Norma
19/05/2021
#166143

PORTARIA Nº 5.827, DE 18 DE MAIO DE 2021

Aprova a estrutura do Sistema de Gestão de Segurança da Informação do Ministério da Economia.

Aprova a estrutura do Sistema de Gestão de Segurança da Informação do Ministério da Economia.

O MINISTRO DE ESTADO DA ECONOMIA, no uso da atribuição que lhe confere o inciso II do parágrafo único do art. 87 da Constituição, e tendo em vista o disposto no inciso VIII do art. 17 do Decreto nº 9.637, de 26 de dezembro de 2018, e no art. 12 da Portaria ME nº 218, de 19 de maio de 2020, , resolve:

Art. 1º Fica aprovada a estrutura do Sistema de Gestão de Segurança da Informação do Ministério da Economia.

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

Art. 2º Para fins desta Portaria, considera-se:

I - Equipe de Tratamento e Resposta a Incidentes Cibernéticos - ETIR: grupo de pessoas com a responsabilidade de prestar serviços relacionados à segurança cibernética, observando a política de segurança e os processos de gestão de riscos de segurança da informação do Órgão;

II - Sistema de Gestão de Segurança da Informação - SGSI: conjunto de pessoas, processos e procedimentos, baseado em normas e na legislação vigente, que uma organização deve implementar para prover segurança no uso de seus ativos de informação de modo a preservá-los quanto aos aspectos de disponibilidade, integridade, confidencialidade e autenticidade, independentemente do meio em que se encontram; e

III - unidades organizacionais do Ministério da Economia: unidades de atuação integrantes da estrutura organizacional do Ministério da Economia, a exemplo de secretarias especiais, secretarias, diretorias.

CAPÍTULO II

ESTRUTURA

Art. 3º A estrutura do SGSI do Ministério da Economia é composta pelos seguintes elementos:

I - Comitê Estratégico de Segurança da Informação - CESI, instância interna do Ministério da Economia de apoio à governança no tema segurança da informação, que atua em apoio ao Comitê Ministerial de Governança e sob sua liderança estratégica;

II - Gestor de Segurança da Informação e Comunicação do Ministério da Economia - GSIC, servidor designado pela alta administração do Órgão;

III - conjunto de ETIRs autônomas;

IV - comitês e subcomitês de segurança da informação instituídos pelas unidades organizacionais do Ministério da Economia, com atuação unicamente na unidade que a estabeleceu e nas suas subunidades; e

V - gestores de segurança da informação designados por titulares de unidades organizacionais do Ministério da Economia, cuja atuação dá-se unicamente na unidade que o designou e nas suas subunidades.

§ 1º Não se enquadra no disposto do caput os comitês e demais estruturas de segurança da informação instituídas por entidades vinculadas ao Ministério, bem como seus respectivos ETIRs e gestores de segurança da informação.

§ 2º As ETIRs, os comitês e subcomitês de segurança da informação e os gestores de segurança da informação, de que trata os incisos III, IV e V do caput, deverão ser submetidos para ciência do Comitê Estratégico de Segurança da Informação do Ministério da Economia, por meio de processo, com o envio de cópia do documento de instituição ou designação, para poderem integrar a estrutura do SGSI.

§ 3º Os elementos do SGSI de que trata o § 2º representam suas unidades e respondem por elas, em primeira instância, nos assuntos referentes à segurança da informação, incluindo tratamento e resposta a incidentes cibernéticos, cabendo à ETIR da Secretaria de Gestão Corporativa da Secretaria-Executiva do Ministério da Economia, ao CESI e ao GSIC, atuarem subsidiariamente, quando necessário.

§ 4º As unidades organizacionais do Ministério da Economia que não possuem comitês e subcomitês de segurança da informação, bem como gestores de segurança da informação específicos para a sua unidade, são representados unicamente pelo CESI e pelo GSIC, estando submetidos às diretrizes e orientações emanadas por esses elementos, bem como pela Secretaria de Gestão Corporativa da Secretaria-Executiva do Ministério da Economia e suas subunidades, em temas relacionados à segurança da informação.

§ 5º O Comitê Estratégico de Segurança da Informação listará, em Resolução, os comitês e subcomitês de segurança da informação, as equipes de tratamento e resposta a incidentes em redes computacionais, bem como os gestores de segurança da informação que compõe a estrutura do SGSI, que não estejam enquadrados nos incisos I e II do caput, indicando:

I - nome da estrutura e sigla;

II - normativo que instituiu ou designou; e

III - escopo de atuação.

