Anda di halaman 1dari 23

SERVIO PBLICO FEDERAL

MINISTR IO DA CULT URA


INST ITUTO DO PATR IMNIO HISTR ICO E ARTSTICO NACIONAL
COMIT GESTOR DE TECNOLOGIA DA INFORMAO

DISPE ACERCA DA POLTICA DE SEGURANA DA


INFORMAO NO MBITO DO INSTITUTO DO PATRIMNIO
HISTRICO E ARTSTICO NACIONAL.

PSI

B r as li a/ D F, ou tu b r o d e 20 13 .

Poltica de Segurana da Informao do IPHAN

Ministrio da Cultura
Instituto do Patrimnio Histrico e Artstico Nacional

Jurema de Sousa Machado


Presidente

Comit Gestor de Tecnologia da Informao


Marcos Jos Silva Rego
Presidente do COGESTI

Coordenao Geral de Tecnologia da Informao


Carlos Augusto Pessoa Machado
Coordenador Geral de Tecnologia da Informao

Equipe de Elaborao
Delson Pereira da Silva
Analista em TI

Equipe de Reviso
Carlos Augusto Pessoa Machado
Coordenador Geral de Tecnologia da Informao

Srgio Porto Carneiro


Chefe de Diviso de Infraestrutura Tecnolgica

Outubro de 2013
Braslia | DF

SUMRIO
1.

INTRODUO. ................................................................................................................................................................ 1

2.

CAMPO DE APLICAO................................................................................................................................................... 1

3.

PRINCPIOS E OBJETIVOS. ............................................................................................................................................... 2

4.

PAPIS E RESPONSABILIDADES. ...................................................................................................................................... 3


4.1
PAPIS. ............................................................................................................................................................................. 3
4.2
RESPONSABILIDADES GERAIS .................................................................................................................................................. 3
4.3
RESPONSABILIDADES ESPECFICAS. .......................................................................................................................................... 4
4.3.1
Usurios internos e externos. ................................................................................................................................. 4
4.3.2
Gestores de pessoas e processos. ........................................................................................................................... 4
4.3.3
rea de Tecnologia da Informao......................................................................................................................... 4
4.3.4
Gestor de Segurana da Informao. ..................................................................................................................... 5
4.3.5
Equipe Tcnica de Segurana da Informao. ........................................................................................................ 6
4.3.6
Comit de Segurana da Informao. .................................................................................................................... 6

5.

DIRETRIZES GERAIS. ........................................................................................................................................................ 7


5.1
5.2
5.3
5.4
5.5
5.6
5.7
5.8
5.9
5.10

TRATAMENTO DA INFORMAO. ............................................................................................................................................ 7


CONTROLES DE ACESSO. ....................................................................................................................................................... 7
CORREIO ELETRNICO. ......................................................................................................................................................... 8
SERVIO DE BACKUP. ........................................................................................................................................................... 8
DATA CENTER. .................................................................................................................................................................... 8
MONITORAMENTO E AUDITORIA DO AMBIENTE. ....................................................................................................................... 9
USO E ACESSO A INTERNET. ................................................................................................................................................... 9
GESTO DE RISCOS. ........................................................................................................................................................... 10
GESTO DE CONTINUIDADE. ................................................................................................................................................ 10
TRATAMENTO DE INCIDENTES EM REDES COMPUTACIONAIS....................................................................................................... 11

6.

PENALIDADES. .............................................................................................................................................................. 11

7.

ESTRUTURA NORMATIVA DE GESTO DE SEGURANA DA INFORMAO.................................................................... 12


7.1
7.2

DIVULGAO E ACESSO ESTRUTURA NORMATIVA. .................................................................................................................. 12


APROVAO E REVISO. ..................................................................................................................................................... 12

8.

REFERNCIAS LEGAIS E NORMATIVAS. ......................................................................................................................... 13

9.

DISPOSIES FINAIS. .................................................................................................................................................... 13

10.

IDENTIFICAO E APROVAO DAS UNIDADES RESPONSVEIS. .............................................................................. 14

ENCARTE I.

TERMO DE COMPROMISSO DE CONFIDENCIALIDADE E SEGURANA DA INFORMAO................................ 15

ENCARTE II.

TERMO DE CINCIA INDIVIDUAL DE CONFIDENCIALIDADE E SEGURANA DA INFORMAO. ....................... 18


NDICE DE TABELAS

TABELA 1: DESCRIO DE PAPIS EM SEGURANA DA INFORMAO. ............................................................................................................. 3


TABELA 2: RESPONSVEIS PELA APROVAO E REVISO DA ESTRUTURA NORMATIVA DE SEGURANA DA INFORMAO. ................................ 12
TABELA 3: REFERNCIAS LEGAIS E NORMATIVAS. .................................................................................................................................. 13
NDICE DE FIGURAS
FIGURA 1: ESTRUTURA NORMATIVA DE GESTO DE SEGURANA DA INFORMAO. ................................................................................... 12

INSTITUTO DO PATRIMNIO HISTRICO E ARTSTICO NACIONAL


COMIT GESTOR DE TECNOLOGIA DA INFORMAO

SEGURANA DA INFORMAO

1. I N T R O D U O .
Segurana da Informao (SI) a disciplina dedicada proteo da informao de forma a garantir a
continuidade dos negcios, minimizando os danos e maximizando o retorno dos investimentos e as
oportunidades de atuao de uma instituio. A Poltica de Segurana da Informao (PSI), por sua vez,
o documento formal que orienta e estabelece as diretrizes corporativas para a proteo dos ativos de
informao e a gesto da segurana da informao.
Poltica de Segurana da Informao e Comunicaes: documento aprovado pela autoridade responsvel pelo
rgo ou entidade da Administrao Pblica Federal, direta e indireta, com o objetivo de fornecer diretrizes,
critrios e suporte administrativo suficientes implementao da segurana da informao e comunicaes
Inciso I do art. 2 da IN GSI/PR N 01/2008, de 13 de junho de 2008.

Tal documento considera as recomendaes e prticas propostas pelo Decreto n 3.505/2000, pela IN
GSI/PR n 01/2008, pela norma internacional ABNT NBR ISO/IEC 27002:2005 e alinha-se, ainda, s demais
leis e normas vigentes sobre o tema e s diretrizes estratgicas do rgo.
Considerando o disposto no art. 3 do Decreto n 3.505/2000, so objetivos genricos da Poltica de
Segurana da Informao para a Administrao Pblica Federal a serem estabelecidos por todos os
rgos e entidades pblicas em suas respectivas Polticas de Segurana da Informao:
A. Dotar os rgos e as entidades da Administrao Pblica Federal de instrumentos jurdicos,
normativos e organizacionais que os capacitem cientfica, tecnolgica e administrativamente a
assegurar a confidencialidade, a integridade, a autenticidade, o no repdio e a disponibilidade dos
dados e das informaes tratadas, classificadas e sensveis;
B. Eliminar a dependncia externa em relao a sistemas, equipamentos, dispositivos e atividades
vinculadas segurana dos sistemas de informao;
C. Promover a capacitao de recursos humanos para o desenvolvimento de competncia cientficotecnolgica em segurana da informao;
D. Estabelecer normas jurdicas necessrias efetiva implementao da segurana da informao;
E. Promover as aes necessrias implementao e manuteno da segurana da informao;
F. Promover o intercmbio cientfico-tecnolgico entre os rgos e as entidades da Administrao
Pblica Federal e as instituies pblicas e privadas, sobre as atividades de segurana da
informao;
G. Promover a capacitao industrial do Pas com vistas sua autonomia no desenvolvimento e na
fabricao de produtos que incorporem recursos criptogrficos, assim como estimular o setor
produtivo a participar competitivamente do mercado de bens e de servios relacionados com a
segurana da informao; e
H. Assegurar a interoperabilidade entre os sistemas de segurana da informao.
2. C A M P O D E A P L I C A O .
Os objetivos e diretrizes estabelecidos nesta Poltica de Segurana da Informao sero aplicados em
toda a organizao; devero ser observados por todos servidores, colaboradores, fornecedores e
prestadores de servio e se aplicam informao em qualquer meio ou suporte.
Este documento, dentre outras diretrizes, d cincia a cada envolvido de que os ambientes, sistemas,
recursos computacionais e redes informacionais do rgo podero ser monitorados e gravados, com
prvia informao, conforme previsto na legislao brasileira.

