Escolar Documentos
Profissional Documentos
Cultura Documentos
PSI
B r as li a/ D F, ou tu b r o d e 20 13 .
Ministrio da Cultura
Instituto do Patrimnio Histrico e Artstico Nacional
Equipe de Elaborao
Delson Pereira da Silva
Analista em TI
Equipe de Reviso
Carlos Augusto Pessoa Machado
Coordenador Geral de Tecnologia da Informao
Outubro de 2013
Braslia | DF
SUMRIO
1.
INTRODUO. ................................................................................................................................................................ 1
2.
CAMPO DE APLICAO................................................................................................................................................... 1
3.
4.
5.
6.
PENALIDADES. .............................................................................................................................................................. 11
7.
8.
9.
10.
ENCARTE I.
ENCARTE II.
SEGURANA DA INFORMAO
1. I N T R O D U O .
Segurana da Informao (SI) a disciplina dedicada proteo da informao de forma a garantir a
continuidade dos negcios, minimizando os danos e maximizando o retorno dos investimentos e as
oportunidades de atuao de uma instituio. A Poltica de Segurana da Informao (PSI), por sua vez,
o documento formal que orienta e estabelece as diretrizes corporativas para a proteo dos ativos de
informao e a gesto da segurana da informao.
Poltica de Segurana da Informao e Comunicaes: documento aprovado pela autoridade responsvel pelo
rgo ou entidade da Administrao Pblica Federal, direta e indireta, com o objetivo de fornecer diretrizes,
critrios e suporte administrativo suficientes implementao da segurana da informao e comunicaes
Inciso I do art. 2 da IN GSI/PR N 01/2008, de 13 de junho de 2008.
Tal documento considera as recomendaes e prticas propostas pelo Decreto n 3.505/2000, pela IN
GSI/PR n 01/2008, pela norma internacional ABNT NBR ISO/IEC 27002:2005 e alinha-se, ainda, s demais
leis e normas vigentes sobre o tema e s diretrizes estratgicas do rgo.
Considerando o disposto no art. 3 do Decreto n 3.505/2000, so objetivos genricos da Poltica de
Segurana da Informao para a Administrao Pblica Federal a serem estabelecidos por todos os
rgos e entidades pblicas em suas respectivas Polticas de Segurana da Informao:
A. Dotar os rgos e as entidades da Administrao Pblica Federal de instrumentos jurdicos,
normativos e organizacionais que os capacitem cientfica, tecnolgica e administrativamente a
assegurar a confidencialidade, a integridade, a autenticidade, o no repdio e a disponibilidade dos
dados e das informaes tratadas, classificadas e sensveis;
B. Eliminar a dependncia externa em relao a sistemas, equipamentos, dispositivos e atividades
vinculadas segurana dos sistemas de informao;
C. Promover a capacitao de recursos humanos para o desenvolvimento de competncia cientficotecnolgica em segurana da informao;
D. Estabelecer normas jurdicas necessrias efetiva implementao da segurana da informao;
E. Promover as aes necessrias implementao e manuteno da segurana da informao;
F. Promover o intercmbio cientfico-tecnolgico entre os rgos e as entidades da Administrao
Pblica Federal e as instituies pblicas e privadas, sobre as atividades de segurana da
informao;
G. Promover a capacitao industrial do Pas com vistas sua autonomia no desenvolvimento e na
fabricao de produtos que incorporem recursos criptogrficos, assim como estimular o setor
produtivo a participar competitivamente do mercado de bens e de servios relacionados com a
segurana da informao; e
H. Assegurar a interoperabilidade entre os sistemas de segurana da informao.
2. C A M P O D E A P L I C A O .
Os objetivos e diretrizes estabelecidos nesta Poltica de Segurana da Informao sero aplicados em
toda a organizao; devero ser observados por todos servidores, colaboradores, fornecedores e
prestadores de servio e se aplicam informao em qualquer meio ou suporte.
Este documento, dentre outras diretrizes, d cincia a cada envolvido de que os ambientes, sistemas,
recursos computacionais e redes informacionais do rgo podero ser monitorados e gravados, com
prvia informao, conforme previsto na legislao brasileira.
