Escolar Documentos
Profissional Documentos
Cultura Documentos
CAPÍTULO I
DISPOSIÇÕES PRELIMINARES
Art. 2º A presente Instrução Normativa trata dos processos relacionados à gestão de segurança
da informação que devem ser observados pelos órgãos e pelas entidades da administração pública
federal no planejamento e na implementação de suas ações referentes à segurança da informação.
CAPÍTULO II
Art. 7º O registro de ativos de informação deverá ser homologado por meio de ato do titular do
órgão ou da entidade.
CAPÍTULO III
Art. 10. O processo de gestão de riscos de segurança da informação tem por objetivo direcionar
e controlar o risco de segurança da informação, a fim de adequá-lo aos níveis aceitáveis para o órgão ou
entidade.
Art. 11. O processo de gestão de riscos de segurança da informação deve estar alinhado com o
modelo de gestão de riscos institucional, compatível com a missão e os objetivos estratégicos do órgão ou
entidade, além de considerar, preliminarmente:
II - os requisitos legais;
Art. 13. O plano de gestão de riscos de segurança da informação deverá conter, no mínimo:
Art. 14. O relatório de identificação, análise e avaliação dos riscos de segurança da informação
deverá ser elaborado com base no modelo estabelecido pelo plano de gestão de riscos de segurança da
informação e deverá conter, no mínimo:
Art. 15. O relatório de tratamento de riscos de segurança da informação deve ser resultante do
relatório de identificação, análise e avaliação dos riscos de segurança da informação.
II - as restrições técnicas;
IV - as restrições operacionais;
V - as restrições organizacionais;
VI - os requisitos legais; e
III - os prazos de execução das ações de segurança e das atividades de tratamento de riscos; e
Art. 17. Cabe ao agente responsável pela gestão de riscos de segurança da informação elaborar:
CAPÍTULO IV
Art. 20. As diretrizes institucionais sobre o assunto devem ser formalizadas pelo órgão ou pela
entidade, contemplando, no mínimo, os seguintes aspectos:
Art. 22. O plano de continuidade de negócios em segurança da informação tem por objetivo
definir como serão realizadas a gestão dos incidentes em caso de desastres ou de outras interrupções das
operações de negócios e a maneira como deverão ser recuperadas as atividades nos prazos
estabelecidos.
I - o objetivo;
IV - o(s) responsável(is) pela ativação do plano, com seus respectivos dados de contato;
V - o(s) responsável(is) por aplicar as medidas de contingência definidas, tendo cada servidor
responsabilidades formalmente definidas e nominalmente atribuídas, incluindo seus respectivos dados de
contato; e
VI - a definição:
a) das ações necessárias para operacionalização das medidas cuja implementação dependa da
aquisição de recursos físicos e/ou humanos;
b) dos limites de decisão para os responsáveis pela aplicação das medidas de contingência
perante situações inesperadas;
Parágrafo único. O plano de continuidade de negócios deverá ser testado regularmente, com
intuito de que seus resultados sejam documentados e possam garantir a sua efetividade em caso de
necessidade de ativação.
II - em função dos resultados dos testes de funcionamento realizados, uma vez comprovada a
perda da validade e eficácia das medidas adotadas diante de novas situações; ou
III - após mudança significativa nos ativos de informação, nas atividades ou em algum de seus
componentes.
Art. 26. Cabem aos responsáveis pelo processo ou aos titulares das unidades em que forem
identificadas atividades críticas as seguintes atribuições:
IV - avaliar e aprimorar este plano a partir dos resultados dos testes de funcionamento;
V - gerenciar a contingência quando ocorrer a interrupção de atividades, com base nesse plano
desenvolvido; e
Art. 27. Cabe ao agente responsável pela gestão de continuidade de negócios em segurança da
informação:
CAPÍTULO V
Art. 29. Para efeito desta Instrução Normativa, a mudança será classificada como:
I - emergencial: mudança não prevista de alto impacto e que ocorre, geralmente, em função de:
a) incidente grave ou modificação nos fatores de risco com alto impacto para os processos da
organização;
III - proativa: mudança em que se busca trazer maior eficiência para a organização e que ocorre
geralmente em função de:
Art. 30. O processo de gestão de mudanças de segurança da informação deve ser constituído,
no mínimo, pelos seguintes instrumentos:
Art. 31. O documento de descrição de mudança tem o objetivo de identificar o tipo de alteração
pretendida, de forma a adequar a organização às transformações nos contextos interno e externo.
Parágrafo único. Os titulares das unidades demandantes da mudança são responsáveis pela
elaboração e aprovação do documento mencionado no caput , o qual deverá ser remetido ao agente
responsável pela gestão de mudanças nos aspectos de segurança da informação.
I - agente demandante;
II - unidade de origem;
IV - tipo de mudança;
VI - benefícios esperados.
III - relação entre a mudança pretendida e outras alterações que, eventualmente, possam
ocorrer simultaneamente;
IV - análise de risco dos ativos de informação que serão afetados pela mudança;
VII - análise crítica das consequências de mudanças não previstas e de ações propostas para
mitigação das eventuais consequências negativas.
Art. 35. Cabe ao gestor de segurança da informação, com relação ao processo de gestão de
mudanças nos aspectos de segurança da informação:
III - acompanhar, juntamente com o grupo técnico de mudança, os testes da mudança aprovada
pelo documento de avaliação e aprovação de mudança;
CAPÍTULO VI
V - as responsabilidades.
II - o parecer de conformidade; e
III - as recomendações.
Art. 42. Cabe ao gestor de segurança da informação, com relação à avaliação de conformidade
nos aspectos de segurança da informação:
CAPÍTULO VII
DISPOSIÇÕES GERAIS
Art. 44. Os processos mencionados nesta Instrução Normativa devem estar em conformidade
com a Instrução Normativa nº 01, de 27 de maio de 2020, do Gabinete de Segurança Institucional da
Presidência da República.
Art. 45. Os órgãos e as entidades da administração pública federal devem adotar os processos
descritos na presente Instrução Normativa, bem como contemplar em seu planejamento estratégico
institucional a gestão de segurança da informação.
I - designar, pelo menos, um substituto nos cargos previstos nesta Instrução Normativa, para
que possam atuar em caso de impedimentos ou de ausência do titular; e
CAPÍTULO VIII
Art. 47. Ficam revogados os seguintes atos normativos do Gabinete de Segurança Institucional
da Presidência da República, conforme estabelece o art. 7º, inciso I, do Decreto nº 10.139, de 28 de
novembro de 2019:
Art. 48. Esta Instrução Normativa entra em vigor no dia 1º de julho de 2021.