TRIBUNAL DE CONTAS DA UNIÃO

RESOLUÇÃO-TCU Nº 342, DE 28 DE SETEMBRO DE 2022.

Dispõe sobre a Política Corporativa de Segurança da

Informação (PCSI/TCU) e sobre o Sistema de
Gestão de Segurança da Informação do Tribunal de
Contas da União (SGSI/TCU).

O PRESIDENTE DO TRIBUNAL DE CONTAS DA UNIÃO, no uso das atribuições que

lhe confere o art. 28, inciso XXXIV, do Regimento Interno do TCU,
considerando que o Tribunal produz e recebe informações no exercício de suas
competências constitucionais, legais e regulamentares, e que tais informações devem permanecer
íntegras e disponíveis, bem como seu eventual sigilo deve ser resguardado;
considerando que as informações do Tribunal são armazenadas em diferentes meios, tais
como impresso e eletrônico, e veiculadas por diversas formas, estando, portanto, vulneráveis a
incidentes, como desastres naturais, acessos não autorizados, mau uso, falhas de equipamentos,
extravio e furto;
considerando o advento da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção
de Dados Pessoais - LGPD), bem como da revisão prevista na Lei nº 13.853, de 08 de julho de 2019;
considerando o disposto na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à
Informação - LAI), que regula o acesso a informações previsto no inciso XXXIII do art. 5º, no inciso II
do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal;
considerando o advento da Lei n° 12.965, de 23 de abril de 2014, que estabelece
princípios, garantias, direitos e deveres para o uso da internet no Brasil (marco civil da internet);
considerando o disposto no art. 21 da Resolução-TCU nº 261, de 11 de junho de 2014, que
dispõe sobre a Política de Segurança Institucional (PSI/TCU);
considerando o disposto na Portaria-TCU nº 28, de 01 de fevereiro de 2021, que institui o
Comitê Técnico de Proteção e Segurança da Informação (CPS) no âmbito do TCU;
considerando as recomendações sobre atualização dos normativos relativos à segurança da
informação constantes no Acórdão nº 2376/2021 - TCU - Plenário;
considerando as boas práticas em segurança e em proteção de dados preconizadas pelas
normas ABNT NBR ISO/IEC 27001:2013, 27002:2013, 27003:2011, 27004:2017, 27005:2019,
27014:2013, 27017:2016, 27701:2019, 16167:2020 e pelo Control Objectives for Information and
related Technology (COBIT versão 5);
considerando que a norma ABNT NBR ISO/IEC 27002:2013 recomenda revisões
periódicas da política de segurança da informação das instituições;
considerando que a segurança é aspecto essencial para a adequada gestão da informação; e
 TRIBUNAL DE CONTAS DA UNIÃO

considerando a necessidade de aprimorar os mecanismos de proteção e de segurança das

informações, ativos e serviços de tecnologia da informação do TCU, bem como de adequar o
arcabouço normativo em função de novos paradigmas, como nuvem e trabalho remoto, resolve:

CAPÍTULO I
DAS DISPOSIÇÕES GERAIS

Art. 1º A Política Corporativa de Segurança da Informação do Tribunal de Contas da

União (PCSI/TCU) observa os princípios, objetivos e diretrizes estabelecidos nesta Resolução, bem
como as disposições constitucionais, legais e regimentais vigentes.
Parágrafo único. Autoridades, servidores, colaboradores e quaisquer pessoas, inclusive
advogados, que tenham acesso a informações do TCU sujeitam-se às diretrizes, normas e
procedimentos de segurança da informação da Política de que trata esta Resolução, e são responsáveis
por garantir a segurança das informações a que tenham acesso.
Art. 2º A segurança da informação no TCU alinha-se às estratégias organizacionais e aos
princípios da segurança institucional e tem como princípios:
I - garantia da integridade e da autenticidade das informações produzidas;
II - preservação da integridade e da autenticidade das informações recebidas;
III - transparência das informações públicas;
IV - proteção adequada às informações com necessidade de restrição de acesso, em
especial, aos dados pessoais;
V - planejamento das ações de segurança da informação por meio de abordagem baseada
em riscos; e
VI - garantia da disponibilidade das informações custodiadas.
Parágrafo único. A segurança da informação no TCU abrange aspectos físicos,
tecnológicos, processuais e humanos.