Pgina 1

SEGURANA DA INFORMAO

INSTITUTO DO PATRIMNIO HISTRICO E ARTSTICO NACIONALCOMIT


GESTOR DE TECNOLOGIA DA INFORMAO

3. P R I N C P I O S E O B J E T I V O S .
Alm de buscar preservar as informaes e seus respectivos ativos quanto confidencialidade,
integridade, disponibilidade e autenticidade; so objetivos da Poltica de Segurana da Informao do
IPHAN:
A. Estabelecer diretrizes para a disponibilizao e utilizao de recursos de informao, servios de
redes de dados, estaes de trabalho, internet, telecomunicaes e correio eletrnico institucional.
B. Designar, definir ou alterar papis e responsabilidades do grupo responsvel pela Segurana da
Informao.
C. Apoiar a implantao das iniciativas relativas Segurana da Informao.
D. Possibilitar a criao de controles e promover a otimizao dos recursos e investimentos em
tecnologia da informao, contribuindo com a minimizao dos riscos associados.
So princpios da Poltica de Segurana da Informao do IPHAN:
A. Toda informao produzida ou recebida pelos servidores, colaboradores, fornecedores e
prestadores de servio, em resultado da funo exercida e/ou atividade profissional contratada,
pertence ao IPHAN. As excees devem ser explcitas e formalizadas entre as partes.
B. Todos os recursos de informao do IPHAN devem ser projetados para que seu uso seja consciente
e responsvel. Os recursos comunicacionais e computacionais da instituio devem ser utilizados
para a consecuo de seus objetivos finalsticos.
C. Devero ser criados e institudos controles apropriados, trilhas de auditoria ou registros de
atividades, em todos os pontos e sistemas em que a instituio julgar necessrio, com vistas
reduo dos riscos dos seus ativos de informao.
D. Os gestores, administradores e operadores dos sistemas computacionais podero, pela
caracterstica de suas credenciais como usurios (privilgios diferenciados associados a cada perfil),
acessar arquivos e dados de outros usurios. Tal operao s ser permitida quando necessria para
a execuo de atividades operacionais sob sua responsabilidade.
E. Todo o acesso a redes e sistemas do rgo dever ser feito, preferencialmente, por meio de login de
acesso nico, pessoal e intransfervel.
F. O IPHAN pode utilizar tecnologias e ferramentas para monitorar e controlar o contedo e o acesso a
quaisquer tipos de informao alocada na infraestrutura provida pelo instituto.
G. Cada usurio responsvel pela segurana das informaes dentro do IPHAN, principalmente
daquelas que esto sob sua responsabilidade.
H. Com o objetivo de reduzir o risco de descontinuidade das atividades do rgo e de perda de
confidencialidade, integridade e disponibilidade dos ativos de informao, devero ser implantados
planos de contingncia e de continuidade para os principais servios e sistemas; tais planos devero
ser implantados, revisados e testados periodicamente.
I.

Todos os requisitos de segurana da informao, incluindo a necessidade de planos de contingncia,


devem ser identificados na fase de levantamento de escopo de um projeto ou sistema, e
justificados, acordados, documentados, implantados e testados durante a fase de execuo.

J. A gesto da segurana da informao no IPHAN ser realizada por comit multidisciplinar, ora
designado Comit de Segurana da Informao.
K. Dever constar em todos os contratos do IPHAN, quando o objeto for pertinente, clusula de
confidencialidade e de obedincia s normas de segurana da informao a ser observada por
empresas fornecedoras e por todos os profissionais que desempenham suas atividades no IPHAN,
Pgina 2

INSTITUTO DO PATRIMNIO HISTRICO E ARTSTICO NACIONAL


COMIT GESTOR DE TECNOLOGIA DA INFORMAO

SEGURANA DA INFORMAO

inclusive provenientes de organismos internacionais; dever estar prevista, por parte das empresas
e profissionais prestadores de servio, entrega de declarao expressa de compromisso em relao
confidencialidade e de termo de cincia das normas vigentes, como condio imprescindvel para
que possa ser concedido acesso aos ativos de informao disponibilizados pela instituio 1.
L. Esta Poltica de Segurana da Informao ser implementada no IPHAN por meio de normas e
procedimentos especficos, obrigatrios para todos os usurios, independentemente do nvel
hierrquico ou funo, bem como de vnculo empregatcio ou de prestao de servio.
4. P A P I S E R E S P O N S A B I L I D A D E S .
4.1

Papis.

Tabela 1: Descrio de papis em Segurana da Informao.

PAPEL

PERFIL ASSOCIADO

DESCRIO

USURIO INTERNO

Servidores pblicos, servidores sem


vnculo, demais funcionrios e
colaboradores internos.

Todos os servidores, gestores, tcnicos, estagirios,


bolsistas de programas educacionais, consultores e
colaboradores internos, que fazem uso dos recursos
informacionais e computacionais do IPHAN.

USURIO EXTERNO

Prestadores de servio e demais


colaboradores externos.

Prestadores de servios contratados direta ou


indiretamente pela IPHAN e demais colaboradores
externos que fazem uso de seus recursos informacionais e
computacionais.

GESTORES

Coordenadores, Coordenadores
Gerais, Diretores, Superintendentes e
demais cargos de chefia.

REA DE TI

Coordenao Geral de Tecnologia da


Informao (CGTI)

GESTOR DE SI

Gerncia tcnica

Servidor responsvel pela gesto da segurana da


informao em todos os seus aspectos.

EQUIPE TCNICA DE SI

Equipe tcnica de SI

Equipe tcnica responsvel por implementar e administrar


as solues de segurana da informao.

COMIT DE SI

Alta Administrao

Comit Temtico, vinculado ao Comit Gestor de TI,


responsvel pelas decises de alto nvel relacionadas
gesto da segurana da informao.

4.2

Todos aqueles que exercem funes de gerncia no


mbito da organizao, administrando pessoas e/ou
processos.
Unidade organizacional responsvel pela gesto e
operao dos recursos de TI na organizao e custodiante
da informao.

Responsabilidades gerais

So responsabilidades gerais de todos os usurios e gestores de servios de rede de dados, internet,


telecomunicaes, estaes de trabalho, correio eletrnico e demais recursos computacionais do
IPHAN:
A. Promover a segurana de seu usurio corporativo, departamental ou de rede local, bem como de
seus respectivos dados e credenciais de acesso.
B. Seguir, de forma colaborativa, as orientaes fornecidas pelos setores competentes em relao ao
uso dos recursos computacionais e informacionais do instituto.
C. Utilizar de forma tica, legal e consciente os recursos computacionais e informacionais do IPHAN.
D. Manter-se atualizado em relao a esta PSI e s normas e procedimentos relacionados, buscando
1

Os modelos de declarao de compromisso e de cincia das normas de Segurana da Informao vigentes no IPHAN esto presentes no
ENCARTE I e ENCARTE II.
Pgina 3

SEGURANA DA INFORMAO

INSTITUTO DO PATRIMNIO HISTRICO E ARTSTICO NACIONALCOMIT


GESTOR DE TECNOLOGIA DA INFORMAO

informao junto ao Gestor de Segurana da Informao da instituio sempre que no estiver


absolutamente seguro quanto obteno, uso e/ou descarte de informaes.
4.3

Responsabilidades especficas.

4.3.1

Usurios internos e externos.

Ser de inteira responsabilidade de cada usurio (interno ou externo) todo prejuzo ou dano que vier a
sofrer ou causar ao IPHAN em decorrncia da no obedincia s diretrizes e normas referidas na Poltica
de Segurana da Informao e nas normas e procedimentos especficos dela decorrentes.
Os usurios externos devem entender os riscos associados sua condio e cumprir rigorosamente as
polticas, normas e procedimentos especficos vigentes. O IPHAN poder, a qualquer tempo, revogar
credenciais de acesso concedidas a usurios em virtude do descumprimento da poltica de SI ou das
normas e procedimentos especficos dela decorrentes.
4.3.2

Gestores de pessoas e processos.

Os gestores executivos do IPHAN devem ter postura exemplar em relao segurana da informao,
diante, sobretudo, dos usurios sob sua gesto.
Cada gestor dever manter os processos sob sua responsabilidade aderentes s polticas, normas e
procedimentos especficos de segurana da informao do IPHAN, tomando as aes necessrias para
cumprir tal responsabilidade.
4.3.3

rea de Tecnologia da Informao.

