PCSI

Politica
corporativa de
segurana da
informao

o que eu tenho a
ver com isso?

Imagine o que aconteceria se...

Documentos sigilosos que voc coletou em uma
auditoria vazassem na mdia?

Houvesse vazamento de minuta de parecer de uma

unidade sobre assunto polmico?

Uma certido emitida pelo TCU

fosse adulterada e no fosse
possvel confirmar ou refutar sua
autenticidade?
Voc fosse redigir a verso final do seu relatrio
ou parecer e as informaes da minuta tivessem
desaparecido?
As informaes que embasam o seu
relatrio ou parecer tivessem sido
alteradas e voc no pudesse ter
certeza que elas esto corretas?

?
?

Algum se manifestasse fraudulentamente nos autos

utilizando sua assinatura?
Os acrdos do TCU e os fundamentos das decises
no estivessem acessveis aos cidados?

A lista de responsveis com contas

julgadas irregulares encaminhada
Justia Eleitoral fosse questionada por
estar incompleta ou conter nomes cujas
contas foram julgadas regulares?
Quando riscos segurana da
informao se materializam, podem
comprometer a imagem do TCU e
at o alcance de sua misso, alm
de imputar responsabilizao aos
servidores pblicos envolvidos.
A segurana da informao visa proteo
da informao contra ameaas a sua
confidencialidade, integridade, disponibilidade e
autenticidade, para minimizar riscos, garantir
a eficcia das aes do negcio e preservar a
imagem do TCU.

Quem Quem na Segurana

da Informao do TCU
Voc
Qualquer pessoa que tenha acesso a informaes do
TCU responsvel pela segurana da informao.

Gestor da Informao
(Colegiado, autoridade ou dirigente)

de segurana da informao, bem como incorpor-las

aos processos de trabalho da unidade. Em caso de
comprometimento da segurana da informao, devem
tomar medidas administrativas para que sejam adotadas
aes corretivas em tempo hbil.

Responsvel por classificar as informaes sob sua

gesto, e definir procedimentos e critrios de acesso.

Diretoria de Segurana da Informao

e Continuidade de Negcio (Disic)

Custodiante da Informao

Apoia as unidades do TCU na definio de procedimentos

(qualquer pessoa que detm a posse da informao) para proteo de suas informaes, monitora e avalia as
Responsvel por garantir a segurana da informao
sob sua posse e comunicar sobre situaes que
comprometam essa garantia.

prticas de segurana da informao do TCU e coordena

aes de conscientizao e treinamento, bem como de
tratamento de incidentes de segurana da informao.

Dirigente de unidade ou
subunidade do TCU

Comit de Segurana Institucional (Cosin)

Constitudo por representantes de diversas reas de
negcio, o Cosin formula e conduz diretrizes, analisa
a efetividade e prope melhorias para a Poltica de
Segurana Institucional.

Responsvel por conscientizar seus servidores e

colaboradores em relao aos conceitos e prticas

Estrutura Normativa
A PCSI parte integrante da Poltica de Segurana
Institucional (Resoluo-TCU n 261/2013). Essa
poltica estabelece o Sistema de Gesto de
Segurana da Informao (SGSI) do TCU, cujos
processos so definidos na PCSI (Portaria-TCU
n 210/2014). A PCSI define diretrizes gerais
de segurana da informao, enquanto outros
Portaria

normativos complementares tratam temas

especficos como a classificao da informao ou
uso de recursos de TI, por exemplo.
Para consultar a verso mais atual da estrutura normativa,
acesse o Portal TCU comunidade de segurana da
informao.

TCU n 261/2014
Poltica de Segurana
Institucional

Resoluo

Outras portarias
e resolues...

SGSI
TCU n 210/2014
Poltica de Segurana
da Informao

TCU n 202/2008
Perfil de acesso
a solues de TI

TCU n 188/2010
Certificado Digital

Segurana em TI

TCU n 254/2013
Classificao
da Informao
TCU n 329/2014
Controles
administrativos
e tecnolgicos

TCU n 344/2009

TCU n 144/2010

Uso de rede e
dispositivos
portteis

Correio Eletrnico

TCU n 169/200
Acesso Internet

CGTI n 2/2011
Uso de contas
administrativas

Classificao das informaes

quanto confidencialidade
Informaes so classificadas (isto , agrupadas em classes) para otimizar os controles que garantem seu acesso
apenas por pessoas autorizadas.
Essas classes alinham-se ao disposto na Lei n 12.527/2011 (Lei de Acesso Informao) e nas leis que definem
outros sigilos, como fiscal, bancrio, comercial e aquele relativo a denncias.
por isso que: a Resoluo TCU n 254/2013 integra a PCSI/TCU e especifica a classificao quanto
confidencialidade, definindo:

Pblico

Acesso livre a qualquer pessoa

Reservado

Secreto

Livre

5 anos
Afeta a segurana da sociedade ou
do Estado, nos termos do art. 7 da
Resoluo-TCU n 254

Ultrasecreto

15 anos

25 anos

Pessoal

Diz respeito intimidade, vida

privada, honra e imagem da pessoa

100 anos

Sigiloso

Hipteses de sigilo previstas em

legislao especfica, tal como
informao relativa a denncias,
de natureza fiscal ou protegida por
segredo de justia.

conforme
legislao

IMPORTANTE SABER
Enquanto as informaes produzidas no TCU so classificadas pelo gestor da
informao, as recebidas de fontes externas devem ser classificadas na origem.