Pgina 1
SEGURANA DA INFORMAO
3. P R I N C P I O S E O B J E T I V O S .
Alm de buscar preservar as informaes e seus respectivos ativos quanto confidencialidade,
integridade, disponibilidade e autenticidade; so objetivos da Poltica de Segurana da Informao do
IPHAN:
A. Estabelecer diretrizes para a disponibilizao e utilizao de recursos de informao, servios de
redes de dados, estaes de trabalho, internet, telecomunicaes e correio eletrnico institucional.
B. Designar, definir ou alterar papis e responsabilidades do grupo responsvel pela Segurana da
Informao.
C. Apoiar a implantao das iniciativas relativas Segurana da Informao.
D. Possibilitar a criao de controles e promover a otimizao dos recursos e investimentos em
tecnologia da informao, contribuindo com a minimizao dos riscos associados.
So princpios da Poltica de Segurana da Informao do IPHAN:
A. Toda informao produzida ou recebida pelos servidores, colaboradores, fornecedores e
prestadores de servio, em resultado da funo exercida e/ou atividade profissional contratada,
pertence ao IPHAN. As excees devem ser explcitas e formalizadas entre as partes.
B. Todos os recursos de informao do IPHAN devem ser projetados para que seu uso seja consciente
e responsvel. Os recursos comunicacionais e computacionais da instituio devem ser utilizados
para a consecuo de seus objetivos finalsticos.
C. Devero ser criados e institudos controles apropriados, trilhas de auditoria ou registros de
atividades, em todos os pontos e sistemas em que a instituio julgar necessrio, com vistas
reduo dos riscos dos seus ativos de informao.
D. Os gestores, administradores e operadores dos sistemas computacionais podero, pela
caracterstica de suas credenciais como usurios (privilgios diferenciados associados a cada perfil),
acessar arquivos e dados de outros usurios. Tal operao s ser permitida quando necessria para
a execuo de atividades operacionais sob sua responsabilidade.
E. Todo o acesso a redes e sistemas do rgo dever ser feito, preferencialmente, por meio de login de
acesso nico, pessoal e intransfervel.
F. O IPHAN pode utilizar tecnologias e ferramentas para monitorar e controlar o contedo e o acesso a
quaisquer tipos de informao alocada na infraestrutura provida pelo instituto.
G. Cada usurio responsvel pela segurana das informaes dentro do IPHAN, principalmente
daquelas que esto sob sua responsabilidade.
H. Com o objetivo de reduzir o risco de descontinuidade das atividades do rgo e de perda de
confidencialidade, integridade e disponibilidade dos ativos de informao, devero ser implantados
planos de contingncia e de continuidade para os principais servios e sistemas; tais planos devero
ser implantados, revisados e testados periodicamente.
I.
J. A gesto da segurana da informao no IPHAN ser realizada por comit multidisciplinar, ora
designado Comit de Segurana da Informao.
K. Dever constar em todos os contratos do IPHAN, quando o objeto for pertinente, clusula de
confidencialidade e de obedincia s normas de segurana da informao a ser observada por
empresas fornecedoras e por todos os profissionais que desempenham suas atividades no IPHAN,
Pgina 2
SEGURANA DA INFORMAO
inclusive provenientes de organismos internacionais; dever estar prevista, por parte das empresas
e profissionais prestadores de servio, entrega de declarao expressa de compromisso em relao
confidencialidade e de termo de cincia das normas vigentes, como condio imprescindvel para
que possa ser concedido acesso aos ativos de informao disponibilizados pela instituio 1.
L. Esta Poltica de Segurana da Informao ser implementada no IPHAN por meio de normas e
procedimentos especficos, obrigatrios para todos os usurios, independentemente do nvel
hierrquico ou funo, bem como de vnculo empregatcio ou de prestao de servio.
4. P A P I S E R E S P O N S A B I L I D A D E S .
4.1
Papis.
PAPEL
PERFIL ASSOCIADO
DESCRIO
USURIO INTERNO
USURIO EXTERNO
GESTORES
Coordenadores, Coordenadores
Gerais, Diretores, Superintendentes e
demais cargos de chefia.
REA DE TI
GESTOR DE SI
Gerncia tcnica
EQUIPE TCNICA DE SI
Equipe tcnica de SI
COMIT DE SI
Alta Administrao
4.2
Responsabilidades gerais
Os modelos de declarao de compromisso e de cincia das normas de Segurana da Informao vigentes no IPHAN esto presentes no
ENCARTE I e ENCARTE II.
