Controladoria-Geral da União
SECRETARIA EXECUTIVA
PORTARIA CGU Nº 1.324, DE 05.04.2019
Institui a estrutura de governança para a gestão da Segurança Corporativa da Controladoria-Geral da União - CGU.
O SECRETÁRIO EXECUTIVO DA CONTROLADORIA-GERAL DA UNIÃO, no uso das competências que lhe conferem o art. 28 do Anexo I do Decreto nº 9.681, de 3 de janeiro de 2019, e o art. 12 do Anexo I da Portaria CGU nº 677, de 10 de março de 2017, e considerando o disposto no art. 14 da Portaria CGU nº 665, de 7 de fevereiro de 2019, no inciso VI do art. 15 do Decreto nº 9.637, de 26 de dezembro de 2018, e na Instrução Normativa CGU nº 4, de 03 de junho de 2014, resolve:
CAPÍTULO I
DAS DISPOSIÇÕES GERAIS
Art. 1º Instituir a estrutura de governança para a ação estratégica da Segurança Corporativa da Controladoria-Geral da União - CGU, em observância ao disposto no art. 13 da Portaria CGU nº 665, de 7 de fevereiro de 2019.
CAPÍTULO II
DAS COMPETÊNCIAS COMPLEMENTARES DO COMITÊ DE GOVERNANÇA INTERNA
Art. 2º Compete complementarmente ao Comitê de Governança Interna - CGI, instituído pela Portaria CGU nº 665, de 2019:
I - aprovar, sempre que necessário, desde que em períodos que não excedam a três anos, a Política de Segurança da Informação e das Comunicações da CGU;
II - estabelecer diretrizes, objetivos, iniciativas e indicadores relacionados à Segurança Corporativa;
III - monitorar e avaliar, anualmente, a execução das ações de Segurança Corporativa; e
IV - aprovar normas atinentes à Segurança Corporativa.
CAPÍTULO III
DO COMITÊ GERENCIAL DE SEGURANÇA CORPORATIVA
Art. 3º O Comitê Gerencial de Segurança Corporativa - CGSC será composto por representantes, titular e suplente, das seguintes unidades organizacionais:
I - Gabinete do Ministro - GM;
II - Secretaria de Combate à Corrupção - SCC;
III - Secretaria Federal de Controle Interno - SFC;
IV - Secretaria de Transparência e Prevenção da Corrupção - STPC;
V - Corregedoria-Geral da União - CRG;
VI - Ouvidoria-Geral da União - OGU;
VII - Diretoria Planejamento e Desenvolvimento Institucional - DIPLAD;
VIII - Diretoria de Gestão Interna - DGI;
IX - Diretoria de Tecnologia da Informação - DTI; e
X - Controladorias Regionais da União nos Estados - CGU-R.
Art. 4º Ao CGSC compete:
I - formular propostas de criação e de adequação da política e das normas atinentes à Segurança Corporativa da CGU;
II - propor medidas para acompanhar e avaliar a implementação da Política de Segurança Corporativa junto às unidades da CGU;
III - propor a adoção de ações de conscientização e capacitação de pessoal visando difundir os conhecimentos e dar efetividade à Política de Segurança Corporativa;
IV - receber das unidades da CGU informações sobre dificuldades relativas à implementação e ao cumprimento da Política de Segurança Corporativa;
V - propor a adoção de medidas corretivas e as adequações normativas e procedimentais necessárias para prevenir situações de vulnerabilidade à Segurança Corporativa;
VI - compartilhar informações sobre novas tecnologias, produtos, ameaças, vulnerabilidades, gerenciamento de risco, políticas de segurança e outras atividades relativas à Segurança Corporativa com outros órgãos, entidades e empresas, públicas ou privadas, de modo a prover a CGU quanto ao conhecimento das práticas mais modernas e adequadas para a proteção de suas informações;
VII - avaliar a eficácia dos procedimentos de segurança, bem como a sua conformidade com os requisitos legais, com as normas e diretrizes internas e com os requisitos técnicos de segurança corporativa;
VIII - exercer, no âmbito da CGU, as competências e atribuições do Comitê de Segurança da Informação e Comunicações previsto no inciso IV do art. 15 do Decreto nº 9.637, de 2018; e
IX - exercer outras atividades definidas pelo CGI.