CAPÍTULO II
DO SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO

Art. 3º A Política Corporativa de Segurança da Informação (PCSI/TCU) integra o Sistema

de Gestão de Segurança da Informação do TCU (SGSI/TCU) instituído pela Resolução-TCU nº 261,
de 11 de junho de 2014, o qual é composto pelos seguintes processos:
I - classificação da informação;
II - proteção de dados pessoais;
III - controle de acesso à informação;
IV - gestão de riscos de segurança da informação;
V - gestão de incidentes em segurança da informação;
VI - segurança da informação em recursos humanos; e
VII - segurança em tecnologia da informação e comunicações.
§ 1º Os processos do SGSI/TCU são interdependentes e devem ser estruturados e
monitorados de forma a permitir sua melhoria contínua.
§ 2º A Gestão de Continuidade de Negócios (GCN), disposta em política específica,
harmoniza-se com os processos do SGSI/TCU e tem por objetivo, em relação à segurança da
 TRIBUNAL DE CONTAS DA UNIÃO

informação, garantir níveis adequados de disponibilidade, integridade, confidencialidade e

autenticidade das informações essenciais ao funcionamento dos processos críticos de negócio do TCU.
§ 3º A segurança física e patrimonial, disposta em política específica, harmoniza-se com os
processos do SGSI/TCU e tem por objetivo, em relação à segurança da informação, prevenir danos e
interferências nas instalações do TCU que possam causar perda, roubo ou comprometimento das
informações.
Art. 4º A classificação da informação tem por objetivo assegurar que a informação receba
um nível adequado de proteção, conforme seu valor, requisitos legais, sensibilidade e criticidade para a
organização.
§1° A informação deve ser classificada para indicar a necessidade, as prioridades e o nível
esperado de proteção durante todo o seu ciclo de vida.
§2° O acesso às informações produzidas ou custodiadas pelo TCU que não sejam públicas
deve permanecer restrito às pessoas que tenham necessidade de conhecê-las.
§3° O acesso a informações não públicas por quaisquer colaboradores é condicionado ao
aceite de termo de confidencialidade.
§4° As diretrizes acerca de acesso à informação e à classificação da informação, bem como
procedimentos de segurança e controles administrativos e tecnológicos afetos à classificação de
informações produzidas ou custodiadas pelo TCU serão disciplinadas em normativo próprio.
Art. 5º A proteção de dados pessoais tem o objetivo de proteger os direitos fundamentais
de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
§1° A proteção de dados pessoais deverá prever medidas proporcionais e estritamente
necessárias ao atendimento do interesse público, observados o devido processo legal, os princípios
gerais de proteção e os direitos do titular, harmonizados pela transparência.
§2° As diretrizes acerca de proteção de dados pessoais serão disciplinadas em normativo
próprio.
Art. 6º O processo de controle de acesso à informação tem por objetivo garantir que o
acesso físico e lógico à informação seja franqueado exclusivamente a pessoas autorizadas, com base
nos requisitos de negócio e de segurança da informação.
Art. 7º A gestão de riscos de segurança da informação tem por objetivo identificar os riscos
que possam comprometer a confidencialidade, a integridade, a disponibilidade ou a autenticidade da
informação, priorizando seu tratamento com base em critérios para aceitação de riscos compatíveis
com os objetivos institucionais.
§ 1º Os controles de segurança da informação devem ser planejados, aplicados,
implementados e, periodicamente, avaliados de acordo com os objetivos institucionais e os riscos para
o TCU.
§ 2º O processo de gestão de riscos de segurança da informação alinha-se à gestão de
riscos à segurança institucional, nos termos da Resolução-TCU nº 287, de 12 de abril de 2017.
Art. 8º A gestão de incidentes em segurança da informação tem por objetivo assegurar que
fragilidades e incidentes em segurança da informação sejam identificados, para permitir a tomada de
ação corretiva em tempo hábil, bem como a melhoria de controles e processos de segurança da
informação.
Parágrafo único. Autoridades, servidores, colaboradores do Tribunal e quaisquer pessoas
que tenham acesso a informações do TCU são responsáveis por:
 TRIBUNAL DE CONTAS DA UNIÃO