Quanto gesto de segurana da informao, sero responsabilidades especficas da rea de


Tecnologia da Informao:
A. Zelar pela eficcia dos controles de SI utilizados e informar aos gestores e demais interessados os
riscos residuais.
B. Negociar e acordar com os gestores nveis de servio relacionados a SI, incluindo os procedimentos
de resposta a incidentes.
C. Configurar os recursos informacionais e computacionais concedidos aos usurios com todos os
controles necessrios para cumprir os requerimentos de segurana estabelecidos pelos
procedimentos, normas e polticas de segurana da informao.
D. Gerar e manter trilhas para auditoria com nvel de detalhe suficiente para rastrear possveis falhas e
fraudes; para as trilhas geradas e/ou mantidas em meio eletrnico, devem ser implantados
controles de integridade, de modo a torn-las juridicamente vlidas como evidncias.
E. Garantir segurana especial para sistemas com acesso pblico, fazendo guarda de evidncias que
permitam a rastreabilidade para fins de auditoria ou investigao.
F. Zelar pela segregao de funes gerenciais e operacionais, a fim de restringir ao mnimo necessrio
os privilgios de cada indivduo e eliminar a existncia de pessoas que possam excluir logs e trilhas
de auditoria das suas prprias aes.
G. Administrar, proteger e testar cpias de segurana de sistemas e dados relacionados aos processos
considerados crticos para o IPHAN.
H. Implantar controles que gerem registros auditveis para retirada e transporte de mdias que
contenham informaes custodiadas pela TI, nos ambientes totalmente controlados por ela.
I.

Informar previamente o Gestor de SI sobre o fim do prazo de reteno de informaes, para que
este tenha a alternativa de alter-lo ou posterg-lo, antes que a informao seja definitivamente
descartada pelo custodiante.

Pgina 4

INSTITUTO DO PATRIMNIO HISTRICO E ARTSTICO NACIONAL


COMIT GESTOR DE TECNOLOGIA DA INFORMAO

SEGURANA DA INFORMAO

J. Nas movimentaes internas dos ativos de TI, assegurar-se de que as informaes de determinado
usurio no sejam removidas de forma irrecupervel antes de disponibilizar o ativo para outro
usurio.
K. Planejar, implantar, fornecer e monitorar a capacidade de armazenagem, processamento e
transmisso necessrios para garantir a segurana requerida pelas reas internas da organizao.
L. Atribuir cada conta ou dispositivo de acesso a computadores, sistemas, bases de dados e qualquer
outro ativo de informao a um responsvel identificvel como pessoa fsica, responsvel pelo uso
da conta (a responsabilidade pela gesto dos logins de usurios externos do gestor do contrato
de prestao de servios ou do gestor do setor em que o usurio externo desempenha suas
atividades).
M. Proteger continuamente todos os ativos de informao do instituto contra cdigo malicioso, e
garantir que todos os novos ativos s entrem para o ambiente de produo aps estarem livres de
cdigo malicioso e/ou indesejado.
N. Assegurar-se de que no sejam introduzidas vulnerabilidades ou fragilidades no ambiente de
produo do IPHAN ou em fase de mudana de ambiente de desenvolvimento, teste, homologao
ou produo de sistemas (quando tais ambientes forem acessados por terceiros, a
responsabilizao deve ser explicitada nas clusulas dos instrumentos contratuais).
O. Definir as regras formais para instalao de software e hardware em ambiente de produo
corporativo, bem como em ambiente exclusivamente educacional e/ou dedicados visitao
externa, exigindo o seu cumprimento dentro da autarquia.
P. Definir metodologia e realizar

auditorias peridicas de configuraes tcnicas e anlise de riscos.

Q. Responsabilizar-se pelo uso, manuseio, guarda de assinatura de certificados digitais corporativos 2.


R. Garantir, da forma mais rpida possvel, com recebimento de solicitao formal, o bloqueio de
acesso de usurios por motivo de desligamento do IPHAN, incidente, investigao ou outra situao
que exija medida restritiva para fins de salvaguarda dos ativos do instituto.
S. Garantir que todos os servidores, estaes e demais dispositivos com acesso rede operem com o
relgio sincronizado com os servidores de tempo oficiais do Governo Brasileiro.
T. Monitorar o ambiente de TI, gerando indicadores e histricos de uso da capacidade instalada da
rede e dos equipamentos; tempo de resposta no acesso internet e aos sistemas crticos; perodos
de indisponibilidade no acesso internet e aos sistemas crticos; incidentes de segurana; e
atividade de todos os usurios durante os acessos s redes externas, inclusive internet (por
exemplo: sites visitados, e-mails recebidos/enviados, upload/download de arquivos).
4.3.4

Gestor de Segurana da Informao.

Em conformidade com o disposto no artigo 7 da IN GSI/PR n 01/2008 incumbe ao Gestor de Segurana


da Informao do IPHAN:
A. Promover cultura de segurana da informao e comunicaes no mbito de suas atribuies
dentro do IPHAN.
B. Acompanhar as investigaes e as avaliaes dos danos decorrentes de quebras de segurana.
C. Propor recursos necessrios s aes de segurana da informao.
D. Coordenar o Comit de Segurana da Informao e a Equipe Tcnica de Segurana da Informao
(ETSI).
2

O uso, manuseio e guarda de assinaturas de certificados digitais individuais de responsabilidade de seus respectivos portadores.

Pgina 5

SEGURANA DA INFORMAO

INSTITUTO DO PATRIMNIO HISTRICO E ARTSTICO NACIONALCOMIT


GESTOR DE TECNOLOGIA DA INFORMAO

E. Realizar e acompanhar estudos de novas tecnologias, quanto a possveis impactos na segurana da


informao.
F. Manter contato permanente e estreito com o Departamento de Segurana da Informao e
Comunicao do Gabinete de Segurana Institucional da Presidncia da Repblica.
G. Propor normas internas relativas segurana da informao.
4.3.5

Equipe Tcnica de Segurana da Informao.

de responsabilidade especfica da Equipe Tcnica de Segurana da Informao:


A. Propor metodologias e processos especficos para a segurana da informao, como classificao
da informao e avaliao de risco.
B. Propor e apoiar iniciativas que visem segurana dos ativos de informao do IPHAN.
C. Auxiliar na publicao e promoo da Poltica de Segurana da Informao, das normas, e
procedimentos especficos decorrentes, aprovados pelo Comit de Segurana da Informao.
D. Promover a conscientizao dos usurios em relao relevncia da segurana da informao para
o IPHAN, mediante campanhas, palestras, treinamentos e outros meios de endomarketing.
E. Apoiar a avaliao e a adequao de controles especficos de segurana da informao para novos
sistemas ou servios.
F. Analisar criticamente incidentes em conjunto com o Comit de Segurana da Informao.
G. Apresentar as atas e os resumos das reunies do Comit de Segurana da Informao, destacando os
assuntos que exijam interveno do prprio comit ou de outros membros da diretoria.
H. Manter comunicao efetiva com o Comit de Segurana da Informao sobre assuntos relacionados
ao tema que afetem ou tenham potencial para afetar o rgo.
I.

Buscar alinhamento das prticas de segurana da informao com as diretrizes corporativas da


instituio.

Tambm ser atribuio da Equipe de Segurana da Informao atuar, quando necessrio, com
atribuies de Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR) da qual
trata a Norma Complementar 05 IN01/DASIC/GSIPR.
4.3.6

Comit de Segurana da Informao.

