Entre para ver o resumo
Faça login para acessar o resumo da Okai, disponível para usuários cadastrados.
Aprova a Política de Segurança da Informação do Instituto Nacional de Tecnologia da Informação, definindo princípios, diretrizes e responsabilidades.
Faça login para acessar o resumo da Okai, disponível para usuários cadastrados.
Aprovar a Política de Segurança da Informação no âmbito do Instituto Nacional de Tecnologia da Informação (POSIN-ITI).
O DIRETOR-PRESIDENTE DO INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO - ITI, no uso das atribuições que lhe conferem o inciso VI do art. 13 do Decreto nº 12.103, de 8 de julho de 2024, e o que consta no Processo Administrativo nº 00100.002790/2025-04, resolve:
CAPÍTULO I - DISPOSIÇÕES GERAIS
Art. 1º. A Política de Segurança da Informação do Instituto Nacional de Tecnologia da Informação (POSIN-ITI) estabelece os princípios, diretrizes e responsabilidade na gestão da segurança da informação.
Art. 2º São objetivos da POSIN-ITI:
I. proteger os ativos de informação e conhecimentos gerados ou recebidos pelo Instituto Nacional de Tecnologia da Informação (ITI);
II. preservar os atributos de disponibilidade, integridade, confidencialidade e autenticidade das informações;
III. definir competências e responsabilidades quanto à segurança da informação;
IV. nortear a elaboração das normas necessárias à efetiva implementação da segurança da informação;
V. promover o alinhamento das ações de segurança da informação com as estratégias de planejamento organizacional do Instituto;
VI. assegurar a conformidade legal com a Lei nº 13.709/2018 (LGPD) e demais normas de proteção de dados e privacidade;
VII. promover a gestão de riscos de segurança da informação baseada em avaliação e tratamento documentado de riscos, e;
VIII. garantir a observância aos princípios da Lei nº 12.527/2011 (LAI) quanto ao acesso à informação pública.
Art. 3º A POSIN-ITI aplica-se a todos os ativos de informação, serviços, processos e ambientes físicos ou lógicos pertencentes ou sob a custódia do ITI.
Parágrafo único. A POSIN-ITI não se aplica aos ativos de informação, serviços, processos e ambientes tecnológicos do ITI afetados a sua atuação como Autoridade Certificadora Raiz (AC-Raiz) da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), submetidos a regramento especial próprio
Art. 4º A POSIN-ITI aplica-se à todas as unidades organizacionais do ITI, bem como terceiros com o qual o ITI mantenha relações institucionais ou contratuais, abrangendo servidores públicos, empregados, estagiários, prestadores de serviços, colaboradores e quaisquer pessoas que, em caráter permanente ou temporário, acessem, tratem ou processem dados, informações ou recursos do ITI.
Parágrafo único. O acesso aos ativos de informação ou aos ambientes físicos ou lógicos do ITI somente poderá ocorrer mediante prévia assinatura de Termo de Conhecimento e Responsabilidade (TCR).
Art. 5º As unidades organizacionais poderão propor ao Subcomitê de Governança Digital e Segurança da Informação (SGDSI) normas especiais com a finalidade de atender demandas e requisitos específicos dos Ativos de Informação e Ambientes Tecnológicos do ITI.
Art. 6º Para cada um dos processos que constituem a Gestão de Segurança da Informação, deve ser observada a pertinência de elaboração de políticas, normas, procedimentos, orientações ou manuais que disciplinem ou facilitem o seu entendimento em conformidade com a legislação vigente e boas práticas de segurança da informação.
Parágrafo único. A estrutura normativa será dividida em três categorias:
I. Política no nível estratégico;
II. Normas Complementares de Segurança da Informação (NCSI) no nível tático;
III. Regulamentos ou Manuais de Procedimentos no nível operacional.
Art. 7º Para efeito desta POSIN-ITI, aplicam-se os termos e definições constantes no Glossário de Segurança da Informação, aprovado pela Portaria GSI/PR nº 93, de 18 de outubro de 2021, e nas normas técnicas ABNT NBR ISO/IEC da família 27000.
