processo Civil, Art. 406, inciso II c/c Art. 414, 2. Instruo Normativa n 4/2010. Lei n 6.538/1978, Art. 41. Lei n 7.170/1983, Art. 13. Lei n 7.232/1984, Art. 2, inciso VIII. Lei n 7.492/1986, Art. 18. Lei n 8.027/1990, artigo 5, inciso I. Lei n 8.027/1990, artigo 5, pargrafo nico, inciso V. Lei n 8.112/1990, Art. 116, inciso VIII. Lei n 8.112/1990, Art. 132, inciso IX. Lei n 8.137/1990, Art. 3, inciso I. Lei n 8.429/1992, Art.11, incisos III, IV e VII. Lei n 8.429/1992, Art. 13. Lei n 8.443/1992, Art. 86, inciso IV. Lei Complementar n 75/1993, Art. 8 incisos II e VIII, 1 e 2. Lei n 8.625/1993, Art. 26, inciso I, alnea "b" e inciso II. Lei n 8.906/1994, Art. 7, inciso XIX. Lei n 9.100/1995, Art. 67, incisos VII e VIII. Lei n 9.279/1996, Art. 195, inciso XI. Lei n 9.296/1996, Art. 10. Lei n 9.472/1997, Art. 3, inciso V. Lei n 9.472/1997, Art. 3, inciso VI. Lei n 9.472/1997, Art. 3, inciso IX. Lei n 9.504/1997, Art. 72. Lei n 9.605/1998, Art. 62. Lei n 10.683/2003, Art. 6. Lei n 10.703/2003, arts. 1 , 2 e 3. Decreto n 4.801/2003, Art. 1, inciso X.

Proteo da integridade e disponibilidade das informaes constantes nos rgos e entidades pblicos. Proteo da integridade e disponibilidade das informaes constantes nos rgos e entidades pblicos. Proteo da disponibilidade das informaes constantes nos rgos e entidades pblicos. Proteo das informaes sigilosas acessadas no exerccio de cargo, funo ou emprego pblico. Proteo de informaes sigilosas. Proteo do sigilo profissional. Proteo de informaes sigilosas relacionadas ao condenado. Proteo do sigilo fiscal. Proteo da privacidade de seus clientes. Proteo da privacidade de seus clientes. Dispe sobre o processo de contratao de Solues de Tecnologia da Informao pelos rgos integrantes do Sistema de Administrao dos Recursos de Informao e Informtica (SISP) do Poder Executivo Federal. Proteo da privacidade de correspondncia. Proteo das informaes sigilosas relacionadas segurana nacional. Sigilo dos dados relacionados intimidade, vida privada e honra, especialmente dos dados armazenados atravs de recursos informticos. Proteo das informaes sigilosas no mbito das instituies financeiras ou integrantes do sistema de distribuio de ttulos mobilirios. Proteo das informaes privilegiadas produzidas ou acessadas no exerccio de cargo ou funo pblica. Proteo das informaes sigilosas acessadas no exerccio de cargo, funo ou emprego pblico. Sigilo das informaes produzidas ou conhecidas no exerccio de cargo ou funo pblica. Proteo das informaes sigilosas acessadas no exerccio de cargo ou funo pblica. Proteo da disponibilidade de informaes para manuteno da ordem tributria. Proteo das informaes sigilosas acessadas no exerccio de cargo, funo ou emprego pblico, bem como garantia de publicidade das informaes de interesse coletivo ou geral que devem ser divulgadas por ato oficial. Disponibilidade de informaes pessoais do agente pblico para o Poder Pblico e veracidade dos dados. Proteo das informaes sigilosas acessadas no exerccio de cargo, funo ou emprego pblico. Proteo da disponibilidade e sigilo das informaes constantes nos registros pblicos. Proteo da disponibilidade e sigilo das informaes constantes nos registros pblicos. Proteo da privacidade do cliente do advogado. Proteo da integridade e autenticidade dos sistemas informatizados e das informaes neles armazenadas. Proteo da privacidade das pessoas jurdicas, relacionado ao sigilo de suas informaes. Sigilo dos dados e das comunicaes privadas. Sigilo das comunicaes. Proteo de informaes pessoais de carter sigiloso. Proteo de informaes pessoais de carter sigiloso. Proteo da integridade das informaes de carter eleitoral e dos equipamentos. Disponibilidade e integridade de dados e informaes. Todos os aspectos da segurana da informao. Disponibilidade de dados cadastrais para fins de investigao criminal e sigilo nas demais hipteses. Todos os aspectos da segurana da informao.

MPOG

PoSIC-V2

Decreto n 5.483/2005, arts. 3 e 11. Decreto n 5.687/2006, arts.10 e 13 do Anexo. Decreto n 6.029/2007, inciso II do Art. 1. Decreto n 6.029/2007, Art. 10. Decreto n 6.029/2007, Art. 13. Decreto n 6.029/2007, Art. 22.