I - informar imediatamente à unidade responsável pela segurança da informação os

incidentes em segurança da informação de que tenham ciência ou suspeita; e
II - colaborar, na respectiva área de competência, na identificação e no tratamento de
incidentes em segurança da informação.
Art. 9º A segurança da informação em recursos humanos tem por objetivo garantir que
quaisquer pessoas que tenham vínculo estatutário, funcional, contratual ou processual com o TCU
entendam suas responsabilidades e atuem em consonância com os preceitos da PCSI/TCU, para que os
riscos de furto, fraude ou mau uso de informações sejam reduzidos.
§ 1º A conscientização em segurança da informação tem por objetivo internalizar conceitos
e boas práticas de segurança da informação na cultura do TCU, por meio de ações permanentes de
divulgação, treinamento e educação, para minimizar riscos de segurança da informação.
§ 2º A segurança da informação em recursos humanos alinha-se ao disposto na Política de
Segurança Institucional aprovada pela Resolução-TCU nº 261, de 2014, bem como à Política de
Gestão de Pessoas do Tribunal definida na Resolução-TCU nº 319, de 29 de julho de 2020.
Art. 10. A segurança em tecnologia da informação e comunicações tem por objetivo adotar
medidas e controles tecnológicos para proteger as informações em meio eletrônico.
§ 1º Diretrizes e procedimentos para o uso de recursos de TI e serviços digitais sujeitam-se,
no que couber, aos comandos da PCSI/TCU, e serão objeto de normativo da Presidência do TCU e
constarão como anexo à PCSI/TCU.
§ 2º O acesso às informações produzidas ou custodiadas pelo TCU se submete a controles
administrativos e tecnológicos definidos de acordo com a respectiva classificação.
§ 3º A certificação digital no âmbito do TCU segue o padrão da Infraestrutura de Chaves
Públicas Brasileira (ICP-Brasil), instituída pela Medida Provisória nº 2.200-2, de 24 de agosto de 2001
e alterada pela Lei nº 14.063, de 23 de setembro de 2020.
§ 4º A utilização dos recursos de TI da rede TCU pode ser monitorada pela unidade
responsável pela infraestrutura de TI com vistas a identificar inobservâncias à PCSI/TCU e a fornecer
evidências, no caso de incidentes de segurança da informação, respeitados os direitos e as garantias
individuais previstos em lei.

CAPÍTULO III
DAS COMPETÊNCIAS E RESPONSABILIDADES

Art. 11. O Comitê Técnico de Proteção e Segurança da Informação (CPS) é órgão

colegiado de natureza consultiva e de caráter permanente, que tem por finalidade:
I - formular e conduzir diretrizes para a implantação do Sistema de Gestão de Segurança da
Informação (SGSI/TCU), da Política Corporativa de Segurança da Informação (PCSI/TCU) e da Lei
Geral de Proteção de Dados Pessoais (LGPD), bem como analisar periodicamente sua efetividade;
II - manifestar-se sobre propostas de alteração ou de revisão da PCSI/TCU, bem como
sobre minutas de normativo e iniciativas de natureza estratégica ou que necessitem de cooperação
entre unidades, que versem sobre segurança da informação ou proteção de dados pessoais; e
III - manifestar-se sobre matérias atinentes à segurança da informação que lhe sejam
submetidas.
Art. 12. Compete à Unidade responsável pela coordenação da Segurança da Informação do
TCU :
 TRIBUNAL DE CONTAS DA UNIÃO

I - coordenar a implementação e o funcionamento do Sistema de Gestão de Segurança da

Informação (SGSI/TCU) e da Política Corporativa de Segurança da Informação (PCSI/TCU), bem
como a aplicação da Lei no 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação - LAI) e
da Lei no 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD) no
âmbito do TCU;
II - apresentar ao CPS proposta de revisão da PCSI/TCU de modo a atualizá-la frente a
novos requisitos corporativos;
III - monitorar e avaliar periodicamente as práticas de segurança da informação adotadas
pelo Tribunal;
IV - coordenar ações permanentes de divulgação, treinamento, educação e conscientização
dos servidores e demais colaboradores do TCU, em relação aos conceitos e às práticas de segurança da
informação em toda sua abrangência;
V - coordenar o tratamento dos incidentes em segurança da informação, com vistas a
identificar os motivos que levam ao comprometimento da segurança da informação; e
VI - coordenar o CPS.
§ 1º A aplicação das competências indicadas neste artigo observa, no que couber, as
competências inerentes às demais unidades da Secretaria do TCU.
§ 2º O titular da Sesouv será considerado gestor de segurança da informação do TCU, no
âmbito de suas respectivas competências.
Art. 13. Compete aos responsáveis por informações produzidas ou custodiadas pelo TCU:
I - assegurar segurança das informações;
II - classificar as informações e definir procedimentos e critérios de acesso, observados os
dispositivos legais e normativos relativos à confidencialidade e a outros critérios de classificação
pertinentes;
III - propor regras específicas para o uso das informações; e
IV - definir os requisitos de segurança da informação necessários ao negócio, com base em
critérios de aceitação e tratamento de riscos inerentes aos processos de trabalho.
§ 1º O Presidente, Ministros e Ministros-Substitutos podem indicar, orientar e autorizar, a
qualquer tempo, procedimentos que visem garantir a segurança da informação nos processos e
documentos de sua competência, a serem seguidos pelos responsáveis.
§ 2º Em caso de dúvida na identificação do responsável pela informação, compete ao
Comitê Técnico de Proteção e Segurança da Informação (CPS) defini-lo.
Art. 14. São responsabilidades do custodiante da informação:
I - assegurar a segurança da informação sob sua posse, conforme os critérios definidos pelo
respectivo responsável pela informação;
II - comunicar tempestivamente ao responsável pela informação sobre eventos que
comprometam a segurança das informações sob custódia; e
III - comunicar ao responsável pela informação eventuais limitações para o cumprimento
dos critérios por ele definidos com vistas à proteção da informação.
Art. 15. São responsabilidades dos dirigentes das unidades e demais gestores do TCU, no
que se refere à segurança da informação:
 TRIBUNAL DE CONTAS DA UNIÃO