CAPÍTULO II - ESTRUTURA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Seção I - Estrutura
Art. 8º A estrutura de Gestão de Segurança da Informação é composta por:
I. Comitê de Gestão Estratégica (CGE);
II. Subcomitê de Governança Digital e Segurança da Informação (SGDSI);
III. Gestor de Segurança da Informação (GSI);
IV. Gestor de Tecnologia da Informação e Comunicação,
V. Encarregado pelo Tratamento de Dados Pessoais
VI. Responsável pela Unidade de Controle Interno;
VII. Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos (ETIR)
VIII. Oficiais de Segurança da Informação e Resposta a Incidentes (OSIRI) e;
IX. Usuários de Tecnologia da Informação.
Seção II - Competências e Responsabilidades
Art. 9º Compete ao Gestor de Segurança da Informação (GSI), sem prejuízo de outras atribuições dispostas na legislação vigente, em especial àquelas previstas na Instrução Normativa GSI/PR nº 1, de 27 de maio de 2020:
I. Coordenar os processos de gestão de segurança da informação e a elaboração/revisão da POSIN-ITI e de suas normas específicas;
II. Promover e incentivar a cultura de segurança da informação e o uso seguro dos ativos de informação no ITI;
III. Coordenar e acompanhar os trabalhos da ETIR e do SGDSI, nos temas relacionados à segurança da informação no ITI;
IV. Propor à Alta Administração a alocação coordenada dos recursos financeiros, tecnológicos e humanos necessários para a implementação e manutenção das ações de segurança da informação;
V. Acompanhar investigações e avaliações de danos decorrentes de incidentes ou quebras de segurança bem como a aplicação das ações corretivas e administrativas cabíveis;
VI. Articular ações de capacitação e profissionalização contínua de recursos humanos em temas relacionados à segurança da informação, em conjunto com as áreas de comunicação e gestão de pessoas;
VII. Monitorar a conformidade das práticas de segurança e os resultados de auditorias internas, avaliando a eficácia dos controles e propondo melhorias contínuas;
VIII. Atuar como ponto de contato principal com o Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República (GSI/PR) e Centro Integrado de Segurança Cibernética do Governo Digital (CISC Gov.br) para assuntos de segurança da informação;
IX. Avaliar e decidir sobre casos omissos e dúvidas referentes à interpretação da POSIN-ITI e seus normativos específicos.
Art. 10 Compete aos Oficiais de Segurança da Informação e de Resposta a Incidentes (OSIRI), compostos por servidores representantes de cada diretoria e do Gabinete, que atuarão de forma descentralizada e colaborativa como pontos focais nos assuntos de segurança da informação e resposta a incidentes em suas respectivas unidades, cujas competências e responsabilidades serão definidas em normativo específico.
§ 1º Os indicados a serem OSIRI terão prioridade nas capacitações, eventos e intercâmbios dentro do planejamento anual de capacitações do ITI, desde que relacionados às suas atividades e competências.
Parágrafo único. As competências e nomeação dos membros titulares e suplentes do OSIRI será formalizada por meio de ato administrativo específico.
Art. 11 Compete ao CGE fornecer os recursos necessários para assegurar o desenvolvimento e a implementação da Gestão de Segurança da Informação do ITI, bem como o tratamento das ações e decisões de segurança da informação em um nível de relevância e prioridade adequados, e formalizar e aprovar esta Política de Segurança da Informação do ITI, bem como suas alterações e atualizações.
Art. 12 A estrutura e competências do SGDSI são aquelas previstas no Art. 6º da Portaria ITI nº 52, de 11 de setembro de 2025.
Art. 13 Compete ao Gestor de Tecnologia da Informação e Comunicação, dentre outras atribuições dispostas na legislação vigente, em especial ao disposto na Portaria SGD/MGI nº 9.511/2025 planejar, desenvolver, executar e monitorar as medidas de privacidade e segurança da informação em soluções de tecnologia da informação e comunicação, considerando inclusive a cadeia de suprimentos relacionada à solução.
Art. 14 As competências do Encarregado pelo Tratamento dos Dados Pessoais, são aquelas dispostas na Política de Privacidade do ITI dentre outras atribuições dispostas na legislação vigente, em especial ao disposto na Lei nº 13.709/2018 e demais normativos e orientações emitidas pela Autoridade Nacional de Proteção de Dados, e nos normativos internos relacionados.