Disponibilidade de informaes pessoais do agente pblico para o Poder Pblico e dever de sigilo por parte da Controladoria-Geral da Unio. Disponibilidade das informaes pblicas ou administrativas e sigilo das informaes pessoais constantes nos registros pblicos. Disponibilidade das informaes constantes nos registros pblicos. Sigilo da identidade do denunciante e sigilo do processo para proteo da honra e da imagem do investigado antes da prolao da deciso pela Comisso de tica. Sigilo do processo administrativo por infrao tica antes da prolao da deciso e publicidade aps o trmino e aplicao das penalidades. Disponibilidade, integridade e autenticidade das informaes constantes no banco de dados mantido pela Comisso de tica Pblica.

II - Quadro da legislao especfica de carter federal relacionada segurana da informao: Regulamento

Lei n 7.232/1984 Lei n 8.248/1991 Lei n 9.296/1996 Lei n 9.472/1997 Lei n 9.507/1997 Lei n 9.609/1998 Lei n 9.883/1999 Lei n 8.159/1991 Lei Complementar n 105, de 10 de janeiro de 2001. Medida Provisria n 2.200-2, de 24 de agosto de 2001. Lei n 10.973, de 02 de dezembro de 2004. Lei n 11.111, de 05 de maio de 2005. Lei n 11.419, de 19 de dezembro de 2006. Decreto n 2.295, de 04 de agosto de 1997. Decreto n 2.556, de 20 de abril de 1998. Decreto n 3.294, de 15 de dezembro de 1999. Decreto n 3.505, de 13 de junho de 2000. Decreto de 18 de outubro de 2000. Decreto n 3.714, de 03 de janeiro de 2001. Decreto n 3.996, de 31 de outubro de 2001. Decreto n 4.073, de 03 de janeiro de 2002. Decreto n 4.376, de 13 de setembro de 2002. Decreto n 4.522, de 17 de dezembro de 2002. Decreto n 4.553, de 27 de dezembro de 2002. Decreto n 4.689, de 07 de maio de 2003. Decreto n 4.829, de 03 de setembro de 2003.

Assunto
Dispe sobre a Poltica Nacional de Informtica, e d outras providncias. Dispe sobre a capacitao e competitividade do setor de informtica e automao, e d outras providncias. Regulamenta o inciso XII, parte final, do Art. 5 da Constituio Federal que dispe sobre a violao do sigilo de dados e das comunicaes telefnicas. Dispe sobre a organizao dos servios de telecomunicaes, a criao e funcionamento de um rgo regulador e outros aspectos institucionais. Regula o direito de acesso a informaes e disciplina o rito processual do habeas data. Dispe sobre a proteo de propriedade intelectual de programa de computador, sua comercializao no pas, e d outras providncias. Institui o Sistema Brasileiro de Inteligncia, cria a Agncia Brasileira de Inteligncia - ABIN, e d outras providncias. Dispe sobre a Poltica Nacional de Arquivos Pblicos e Privados e d outras providncias. Dispe sobre o sigilo das operaes de instituies financeiras e d outras providncias. Institui a Infra-Estrutura de Chaves Pblicas Brasileira - ICP-Brasil, transforma o Instituto Nacional de Tecnologia da Informao em autarquia, e d outras providncias. Dispe sobre incentivos inovao e pesquisa cientfica e tecnolgica no ambiente produtivo e d outras providncias. Regula o direito informao e ao acesso aos registros pblicos. Dispe sobre a informatizao do processo judicial; altera a Lei n 5.869, de 11 de janeiro de 1973 Cdigo de Processo Civil; e d outras providncias. Regulamenta o disposto no Art. 24, inciso IX, da Lei n 8.666, de 21 de junho de 1993, e dispe sobre a dispensa de licitao nos casos que possam comprometer a segurana nacional. Neste caso o processo dever ser sigiloso, excetuando-se a publicidade das compras governamentais. Regulamenta o registro previsto no Art. 3 da Lei n 9.609, de 19 de fevereiro de 1998, que dispe sobre a propriedade intelectual de programa de computador, sua comercializao no pas, e d outras providncias. Institui o Programa Sociedade da Informao, com objetivo de viabilizar a nova gerao da Internet e suas aplicaes em benefcio da sociedade brasileira. Institui a Poltica de Segurana da Informao nos rgos e entidades da Administrao Pblica Federal. Cria, no mbito do Conselho de Governo, o Comit Executivo do Governo Eletrnico, e d outras providncias. Dispe sobre a remessa por meio eletrnico de documentos a que se refere o Art. 57-A do Decreto n 2.954, de 29 de janeiro de 1999, e d outras providncias. Dispe sobre a prestao de servios de certificao digital no mbito da Administrao Pblica Federal. Regulamenta a Lei n 8.159, de 08 de janeiro de 1991, que dispe sobre a poltica nacional de arquivos pblicos e privados. Dispe sobre a organizao e o funcionamento do Sistema Brasileiro de Inteligncia, e d outras providncias. Dispe sobre o Sistema de Gerao e Tramitao de Documentos Oficiais - SIDOF, e d outras providncias. Dispe sobre a salvaguarda de dados, informaes, documentos e materiais sigilosos de interesse da segurana da sociedade e do Estado, no mbito da Administrao Pblica Federal, e d outras providncias. Aprova a Estrutura Regimental e o Quadro Demonstrativo dos Cargos em Comisso do Instituto Nacional de Tecnologia da Informao - ITI, e d outras providncias. Dispe sobre a criao do Comit Gestor da Internet no Brasil - CGIbr, sobre o modelo de governana da Internet no Brasil, e d outras providncias.