Controle de acesso
Informao
Tem por objetivo garantir que o
acesso informao seja franqueado exclusivamente a pessoas autorizadas, com base nos requisitos de
negcio e de segurana da informao. Deve haver equilbrio para que
no haja restrio demais ou de menos
por isso que :
- O acesso s informaes que no sejam pblicas deve
ser restrito s pessoas que tenham necessidade de
conhec-las e se submete a controles compatveis com a
classificao quanto confidencialidade.

blicas por pessoas com vnculo transitrio com o TCU,

obrigatrio o aceite de termo de sigilo e responsabilidade.

IMPORTANTE SABER
Toda vez que estiver de posse de informaes
relativas ao seu trabalho, voc responsvel por
respeitar os controles de acesso definidos pelo
gestor da informao e garantir a segurana
dessas informaes.

- Havendo necessidade de acesso a informaes no p-

Segurana em Recursos Humanos

e Aes de Conscientizao
As pessoas so parte fundamental
da segurana da informao.
Qualquer pessoa que tenha
vnculo estatutrio, funcional,
contratual ou processual com
o TCU deve entender suas responsabilidades e
atuar em consonncia com os preceitos da PCSI/
TCU.
por isso que :
importante influenciar os comportamentos das
pessoas e a cultura organizacional por meio da
internalizao de conceitos e prticas de Segurana da
Informao nas atividades dirias.
Para isso, a Disic promove diversas aes de
conscientizao, tais como:
- Dicas Semanais no Unio
- Cartilhas e Tutoriais (disponveis no Portal)

- Coluna Aprendendo com a notcia no Unio

- Quiz em Segurana da Informao
- Treinamentos Institucionais (presenciais e distncia)
- Dia da Segurana da informao
Essas aes so dirigidas a todos no TCU. Quando
possvel, busca-se alcanar tambm gestores e
servidores pblicos em geral.

IMPORTANTE SABER
Aes de conscientizao criam condies para
que tratemos a segurana da informao como
um hbito saudvel, incorporado em nossas
atividades dirias.
Promover a conscientizao no s
responsabilidade da Disic, mas de todos os
dirigentes e gestores do TCU.

SEGURANA EM TECNOLOGIA
DA INFORMAO E COMUNICAES
Tem por objetivo proteger as informaes armazenadas ou transferidas em meio eletrnico.
por isso que:
Abrange o desenvolvimento de sistemas seguros,
configuraes adequadas de estaes de trabalho e o
uso seguro de recursos como computao em nuvem,
redes sociais, dispositivos mveis, correio eletrnico e
outros servios, solues e recursos de TI.

IMPORTANTE SABER
Segurana da Informao no se resume proteo
das informaes eletrnicas. O objetivo maior da
Segurana da Informao a proteo adequada de
todas as informaes, independentemente do meio
em que elas se encontrem.

Tem como principais responsveis:

Setic e STI

implementao centralizada de solues de TI corporativas

Sesti

servio da Setic que atua na definio de normas e procedimentos de Segurana da Informao aplicveis internamente pela Setic e STI, assim como na monitorao e na gesto de
incidentes que afetem solues e recursos de TI.

Unidades
gestoras de
solues de TI

definio de requisitos de segurana da informao das solues

Qualquer unidade que realize a implementao descentralizada de solues de TI departamentais (APEX).

Gesto de Riscos de
Segurana da Informao
Tem por objetivo realizar o diagnstico preventivo para decidir
quais riscos so aceitveis e
quais necessitam de controles
especiais, priorizando seu tratamento e evitando a ocorrncia
de incidentes.
por isso que :
A Disic, em conjunto com as unidades tcnicas, realiza
a anlise de riscos de segurana da informao em
processos de trabalho do TCU. O apetite a risco, a

probabilidade e o impacto da materializao do risco

direcionam a definio dos controles a serem adotados.

IMPORTANTE SABER
A Disic pode ajudar sua unidade coordenando a
realizao de anlise de riscos de segurana da
informao nos seus processos de trabalho, a fim
de priorizar o tratamento de riscos importantes.

Gesto de Incidentes de
Segurana da Informao
Registrar e tratar os incidentes em
segurana da informao(SI) fundamental para a tomada de aes corretivas em tempo hbil. Alm disso,
busca-se a preveno da ocorrncia
desses eventos indesejados.
por isso que :
A Disic coordena a gesto de incidentes de SI do Tribunal
e atua diretamente no tratamento de incidentes que no
se refiram TI. Para atuar na gesto de incidentes de SI
relacionados aos servios e solues de TI, conta com o
apoio do Servio de Segurana em TI (Sesti), subunidade
da Secretaria de Infraestrutura de TI (Setic).

que contenham informaes corporativas, vazamento de

informaes no pblicas, e-mails enviados sem autorizao do remetente, etc.

IMPORTANTE SABER
Autoridades, servidores e quaisquer
colaboradores devem informar Disic
os incidentes de SI de que tenham
cincia ou suspeita.
A identificao e o tratamento dos
incidentes de SI acontece com
a colaborao de todos em suas
respectivas reas de competncia.

So exemplos de incidentes em SI: furto de equipamentos

Para mais informaes, entre

em contato com a Secretaria de
Planejamento, Governana e Gesto
(Seplan/Disic) ou envie email para
segurancadainformacao@tcu.gov.br