Parágrafo único. Compete ainda ao Encarregado pelo Tratamento de Dados Pessoais atuar como canal de comunicação exclusivo entre o ITI, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), inclusive no que se refere à comunicação de incidentes de segurança que envolvam dados pessoais.
Art. 15 Compete ao Responsável pela Unidade de Controle Interno, dentre outras atribuições dispostas na legislação vigente, apoiar, supervisionar e monitorar as atividades desenvolvidas pela primeira linha de defesa prevista pela Instrução Normativa CGU nº 3, de 9 de junho de 2017.
Art. 16 Compete aos usuários dos ativos de informação conhecer, cumprir e fazer cumprir esta Política e às demais normas específicas de segurança da informação do ITI.
Parágrafo único. Todos os usuários são responsáveis pela segurança dos ativos de informação que estejam sob a sua responsabilidade.
Art. 17 Compete aos responsáveis por informações produzidas ou custodiadas pelo ITI assegurar a segurança das informações, classificar as informações e definir procedimentos e critérios de acesso observados os dispositivos legais e normativos relativos à confidencialidade e a outros critérios de classificação pertinentes, propor regras específicas para o uso das informações e definir os requisitos de segurança da informação necessários ao negócio com base em critérios de aceitação e tratamento de riscos inerentes aos processos de trabalho.
Art. 18 São responsabilidades do custodiante da informação assegurar a segurança da informação sob sua posse conforme os critérios definidos pelo respectivo responsável pela informação, comunicar tempestivamente ao responsável pela informação sobre eventos que comprometam a segurança das informações sob custódia e comunicar ao responsável pela informação eventuais limitações para o cumprimento dos critérios por ele definidos com vistas à proteção da informação.
Art. 19 São responsabilidades dos dirigentes das unidades e demais gestores do ITI, no que se refere à segurança da informação, conscientizar servidores e quaisquer colaboradores sob sua supervisão em relação aos conceitos e às práticas de segurança da informação, incorporar aos processos de trabalho de sua unidade ou de sua área práticas inerentes à segurança da informação e tomar as medidas administrativas necessárias para que sejam adotadas ações corretivas em tempo hábil em caso de comprometimento da segurança da informação.
CAPÍTULO III - PRINCÍPIOS E DIRETRIZES
Seção I - Princípios
Art. 20 As ações de segurança da informação do ITI são norteadas pelos princípios constitucionais e administrativos que regem a Administração Pública Federal, bem como pelos seguintes princípios específicos:
I. disponibilidade, integridade, confidencialidade e autenticidade das informações;
II. continuidade dos processos e serviços essenciais para o funcionamento do ITI;
III. economicidade da proteção dos ativos de informação;
IV. respeito ao acesso à informação, à proteção de dados pessoais e à proteção da privacidade;
V. observância da publicidade como preceito geral e do sigilo como exceção;
VI. responsabilidade do usuário de informação pelos atos que comprometam a segurança dos ativos de informação;
VII. alinhamento estratégico da Política de Segurança da Informação com o planejamento estratégico do ITI;
VIII. conformidade das normas e das ações de segurança da informação com a legislação e regulamentos aplicáveis;
IX. privilégio mínimo e necessidade de conhecer;
X. governança pública, em especial a segregação de funções e prevenção do conflito de interesses, e;
XI. educação, capacitação e comunicação como alicerces fundamentais para o fomento da cultura de segurança da informação.
Art. 21 As normas, procedimentos, manuais e metodologias de segurança da informação do ITI devem considerar, como referência, além da legislação aplicável, as melhores práticas de segurança da informação nacionais e internacionais.
Parágrafo único. As ações de segurança da informação devem considerar prioritariamente os objetivos estratégicos, os planos institucionais, a estrutura e a finalidade do ITI, ser tratadas de forma integrada respeitando as especificidades e a autonomia das unidades, ser adotadas proporcionalmente aos riscos existentes e à magnitude dos danos potenciais, e visar à prevenção da ocorrência de incidentes.
Seção II - Gestão de Ativos de Informação
Art. 22 Ativos de informação são todos os meios de armazenamento, transmissão e processamento da informação, equipamentos necessários a isso, sistemas utilizados para tal, locais onde se encontram esses meios, recursos humanos que a eles têm acesso e conhecimento ou dado que tem valor para um indivíduo ou organização
§ 1º Toda e qualquer informação gerada, custodiada, manipulada, utilizada ou armazenada no ITI compõe o seu rol de ativos de informação e deve ser protegida conforme normas em vigor.
