Altera a Portaria nº 287, de 4 de abril de 2025, que institui a Política de Segurança da Informação - POSIN no âmbito do Ministério dos Transportes.
O MINISTRO DE ESTADO DOS TRANSPORTES, no uso das atribuições que lhe confere o art. 87, parágrafo único, incisos I e II, da Constituição Federal de 1988, e tendo em vista o disposto no Decreto nº 11.360, de 1º de janeiro de 2023, no art. 2º do Decreto nº 12.198, de 24 de setembro de 2024, no inciso III do art. 3º do Decreto nº 7.579, de 11 de outubro de 2011, na Instrução Normativa GSI/PR nº 1, de 27 de maio de 2020, e no processo nº 50000.015604/2024-12, resolve:
Art. 1º O art. 2º da Portaria nº 287/2025 passa a vigorar com a seguinte redação:
"Art. 2º Para os fins do disposto nesta Portaria, conforme o art. 2º do Decreto nº 12.572, de 4 de agosto de 2025, a segurança da informação abrange a segurança:
I - dos dados, dos ativos de informação e dos processos organizacionais;
II - do ambiente físico e eletrônico que contenha ativos de informação; e
III - do pessoal envolvido no ciclo de vida da informação." (NR)
Art. 2º Ficam acrescidos ao CAPÍTULO III da Portaria nº 287, de 4 de abril de 2025, a Seção XIII-A e o art. 45-A, com a seguinte redação:
"Seção XIII-A
Do Programa de Governança em Segurança da Informação - PGSI
Art.45-A. O Ministério dos Transportes deverá instituir e implementar o Programa de Governança em Segurança da Informação - PGSI.
§ 1º O PGSI será formalizado em documento próprio e deverá contemplar, no mínimo:
I - observância ao disposto no art. 45 da Instrução Normativa GSI/PR nº 3, de 28 de maio de 2021, ou norma que a substitua;
II - definição de papéis e responsabilidades dos agentes públicos envolvidos em sua execução;
III - estabelecimento de prazos para realização das ações, além da programação para implementação dos controles e medidas de segurança da informação do PPSI;
IV - especificação de indicadores de desempenho, como o iSeg, a serem medidos ao longo da execução do Programa; e
V - previsão de revisão e atualização contínua com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas de suas ações." (NR)
Art. 3º O art. 46 da Portaria nº 287, de 4 de abril de 2025, passa a vigorar com a seguinte redação:
"Art. 46. A estrutura de governança da segurança da informação no Ministério dos Transportes integra a governança institucional do órgão e será composta pelos seguintes atores:
I - a Alta Administração;
II - o Gestor de Tecnologia da Informação e Comunicação - TIC;
III - o Gestor de Segurança da Informação;
IV - o Encarregado pelo Tratamento de Dados Pessoais;
V - o Responsável Setorial pela Gestão da Integridade;
VI - a Equipe de Prevenção, Tratamento e Resposta a Incidentes de Segurança da Informação - ETIR; e
VII - o Comitê de Governança Digital e Segurança da Informação - CGDSI." (NR)
Art. 4º Fica revogado o inciso VII do § 2º do art. 47 da Portaria nº 287, de 4 de abril de 2025.
Art. 5º O art. 47 da Portaria nº 287, de 4 de abril de 2025, passa a vigorar com as seguintes alterações:
"Art. 47. Ao Comitê de Governança Digital e Segurança da Informação, instituído na forma do art. 10, inciso II, do Decreto nº 12.572, de 4 de agosto de 2025, e do art. 5º do Decreto nº 12.198, de 24 de setembro de 2024, compete:
..........................................................................................................................
§2º ...................................................................................................................
I - o Subsecretário de Gestão Estratégica, Tecnologia e Inovação, representante da Secretaria-Executiva, que o coordenará e exercerá a função de Gestor de Segurança da Informação;
II - o Coordenador-Geral de Governança e Controladoria de TIC, representante da Subsecretaria de Gestão Estratégica, Tecnologia e Inovação;
III - um representante da Secretaria Nacional de Transporte Rodoviário;
IV - um representante da Secretaria Nacional de Transporte Ferroviário;
V - um representante da Secretaria Nacional de Trânsito; e
VI - o Ouvidor, encarregado pelo tratamento de dados pessoais de que trata a Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD);
§3º ............................................................................................................................