Pgina 3
SEGURANA DA INFORMAO
Responsabilidades especficas.
4.3.1
Ser de inteira responsabilidade de cada usurio (interno ou externo) todo prejuzo ou dano que vier a
sofrer ou causar ao IPHAN em decorrncia da no obedincia s diretrizes e normas referidas na Poltica
de Segurana da Informao e nas normas e procedimentos especficos dela decorrentes.
Os usurios externos devem entender os riscos associados sua condio e cumprir rigorosamente as
polticas, normas e procedimentos especficos vigentes. O IPHAN poder, a qualquer tempo, revogar
credenciais de acesso concedidas a usurios em virtude do descumprimento da poltica de SI ou das
normas e procedimentos especficos dela decorrentes.
4.3.2
Os gestores executivos do IPHAN devem ter postura exemplar em relao segurana da informao,
diante, sobretudo, dos usurios sob sua gesto.
Cada gestor dever manter os processos sob sua responsabilidade aderentes s polticas, normas e
procedimentos especficos de segurana da informao do IPHAN, tomando as aes necessrias para
cumprir tal responsabilidade.
4.3.3
Informar previamente o Gestor de SI sobre o fim do prazo de reteno de informaes, para que
este tenha a alternativa de alter-lo ou posterg-lo, antes que a informao seja definitivamente
descartada pelo custodiante.
Pgina 4
SEGURANA DA INFORMAO
J. Nas movimentaes internas dos ativos de TI, assegurar-se de que as informaes de determinado
usurio no sejam removidas de forma irrecupervel antes de disponibilizar o ativo para outro
usurio.
K. Planejar, implantar, fornecer e monitorar a capacidade de armazenagem, processamento e
transmisso necessrios para garantir a segurana requerida pelas reas internas da organizao.
L. Atribuir cada conta ou dispositivo de acesso a computadores, sistemas, bases de dados e qualquer
outro ativo de informao a um responsvel identificvel como pessoa fsica, responsvel pelo uso
da conta (a responsabilidade pela gesto dos logins de usurios externos do gestor do contrato
de prestao de servios ou do gestor do setor em que o usurio externo desempenha suas
atividades).
M. Proteger continuamente todos os ativos de informao do instituto contra cdigo malicioso, e
garantir que todos os novos ativos s entrem para o ambiente de produo aps estarem livres de
cdigo malicioso e/ou indesejado.
N. Assegurar-se de que no sejam introduzidas vulnerabilidades ou fragilidades no ambiente de
produo do IPHAN ou em fase de mudana de ambiente de desenvolvimento, teste, homologao
ou produo de sistemas (quando tais ambientes forem acessados por terceiros, a
responsabilizao deve ser explicitada nas clusulas dos instrumentos contratuais).
O. Definir as regras formais para instalao de software e hardware em ambiente de produo
corporativo, bem como em ambiente exclusivamente educacional e/ou dedicados visitao
externa, exigindo o seu cumprimento dentro da autarquia.
P. Definir metodologia e realizar
O uso, manuseio e guarda de assinaturas de certificados digitais individuais de responsabilidade de seus respectivos portadores.
Pgina 5
SEGURANA DA INFORMAO
Tambm ser atribuio da Equipe de Segurana da Informao atuar, quando necessrio, com
atribuies de Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR) da qual
trata a Norma Complementar 05 IN01/DASIC/GSIPR.
4.3.6
SEGURANA DA INFORMAO
n 235, de 20/07/2010) e integrado por gestores com nvel hierrquico gerencial nomeados
formalmente para participar do grupo. Sua composio deve incluir um membro de cada uma das
seguintes reas: Presidncia, Auditoria Interna, Procuradoria Federal, Departamento de Planejamento e
Administrao, Departamento de Patrimnio Material e Fiscalizao, Departamento de Patrimnio
Imaterial e Departamento de Articulao e Fomento.
O Comit de Segurana da Informao dever reunir-se ordinariamente em periodicidade a ser instituda
por portaria especfica, mas encontros adicionais podero ser realizados sempre que for necessrio
deliberar sobre algum incidente grave ou realizar deliberao relevante.