MPOG

PoSIC-V2

Decreto de 29 de outubro de 2003. Decreto n 5.301, de 09 de dezembro de 2004. Decreto n 5.450, de 31 de maio de 2005. Decreto n 5.563, de 11 de outubro de 2005. Decreto n 5.584, de 18 de novembro de 2005. Decreto n 5.772, de 08 de maio de 2006, Art. 8. Decreto n 6.605, de 14 de outubro de 2008. Instruo Normativa n 1 do GSI, de 13 de junho de 2008. Resoluo n 58 do INPI, de 14 de julho de 1998. Resoluo n 59 do INPI, de 14 de julho de 1998. Resoluo n 338 do STF, de 11 de abril de 2007. Resoluo n 140 do TST, de 13 de setembro de 2007. Resoluo n 22.718/2008 do TSE, arts. 18 e 19.

Institui Comits Tcnicos do Comit Executivo do Governo Eletrnico e d outras providncias. Institui a Comisso de Averiguao e Anlise de Informaes Sigilosas, dispe sobre suas atribuies e regula seu funcionamento. Regulamenta o prego, na forma eletrnica, para aquisio de bens e servios comuns, e d outras providncias. Regulamenta a Lei n 10.973, de dezembro de 2004, que dispe sobre incentivos inovao e pesquisa cientfica e tecnolgica no ambiente produtivo, e d outras providncias. Dispe sobre o recolhimento ao Arquivo Nacional dos documentos arquivsticos pblicos produzidos e recebidos pelos extintos Conselho de Segurana Nacional - CSN, Comisso Geral de Investigaes - CGI e Servio Nacional de Informaes - SNI, que estejam sob a custdia da Agncia Brasileira de Inteligncia - ABIN. Institui na estrutura regimental do Gabinete de Segurana Institucional da Presidncia da Repblica o Departamento de Segurana da Informao e Comunicaes com diversas atribuies na rea de segurana da informao e comunicaes. Dispe sobre o Comit Gestor da Infra-Estrutura de Chaves Pblicas Brasileira - CG ICP-Brasil, sua Secretaria-Executiva e sua Comisso Tcnica Executiva - COTEC. Disciplina a Gesto de Segurana da Informao e Comunicaes na Administrao Pblica Federal, direta e indireta, e d outras providncias. Estabelece normas e procedimentos relativos ao registro de programas de computador. Estabelece os valores das retribuies pelos servios de registro de programas de computador. Dispe sobre classificao, acesso, manuseio, reproduo, transporte e guarda de documentos e processos de natureza sigilosa no mbito do STF. Regulamenta, no mbito da Justia do Trabalho, a Lei n 11.419, de 19 de dezembro de 2006, que dispe sobre a informatizao do processo judicial. Regula a propaganda eleitoral na internet em campanha nas eleies de 2008.

III - Quadro de normas tcnicas relacionadas segurana da informao: Regulamento

ISO/IEC TR 13335-3:1998. ISO/IEC GUIDE 51:1999. ISO/IEC GUIDE 73:2002. ABNT NBR ISO IEC 17799: 2005. ABNT NBR ISO/IEC 27001:2005.

Assunto
Esta norma fornece tcnicas para a gesto de segurana na rea de tecnologia da informao. Baseada na norma ISO/IEC 13335-1 e TR ISO/IEC 13335-2. As orientaes so projetadas para auxiliar o incremento da segurana na TI. Esta norma fornece aos elaboradores de normas recomendaes para a incluso dos aspectos de segurana nestes documentos. aplicvel a qualquer aspecto de segurana relacionado a pessoas, propriedades, ao ambiente, ou a uma combinao de um ou mais destes (por exemplo, somente pessoas; pessoas e propriedades; pessoas, propriedades e o ambiente). Esta norma fornece definies genricas de termos de gesto de riscos para a elaborao de normas. Seu propsito ser um documento genrico de alto nvel voltado para a preparao ou reviso de normas que incluam aspectos de gesto de riscos. Esta norma equivalente ISO/IEC 17799:2005. Consiste em um guia prtico que estabelece diretrizes e princpios gerais para iniciar, implementar, manter e melhorar a gesto de segurana da informao em uma organizao. Os objetivos de controle e os controles definidos nesta norma tm como finalidade atender aos requisitos identificados na anlise/avaliao de riscos. Esta norma usada para fins de certificao e substitui a norma Britnica BS 7799-2:2002. Aplicvel a qualquer organizao, independente do seu ramo de atuao, define requisitos para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um Sistema de Gesto de Segurana da Informao.

MPOG

PoSIC-V2