Em conformidade com o artigo 6 da IN GSI/PR n 01/2008, compete ao Comit de Segurana da


Informao do IPHAN:
A. Assessorar o rgo na implementao das aes de segurana da informao.
B. Constituir grupos de trabalho para tratar de temas e propor solues especficas sobre segurana
da informao.
C. Propor alteraes e revisar periodicamente a Poltica de Segurana da Informao do IPHAN, em
conformidade com a legislao existente sobre o tema.
D. Propor, aprovar, alterar e revisar normas complementares e procedimentos internos de segurana
da informao, em conformidade com a legislao existente sobre o tema.
E. Subsidiar o Comit Gestor de Tecnologia da Informao do IPHAN nos decises relativas
segurana da informao.
O Comit de Segurana da Informao dever ser formalmente institudo pelo Comit Gestor de
Tecnologia da Informao do IPHAN, como Comit Temtico (segundo art. 4, inc. I da Portaria IPHAN
Pgina 6

INSTITUTO DO PATRIMNIO HISTRICO E ARTSTICO NACIONAL


COMIT GESTOR DE TECNOLOGIA DA INFORMAO

SEGURANA DA INFORMAO

n 235, de 20/07/2010) e integrado por gestores com nvel hierrquico gerencial nomeados
formalmente para participar do grupo. Sua composio deve incluir um membro de cada uma das
seguintes reas: Presidncia, Auditoria Interna, Procuradoria Federal, Departamento de Planejamento e
Administrao, Departamento de Patrimnio Material e Fiscalizao, Departamento de Patrimnio
Imaterial e Departamento de Articulao e Fomento.
O Comit de Segurana da Informao dever reunir-se ordinariamente em periodicidade a ser instituda
por portaria especfica, mas encontros adicionais podero ser realizados sempre que for necessrio
deliberar sobre algum incidente grave ou realizar deliberao relevante.
Caber, ainda, ao Comit de Segurana da Informao propor investimentos relacionados segurana da
informao com o objetivo de reduzir riscos; avaliar os incidentes de segurana e propor aes
corretivas; definir as medidas cabveis nos casos de descumprimento da Poltica de Segurana da
Informao e/ou das normas de segurana da informao complementares.
5. D I R E T R I Z E S G E R A I S .
5.1

Tratamento da informao.

Diretrizes especficas e procedimentos prprios de tratamento da informao corporativa devero ser


fixados em norma complementar, considerando as seguintes diretrizes gerais:
A. Documentos imprescindveis para as atividades dos usurios da instituio devero ser salvos em
drives de rede. Tais arquivos, se gravados apenas localmente nos computadores, no tero garantia
de backup e podero ser perdidos caso ocorra uma falha no computador, sendo, portanto, de
responsabilidade do prprio usurio.
B. Arquivos pessoais e/ou no pertinentes s atividades institucionais do IPHAN (fotos, msicas,
vdeos, etc..) no devero ser copiados ou movidos para os drives de rede, pois podem
sobrecarregar o armazenamento nos servidores. Caso identificados, os arquivos podero ser
excludos definitivamente sem necessidade de comunicao prvia ao usurio.
C. Normas de classificao de informaes, acesso informao, uso e descarte de ativos de
informao, dentre outros temas afins, sero fixadas em estrita aderncia s leis e normas atinentes
Administrao Pblica Federal considerando as competncias regimentais.
5.2

Controles de Acesso.

Diretrizes especficas e procedimentos prprios de controles de acesso lgico e fsico devero ser
fixados em norma complementar, considerando as seguintes diretrizes gerais:
A. O controle de acesso dever considerar e respeitar o princpio do menor privilgio para configurar
as credenciais ou contas de acesso dos usurios aos ativos de informao do IPHAN.
B. A criao e administrao de contas ser realizada de acordo com procedimento especfico para
todo e qualquer usurio. Para o usurio que no exerce funes de administrao de rede ser
privilegiada a criao de uma nica conta institucional de acesso, pessoal e intransfervel. Contas
com perfil de administrador somente sero criadas para usurios cadastrados para execuo de
tarefas especficas na administrao de ativos de informao.
C. O acesso rede corporativa deve dar-se de forma a permitir a rastreabilidade e a identificao do
usurio por perodo mnimo a ser definido em norma especfica.
D. As prticas de segurana devero contemplar procedimentos de acesso fsico a reas e instalaes,
gesto de acessos e delimitao de permetros de segurana.

Pgina 7

SEGURANA DA INFORMAO

5.3

INSTITUTO DO PATRIMNIO HISTRICO E ARTSTICO NACIONALCOMIT


GESTOR DE TECNOLOGIA DA INFORMAO

Correio Eletrnico.

Diretrizes especficas e procedimentos prprios ao servio de correio eletrnico (e-mail) devero ser
fixadas em norma complementar, considerando as seguintes diretrizes gerais:
A. O correio eletrnico uma ferramenta disponvel e obrigatria para todos os usurios do IPHAN,
independentemente de seu vnculo funcional.
B. O uso do correio eletrnico do IPHAN para fins corporativos e relacionados s atividades do
usurio no mbito da autarquia.
5.4

Servio de Backup.

Os procedimentos prprios ao servio de backup (cpia de segurana) devero ser fixados em norma
complementar, considerando as seguintes diretrizes gerais:
A. O servio de backup deve ser automatizado por sistemas informacionais prprios considerando,
inclusive, a execuo agendada fora do horrio de expediente normal do rgo, nas chamadas
janelas de backup perodos em que no h nenhum ou pouco acesso de usurios ou processos
automatizados aos sistemas de informtica.
B. A soluo de backup dever ser mantida atualizada, considerando suas diversas caractersticas
(atualizaes de correo, novas verses, ciclo de vida, garantia, melhorias, entre outros).
C. A administrao das mdias de backup dever ser contemplada nas normas complementares sobre o
servio, objetivando manter sua segurana e integridade.
D. necessria previso, em oramento anual, da renovao das mdias de Backup em razo de seu
desgaste natural, bem como dever ser mantido um estoque constante das mdias para qualquer
uso emergencial.
E. As mdias de backups histricos ou especiais devero ser armazenadas em instalaes seguras,
preferencialmente com estrutura de cofres e salas-cofres.
F. Os backups crticos para o bom funcionamento dos servios do IPHAN exigem uma regra de
reteno especial, a ser prevista nos procedimentos especficos e de acordo com as normas de
classificao da informao pblica, seguindo ainda as determinaes fiscais e legais existentes no
pas.
G. A execuo de rotinas de backup e restore dever ser rigidamente controlada, documentada e
auditada, nos termos das normas e procedimentos prprios.
5.5

Data Center.

Os procedimentos para administrao do centro de processamento de dados (data center) devero ser
fixados em norma prpria, considerando as seguintes diretrizes gerais:
A. A administrao de dados e de servios de data center tarefa tecnicamente complexa e sua
realizao deve balizar-se nas melhores prticas de mercado e na alocao de profissionais com
perfil tcnico adequado.
B. O acesso fsico ao data center dever ser feito por sistema forte de autenticao, mediante uso de
soluo de TI prpria. O acesso fsico por meio de chave apenas poder ocorrer em situaes de
emergncia, quando a segurana fsica do data center estiver comprometida, como por incndio,
inundao, abalo da estrutura predial ou quando o sistema de autenticao forte no estiver
funcionando.
C. O acesso ao data center por visitantes ou terceiros somente poder ser realizado com
acompanhamento de um servidor autorizado, que dever preencher a solicitao de acesso prevista
Pgina 8

INSTITUTO DO PATRIMNIO HISTRICO E ARTSTICO NACIONAL


COMIT GESTOR DE TECNOLOGIA DA INFORMAO

SEGURANA DA INFORMAO

na norma prpria, bem como assinar Termo de Responsabilidade.


D. Dever ser executada, em frequncia predeterminada, auditoria dos acessos ao datacenter por
meio de relatrio do sistema de registro prprio.
E. A lista de funes com direito de acesso ao data center dever ser constantemente atualizada, de
acordo com os termos de norma prpria, salva em diretrio de rede. No caso de desligamento de
usurios que possuam acesso ao data center, imediatamente dever ser providenciada a sua
excluso do sistema de autenticao forte e da lista de usurios autorizados.
F. A funo de administrador do datacenter incluindo seu sistema de autenticao forte dever ser
atribuda exclusivamente a servidor pblico efetivo, preferencialmente vinculado rea de
infraestrutura de TI.
5.6

Monitoramento e Auditoria do Ambiente.