I - conscientizar servidores e quaisquer colaboradores sob sua supervisão em relação aos

conceitos e às práticas de segurança da informação;
II - incorporar aos processos de trabalho de sua unidade, ou de sua área, práticas inerentes
à segurança da informação; e
III - tomar as medidas administrativas necessárias para que sejam adotadas ações corretivas
em tempo hábil em caso de comprometimento da segurança da informação.
Art. 16. Compete à unidade responsável pela coordenação da segurança da informação no
TCU e às unidades provedoras de TI, no âmbito de suas respectivas competências, colaborar para a
implementação e o funcionamento do Sistema de Gestão de Segurança da Informação (SGSI/TCU) e
da Política Corporativa de Segurança da Informação (PCSI/TCU).

CAPÍTULO IV
DAS DISPOSIÇÕES FINAIS

Art. 17. A Presidência, por meio de atos normativos próprios, emitirá os seguintes
normativos complementares:
I - Regulamentação da PCSI;
II - Glossário;
III - Norma de controle de acesso;
IV - Norma de uso da rede TCU;
V - Norma de uso de computação em nuvem;
VI - Norma de dispositivos particulares;
VII - Norma de acesso à internet;
VIII - Norma de acesso remoto;
IX- Norma de correio eletrônico;
X -Norma de gestão de vulnerabilidades;
XI - Norma de tratamento de incidentes; e
XII - Norma de backup.
Art. 18. O presente normativo e demais que o integram utilizarão o Glossário de termos da
PCSI/TCU, para promover compreensão comum e consistente de conceitos em função da natureza
específica do tema.
Art. 19. As informações produzidas por qualquer pessoa com vínculo permanente ou
transitório com o Tribunal que tenha acesso, de forma autorizada, às informações ou às dependências
do TCU, no exercício de suas atribuições, são patrimônio intelectual do Tribunal e não cabe a seus
criadores qualquer forma de direito autoral, ressalvado o reconhecimento da autoria, se for o caso.
§ 1º Quando as informações forem produzidas por colaboradores do TCU para uso
exclusivo pelo Tribunal, instrumento próprio estabelecerá as obrigações dos criadores, inclusive no
que se refere à eventual confidencialidade das informações.
§ 2º É vedada a utilização das informações a que se refere o parágrafo anterior em projetos
ou atividades diversas daquelas estabelecidas pelo TCU, salvo autorização específica dos Ministros e
Ministros-Substitutos, nos processos e documentos de sua competência, ou do Presidente, nos demais
casos.
Art. 20. Os contratos, convênios, acordos de cooperação e outros instrumentos congêneres
celebrados pelo Tribunal devem observar, no que couber, as disposições da PCSI/TCU.
 TRIBUNAL DE CONTAS DA UNIÃO

Art. 21. A não observância dos dispositivos da PCSI/TCU sujeita os infratores, isolada ou
cumulativamente, a sanções administrativas, civis e penais, nos termos da legislação pertinente,
assegurados aos envolvidos o contraditório e a ampla defesa.
Art. 22. A revisão da PCSI/TCU poderá ocorrer a qualquer tempo, quando houver
mudanças significativas com impacto nos processos ou requisitos de segurança da informação,
devendo ser realizada no máximo a cada quatro anos, de modo a atualizá-la frente a novos requisitos
corporativos.
Parágrafo único. Compete ao Presidente do TCU, mediante ato normativo próprio,
regulamentar o disposto nesta Resolução, a partir de subsídios encaminhados pela unidade responsável
pela segurança da informação, aprovados pelo Comitê Técnico de Proteção e Segurança da Informação
(CPS) e posteriormente pela CCG.
Art. 23. O art. 21 da Resolução-TCU nº 261, de 11 de junho de 2014, passa a vigorar com
a seguinte redação:
“Art. 21. A Política Corporativa de Segurança da Informação (PCSI/TCU), especificada
em normativo do Colegiado do Tribunal, integra o Sistema de Gestão de Segurança da Informação do
TCU (SGSI/TCU), o qual é composto pelos seguintes processos”.
Art. 24. Fica revogada a Portaria-TCU nº 210, de 14 de agosto de 2014.

Art. 25. Esta Resolução entra em vigor na data de sua publicação.

Ministro BRUNO DANTAS