CAPÍTULO IV
DA UNIDADE ORGANIZACIONAL EXECUTIVA
Art. 5º A DGI é a unidade organizacional executiva responsável pela ação estratégica de Segurança Corporativa da CGU.
Art. 6º Caberá à DGI:
I - coordenar as ações relacionadas à Segurança Corporativa;
II - realizar as funções de secretaria-executiva do CGI para a ação estratégica de Segurança Corporativa;
III - exercer a presidência do Comitê Gerencial de Segurança Corporativa, ficando a suplência a cargo da DTI; e
IV - elaborar, anualmente, o Relatório de Avaliação da Segurança Corporativa, para posterior avaliação e aprovação do CGI.
1º As informações concernentes à Segurança da Informação que se relacionem às atribuições regimentais da DTI deverão ser elaboradas por aquela Unidade, devendo ser encaminhadas à DGI para consolidação do Relatório de Avaliação da Segurança Corporativa.
2º Os dados do exercício financeiro compreendido entre 1º de janeiro e 31 dezembro de cada ano deverão ser considerados para fins de elaboração do Relatório de Avaliação da Segurança Corporativa, o qual servirá de subsídio para eventual revisão das ações de Segurança Corporativa.
CAPÍTULO V
DAS DEMAIS UNIDADES ORGANIZACIONAIS
Art. 7º A Diretoria de Pesquisas e Informações Estratégicas - DIE poderá realizar testes para identificar eventuais situações de fragilidade à Segurança Corporativa.
1º Os testes poderão ocorrer:
I - por demanda da DGI, da Secretaria-Executiva da CGU, do CGSC ou do CGI; ou
II - por iniciativa própria da DIE.
2º Os testes apenas serão realizados após a abertura de processo eletrônico de acesso restrito no Sistema Eletrônico de Informações - SEI, onde deverá constar a descrição dos procedimentos a serem aplicados e dos objetivos a serem alcançados.
3º Os resultados obtidos a partir dos testes serão encaminhados ao CGSC para fins do disposto no inciso V do art. 4º desta Portaria.
4º As medidas de controle para mitigar ou eliminar as vulnerabilidades encontradas nos testes devem ser determinadas pelo CGSC e encaminhadas para execução das unidades testadas.
Art. 8º As unidades do Órgão Central e as Controladorias Regionais da União nos Estados deverão zelar pela estrita observância das ações de Segurança Corporativa, bem como comunicar formalmente ao CGSC qualquer incidente ou ameaça à Segurança Corporativa de que tiverem ciência, além de verificarem continuamente a necessidade de melhorias quanto ao tema.
Parágrafo único. Qualquer unidade organizacional poderá propor ações de capacitação, de conscientização, de divulgação e de disseminação das orientações sobre a Segurança Corporativa, as quais serão apreciadas pelo CGSC.
Art. 9º A DTI poderá submeter à análise do CGSC proposta de normas e procedimentos relacionados a:
I - controle de acesso à Internet;
II - uso do correio eletrônico;
III - uso de recursos de Tecnologia da Informação e controle de acesso;
IV - política de backup;
V - gestão de riscos de Tecnologia da Informação e Comunicações;
VI - equipe de tratamento e resposta a incidentes de Segurança da Informação;
VII - gestão de incidentes de Segurança da Informação;
VIII - uso de dispositivos móveis;
IX - obtenção e desenvolvimento de software seguro;
X - gestão de mudanças; e
XI - outros assuntos relacionados à Segurança da Informação.
CAPÍTULO VI
DAS DISPOSIÇÕES FINAIS
Art. 10. Os casos omissos serão resolvidos pelo Secretário Executivo da CGU.
Art. 11. Revogam-se:
I - a Portaria CGU nº 541, de 23 de fevereiro de 2018;
II - a Portaria CGU nº 948, de 18 de abril de 2017;
III - o inciso III do art. 6º, bem como os artigos 9º e 44, todos da Portaria CGU nº 2.042, de 22 de setembro de 2017.
Art. 12. Esta Portaria entra em vigor na data de sua publicação.
JOSE MARCELO CASTRO DE CARVALHO
(DOU de 09.04.2019 - págs. 127 e 128 - Seção 1)