Para garantir a aplicao das diretrizes mencionadas nesta PSI, alm de fixar normas e procedimentos
complementares sobre o tema, o IPHAN poder:
A. Implantar sistemas de monitoramento nas estaes de trabalho, servidores, correio eletrnico,
conexes com a internet, dispositivos mveis ou wireless e outros componentes da rede, de modo
que a informao gerada por esses sistemas possa ser usada para identificar usurios e respectivos
acessos efetuados, bem como material manipulado;
B. Tornar pblicas as informaes obtidas pelos sistemas de monitoramento e auditoria, no caso de
exigncia judicial, solicitao do gerente (ou superior) ou por determinao do Comit de Segurana
da Informao;
C. Realizar, a qualquer tempo, inspeo fsica nas equipamentos de sua propriedade;
D. Instalar sistemas de proteo, preventivos e detectveis, para garantir segurana das informaes e
dos permetros de acesso.
E. Desinstalar, a qualquer tempo, qualquer software ou sistema que represente risco ou esteja em
desconformidade com as polticas, normas e procedimentos vigentes.
5.7

Uso e acesso a internet.

Diretrizes especficas e procedimentos prprios de controles de uso e acesso a Internet devero ser
fixadas em norma complementar, considerando as seguintes diretrizes gerais:
A. Todas as regras corporativas sobre uso de Internet visam basicamente ao desenvolvimento de um
comportamento eminentemente tico e profissional. Embora a conexo direta e permanente da
rede corporativa da instituio com a internet oferea um grande potencial de benefcios, a
proteo dos ativos de informao do IPHAN dever sempre ser privilegiada.
B. Perfis institucionais mantidos nas redes sociais 3 devem, preferencialmente, ser administrados e
gerenciados por equipes compostas exclusivamente por servidores pblicos ocupantes de cargo
efetivo. Quando no for possvel, a equipe pode ser mista, desde que sob a coordenao e
responsabilidade de um servidor do quadro permanente do rgo.
C. Qualquer informao que seja acessada, transmitida, recebida ou produzida na internet est sujeita
divulgao e auditoria. Portanto, o IPHAN, em total conformidade legal, reserva-se o direito de
monitorar e registrar os acessos rede mundial de computadores.
D. Em conformidade com a Norma Complementar n 17/IN01/GSI-PR, vedada a terceirizao completa
da administrao e da gesto de perfis de rgos e entidades da APF nas redes sociais, assim
3

Estruturas sociais digitais compostas por pessoas ou organizaes conectadas por um ou vrios tipos de relaes, que partilham valores e objetivos comuns.

Pgina 9

SEGURANA DA INFORMAO

INSTITUTO DO PATRIMNIO HISTRICO E ARTSTICO NACIONALCOMIT


GESTOR DE TECNOLOGIA DA INFORMAO

entendida a terceirizao que viole o disposto no item B.


E. Os equipamentos, tecnologias e servios fornecidos para o acesso internet so de propriedade da
instituio, que pode analisar e, se necessrio, bloquear qualquer arquivo, stio, caixa postal de
correio eletrnico, domnio ou aplicao armazenados na rede/internet, estejam eles em disco local,
na estao ou em reas privadas da rede, visando a assegurar o cumprimento de sua Poltica de
Segurana da Informao.
5.8

Gesto de Riscos.

Nos termos da Norma Complementar 04/IN01/DSIC/GSIPR, a Gesto de Riscos de Segurana da


Informao e Comunicaes o conjunto de processos que permitem identificar e implementar as
medidas de proteo necessrias para minimizar ou eliminar os riscos a que esto sujeitos os seus ativos
de informao, e equilibr-los com os custos operacionais e financeiros envolvidos.
As diretrizes gerais do processo de Gesto de Riscos de Segurana da Informao e Comunicaes do
IPHAN devero considerar, prioritariamente, os objetivos estratgicos, os processos, os requisitos legais
e a estrutura do rgo, direta e indireta, alm de estarem alinhadas a esta Poltica de Segurana da
Informao. Esse processo dever ser contnuo e aplicado na implementao e operao da Gesto de
Segurana da Informao, contemplando inclusive as contrataes de solues de TI para as quais
dever ser elaborado um Plano de Tratamento de Riscos.
5.9

Gesto de Continuidade.

Nos termos da Norma Complementar 06/IN01/DSIC/GSIPR, a implantao do processo de Gesto de


Continuidade de Negcios busca minimizar os impactos decorrentes de falhas, desastres ou
indisponibilidades significativas sobre as atividades do rgo ou entidade, alm de recuperar perdas de
ativos de informao a um nvel aceitvel, por intermdio de aes de preveno, resposta e
recuperao.
O rgo dever elaborar e manter Programa de Gesto de Continuidade de Negcios, aqui entendido
como o processo contnuo de gesto e governana suportado pela alta direo e que recebe recursos
apropriados para garantir que os passos necessrios esto sendo tomados de forma a identificar o
impacto de perdas em potencial, manter estratgias e planos de recuperao viveis e garantir a
continuidade de fornecimento de produtos e servios por intermdio de anlises crticas, testes,
treinamentos e manuteno.
O Programa de Gesto de Continuidade de Negcios do IPHAN dever ser composto, no mnimo, pelos
seguintes Planos, de acordo com as suas necessidades especficas, de forma a assegurar a
disponibilidade dos ativos de informao e a recuperao das atividades crticas:
A. Plano de Gerenciamento de Incidentes (PGI): plano de ao claramente definido e documentado, a
ser usado quando ocorrer um incidente, abrangendo as principais pessoas, recursos, servios e
aes necessrias para implementar o processo de gerenciamento de incidentes.
B. Plano de Continuidade de Negcios (PCN): documentao dos procedimentos e informaes
necessrias para que o IPHAN mantenha seus ativos de informao crticos e a continuidade de suas
atividades crticas em local alternativo, num nvel previamente definido, em casos de incidentes.
C. Plano de Recuperao de Negcios (PRC): documentao dos procedimentos e informaes
necessrias para que o IPHAN operacionalize o retorno das atividades crticas normalidade.
Os planos acima definidos devero ser testados e revisados periodicamente, visando a reduzir riscos de
perda de confidencialidade, integridade e disponibilidade dos ativos de informao.
Para subsidiar a elaborao de seu Programa de Gesto de Continuidade de Negcios, o IPHAN dever
definir quais so suas atividades crticas, ou seja, quais so as atividades que devem ser executadas de
Pgina 10

INSTITUTO DO PATRIMNIO HISTRICO E ARTSTICO NACIONAL


COMIT GESTOR DE TECNOLOGIA DA INFORMAO

SEGURANA DA INFORMAO

forma a garantir a consecuo dos produtos e servios fundamentais do rgo, de tal forma que
permitam atingir os seus objetivos mais importantes e sensveis ao tempo.
Os procedimentos previstos no Programa de Gesto da Continuidade de Negcios devero ser
executados em conformidade com os requisitos de segurana da informao e comunicaes
necessrios proteo dos ativos de informao crticos, tratando as atividades de forma abrangente,
incluindo as pessoas, processos, infraestrutura e recursos de tecnologia da informao e comunicaes.
5.10

Tratamento de Incidentes em Redes Computacionais.

Nos termos da Norma Complementar 05/IN01/DSIC/GSIPR, Tratamento de Incidentes de Segurana em