Caber, ainda, ao Comit de Segurana da Informao propor investimentos relacionados segurana da
informao com o objetivo de reduzir riscos; avaliar os incidentes de segurana e propor aes
corretivas; definir as medidas cabveis nos casos de descumprimento da Poltica de Segurana da
Informao e/ou das normas de segurana da informao complementares.
5. D I R E T R I Z E S G E R A I S .
5.1
Tratamento da informao.
Controles de Acesso.
Diretrizes especficas e procedimentos prprios de controles de acesso lgico e fsico devero ser
fixados em norma complementar, considerando as seguintes diretrizes gerais:
A. O controle de acesso dever considerar e respeitar o princpio do menor privilgio para configurar
as credenciais ou contas de acesso dos usurios aos ativos de informao do IPHAN.
B. A criao e administrao de contas ser realizada de acordo com procedimento especfico para
todo e qualquer usurio. Para o usurio que no exerce funes de administrao de rede ser
privilegiada a criao de uma nica conta institucional de acesso, pessoal e intransfervel. Contas
com perfil de administrador somente sero criadas para usurios cadastrados para execuo de
tarefas especficas na administrao de ativos de informao.
C. O acesso rede corporativa deve dar-se de forma a permitir a rastreabilidade e a identificao do
usurio por perodo mnimo a ser definido em norma especfica.
D. As prticas de segurana devero contemplar procedimentos de acesso fsico a reas e instalaes,
gesto de acessos e delimitao de permetros de segurana.
Pgina 7
SEGURANA DA INFORMAO
5.3
Correio Eletrnico.
Diretrizes especficas e procedimentos prprios ao servio de correio eletrnico (e-mail) devero ser
fixadas em norma complementar, considerando as seguintes diretrizes gerais:
A. O correio eletrnico uma ferramenta disponvel e obrigatria para todos os usurios do IPHAN,
independentemente de seu vnculo funcional.
B. O uso do correio eletrnico do IPHAN para fins corporativos e relacionados s atividades do
usurio no mbito da autarquia.
5.4
Servio de Backup.
Os procedimentos prprios ao servio de backup (cpia de segurana) devero ser fixados em norma
complementar, considerando as seguintes diretrizes gerais:
A. O servio de backup deve ser automatizado por sistemas informacionais prprios considerando,
inclusive, a execuo agendada fora do horrio de expediente normal do rgo, nas chamadas
janelas de backup perodos em que no h nenhum ou pouco acesso de usurios ou processos
automatizados aos sistemas de informtica.
B. A soluo de backup dever ser mantida atualizada, considerando suas diversas caractersticas
(atualizaes de correo, novas verses, ciclo de vida, garantia, melhorias, entre outros).
C. A administrao das mdias de backup dever ser contemplada nas normas complementares sobre o
servio, objetivando manter sua segurana e integridade.
D. necessria previso, em oramento anual, da renovao das mdias de Backup em razo de seu
desgaste natural, bem como dever ser mantido um estoque constante das mdias para qualquer
uso emergencial.
E. As mdias de backups histricos ou especiais devero ser armazenadas em instalaes seguras,
preferencialmente com estrutura de cofres e salas-cofres.
F. Os backups crticos para o bom funcionamento dos servios do IPHAN exigem uma regra de
reteno especial, a ser prevista nos procedimentos especficos e de acordo com as normas de
classificao da informao pblica, seguindo ainda as determinaes fiscais e legais existentes no
pas.
G. A execuo de rotinas de backup e restore dever ser rigidamente controlada, documentada e
auditada, nos termos das normas e procedimentos prprios.
5.5
Data Center.
Os procedimentos para administrao do centro de processamento de dados (data center) devero ser
fixados em norma prpria, considerando as seguintes diretrizes gerais:
A. A administrao de dados e de servios de data center tarefa tecnicamente complexa e sua
realizao deve balizar-se nas melhores prticas de mercado e na alocao de profissionais com
perfil tcnico adequado.
B. O acesso fsico ao data center dever ser feito por sistema forte de autenticao, mediante uso de
soluo de TI prpria. O acesso fsico por meio de chave apenas poder ocorrer em situaes de
emergncia, quando a segurana fsica do data center estiver comprometida, como por incndio,
inundao, abalo da estrutura predial ou quando o sistema de autenticao forte no estiver
funcionando.