§ 2º As informações que tramitem pelo ambiente computacional do ITI são passíveis de monitoramento e auditoria, respeitados os limites legais e os direitos e garantias individuais previstos em lei.
§ 3º Os ativos de informação do ITI devem ser inventariados, protegidos, possuir responsável definido para sua gestão e ter o acesso controlado para assegurar que somente pessoas autorizadas possam deles se utilizar.
Seção III - Controle de Acesso e Gestão de Credenciais
Art. 23 Pessoas e sistemas devem ter o menor privilégio e o mínimo acesso aos recursos necessários para realizar uma dada tarefa, observado o princípio da necessidade de conhecer.
§1º. O acesso aos ativos de informação ou aos ambientes físicos ou lógicos do ITI somente poderá ocorrer mediante a prévia assinatura do Termo de Conhecimento e Responsabilidade (TCR), na forma do Anexo II.
§2º O TCR deverá ser assinado digitalmente, com o uso de assinatura qualificada ou avançada Gov.br.
Seção IV - Plano de Conscientização em Segurança da Informação
Art. 24 A POSIN-ITI e suas atualizações, bem como normas específicas de segurança da informação e privacidade do ITI, devem ser objeto de ampla e constante divulgação, a fim de promover sua observância, seu conhecimento e a formação da cultura de segurança da informação.
Parágrafo único. Deverá ser instituído um plano de conscientização, proposto pelo GSI e aprovado pelo CGE, que abrangerá ações e cursos sobre os procedimentos de segurança, boas práticas e uso adequado dos ativos de informação necessários ao desempenho de suas atribuições, de modo a capacitar, treinar e conscientizar continuamente os usuários de informação a fim de fortalecer o comportamento seguro, reduzir vulnerabilidades humanas e minimizar potenciais riscos à segurança da informação e à privacidade.
Seção V - Contratos e Aquisições
Art. 25 Os contratos de prestação de serviços, convênios, acordos de cooperação e outros instrumentos congêneres firmados pelo ITI conterão cláusula específica sobre a obrigatoriedade de atendimento a esta POSIN-ITI e adequação à LGPD, bem como às suas normas decorrentes.
Parágrafo único. A contratação de serviços deve considerar os critérios de segurança da informação definidos nesta POSIN-ITI, incluindo requisitos específicos quando houver tratamento de informações classificadas ou de dados pessoais, sem prejuízo de necessidades específicas das unidades organizacionais demandantes.
CAPÍTULO IV - SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Seção I - Processos do Sistema de Gestão de Segurança da Informação
Art. 26 O Sistema de Gestão de Segurança da Informação (SGSI) do ITI deverá ser constituído por processos baseados nos guias de melhores práticas de segurança da informação e normas nacionais e internacionais correlatas, que devem ser adaptadas às necessidades e especificidades do ITI.
§ 1º Os processos do SGSI são interdependentes, poderão ser implementados gradativamente, e devem ser monitorados de forma a permitir sua melhoria contínua.
§ 2º O Subcomitê de Governança Digital e Segurança da Informação (SGDSI) definirá o SGSI, em especial sua estrutura e processos, que devem estar alinhados aos princípios e às diretrizes desta POSIN-ITI e destinados à implementação de ações de segurança da informação.
§ 4º O SGSI deve se comunicar e ser executado de maneira coordenada com o Sistema de Gestão da Proteção de Dados (SGPD) a ser estabelecido pelo ITI.
Seção II - Classificação da Informação e Governança de Dados
Art. 27 A Classificação da Informação tem por objetivo assegurar que a informação receba um nível adequado de proteção, conforme seu valor, requisitos legais, sensibilidade e criticidade para a organização, observando os princípios estabelecidos na legislação aplicável.
Art. 28 A Governança de Dados é definida como o exercício de autoridade, controle e tomada de decisão compartilhada (planejamento, monitoramento e fiscalização) sobre o gerenciamento de ativos de dados e tem por objetivo estabelecer um ecossistema de dados sustentável, confiável e seguro.
Parágrafo único. As diretrizes acerca da classificação e tratamento da informação e governança de dados serão objeto de regulamentação específica pelo SGDSI.