Redes Computacionais o servio que consiste em receber, filtrar, classificar e responder s solicitaes
e alertas e realizar as anlises dos incidentes de segurana, procurando extrair informaes que
permitam impedir a continuidade da ao maliciosa e tambm a identificao de tendncias.
A ocorrncia de incidentes de segurana em redes de computadores do IPHAN dever ser comunicada
ao Centro de Tratamento de Incidentes de Segurana em Redes de Computadores da Administrao
Pblica Federal (CTIR.Gov), conforme procedimentos a serem definidos pelo prprio centro, com vistas
a permitir que sejam dadas solues integradas para a APF, bem como a gerao de estatsticas.
No tratamento de incidentes em redes computacionais, a Equipe Tcnica de Segurana da Informao,
responsvel pelo tratamento e resposta ao incidente, dever considerar, no mnimo, as seguintes
diretrizes:
A. Todos os incidentes notificados ou detectados devero ser registrados, com a finalidade de
assegurar registro histrico das atividades desenvolvidas.
B. O tratamento da informao dever ser realizado de forma a viabilizar e assegurar disponibilidade,
integridade, confidencialidade e autenticidade da informao, observada a legislao em vigor,
naquilo que diz respeito ao estabelecimento de graus de sigilo.
C. Durante o gerenciamento de incidentes de segurana em redes de computadores, havendo indcios
de ilcitos criminais, o Gestor de Segurana da Informao ou membros da Equipe Tcnica de
Segurana da Informao tem como dever, sem prejuzo de suas demais atribuies, acionar as
autoridades policiais competentes para a adoo dos procedimentos legais julgados necessrios,
observar os procedimentos para preservao das evidncias, exigindo consulta s orientaes
sobre cadeia de custdia, e priorizar a continuidade dos servios do IPHAN.
6. P E N A L I D A D E S .
O IPHAN, ao gerir e monitorar seus ativos de informao, pretende garantir a integridade destes,
juntamente com suas informaes e recursos. O descumprimento ou inobservncia de quaisquer regras
ou diretrizes definidas nesse instrumento e em suas normas complementares constituem falta grave, s
quais o IPHAN responder com a aplicao de todas as medidas administrativas, cveis e judiciais
cabveis.
Toda tentativa de alterao dos parmetros de segurana, por qualquer usurio, sem o devido
credenciamento e a autorizao para tal, ser considerada inadequada e os riscos relacionados sero
informados ao usurio e ao respectivo gestor.
O uso de qualquer recurso em inobservncia das normas vigentes ou para prtica de atividades ilcitas
poder acarretar aes administrativas e penalidades decorrentes de processos administrativo, civil e
criminal, em que a instituio cooperar ativamente com as autoridades competentes.
Os dispositivos de identificao e senhas protegem a identidade do colaborador usurio, evitando e
prevenindo que uma pessoa se faa passar por outra perante o IPHAN e/ou terceiros. Portanto, o
usurio vinculado a tais dispositivos identificadores ser responsvel pelo seu uso correto perante a
Pgina 11

SEGURANA DA INFORMAO

INSTITUTO DO PATRIMNIO HISTRICO E ARTSTICO NACIONALCOMIT


GESTOR DE TECNOLOGIA DA INFORMAO

instituio e a legislao (cvel e criminal), sendo que o uso dos dispositivos e/ou senhas de identificao
de outra pessoa viola as regras de segurana e poder resultar na aplicao de medidas administrativas,
cveis e judiciais cabveis.
7. E S T R U T U R A N O R M A T I V A D E G E S T O D E S E G U R A N A D A I N F O R M A O .
Os documentos que comporo a estrutura normativa de gesto de segurana da informao sero
divididos em trs categorias:
A. Poltica nvel estratgico: constituda do presente documento, define as regras de alto nvel que
representam os princpios bsicos que o IPHAN decidiu incorporar sua gesto de acordo com a
viso estratgica da alta direo. Serve como base para que as normas e os procedimentos sejam
criados e detalhados.
B. Normas nvel ttico: especificam, no plano ttico, as escolhas tecnolgicas e os controles que
devero ser implementados para alcanar o cenrio definido estrategicamente nas diretrizes da
poltica.
C. Procedimentos nvel operacional: instrumentalizam o disposto nas normas e na poltica,
permitindo sua direta aplicao nas atividades do IPHAN.

Figura 1: Estrutura normativa de Gesto de Segurana da Informao.

7.1

Divulgao e acesso estrutura normativa.

Os documentos integrantes da estrutura normativa de gesto de segurana da informao devero ser


divulgados a todos os servidores, colaboradores, estagirios, aprendizes e prestadores de servios do
IPHAN quando de sua admisso, e tambm publicadas na Intranet corporativa, de maneira que seu
contedo possa ser consultado a qualquer momento.
7.2

Aprovao e reviso.

Os documentos integrantes da estrutura normativa de gesto de segurana da informao do IPHAN


devero ser aprovados segundo as seguintes instncias:
Tabela 2: Responsveis pela aprovao e reviso da estrutura normativa de Segurana da Informao.

CATEGORIA

NVEL DE APROVAO

POLTICA

Comit Gestor de Tecnologia da Informao

NORMA COMPLEMENTAR

Comit de Segurana da Informao

PROCEDIMENTO

Coordenao Geral de Tecnologia da Informao

A poltica de seguranas, as normas e os procedimentos complementares sero revisados


Pgina 12

INSTITUTO DO PATRIMNIO HISTRICO E ARTSTICO NACIONAL


COMIT GESTOR DE TECNOLOGIA DA INFORMAO

SEGURANA DA INFORMAO

periodicamente segundo os prazos estabelecidos pelo Comit de Segurana da Informao. Sempre que
algum fato relevante ou evento motive, os prazos revisionais estabelecidos podero ser antecipados
conforme anlise e deciso do Comit de Segurana da Informao.
8. R E F E R N C I A S L E G A I S E N O R M A T I V A S .
Tabela 3: Referncias legais e normativas.

CLASSIFICAO

IDENTIFICAO

DATA PUBLICAO

ASSUNTO

Lei Federal

8.159/1991

08/01/1991

Dispe sobre a poltica nacional de arquivos pblicos e


privados.

Lei Federal

9.610/1998

19/02/1998

Dispe sobre o direito autoral

Lei Federal

9.279/1996

14/05/1996

Dispe sobre marcas e patentes

Lei Federal

10.406/2002

10/01/2002

Institui o Cdigo Civil brasileiro

Decreto-Lei

2.848/1940

07/12/1940

Institui o Cdigo Penal brasileiro

Decreto

3.505/2000

13/06/2000

Institui a Poltica de Segurana da Informao nos


rgos e entidades da Administrao Pblica Federal.

Decreto

7.845/2012

14/11/2012

Instruo Normativa

IN GSI/PR 01/2008

13/06/2008

Norma
Complementar

03/IN01/DSIC/GSIPR

30/06/2009

Instruo Normativa

IN SLTI/MP 04/2010

12/11/2010

Portaria IPHAN

235/2010

20/07/2010

Portaria IPHAN

92/2012

05/07/2012

Regulamenta procedimentos para credenciamento de


segurana e tratamento de informao classificada em
qualquer grau de sigilo, e dispe sobre o Ncleo de
Segurana e Credenciamento.
Disciplina a Gesto de Segurana da Informao e
Comunicaes na Administrao Pblica Federal, direta
e indireta, e d outras providncias.
Diretrizes para elaborao de Poltica de Segurana da
Informao e Comunicaes nos rgos e entidades da
Administrao Pblica Federal.
Dispe sobre o processo de contratao de Solues
de Tecnologia da Informao pelos rgos integrantes
do SISP do Poder Executivo Federal.
Institui o Comit Gestor de Tecnologia da Informao
do IPHAN - COGESTI - com a finalidade de deliberar
sobre o planejamento, oramentao, investimentos,
priorizao e gerenciamento de riscos de toda a
Poltica de Tecnologia da Informao do IPHAN.
Aprova o Regimento Interno do Instituto do
Patrimnio Histrico e Artstico Nacional.

9. D I S P O S I E S F I N A I S .
Para a uniformizao da informao organizacional, esta Poltica de Segurana da Informao dever
ser comunicada a todos os gestores, servidores, colaboradores e prestadores de servio do IPHAN a
fim de que seja cumprida dentro e fora da autarquia.
O no cumprimento dos requisitos previstos nesta poltica, nas normas complementares e nos
procedimentos de Segurana da Informao acarretar violao s regras internas da instituio e
sujeitar o usurio s medidas administrativas e legais cabveis.

Pgina 13

SEGURANA DA INFORMAO

INSTITUTO DO PATRIMNIO HISTRICO E ARTSTICO NACIONALCOMIT


GESTOR DE TECNOLOGIA DA INFORMAO

10. I D E N T I F I C A O E A P R O V A O D A S U N I D A D E S R E S P O N S V E I S .
COORDENAO GERAL DE TECNOLOGIA DA INFORMAO

DATA

ASSINATURA

CARLOS AUGUSTO PESSOA MACHADO


Coordenador Geral de Tecnologia da Informao

COMIT GESTOR DE TECNOLOGIA DA INFORMAO


ASSINATURA(S)

MARCOS JOS SILVA RGO


Presidente do Comit Gestor de Tecnologia da Informao

Pgina 14

DATA

INSTITUTO DO PATRIMNIO HISTRICO E ARTSTICO NACIONAL


COMIT GESTOR DE TECNOLOGIA DA INFORMAO

ENCARTE I.

SEGURANA DA INFORMAO

Termo de Compromisso de Confidencialidade e Segurana da Informao.