C. O acesso ao data center por visitantes ou terceiros somente poder ser realizado com
acompanhamento de um servidor autorizado, que dever preencher a solicitao de acesso prevista
Pgina 8
SEGURANA DA INFORMAO
Para garantir a aplicao das diretrizes mencionadas nesta PSI, alm de fixar normas e procedimentos
complementares sobre o tema, o IPHAN poder:
A. Implantar sistemas de monitoramento nas estaes de trabalho, servidores, correio eletrnico,
conexes com a internet, dispositivos mveis ou wireless e outros componentes da rede, de modo
que a informao gerada por esses sistemas possa ser usada para identificar usurios e respectivos
acessos efetuados, bem como material manipulado;
B. Tornar pblicas as informaes obtidas pelos sistemas de monitoramento e auditoria, no caso de
exigncia judicial, solicitao do gerente (ou superior) ou por determinao do Comit de Segurana
da Informao;
C. Realizar, a qualquer tempo, inspeo fsica nas equipamentos de sua propriedade;
D. Instalar sistemas de proteo, preventivos e detectveis, para garantir segurana das informaes e
dos permetros de acesso.
E. Desinstalar, a qualquer tempo, qualquer software ou sistema que represente risco ou esteja em
desconformidade com as polticas, normas e procedimentos vigentes.
5.7
Diretrizes especficas e procedimentos prprios de controles de uso e acesso a Internet devero ser
fixadas em norma complementar, considerando as seguintes diretrizes gerais:
A. Todas as regras corporativas sobre uso de Internet visam basicamente ao desenvolvimento de um
comportamento eminentemente tico e profissional. Embora a conexo direta e permanente da
rede corporativa da instituio com a internet oferea um grande potencial de benefcios, a
proteo dos ativos de informao do IPHAN dever sempre ser privilegiada.
B. Perfis institucionais mantidos nas redes sociais 3 devem, preferencialmente, ser administrados e
gerenciados por equipes compostas exclusivamente por servidores pblicos ocupantes de cargo
efetivo. Quando no for possvel, a equipe pode ser mista, desde que sob a coordenao e
responsabilidade de um servidor do quadro permanente do rgo.
C. Qualquer informao que seja acessada, transmitida, recebida ou produzida na internet est sujeita
divulgao e auditoria. Portanto, o IPHAN, em total conformidade legal, reserva-se o direito de
monitorar e registrar os acessos rede mundial de computadores.
D. Em conformidade com a Norma Complementar n 17/IN01/GSI-PR, vedada a terceirizao completa
da administrao e da gesto de perfis de rgos e entidades da APF nas redes sociais, assim
3
Estruturas sociais digitais compostas por pessoas ou organizaes conectadas por um ou vrios tipos de relaes, que partilham valores e objetivos comuns.
Pgina 9
SEGURANA DA INFORMAO
Gesto de Riscos.
Gesto de Continuidade.
SEGURANA DA INFORMAO
forma a garantir a consecuo dos produtos e servios fundamentais do rgo, de tal forma que
permitam atingir os seus objetivos mais importantes e sensveis ao tempo.
Os procedimentos previstos no Programa de Gesto da Continuidade de Negcios devero ser
executados em conformidade com os requisitos de segurana da informao e comunicaes
necessrios proteo dos ativos de informao crticos, tratando as atividades de forma abrangente,
incluindo as pessoas, processos, infraestrutura e recursos de tecnologia da informao e comunicaes.
5.10
SEGURANA DA INFORMAO
instituio e a legislao (cvel e criminal), sendo que o uso dos dispositivos e/ou senhas de identificao
de outra pessoa viola as regras de segurana e poder resultar na aplicao de medidas administrativas,
cveis e judiciais cabveis.
7. E S T R U T U R A N O R M A T I V A D E G E S T O D E S E G U R A N A D A I N F O R M A O .
Os documentos que comporo a estrutura normativa de gesto de segurana da informao sero
divididos em trs categorias:
A. Poltica nvel estratgico: constituda do presente documento, define as regras de alto nvel que
representam os princpios bsicos que o IPHAN decidiu incorporar sua gesto de acordo com a
viso estratgica da alta direo. Serve como base para que as normas e os procedimentos sejam
criados e detalhados.
B. Normas nvel ttico: especificam, no plano ttico, as escolhas tecnolgicas e os controles que
devero ser implementados para alcanar o cenrio definido estrategicamente nas diretrizes da
poltica.