Seção III - Privacidade e Proteção de Dados Pessoais
Art. 29 A proteção de dados pessoais tem o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, em conformidade com a Lei nº 13.709/2018.
Parágrafo único. As diretrizes acerca de proteção de dados pessoais serão objeto de regulamentação específica pela SGDSI
Seção IV - Gestão de Riscos de Segurança da Informação
Art. 30 A gestão de riscos de segurança da informação tem por objetivo identificar os riscos que possam comprometer a confidencialidade, a integridade, a disponibilidade ou a autenticidade da informação, priorizando seu tratamento com base em critérios para aceitação de riscos compatíveis com os objetivos institucionais.
§ 1º Os controles de segurança da informação devem ser planejados, aplicados, implementados e, periodicamente, avaliados de acordo com os objetivos institucionais e os riscos para o ITI.
§ 2º O processo de gestão de riscos de segurança da informação deve ser contínuo e aplicado na implementação e operação da Gestão de Segurança da Informação, contemplando inclusive as contratações de soluções de Tecnologia da Informação.
§ 3º A gestão de riscos de segurança da informação deve resultar na identificação de requisitos de segurança da informação e na seleção de controles de segurança, com o objetivo de redução do risco ao nível aceitável.
§ 4º As diretrizes acerca da gestão de riscos de segurança da informação devem estar alinhadas à Política de Gestão de Riscos do ITI e serão objeto de regulamentação específica pelo SGDSI.
Seção V - Gestão de Incidentes
Art. 31 A gestão de incidentes em segurança da informação e violações à privacidade tem por objetivo assegurar que fragilidades e incidentes de segurança da informação, que tratem ou não dados pessoais (violações à privacidade), sejam identificados, para permitir a tomada de ação corretiva em tempo hábil, bem como a melhoria de controles e processos de segurança da informação.
§ 1º Os incidentes notificados ou detectados deverão ser registrados, classificados de acordo com sua relevância e priorizados pela equipe responsável por seu tratamento.
§ 2º Durante o gerenciamento de incidentes de segurança da informação, havendo indícios de ilícitos criminais, a Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos (ETIR) em como dever acionar as autoridades competentes para a adoção dos procedimentos legais julgados necessários, observar os procedimentos para preservação das evidências e priorizar a continuidade dos serviços do ITI.
§ 3º Autoridades, servidores, colaboradores do Instituto e quaisquer pessoas que tenham acesso a informações do ITI serão responsáveis por informar imediatamente à ETIR os incidentes em segurança da informação de que tenham ciência ou suspeita, e colaborar, na respectiva área de competência, na identificação e no tratamento de incidentes.
Seção VI - Gestão de Continuidade de Negócios, Segurança em Tecnologia da Informação e Comunicações
Art. 32 A gestão de continuidade de negócios em segurança da informação tem por objetivo garantir níveis adequados de disponibilidade, integridade, confidencialidade e autenticidade das informações essenciais ao funcionamento dos processos críticos de negócio do ITI.
§ 1º O ITI deverá elaborar e manter Programa de Gestão de Continuidade de Negócios (GCN), composto por:
I. Plano de Gerenciamento de Incidentes de Segurança da Informação;
II. Plano de Continuidade e Recuperação de Tecnologia da Informação e Comunicações;
§ 2º Os planos definidos no parágrafo anterior deverão ser avaliados, testados e revisados periodicamente, visando a reduzir riscos de perda de confidencialidade, integridade e disponibilidade dos ativos de informação.
Art. 33 A segurança em tecnologia da informação e comunicações tem por objetivo adotar medidas e controles tecnológicos para proteger as informações, inclusive em meio eletrônico.
§ 1º Diretrizes e procedimentos para o uso de ativos de informação e serviços digitais sujeitam-se, no que couber, aos comandos desta POSIN-ITI, e serão objeto de regulamentação específica pelo SGDSI.
§ 2º O acesso aos dados e informações produzidas ou custodiadas pelo ITI se submete a controles administrativos e tecnológicos definidos de acordo com a respectiva classificação.
§ 3º A utilização dos ativos de informação e de rede ITI pode ser monitorada pela unidade responsável pela Tecnologia da Informação com vistas a identificar inobservâncias a esta POSIN-ITI e a fornecer evidências no caso de incidentes de segurança da informação, respeitados os direitos e as garantias individuais previstos em lei.