TERMO DE COMPROMISSO
C O N F I D E N C I A L I D A D E E SE G U R A N A D A I N F O R M A O

IDENTIFICAO DO CONTRATO:
N do Contrato
Nome da Empresa Contratada
CNPJ da Contratada
Objeto resumido
Vigncia Contratual

Digite n do Contrato
Digite Nome da Contratada
Informe objeto CNPJ
Informe objeto resumido
Informe vigncia

TERMOS:
O <Contratante>, sediado em <Endereo Contratante>, CNPJ n. <CNPJ Contratante>, doravante denominado CONTRATANTE, e, de outro lado,
a <Contratada>, sediada em <Endereo Contratada>, CNPJ n. <CNPJ Contratada>, doravante denominada CONTRATADA;
CONSIDERANDO que, em razo do CONTRATO N. <n contrato / ano> doravante denominado CONTRATO PRINCIPAL, a CONTRATADA poder
ter acesso a informaes sigilosas do CONTRATANTE;
CONSIDERANDO a necessidade de ajustar as condies de revelao destas informaes sigilosas, bem como definir as regras para o seu uso e
proteo;
CONSIDERANDO o disposto na Poltica de Segurana da Informao da CONTRATANTE;
Resolvem celebrar o presente TERMO DE COMPROMISSO DE MANUTENO DE SIGILO E CONFIDENCIALIDADE DAS INFORMAES,
doravante TERMO, vinculado ao CONTRATO PRINCIPAL, mediante as seguintes clusulas e condies:
Clusula Primeira DO OBJETO
Constitui objeto deste TERMO o estabelecimento de condies especficas para regulamentar as obrigaes a serem observadas pela
CONTRATADA, no que diz respeito ao trato de informaes sensveis e sigilosas, disponibilizadas pela CONTRATANTE - por fora dos
procedimentos necessrios para a execuo do objeto do CONTRATO PRINCIPAL celebrado entre as partes - segundo o Decreto n 7.845/2012,
de 14/11/2012, que regulamenta procedimentos para credenciamento de segurana e tratamento de informao classificada em qualquer
grau de sigilo, e dispe sobre o Ncleo de Segurana e Credenciamento.
Clusula Segunda DOS CONCEITOS E DEFINIES
Para os efeitos deste TERMO, so estabelecidos os seguintes conceitos e definies:
I.

Informao: o conjunto de dados organizados de acordo com procedimentos executados por meios eletrnicos ou no, que
possibilitam a realizao de atividades especficas e/ou tomada de deciso.

II.

Informao Pblica ou Ostensiva: so aquelas cujo acesso irrestrito, obtida por divulgao pblica ou por meio de canais
autorizados pela CONTRATANTE.

III.

Informaes Sensveis: so todos os conhecimentos estratgicos que, em funo de seu potencial no aproveitamento de
oportunidades ou desenvolvimento nos ramos econmico, poltico, cientfico, tecnolgico, militar e social, possam beneficiar a
Sociedade e o Estado brasileiros.

IV.

Informaes Sigilosas: so aquelas cujo conhecimento irrestrito ou divulgao possam acarretar qualquer risco segurana da
sociedade e do Estado, bem como aquelas necessrias ao resguardo da inviolabilidade da intimidade, da vida privada, da honra e da
imagem das pessoas.

V.

Contrato Principal: contrato celebrado entre as partes, ao qual este TERMO DE COMPROMISSO se vincula.

Clusula Terceira DAS INFORMAES SIGILOSAS


Sero consideradas como informao sigilosa, toda e qualquer informao escrita ou oral, revelada a outra parte, contendo ou no a expresso
confidencial e/ou reservada. O termo INFORMAO abranger toda informao escrita, verbal, ou em linguagem computacional em qualquer
nvel, ou de qualquer outro modo apresentada, tangvel ou intangvel, podendo incluir, mas no se limitando a: know-how, tcnicas,
especificaes, relatrios, publicaes, compilaes, cdigo fonte de programas de computador na ntegra ou em partes, frmulas, desenhos,
projetos, cpias, modelos, amostras de ideias, aspectos financeiros e econmicos, definies, informaes sobre as atividades da
CONTRATANTE e/ou quaisquer informaes tcnicas/comerciais relacionadas/resultantes ou no ao CONTRATO PRINCIPAL, doravante
denominados INFORMAES, a que, diretamente ou pelos seus empregados, a CONTRATADA venha a ter acesso, conhecimento ou que venha
a lhe ser confiada durante e em razo das atuaes de execuo do CONTRATO PRINCIPAL celebrado entre as partes.
1 Comprometem-se as partes a no revelar, copiar, transmitir, reproduzir, utilizar, transportar ou dar conhecimento, em hiptese alguma, a
terceiros, bem como a no permitir que qualquer empregado envolvido direta ou indiretamente na execuo do CONTRATO PRINCIPAL, em
qualquer nvel hierrquico de sua estrutura organizacional e sob quaisquer alegaes, faa uso dessas informaes, que se restringem
estritamente ao cumprimento do CONTRATO PRINCIPAL.
2 As partes devero cuidar para que as informaes sigilosas fiquem restritas ao conhecimento das pessoas que estejam diretamente

Pgina 15

SEGURANA DA INFORMAO

INSTITUTO DO PATRIMNIO HISTRICO E ARTSTICO NACIONALCOMIT


GESTOR DE TECNOLOGIA DA INFORMAO

envolvidas nas atividades relacionadas execuo do objeto do CONTRATO PRINCIPAL.


Pargrafo Terceiro As obrigaes constantes deste TERMO DE COMPROMISSO no sero aplicadas quelas informaes que:
I.

Sejam comprovadamente de domnio pblico no momento da revelao;

II.

Tenham sido comprovada e legitimamente recebidas de terceiros, estranhos ao presente TERMO DE COMPROMISSO;

III.

Sejam reveladas em razo de requisio judicial ou outra determinao vlida do Governo, somente at a extenso de tais ordens,
desde que as partes cumpram qualquer medida de proteo pertinente e tenham sido notificadas sobre a existncia de tal ordem,
previamente e por escrito, dando a esta, na medida do possvel, tempo hbil para pleitear medidas de proteo que julgar cabveis.

Clusula Quarta DOS DIREITOS E OBRIGAES


As partes se comprometem e se obrigam a utilizar a informao sigilosa revelada pela outra parte exclusivamente para os propsitos da
execuo do CONTRATO PRINCIPAL, em conformidade com o disposto neste TERMO DE COMPROMISSO.
1 A CONTRATADA se compromete a no efetuar qualquer tipo de cpia da informao sigilosa sem o consentimento expresso e prvio da
CONTRATANTE.
2 A CONTRATADA compromete-se a dar cincia e obter o aceite formal da direo e empregados que atuaro direta ou indiretamente na
execuo do CONTRATO PRINCIPAL sobre a existncia deste TERMO DE COMPROMISSO bem como da natureza sigilosa das informaes.
I.

A CONTRATADA dever firmar acordos por escrito com seus empregados visando a garantir o cumprimento de todas as disposies
do presente TERMO DE COMPORMISSO e dar cincia CONTRATANTE dos documentos comprobatrios.

3 A CONTRATADA obriga-se a tomar todas as medidas necessrias proteo da informao sigilosa da CONTRATANTE, bem como evitar e
prevenir a revelao a terceiros, exceto se devidamente autorizado por escrito pela CONTRATANTE.
4 Cada parte permanecer como fiel depositria das informaes reveladas outra parte em funo deste TERMO DE COMPROMISSO.
I.

Quando requeridas, as informaes devero retornar imediatamente ao proprietrio, bem como todas e quaisquer cpias
eventualmente existentes.

5 A CONTRATADA obriga-se por si, sua controladora, suas controladas, coligadas, representantes, procuradores, scios, prepostos,
acionistas e cotistas, por terceiros eventualmente consultados, seus empregados, contratados e subcontratados, assim como por quaisquer
outras pessoas vinculadas CONTRATADA, direta ou indiretamente, a manter sigilo, bem como a limitar a utilizao das informaes
disponibilizadas em face da execuo do CONTRATO PRINCIPAL.
6 A CONTRATADA, na forma disposta no pargrafo primeiro, acima, tambm se obriga a:
I.