C. Procedimentos nvel operacional: instrumentalizam o disposto nas normas e na poltica,
permitindo sua direta aplicao nas atividades do IPHAN.
7.1
Aprovao e reviso.
CATEGORIA
NVEL DE APROVAO
POLTICA
NORMA COMPLEMENTAR
PROCEDIMENTO
SEGURANA DA INFORMAO
periodicamente segundo os prazos estabelecidos pelo Comit de Segurana da Informao. Sempre que
algum fato relevante ou evento motive, os prazos revisionais estabelecidos podero ser antecipados
conforme anlise e deciso do Comit de Segurana da Informao.
8. R E F E R N C I A S L E G A I S E N O R M A T I V A S .
Tabela 3: Referncias legais e normativas.
CLASSIFICAO
IDENTIFICAO
DATA PUBLICAO
ASSUNTO
Lei Federal
8.159/1991
08/01/1991
Lei Federal
9.610/1998
19/02/1998
Lei Federal
9.279/1996
14/05/1996
Lei Federal
10.406/2002
10/01/2002
Decreto-Lei
2.848/1940
07/12/1940
Decreto
3.505/2000
13/06/2000
Decreto
7.845/2012
14/11/2012
Instruo Normativa
IN GSI/PR 01/2008
13/06/2008
Norma
Complementar
03/IN01/DSIC/GSIPR
30/06/2009
Instruo Normativa
IN SLTI/MP 04/2010
12/11/2010
Portaria IPHAN
235/2010
20/07/2010
Portaria IPHAN
92/2012
05/07/2012
9. D I S P O S I E S F I N A I S .
Para a uniformizao da informao organizacional, esta Poltica de Segurana da Informao dever
ser comunicada a todos os gestores, servidores, colaboradores e prestadores de servio do IPHAN a
fim de que seja cumprida dentro e fora da autarquia.
O no cumprimento dos requisitos previstos nesta poltica, nas normas complementares e nos
procedimentos de Segurana da Informao acarretar violao s regras internas da instituio e
sujeitar o usurio s medidas administrativas e legais cabveis.
Pgina 13
SEGURANA DA INFORMAO
10. I D E N T I F I C A O E A P R O V A O D A S U N I D A D E S R E S P O N S V E I S .
COORDENAO GERAL DE TECNOLOGIA DA INFORMAO
DATA
ASSINATURA
Pgina 14
DATA
ENCARTE I.
SEGURANA DA INFORMAO
IDENTIFICAO DO CONTRATO:
N do Contrato
Nome da Empresa Contratada
CNPJ da Contratada
Objeto resumido
Vigncia Contratual
Digite n do Contrato
Digite Nome da Contratada
Informe objeto CNPJ
Informe objeto resumido
Informe vigncia
TERMOS:
O <Contratante>, sediado em <Endereo Contratante>, CNPJ n. <CNPJ Contratante>, doravante denominado CONTRATANTE, e, de outro lado,
a <Contratada>, sediada em <Endereo Contratada>, CNPJ n. <CNPJ Contratada>, doravante denominada CONTRATADA;
CONSIDERANDO que, em razo do CONTRATO N. <n contrato / ano> doravante denominado CONTRATO PRINCIPAL, a CONTRATADA poder
ter acesso a informaes sigilosas do CONTRATANTE;
CONSIDERANDO a necessidade de ajustar as condies de revelao destas informaes sigilosas, bem como definir as regras para o seu uso e
proteo;
CONSIDERANDO o disposto na Poltica de Segurana da Informao da CONTRATANTE;
Resolvem celebrar o presente TERMO DE COMPROMISSO DE MANUTENO DE SIGILO E CONFIDENCIALIDADE DAS INFORMAES,
doravante TERMO, vinculado ao CONTRATO PRINCIPAL, mediante as seguintes clusulas e condies:
Clusula Primeira DO OBJETO
Constitui objeto deste TERMO o estabelecimento de condies especficas para regulamentar as obrigaes a serem observadas pela
CONTRATADA, no que diz respeito ao trato de informaes sensveis e sigilosas, disponibilizadas pela CONTRATANTE - por fora dos
procedimentos necessrios para a execuo do objeto do CONTRATO PRINCIPAL celebrado entre as partes - segundo o Decreto n 7.845/2012,
de 14/11/2012, que regulamenta procedimentos para credenciamento de segurana e tratamento de informao classificada em qualquer
grau de sigilo, e dispe sobre o Ncleo de Segurana e Credenciamento.