§ 4º Os sistemas de informação desenvolvidos, internalizados e mantidos pelo ITI devem ter sua segurança especificada, analisada e testada em todo seu ciclo de vida e estar em conformidade com os requisitos contratuais e a legislação em vigor.
§ 5º O desenvolvimento e disponibilização de softwares devem:
I. Buscar, de maneira escalonada, a padronização e uniformização dos ambientes de desenvolvimento, homologação e produção do ITI;
II. Buscar a incorporação de princípios de segurança por design e por padrão;
III. Buscar a incorporação de princípios de privacidade por design e por padrão.
Seção VII - Uso Seguro e Responsável da Inteligência Artificial
Art. 34 Os sistemas de inteligência artificial (IA), em uso ou em desenvolvimento, devem ter responsáveis designados, cabendo a eles monitorarem a utilização e o desenvolvimento de forma segura e responsável a fim de garantir o alinhamento com os objetivos estratégicos do ITI.
§ 1º A gestão de riscos relacionados ao uso de inteligência artificial deve ser realizada de maneira contínua, abrangendo as fases de análise, avaliação e tratamento, alinhando-se às diretrizes de IA responsável disponíveis.
§ 2º Os sistemas de IA, que apresentem riscos relevantes, devem passar por análise de impacto algorítmico (AIA), e as recomendações provenientes dessa análise devem ser acompanhadas dentro de um programa de monitoramento formal.
§ 3º O ITI compromete-se a não publicar ou explorar modelos de inteligência artificial que possam causar danos à democracia, gerar desinformação, relacionar-se a armamentos ou violência física, promover vigilância massiva estatal ou privada ou violar direitos fundamentais dos cidadãos.
§ 4º Para assegurar a segurança e a conformidade, será estabelecido um programa de monitoramento contínuo das soluções de inteligência artificial, capaz de detectar e responder a comportamentos suspeitos ou anômalos.
§ 5º As aplicações de inteligência artificial devem implementar controles que garantam a conformidade com as normatizações aplicáveis, prevendo mecanismos de segurança e privacidade que protejam os dados e evitem exposições indevidas de usuários ou terceiros.
§ 6º As diretrizes acerca da implementação de sistemas de IA de forma segura, confiável e responsável serão objeto de regulamentação específica pelo SGDSI.
CAPÍTULO V - VEDAÇÕES E PENALIDADES
Art. 35. É vedada a utilização ativos de informação e de rede disponibilizados pelo ITI para acesso, guarda e divulgação de material incompatível que viole direitos autorais ou que infrinja a legislação vigente.
§1º São vedados o uso, a instalação e a configuração de ativos de informação não autorizados ou permitidos pelo ITI.
§ 2º É vedada a divulgação ou transferência a terceiros de mecanismos de identificação, autenticação e autorização baseados em usuário e senha ou certificação digital, de uso pessoal e intransferível, fornecidos pelo ITI aos seus servidores ou colaboradores.
§ 3º É vedada a exploração de eventuais vulnerabilidades, as quais devem ser comunicadas à ETIR assim que identificadas.
§ 4º Compete ao SGDSI estabelecer os requisitos e procedimentos para o uso, instalação e configuração de ativos de informação, a que se refere o §1º.
Art. 36. As denúncias de violação a esta POSIN-ITI devem ser comunicadas à ETIR através dos canais oficiais de comunicação do ITI.
Art. 37. O uso indevido dos recursos tecnológicos ou o descumprimento desta política, causando ou não algum tipo de prejuízo à segurança da informação ou à privacidade de dados pessoais, resultará na aplicação de sanção prevista em normativos internos e na legislação vigente.
Parágrafo único. A não observância dos dispositivos desta POSIN-ITI sujeita os infratores, isolada ou cumulativamente, a sanções administrativas, civis e penais, nos termos da legislação pertinente, assegurados aos envolvidos o contraditório e a ampla defesa.
CAPÍTULO VI - DISPOSIÇÕES FINAIS
Art. 38 As informações produzidas por qualquer pessoa com vínculo permanente ou transitório com o Instituto que tenha acesso, de forma autorizada, às informações ou às dependências do ITI, no exercício de suas atribuições, são patrimônio intelectual do Instituto e não cabe a seus criadores qualquer forma de direito autoral, ressalvado o reconhecimento da autoria, se for o caso.