No discutir perante terceiros, usar, divulgar, revelar, ceder a qualquer ttulo ou dispor das informaes, no territrio brasileiro ou
no exterior, para nenhuma pessoa, fsica ou jurdica, e para nenhuma outra finalidade que no seja exclusivamente relacionada ao
objetivo aqui referido, cumprindo-lhe adotar cautelas e precaues adequadas no sentido de impedir o uso indevido por qualquer
pessoa que, por qualquer razo, tenha acesso a elas;

II.

Responsabilizar-se por impedir, por qualquer meio em direito admitido, arcando com todos os custos do impedimento, mesmo
judiciais, inclusive as despesas processuais e outras despesas derivadas, a divulgao ou utilizao das Informaes Proprietrias por
seus agentes, representantes ou por terceiros;

III.

Comunicar CONTRATANTE, de imediato, de forma expressa e antes de qualquer divulgao, caso tenha que revelar qualquer uma
das informaes, por determinao judicial ou ordem de atendimento obrigatrio determinado por rgo competente; e

IV.

Identificar as pessoas que, em nome da CONTRATADA, tero acesso s informaes sigilosas.

Clusula Quinta DA VIGNCIA


O presente TERMO DE COMPROMISSO tem natureza irrevogvel e irretratvel, permanecendo em vigor desde a data de sua assinatura at
expirar o prazo de classificao da informao a que a CONTRATADA teve acesso em razo do CONTRATO PRINCIPAL.
Clusula Sexta DAS PENALIDADES
A quebra do sigilo e/ou da confidencialidade das informaes, devidamente comprovada, possibilitar a imediata aplicao de penalidades
previstas conforme disposies contratuais e legislao em vigor que trata desse assunto, podendo culminar na resciso do CONTRATO
PRINCIPAL firmado entre as PARTES. Neste caso, a CONTRATADA, estar sujeita, por ao ou omisso, ao pagamento ou recomposio de
todas as perdas e danos sofridos pela CONTRATANTE, inclusive as de ordem moral, bem como as de responsabilidades civil e criminal, as quais
sero apuradas em regular processo administrativo ou judicial, sem prejuzo das demais sanes legais cabveis, conforme Art. 87 da Lei n.
8.666/93.
Clusula Stima DISPOSIES GERAIS
Este TERMO DE COMPROMISSO parte integrante e inseparvel do CONTRATO PRINCIPAL.
1 Surgindo divergncias quanto interpretao do disposto neste instrumento, ou quanto execuo das obrigaes dele decorrentes, ou
constatando-se casos omissos, as partes buscaro solucionar as divergncias de acordo com os princpios de boa f, da equidade, da
razoabilidade, da economicidade e da moralidade.
2 O disposto no presente TERMO DE COMPROMISSO prevalecer sempre em caso de dvida e, salvo expressa determinao em contrrio,
sobre eventuais disposies constantes de outros instrumentos conexos firmados entre as partes quanto ao sigilo de informaes, tais como
aqui definidas.

Pgina 16

INSTITUTO DO PATRIMNIO HISTRICO E ARTSTICO NACIONAL


COMIT GESTOR DE TECNOLOGIA DA INFORMAO

SEGURANA DA INFORMAO

Pargrafo Terceiro Ao assinar o presente instrumento, a CONTRATADA manifesta sua concordncia no sentido de que:
I.

A CONTRATANTE ter o direito de, a qualquer tempo e sob qualquer motivo, auditar e monitorar as atividades da CONTRATADA;

II.

A CONTRATADA dever disponibilizar, sempre que solicitadas formalmente pela CONTRATANTE, todas as informaes requeridas
pertinentes ao CONTRATO PRINCIPAL;

III.

A omisso ou tolerncia das partes, em exigir o estrito cumprimento das condies estabelecidas neste instrumento, no constituir
novao ou renncia, nem afetar os direitos, que podero ser exercidos a qualquer tempo;

IV.

Todas as condies, termos e obrigaes ora constitudos sero regidos pela legislao e regulamentao brasileiras pertinentes;

V.

O presente TERMO DE COMPROMISSO somente poder ser alterado mediante TERMO ADITIVO firmado pelas partes;

VI.

Alteraes do nmero, natureza e quantidade das informaes disponibilizadas para a CONTRATADA no descaracterizaro ou
reduziro o compromisso e as obrigaes pactuadas neste TERMO DE COMPROMISSO, que permanecer vlido e com todos seus
efeitos legais em qualquer uma das situaes tipificadas neste instrumento;

VII.

O acrscimo, complementao, substituio ou esclarecimento de qualquer uma das informaes disponibilizadas para a
CONTRATADA, sero incorporados a este TERMO, passando a fazer dele parte integrante, para todos os fins e efeitos, recebendo
tambm a mesma proteo descrita para as informaes iniciais disponibilizadas, sendo necessrio a formalizao de TERMO
ADITIVO ao CONTRATO PRINCIPAL;

VIII.

Este TERMO DE COMPROMISSO no deve ser interpretado como criao ou envolvimento das Partes, ou suas filiadas, nem em
obrigao de divulgar Informaes Sigilosas para a outra Parte, nem como obrigao de celebrarem qualquer outro acordo entre si.

Clusula Oitava DO FORO


A CONTRATANTE elege o foro da cidade de CIDADE (UF), onde est localizada a sede da CONTRATANTE, para dirimir quaisquer dvidas
originadas do presente TERMO, com renncia expressa a qualquer outro, por mais privilegiado que seja.

OBSERVAES:
Digite observaes, se houver.
DE ACORDO:
E, por assim estarem justas e estabelecidas as condies, o presente TERMO DE COMPROMISSO assinado pelas partes em 02
(duas) vias de igual teor e um s efeito.
CONTRATANTE

CONTRATADA

Local, dia/ms/ano.

Local, dia/ms/ano.

ASSINATURA

ASSINATURA

Nome do Responsvel pelo Contratante


Cargo / Matrcula
Coordenao / Departamento

Nome do Responsvel pela Contratada


Cargo / CPF
Identificao da contratada

Pgina 17

SEGURANA DA INFORMAO

ENCARTE II.

INSTITUTO DO PATRIMNIO HISTRICO E ARTSTICO NACIONALCOMIT


GESTOR DE TECNOLOGIA DA INFORMAO

Termo de Cincia Individual de Confidencialidade e Segurana da Informao.


TERMO DE CINCIA INDIVIDUAL
C O N F I D E N C I A L I D A D E E SE G U R A N A D A I N F O R M A O

IDENTIFICAO DO CONTRATO
N do Contrato:
Empresa Contratada:
CNPJ:
Objeto Resumido:
Vigncia Contratual:

TERMOS
O(s) funcionrio(s) abaixo qualificado(s) declara(m) ter pleno conhecimento de sua(s) responsabilidade(s) no que concerne ao sigilo a ser mantido
sobre as atividades desenvolvidas ou as aes realizadas no mbito do Contrato Administrativo n
/
, bem como sobre todas as
informaes que eventualmente ou por fora de sua(s) funo(es) venha(m) a tomar conhecimento, comprometendo-se a guardar o sigilo
necessrio nos termos da legislao vigente e a prestar total obedincia s normas de segurana da informao vigentes no ambiente do
CONTRATANTE ou que venham a ser implantadas a qualquer tempo por este; em conformidade com o TERMO DE COMPROMISSO DE SEGURANA
DA INFORMAO firmado entre as partes.

OBSERVAES
Digite observaes, se houver.

DE ACORDO
E, por assim estarem justas e estabelecidas as condies, o presente TERMO DE CINCIA assinado pela(s) parte(s) declarante(s) em 02 (duas) vias
de igual teor e um s efeito.

Local, dia/ms/ano.
IDENTIFICAO E ASSINATURA DO(S) DECLARANTE(S)
Nome:
Identidade:
CPF:
Funo:
Nome:
Identidade:
CPF:
Funo:
Nome:
Identidade:
CPF:
Funo:
Nome:
Identidade:
CPF:
Funo:

Pgina 18

Assinatura:

Assinatura:

Assinatura:

Assinatura:

SERVIO PBLICO FEDERAL


MINISTRIO DA CULTURA
INSTITUTO DO PATRIMNIO HISTRICO E ARTSTICO NACIONAL
DEPARTAMENTO DE PLANEJAMENTO E ADMINISTRAO
EDIFCIO IPHAN | SEPS 713/913 ASA SUL |BLOCO D 1 ANDAR | BRASLIA DF | CEP 70.390-135 | www.iphan.gov.br