I - o Coordenador-Geral de Governança e Controladoria de TIC, representante da Secretaria Executiva, substituto;
II - o Coordenador-Geral de Dados e Inovação, representante da Subsecretaria de Gestão Estratégica, Tecnologia e Inovação;
III - o substituto legal do representante da Secretaria Nacional de Transporte Rodoviário;
IV - o substituto legal do representante da Secretaria Nacional de Transporte Ferroviário;
V - o substituto legal do representante da Secretaria Nacional de Trânsito;
VI - o substituto legal do Ouvidor, encarregado do tratamento de dados pessoais substituto; e
VII - o Coordenador-Geral de Tecnologia da Informação, na qualidade de Gestor de Segurança da Informação substituto." (NR)
Art. 6º Fica acrescido o art. 47-A à Portaria nº 287, de 4 de abril de 2025, com a seguinte redação:
"Art. 47-A. Ficam acrescidas às competências previstas no art. 20 da Portaria nº 1.166, de 5 de dezembro de 2023, aquelas relativas à supervisão da implementação, do cumprimento e da atualização da Política de Segurança da Informação - POSIN, a serem exercidas pelo Comitê de Governança Digital e Segurança da Informação - CGDSI.
........................................................................................................................"(NR)
Art. 7º Os incisos XIII e XIV do art. 48 da Portaria nº 287, de 4 de abril de 2025, passam a vigorar com a seguinte redação, ficando o artigo acrescido dos incisos XV e XVI:
"Art.48.................................................................................................................
.............................................................................................................................
XIII - promover a melhoria contínua dos processos de gestão de segurança da informação e propor ajustes corretivos a serem incluídos nas revisões desta POSIN;
XIV - propor conteúdo sobre segurança da informação, com vistas a facilitar a capacitação e a instrução dos servidores e colaboradores para a utilização de sistemas corporativos e acesso a informações nos níveis físico e lógico, em conformidade com as diretrizes da POSIN;
XV - conduzir o diagnóstico de segurança da informação em conformidade com o Programa de Privacidade e Segurança da Informação - PPSI; e
XVI - instituir a Equipe de Prevenção, Tratamento e Resposta a Incidentes de Segurança da Informação - ETIR do órgão e acompanhar seus trabalhos."(NR)
Art. 8º O art. 53 da Portaria nº 287, de 4 de abril de 2025, passa a vigorar com a seguinte redação:
"Art. 53. À alta administração compete gerir os riscos no âmbito organizacional, fornecer os recursos necessários para assegurar a gestão da privacidade e da segurança da informação, viabilizar a implementação da estrutura de governança do PPSI e adotar decisões sobre privacidade e segurança da informação em um nível de relevância e prioridade adequadas e alinhadas com a estratégia e com a consecução dos objetivos do órgão ou entidade no cumprimento da sua missão institucional." (NR)
Art. 9º Fica revogado o art. 54 da Portaria nº 287, de 4 de abril de 2025.
Art. 10. Ficam acrescidas ao CAPÍTULO IV da Portaria nº 287, de 4 de abril de 2025, as Seções IV-A, IV-B e IV-C e os arts. 56-A, 56-B e 56-C, com a seguinte redação:
"Seção IV-A
Do Gestor de Tecnologia da Informação e Comunicação
Art. 56-A. Ao Gestor de Tecnologia da Informação e Comunicação compete planejar, desenvolver, executar e monitorar as medidas de privacidade e segurança da informação em soluções de tecnologia da informação e comunicação, considerando inclusive a cadeia de suprimentos relacionada à solução.
Seção IV-B
Do Encarregado pelo Tratamento de Dados Pessoais
Art. 56-B. Ao encarregado pelo tratamento de dados pessoais compete conduzir o diagnóstico de privacidade, bem como orientar os agentes de tratamento no planejamento, implementação e monitoramento das medidas de privacidade.
Seção IV-C
Do responsável setorial pela gestão da integridade
Art. 56-C. Ao responsável setorial pela gestão da integridade compete o diagnóstico das medidas relativas à estruturação básica e instrumentos fundamentais de governança do PPSI, além da coordenação e gestão dos riscos para a integridade relacionados aos temas." (NR)
Art. 11. O Anexo II - Termo de Responsabilidade da Portaria nº 287, de 4 de abril de 2025, passa a vigorar com a redação constante do Anexo desta Portaria.
Art. 12. Esta Portaria entra em vigor na data de sua publicação.
ANEXO
TERMO DE RESPONSABILIDADE
Pelo presente instrumento, eu,________________________________, CPF/CIN nº _________________, lotado(a) no(a) _____________________________, deste Ministério, na função de USUÁRIO ou CUSTODIANTE de informações do Ministério dos Transportes, declaro que tenho pleno CONHECIMENTO da Política de Segurança da Informação, conforme estabelecido na PORTARIA Nº 287, de 4 de abril de 2025. Reconheço que é minha responsabilidade cumprir todas as diretrizes e orientações nela contidas. Estou ciente do meu compromisso com o Ministério dos Transportes e assumo a responsabilidade por quaisquer consequências decorrentes do descumprimento da Política de Segurança da Informação, bem como das normas internas e da legislação vigente.