Art. 4º Compõe subsidiariamente a estrutura do SGSI as unidades do Ministério da Economia responsáveis pela área de:

I - Tecnologia da Informação e Comunicação: deve executar atividades pertinentes à segurança lógica do ambiente e dos recursos de processamento da informação;

II - Recursos Logísticos e Administração Predial: deve executar atividades pertinentes à segurança física e patrimonial do ambiente e dos recursos de processamento da informação;

III - Gestão de Pessoas: deve executar ações de treinamento e desenvolvimento referentes à segurança da informação, bem como aquelas referentes a gestão de pessoas que interajam com os recursos de processamento da informação; e

IV - Comunicação Social: deve executar atividades relacionadas à comunicação institucional, divulgando e disseminando as orientações emanadas pela Política de Segurança da Informação do Ministério.

CAPÍTULO III

ARCABOUÇO LEGAL

Art. 5º O arcabouço legal do SGSI é composto, em ordem de precedência:

I - pela Política de Segurança da Informação do Ministério da Economia, aprovada pelo CESI e assinada pelo Ministro de Estado da Economia;

II - pelas normas e procedimentos complementares à Política de Segurança da Informação do Ministério da Economia, destinados a disciplinar e proteger o uso da informação no âmbito do Ministério, estabelecidos por meio de Resolução do CESI; e

III - pelas políticas e outros normativos de segurança da informação e de temas relacionados, estabelecidos pelas unidades organizacionais do Ministério da Economia, com abrangência unicamente na unidade que a estabeleceu e nas suas subunidades.

§ 1º Não se enquadram no disposto do caput as políticas, normas e procedimentos de entidades vinculadas ao Ministério da Economia.

§ 2º As políticas e normas de que trata o inciso III do caput deverão ser submetidas para ciência do Comitê Estratégico de Segurança da Informação do Ministério da Economia, por meio de processo, com o envio de cópia do documento.

Art. 6º O Comitê Estratégico de Segurança da Informação listará, em Portaria, as políticas e os normativos que compõe o arcabouço legal do SGSI, que não estejam enquadrados nos incisos I e II do art. 5º, indicando:

I - tipo do documento;

II - sigla da unidade/órgão da autoridade subscritora do ato;

III - número;

IV - data de assinatura;

V - data e veículo de publicação;

VI - ementa; e

VII - âmbito de aplicação.

CAPÍTULO IV

GESTOR DE SEGURANÇA DA INFORMAÇÃO

Art. 7º O GSIC será designado dentre os servidores públicos civis ocupantes de cargo efetivo, que ocupe cargo em comissão ou função de confiança de nível 5 ou superior do Grupo-Direção e Assessoramento Superior ou equivalente, a ser representado em seus afastamentos e impedimentos por seu substituto legal.

Parágrafo único. O GSIC é o gestor de segurança da informação do Ministério da Economia, de que trata o inciso III do art. 15 do Decreto nº 9.637, de 26 de dezembro de 2018.

Art. 8º As unidades organizacionais do Ministério da Economia poderão instituir gestores de segurança da informação, conforme a necessidade, que deverão atuar alinhados à Política de Segurança da Informação do Ministério da Economia e às normas que a complementam, nos termos dos incisos I e II do art. 5°.

Parágrafo único. Os gestores de que trata o caput, caso atendam aos requisitos de indicação previstos no art. 36 da Portaria ME nº 339, de 8 de outubro de 2020, deverão representar suas unidades, como membro do CESI.

CAPÍTULO V

EQUIPE DE TRATAMENTO E RESPOSTA A INCIDENTES CIBERNÉTICOS

Art. 9º A ETIR instituída pela Secretaria de Gestão Corporativa da Secretaria-Executiva do Ministério da Economia coordenará as demais ETIRs do Ministério da Economia e deverá promover:

I - a implementação de um canal efetivo de comunicação entre as ETIRs;

II - a colaboração coordenada entre as ETIRs;

III - o compartilhamento ágil de informações de incidentes em todo o Ministério da Economia;

IV - a implementação de um repositório único de incidentes cibernéticos do Ministério da Economia; e

V - reuniões periódicas entre as ETIRs.

§ 1º As ETIRs das unidades organizacionais do Ministério da Economia são autônomas e independentes entre si, sem nenhuma subordinação hierárquica entre elas, apenas possuindo relação de intercolaboração, com agente responsável próprio e sendo responsáveis pela gestão de suas atividades.

§ 2º A criação das ETIRs bem como a gestão de incidentes cibernéticos pelas unidades organizacionais do Ministério da Economia deverão seguir as diretrizes do Gabinete de Segurança Institucional da Presidência da República.

CAPÍTULO VI

DISPOSIÇÕES FINAIS

Art. 10. A edição de normativos internos e a execução de ações independentes que promovam o aumento da segurança da informação nas unidades organizacionais do Ministério da Economia são permitidos, desde que alinhados à Política de Segurança da Informação do Ministério da Economia e às normas que a complementam, nos termos dos incisos I e II do art. 5º.

Art. 11. Fica revogada a Norma Complementar nº 1, de 26 de dezembro de 2016, do Comitê de Governança Digital do extinto Ministério do Desenvolvimento, Indústria, Comércio Exterior e Serviços.

Art. 12. Esta Portaria entra em vigor em 1º de junho de 2021.