Clusula Segunda DOS CONCEITOS E DEFINIES
Para os efeitos deste TERMO, so estabelecidos os seguintes conceitos e definies:
I.
Informao: o conjunto de dados organizados de acordo com procedimentos executados por meios eletrnicos ou no, que
possibilitam a realizao de atividades especficas e/ou tomada de deciso.
II.
Informao Pblica ou Ostensiva: so aquelas cujo acesso irrestrito, obtida por divulgao pblica ou por meio de canais
autorizados pela CONTRATANTE.
III.
Informaes Sensveis: so todos os conhecimentos estratgicos que, em funo de seu potencial no aproveitamento de
oportunidades ou desenvolvimento nos ramos econmico, poltico, cientfico, tecnolgico, militar e social, possam beneficiar a
Sociedade e o Estado brasileiros.
IV.
Informaes Sigilosas: so aquelas cujo conhecimento irrestrito ou divulgao possam acarretar qualquer risco segurana da
sociedade e do Estado, bem como aquelas necessrias ao resguardo da inviolabilidade da intimidade, da vida privada, da honra e da
imagem das pessoas.
V.
Contrato Principal: contrato celebrado entre as partes, ao qual este TERMO DE COMPROMISSO se vincula.
Pgina 15
SEGURANA DA INFORMAO
II.
Tenham sido comprovada e legitimamente recebidas de terceiros, estranhos ao presente TERMO DE COMPROMISSO;
III.
Sejam reveladas em razo de requisio judicial ou outra determinao vlida do Governo, somente at a extenso de tais ordens,
desde que as partes cumpram qualquer medida de proteo pertinente e tenham sido notificadas sobre a existncia de tal ordem,
previamente e por escrito, dando a esta, na medida do possvel, tempo hbil para pleitear medidas de proteo que julgar cabveis.
A CONTRATADA dever firmar acordos por escrito com seus empregados visando a garantir o cumprimento de todas as disposies
do presente TERMO DE COMPORMISSO e dar cincia CONTRATANTE dos documentos comprobatrios.
3 A CONTRATADA obriga-se a tomar todas as medidas necessrias proteo da informao sigilosa da CONTRATANTE, bem como evitar e
prevenir a revelao a terceiros, exceto se devidamente autorizado por escrito pela CONTRATANTE.
4 Cada parte permanecer como fiel depositria das informaes reveladas outra parte em funo deste TERMO DE COMPROMISSO.
I.
Quando requeridas, as informaes devero retornar imediatamente ao proprietrio, bem como todas e quaisquer cpias
eventualmente existentes.
5 A CONTRATADA obriga-se por si, sua controladora, suas controladas, coligadas, representantes, procuradores, scios, prepostos,
acionistas e cotistas, por terceiros eventualmente consultados, seus empregados, contratados e subcontratados, assim como por quaisquer
outras pessoas vinculadas CONTRATADA, direta ou indiretamente, a manter sigilo, bem como a limitar a utilizao das informaes
disponibilizadas em face da execuo do CONTRATO PRINCIPAL.
6 A CONTRATADA, na forma disposta no pargrafo primeiro, acima, tambm se obriga a:
I.
No discutir perante terceiros, usar, divulgar, revelar, ceder a qualquer ttulo ou dispor das informaes, no territrio brasileiro ou
no exterior, para nenhuma pessoa, fsica ou jurdica, e para nenhuma outra finalidade que no seja exclusivamente relacionada ao
objetivo aqui referido, cumprindo-lhe adotar cautelas e precaues adequadas no sentido de impedir o uso indevido por qualquer
pessoa que, por qualquer razo, tenha acesso a elas;
II.
Responsabilizar-se por impedir, por qualquer meio em direito admitido, arcando com todos os custos do impedimento, mesmo
judiciais, inclusive as despesas processuais e outras despesas derivadas, a divulgao ou utilizao das Informaes Proprietrias por
seus agentes, representantes ou por terceiros;
III.
Comunicar CONTRATANTE, de imediato, de forma expressa e antes de qualquer divulgao, caso tenha que revelar qualquer uma
das informaes, por determinao judicial ou ordem de atendimento obrigatrio determinado por rgo competente; e
IV.