Art. 39 Esta Política será revisada periodicamente, no mínimo a cada quatro (4) anos, ou com mais frequência se necessário, para refletir as mudanças no ambiente do ITI, nos riscos à segurança da informação e nas melhores práticas de segurança da informação.
Art. 40 Os casos omissos e as dúvidas sobre esta POSIN-ITI e seus normativos correlatos devem ser submetidos para avaliação do Gestor de Segurança da Informação (GSI).
Art. 41 As adequações às determinações estabelecidas nessa POSIN-ITI devem ser planejadas e implementadas de maneira escalonada e gradativa em planos de ação específicos, elaborados por cada diretoria do ITI, cujo prazo de conclusão não excederá a dois (2) anos.
Parágrafo único. Os planos de ações das diretorias serão apresentados ao SGDSI e submetidos à aprovação pelo CGE.
Art. 42 Esta Minuta de Portaria entra em vigor na data de sua publicação.
[MODELO] TERMO DE CONHECIMENTO E RESPONSABILIDADE (TCR)
Pelo presente Termo, na qualidade de USUÁRIO ou CUSTODIANTE de informações do Instituto Nacional de Tecnologia da Informação (ITI), declaro:
1. DO CONHECIMENTO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
1.1. Declaro ter pleno CONHECIMENTO da Política de Segurança da Informação do ITI (POSIN-ITI), suas normas es e procedimentos correlatos.
2. DAS CREDENCIAIS DE ACESSO
2.1. Declaro que, mediante autorização superior, estou recebendo credenciais de acesso com privilégios adequados ao exercício de minhas atividades funcionais, comprometendo-me a utilizá-las exclusivamente para tal finalidade.
2.2. Comprometo-me a não compartilhar, divulgar ou transferir minhas credenciais de acesso a terceiros, sob qualquer circunstância.
3. DO COMPROMISSO DE SIGILO
3.1. Comprometo-me a manter sigilo absoluto sobre todas as informações a que tiver acesso em razão de minhas atividades, sejam elas classificadas, sensíveis ou de uso interno, não as divulgando a terceiros não autorizados.
3.2. O compromisso de sigilo permanece válido mesmo após o término do vínculo funcional com o ITI, por prazo indeterminado, salvo quando a informação for tornada pública por meio oficial.
3.3. Comprometo-me a observar os preceitos da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais - LGPD) no tratamento de dados pessoais a que tiver acesso.
4. DO MONITORAMENTO E AUDITORIA
4.1. Declaro estar ciente de que minhas ações nos sistemas e recursos de tecnologia da informação do ITI poderão ser monitoradas, registradas e auditadas, em conformidade com a POSIN-ITI e a legislação vigente.
4.2. Reconheço que toda ação realizada mediante minha autenticação e autorização é de minha inteira responsabilidade.
5. DAS RESPONSABILIDADES
5.1. Comprometo-me a não realizar, por iniciativa própria, qualquer tentativa de modificação da configuração, física ou lógica, dos recursos computacionais do ITI sem a devida autorização da área técnica competente.
5.2. Responsabilizo-me pelos danos que vier a causar ao ITI, a terceiros ou à Administração Pública em decorrência do descumprimento das normas estabelecidas na POSIN-ITI e neste Termo.
6. DAS SANÇÕES
6.1. Declaro estar ciente de que o descumprimento das obrigações aqui assumidas poderá ensejar a aplicação de sanções administrativas, civis e penais cabíveis, nos termos da legislação vigente.
7. DISPOSIÇÕES FINAIS
7.1. Este Termo entra em vigor na data de sua assinatura e permanece válido durante todo o período de vínculo com o ITI e, no que tange ao sigilo, por prazo indeterminado após seu término.
7.2. Declaro, por fim, ter lido e compreendido integralmente o conteúdo deste Termo, aceitando todas as suas condições.
Brasília - DF, _____ de ________________ de _________.
Nome: ___________________________________________________________
CPF: ______________________________ Lotação________________________
E-mail institucional: ________________________________________________
_______________________________________
Assinado Eletronicamente
Nenhum item vinculado a este artefato.