Pgina 16
SEGURANA DA INFORMAO
Pargrafo Terceiro Ao assinar o presente instrumento, a CONTRATADA manifesta sua concordncia no sentido de que:
I.
A CONTRATANTE ter o direito de, a qualquer tempo e sob qualquer motivo, auditar e monitorar as atividades da CONTRATADA;
II.
A CONTRATADA dever disponibilizar, sempre que solicitadas formalmente pela CONTRATANTE, todas as informaes requeridas
pertinentes ao CONTRATO PRINCIPAL;
III.
A omisso ou tolerncia das partes, em exigir o estrito cumprimento das condies estabelecidas neste instrumento, no constituir
novao ou renncia, nem afetar os direitos, que podero ser exercidos a qualquer tempo;
IV.
Todas as condies, termos e obrigaes ora constitudos sero regidos pela legislao e regulamentao brasileiras pertinentes;
V.
O presente TERMO DE COMPROMISSO somente poder ser alterado mediante TERMO ADITIVO firmado pelas partes;
VI.
Alteraes do nmero, natureza e quantidade das informaes disponibilizadas para a CONTRATADA no descaracterizaro ou
reduziro o compromisso e as obrigaes pactuadas neste TERMO DE COMPROMISSO, que permanecer vlido e com todos seus
efeitos legais em qualquer uma das situaes tipificadas neste instrumento;
VII.
O acrscimo, complementao, substituio ou esclarecimento de qualquer uma das informaes disponibilizadas para a
CONTRATADA, sero incorporados a este TERMO, passando a fazer dele parte integrante, para todos os fins e efeitos, recebendo
tambm a mesma proteo descrita para as informaes iniciais disponibilizadas, sendo necessrio a formalizao de TERMO
ADITIVO ao CONTRATO PRINCIPAL;
VIII.
Este TERMO DE COMPROMISSO no deve ser interpretado como criao ou envolvimento das Partes, ou suas filiadas, nem em
obrigao de divulgar Informaes Sigilosas para a outra Parte, nem como obrigao de celebrarem qualquer outro acordo entre si.
OBSERVAES:
Digite observaes, se houver.
DE ACORDO:
E, por assim estarem justas e estabelecidas as condies, o presente TERMO DE COMPROMISSO assinado pelas partes em 02
(duas) vias de igual teor e um s efeito.
CONTRATANTE
CONTRATADA
Local, dia/ms/ano.
Local, dia/ms/ano.
ASSINATURA
ASSINATURA
Pgina 17
SEGURANA DA INFORMAO
ENCARTE II.
IDENTIFICAO DO CONTRATO
N do Contrato:
Empresa Contratada:
CNPJ:
Objeto Resumido:
Vigncia Contratual:
TERMOS
O(s) funcionrio(s) abaixo qualificado(s) declara(m) ter pleno conhecimento de sua(s) responsabilidade(s) no que concerne ao sigilo a ser mantido
sobre as atividades desenvolvidas ou as aes realizadas no mbito do Contrato Administrativo n
/
, bem como sobre todas as
informaes que eventualmente ou por fora de sua(s) funo(es) venha(m) a tomar conhecimento, comprometendo-se a guardar o sigilo
necessrio nos termos da legislao vigente e a prestar total obedincia s normas de segurana da informao vigentes no ambiente do
CONTRATANTE ou que venham a ser implantadas a qualquer tempo por este; em conformidade com o TERMO DE COMPROMISSO DE SEGURANA
DA INFORMAO firmado entre as partes.
OBSERVAES
Digite observaes, se houver.
DE ACORDO
E, por assim estarem justas e estabelecidas as condies, o presente TERMO DE CINCIA assinado pela(s) parte(s) declarante(s) em 02 (duas) vias
de igual teor e um s efeito.
Local, dia/ms/ano.
IDENTIFICAO E ASSINATURA DO(S) DECLARANTE(S)
Nome:
Identidade:
CPF:
Funo:
Nome:
Identidade:
CPF:
Funo:
Nome:
Identidade:
CPF:
Funo:
Nome:
Identidade:
CPF:
Funo:
Pgina 18
Assinatura:
Assinatura:
Assinatura:
Assinatura: