Ir para o Conteúdo 1 Ir para a Página Inicial 2 Ir para o menu de Navegação 3 Ir para a Busca 4 Ir para o Mapa do site 5
Portal Gov.br
Acesso rápido
  • Acesso rápido
  • Órgãos do Governo
  • Acesso à Informação
  • Legislação
  • Acessibilidade
  • Redefinir Cookies
  • Mudar para o modo de alto contraste
Abrir menu principal de navegação
Ministério do Turismo
Termos mais buscados
  • assinatura
  • enem
  • inss
  • mei
  • imposto de renda
Termos mais buscados
  • assinatura
  • enem
  • inss
  • Serviços
    • Carta de serviços
  • Assuntos
    • Notícias
    • Campanhas
      • Turismo em Natureza
      • Selo Turismo Responsável
      • A Hora do Turismo
      • Viva de Perto
      • Viaje pro Sul
      • Amazônia Legal
      • #PartiuBrasil
      • Brasil Pronto
      • Festas São João
      • 2022
    • Agenda de Eventos
    • Dados e Fatos
    • PrevenTUR
      • Plano de Prevenção e Repressão de Irregularidades no âmbito do Ministério do Turismo
      • Evento de Lançamento
      • Videos PrevenTUR
  • Acesso à Informação
    • Institucional
      • Quem é Quem
      • Organograma
      • Base Jurídica
      • Atos normativos
      • Atos de designação de colegiados
      • Competências
      • Horário de Atendimento
      • Secretarias Estaduais
    • Ações e Programas
      • Afroturismo
      • Apoio a Eventos Geradores de Fluxo
      • Cadastur
      • Câmara do Turismo 4.0
      • Carta de Serviços
      • Destinos Turísticos Inteligentes
      • Experiências do Brasil Rural
      • Experiências do Brasil Original
      • Fórum MOB-Tur
      • Fungetur
      • Observatório Nacional de Turismo
      • Planejamento Estratégico Institucional – PEI
      • PDTIC 2023-2025
      • Plano Nacional do Turismo (PNT) 2024-2027
      • Portal de Investimentos
      • Prêmio Nacional do Turismo
      • PRODETUR + Turismo
      • Produtos e Experiências Turísticas
      • Programa ADS China
      • Programa de Regionalização do Turismo
      • Programa Mais Crédito Mais Turismo
      • Programa Nacional de Turismo Gastronômico
      • Qualificação no Turismo
      • Rede de Inteligência de Mercado
      • Retomada do Turismo
      • Sustentabilidade e Turismo Responsável
      • Governança
      • Plano Nacional do Turismo (PNT) 2024 - 2027
      • Conheça o Brasil
      • Programa de Gestão e Desempenho - PGD
      • Transparência Ativa - Resultados alcançados no 1º trimestre de 2024
      • Programa Investe Turismo
      • Plano de Transformação Digital
      • Programas Financiados pelo Fundo de Amparo ao Trabalhador
      • Renúncias de Receitas
      • Ações, Programas e Eventos Encerrados/Concluídos
    • Participação Social
      • Chamadas Públicas e Seleções
      • Ouvidoria
    • Auditorias
      • Ações de Supervisão, Controle e Correição
      • Prestação de Contas
      • Relatório Anual de Atividades de Auditoria Interna (RAINT)
    • Convênios e Transferências
      • Termos de Execução Descentralizada
    • Receitas e Despesas
    • Licitações e Contratos
      • Licitações
      • Contratos Administrativos
      • Plano de Contratações Anual
    • Servidores
      • Servidores (ou Empregados Públicos)
      • Aposentados e Pensionistas
      • Concursos Públicos
      • Terceirizados
    • Informações Classificadas
      • Ministério do Turismo
    • Serviço de Informação ao Cidadão (SIC)
    • Perguntas Frequentes
      • Ministério do Turismo
    • Dados Abertos
    • Agenda de Autoridades
    • Corregedoria
      • Competências
      • Informações da Corregedoria
      • Normativos aplicáveis
      • Orientações e Prevenção
      • Painel de Correição em Dados
      • Processos Administrativos de Responsabilização - PARs
      • Relatório Anual de Corregedoria
    • Sistemas
      • MONITOR
      • fuTURo
      • SIACOR
      • CDE
      • SMPPP
      • SCDP
      • SIAFI
      • SICONV
      • SIOP
      • SIAPE
      • SISPROM
    • Sanções Administrativas
      • Servidores
      • Empresas
    • Lei Geral de Proteção de Dados Pessoais
    • Ouvidoria
  • Composição
    • Gabinete do Ministro - GM
      • Ouvidoria - OUV
      • Corregedoria - CORREG
      • Assessoria de Participação Social e Diversidade - ASPADI
      • Coordenação-Geral de Agenda - CGAM
      • Coordenação-Geral de Cerimonial - CGCE
      • Assessoria de Documentação - ASDOC
      • Assessoria Especial de Assuntos Parlamentares e Federativos - ASPAR
      • Assessoria Especial de Controle Interno - AECI
      • Assessoria Especial de Assuntos Técnicos - ASTEC
      • Assessoria Especial de Comunicação Social - ASCOM
      • Assessoria Especial de Relações Internacionais - AERI
      • Consultoria Jurídica - CONJUR
    • Secretaria Executiva - SE
      • Gabinete da Secretaria Executiva - GSE
      • Diretoria de Gestão Estratégica - DGE
      • Subsecretaria de Administração - SAD
    • Secretaria Nacional de Políticas de Turismo - SNPTur
      • Departamento de Planejamento, Inteligência, Inovação e Competitividade no Turismo - DEOTUR
      • Departamento de Qualidade, Sustentabilidade e Ações Climáticas no Turismo - DEQUA
      • Departamento de Marketing, Eventos e Expansão Digital - DMEX
    • Secretaria Nacional de Infraestrutura, Crédito e Investimentos no Turismo - SNINFRA
      • Departamento de Infraestrutura Turística - DIETU
      • Departamento de Investimentos, Crédito, Parcerias e Concessões no Turismo - DEINV
    • Conselho Nacional de Turismo
    • Comitê Interministerial de Facilitação Turística (CIFAT)
    • Comitê Interministerial de Gestão Turística do Patrimônio Mundial
    • Comitê Consultivo do Cadastro Nacional de Prestadores de Serviços Turísticos (CCCad)
  • Centrais de Conteúdo
    • Publicações
      • Acordos
      • Auditorias
      • Cartilha Parlamentar
      • Consumidor Turista
      • Decisões
      • Fungetur
      • Glossários
      • Guias para Atendimento aos Turistas
      • Manuais
      • Participação Social
      • Programa de Regionalização do Turismo
      • Turismo Acessível
      • Segmentação do Turismo
      • Planos de Desenvolvimento Turístico
      • Estudos de Competitividade
      • Economia da Experiência
      • Destinos Referência em Segmentos Turísticos
      • Planos de Marketing Turístico
      • Inventário da Oferta Turística
      • Manual de Desenvolvimento de Projetos Turísticos de Geoparques
      • RedeTrilhas
      • Cidades Criativas
      • Plano Diretor Orientado ao Turismo
      • Destinos Turísticos Inteligentes (DTI)
      • Relatório de Gestão SNDTUR
      • Ação Climática em Turismo no Brasil
      • Protocolo de Intenções
    • Imagens
    • Banco de Imagens
    • Vídeos
    • Agência de Notícias do Turismo
  • Canais de Atendimento
    • Fale Conosco
    • Ouvidoria
      • Fluxogramas
    • Imprensa
      • Imprensa
      • Mailing de imprensa
      • WhatsApp MTur
      • Redes Sociais
    • Serviço de Informação ao Cidadão (SIC)
      • Formulários SIC
    • Encarregado de Dados - LGPD
  • Casa Brasil em Baku - COP29
  • GOV.BR
    • Serviços
      • Buscar serviços por
        • Categorias
        • Órgãos
        • Estados
      • Serviços por público alvo
        • Cidadãos
        • Empresas
        • Órgãos e Entidades Públicas
        • Demais segmentos (ONGs, organizações sociais, etc)
        • Servidor Público
    • Temas em Destaque
      • Orçamento Nacional
      • Redes de Atendimento do Governo Federal
      • Proteção de Dados Pessoais
      • Serviços para Imigrantes
      • Política e Orçamento Educacionais
      • Bolsas de Estudo e Financiamentos Estudantis
      • Educação Profissional e Tecnológica
      • Educação Profissional para Jovens e Adultos
      • Trabalho e Emprego
      • Serviços para Pessoas com Deficiência
      • Combate à Discriminação Racial
      • Política de Proteção Social
      • Política para Mulheres
      • Saúde Reprodutiva da Mulher
      • Cuidados na Primeira Infância
      • Habitação Popular
      • Controle de Poluição e Resíduos Sólidos
    • Notícias
      • Serviços para o cidadão
      • Saúde
      • Agricultura e Pecuária
      • Cidadania e Assistência Social
      • Ciência e Tecnologia
      • Comunicação
      • Cultura e Esporte
      • Economia e Gestão Pública
      • Educação e Pesquisa
      • Energia
      • Forças Armadas e Defesa Civil
      • Infraestrutura
      • Justiça e Segurança
      • Meio Ambiente
      • Trabalho e Previdência
      • Turismo
    • Galeria de Aplicativos
    • Acompanhe o Planalto
    • Navegação
      • Acessibilidade
      • Mapa do Site
      • Termo de Uso e Aviso de Privacidade
    • Consultar minhas solicitações
    • Órgãos do Governo
    • Por dentro do Gov.br
      • Dúvidas Frequentes em relação ao Portal gov.br
      • Dúvidas Frequentes da conta gov.br
      • Ajuda para Navegar o Portal
      • Conheça os elementos do Portal
      • Política de e-participação
      • Termos de Uso
      • Governo Digital
      • Guia de Edição de Serviços do Portal Gov.br
    • Canais do Executivo Federal
    • Dados do Governo Federal
      • Dados Abertos
      • Painel Estatístico de Pessoal
      • Painel de Compras do Governo Federal
      • Acesso à Informação
    • Empresas e Negócios
    • Simplifique!
Links Úteis
  • Galeria de Aplicativos
  • Participe
  • Galeria de Aplicativos
  • Participe
Redes sociais
  • Twitter
  • YouTube
  • Facebook
  • Flickr
  • Instagram
Você está aqui: Página Inicial Centrais de Conteúdo Publicações Atos Normativos-MTur 2023 PORTARIA MTUR Nº 28, DE 11 DE SETEMBRO DE 2023
Info

PORTARIA MTUR Nº 28, DE 11 DE SETEMBRO DE 2023

Compartilhe por Facebook Compartilhe por Twitter Compartilhe por LinkedIn Compartilhe por WhatsApp link para Copiar para área de transferência
Publicado em 12/09/2023 09h08

Aprova a Política de Segurança da Informação do Ministério do Turismo e dá outras providências.

O MINISTRO DE ESTADO DO TURISMO, no uso da atribuição que lhe confere o art. 87, parágrafo único, incisos I e II, da Constituição Federal, e tendo em vista o disposto no art. 15, II do Decreto nº 9.637, de 26 de dezembro de 2018, resolve:

Art. 1º Aprovar a Política de Segurança da Informação do Ministério do Turismo - POSIN, com vistas a estabelecer diretrizes, responsabilidades, competências e subsídios para a gestão da Segurança da Informação no âmbito da Pasta.

Parágrafo único. Os conceitos e definições utilizados na POSIN se encontram dispostos no Anexo I desta Portaria.

CAPÍTULO I

DISPOSIÇÕES GERAIS

Art. 2º A Política de Segurança da Informação do Ministério do Turismo considera a natureza e a finalidade da Pasta e está alinhada ao seu planejamento estratégico para as atividades de Gestão da Informação.

Art. 3º Para os fins do disposto nesta POSIN, conforme o art. 2º do Decreto nº 9.637, de 26 de dezembro de 2018, a Segurança da Informação abrange:

I - a segurança cibernética;

II - a defesa cibernética;

III - a segurança física e a proteção de dados organizacionais; e

IV - as ações destinadas a assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação.

CAPÍTULO II

DAS FINALIDADES

Art. 4º Para efeitos de aplicação desta POSIN, são consideradas finalidades a serem asseguradas pela Segurança da Informação:

I - confidencialidade: propriedade pela qual se assegura que a informação não esteja disponível ou não seja revelada à pessoa, ao sistema, ao órgão ou à entidade não autorizados nem credenciados;

II - integridade: propriedade pela qual se assegura que a informação não foi modificada ou destruída de maneira não autorizada ou acidental;

III - disponibilidade: propriedade pela qual se assegura que a informação esteja acessível e utilizável, sob demanda, por uma pessoa física ou determinado sistema, órgão ou entidade devidamente autorizados; e

IV - autenticidade: propriedade pela qual se assegura que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, equipamento, sistema, órgão ou entidade.

Art. 5º As ações de Segurança da Informação do Ministério do Turismo serão norteadas pelos seguintes parâmetros :

I - responsabilidade: o dever de cumprir as definições desta Portaria, a legislação e as normas pertinentes à segurança da informação vigentes;

II - clareza: as regras e as normas sobre segurança da informação deverão ser elaboradas de forma clara, precisa, concisa e de fácil entendimento;

III - privacidade: preservar informação que fira o respeito, a intimidade, a integridade e a honra dos cidadãos não podendo ser divulgadas;

IV - celeridade: as ações de segurança da informação deverão oferecer respostas rápidas a incidentes e falhas;

V - ética: preserva o direito do servidor, colaborador, estagiário e prestador de serviços, sem que ocorra o comprometimento da segurança da informação; e

VI - legalidade: deverão ser respeitados os princípios constitucionais, administrativos e do arcabouço legislativo vigente que regem a Administração Pública Federal e, ainda, consideradas as normas e as políticas organizacionais administrativas, técnicas e operacionais.

CAPÍTULO III

DAS DIRETRIZES

Art. 6º Para cada uma das diretrizes constantes das Seções deste Capítulo, poderão ser elaboradas normas internas, metodologias ou procedimentos complementares de segurança da informação.

Parágrafo único. As normas internas relativas à segurança da informação de que trata esta POSIN serão aprovadas pelo Comitê de Governança Digital e Segurança da Informação, conforme competências definidas em sua portaria de instituição.

Art. 7º O uso e o compartilhamento de dados, informações e documentos no âmbito do Ministério do Turismo, em todo o seu ciclo de vida, visam à continuidade de seus processos críticos em conformidade com a legislação vigente, normas, requisitos regulamentares e contratuais, valores éticos e as melhores práticas de segurança da informação.

Parágrafo único. O ciclo de vida a que se refere o caput deste artigo diz respeito às fases de criação, tratamento, uso, armazenamento, divulgação e descarte.

Art. 8º O sucesso das ações de segurança da informação está diretamente associado à capacitação científico-tecnológica dos recursos humanos envolvidos, à conscientização do público interno, à qualidade das soluções adotadas e à proteção das informações contra ameaças internas e externas.

Art. 9º Visando alcançar a abrangência definida no art. 3º, toda e qualquer informação gerada, adquirida, utilizada ou armazenada pelo Ministério do Turismo é considerada ativo de informação e faz parte do seu patrimônio, observados os critérios de confidencialidade, autenticidade, disponibilidade e integridade, além do disposto no art. 17.

Seção I

Do Tratamento da Informação

Art. 10. Todo ativo de informação criado, adquirido ou custodiado, no âmbito do Ministério do Turismo deverá ser protegido contra ameaças segundo as diretrizes descritas nesta POSIN e demais regulamentações em vigor, com o objetivo de minimizar riscos, sem prejuízo da transparência para com o cidadão.

Art. 11. As informações criadas, armazenadas, manuseadas, transportadas ou descartadas deverão ser classificadas segundo o grau de sigilo, criticidade e outros, conforme estabelecido no Decreto nº 7.724, de 16 de maio de 2012.

Art. 12. As informações custodiadas pelo Ministério do Turismo deverão ser adequadamente protegidas quanto ao acesso e ao uso, sendo que aquelas consideradas de alta criticidade deverão receber tratamento de acordo com as definições da Gestão de Riscos em Segurança da Informação, previstas no art. 52 desta Portaria.

Art. 13. A manipulação de informações classificadas em qualquer grau de sigilo deverá seguir as normas internas de segurança da informação e o estabelecido no Decreto nº 7.724, de 2012, quanto à salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado no âmbito da Administração Pública Federal.

Art. 14. As informações produzidas ou custodiadas pelo Ministério do Turismo deverão ser descartadas conforme o seu nível de classificação, consoante regulamentação.

Art. 15. É expressamente proibido o acesso, a guarda ou o encaminhamento de material discriminatório, malicioso, não ético, obsceno ou ilegal por intermédio de quaisquer meios e recursos de tecnologia da informação disponibilizados pelo Ministério do Turismo.

Art. 16. As senhas utilizadas em sistemas do Ministério do Turismo deverão ser criptografadas para proteção contra acesso indevido ou vazamento.

Art. 17. Deverá ser observado no tratamento dos dados pessoais e ou sensíveis o disposto na Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais-LGPD.

Seção II

Da Segurança Física dos Equipamentos

Art. 18. Os equipamentos e os mecanismos de proteção às instalações físicas e áreas de processamento de informações críticas ou sensíveis deverão ser protegidas contra acesso indevido, danos e interferências, em resposta aos riscos identificados.

Art. 19. A área responsável pela segurança organizacional e corporativa do Ministério do Turismo deverá implementar perímetros de segurança a fim de garantir proteção e separação entre ambientes internos e externos.

Art. 20. As áreas seguras serão protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso.

Art. 21. As áreas seguras controladas pelo Ministério do Turismo possuirão procedimentos adequados de proteção, bem como diretrizes que orientem o trabalho no interior dessas áreas, a ser definida em norma interna de segurança da informação do Ministério do Turismo.

Seção III

Da Gestão de Incidentes em Segurança da Informação

Art. 22. A Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos -ETIR, instituída pela Portaria MTur nº 41, de 17 de agosto de 2022, ficará responsável pela divulgação de práticas e recomendações de segurança da informação e pela avaliação das condições de segurança de rede por meio de verificações de conformidade, com o objetivo de evitar que ocorram incidentes de segurança.

§ 1º A ETIR do Ministério do Turismo integrará a Rede Federal de Gestão de Incidentes Cibernéticos, coordenada pelo Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo, do Gabinete de Segurança Institucional da Presidência da República, nos termos do Decreto nº 10.748, de 16 de julho de 2021.

§ 2º A atuação da ETIR será orientada por normas, padrões e procedimentos técnicos exarados pelo Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo -CTIR. Gov, sem prejuízo das demais metodologias e padrões conhecidos ou que vierem aprovados pelo Comitê de Governança Digital e Segurança da Informação do Ministério do Turismo.

Seção IV

Gestão de Ativos da Informação

Art. 23. Os ativos da informação, sistemas e banco de dados do Ministério do Turismo deverão ser protegidos contra indisponibilidade, acessos indevidos, alterações, falhas, perdas, danos, furtos, roubos e interrupções não programadas.

Art. 24. Os ativos de informação deverão ser inventariados e mapeados a fim de produzir subsídios para a Gestão de Segurança da Informação, Gestão de Riscos de Segurança da Informação, Gestão de Continuidade de Negócios, bem como para os procedimentos de avaliação da conformidade, de melhorias contínuas e de auditoria.

Art. 25. O processo de inventário e mapeamento de ativos de informação deve ser dinâmico, periódico e estruturado para manter a Base de Dados de Ativos de Informação atualizada para prover informações para o desenvolvimento de ações e planos de aperfeiçoamento de práticas de Gestão da Segurança da Informação no âmbito do Ministério do Turismo.

Seção V

Gestão do Uso dos Recursos Operacionais e de Comunicações

Art. 26. Os ativos de informação deverão ser disponibilizados pela área de tecnologia da informação do Ministério do Turismo somente para usuários de informação cadastrados, mediante a utilização de credenciais individuais e intransferíveis, concedidas conforme solicitação da chefia imediata.

Art. 27. Será autorizado o uso de equipamentos pessoais em atividades institucionais somente com a implementação de soluções de segurança da informação com padrões que atendam aos parâmetros definidos no art. 5º, nesses equipamentos.

Art. 28. Os ativos de informação disponibilizados pelo Ministério do Turismo deverão ser utilizados exclusivamente para a execução de atividades institucionais.

Art. 29. Toda a informação que trafega pelos ativos de informação poderá ser monitorada de acordo com as necessidades de segurança da informação estabelecidas em norma interna de segurança da informação do Ministério do Turismo, conforme diretrizes desta POSIN e respeitada a legislação vigente.

Art. 30. Em caso de desligamento ou impedimento de um agente público que tenha executado atividades no Ministério do Turismo, sua chefia imediata poderá requisitar a recuperação de informações armazenadas em ativos de informação que estejam sob a guarda da instituição, com a finalidade de continuidade das atividades realizadas pelo agente público.

Art. 31. Serão estabelecidos processos permanentes de conscientização, capacitação e sensibilização em segurança da informação, que alcancem todos os agentes públicos que executem atividades no Ministério do Turismo, de acordo com suas competências funcionais.

Seção VI

Do Uso do E-mail institucional

Art. 32. O uso do e-mail institucional deverá ser definido em ato específico do Ministro do Turismo, em conformidade com as diretrizes desta POSIN, e deverá tratar, dentre outras coisas, do controle de acesso.

Art. 33. O serviço de e-mail será oferecido como um recurso institucional para apoiar os seus usuários no cumprimento das atividades institucionais.

Art. 34. O e-mail institucional deverá ser utilizado somente para fins corporativos e relacionados às atividades do agente público, sendo vedado o uso para fins pessoais.

Seção VII

Do Uso e Acesso à Internet

Art. 35. A concessão de acesso à internet no âmbito do Ministério do Turismo será limitada às atividades de trabalho do usuário de informação, seguindo os procedimentos definidos em norma interna de segurança da informação do Ministério do Turismo, em conformidade com as diretrizes desta POSIN, orientações governamentais e legislações específicas em vigor.

Parágrafo Único. As solicitações de exceção de acesso deverão ser justificadas pelo usuário de informação e consentidas pela autoridade hierarquicamente superior, no mínimo CCE-15/FCE-15, cabendo à área de segurança da informação realizar a avaliação dos riscos da exceção para encaminhar à avaliação da aprovação final pelo Gestor de Segurança da Informação.

Art. 36. As publicações oficiais na internet deverão ser autorizadas pela área responsável pelo conteúdo.

Seção VIII

Do Serviço de Backup

Art. 37. Os procedimentos de backup deverão ser fixados por norma interna de segurança da informação do Ministério do Turismo, considerando as seguintes diretrizes gerais desta POSIN.

§ 1º O serviço de backup deverá ser automatizado por sistemas informacionais próprios, considerando, inclusive, a execução agendada fora do horário de expediente.

§ 2º A solução de backup deverá ser mantida sempre atualizada, considerando suas diversas características, tais como atualizações de correção, novas versões, ciclo de vida, garantia, melhorias, entre outros.

§3º As mídias de backups deverão ser armazenadas em instalações seguras, preferencialmente com estrutura de cofres e salas-cofres, objetivando manter a sua segurança e integridade.

§4º A execução de rotinas de backup e de recuperação deverá ser rigidamente controlada, documentada e auditada, conforme norma interna de segurança da informação do Ministério do Turismo .

Seção IX

Das Redes Sociais

Art. 38. O uso institucional das redes sociais deverá ser norteado por diretrizes, critérios, limitações e responsabilidades, em conformidade com as diretrizes desta POSIN.

Parágrafo único. A utilização de perfis institucionais mantidos em redes sociais com o objetivo de prestar atendimento e serviços públicos, divulgar ou compartilhar informações do Ministério do Turismo será regida por norma interna de segurança da informação do Ministério do Turismo, em consonância com esta POSIN e com os objetivos estratégicos deste Ministério.

Art. 39. Os perfis institucionais mantidos nas redes sociais deverão ser administrados e custodiados por agentes públicos autorizados pelo Ministério do Turismo, tendo suas credenciais de acesso monitoradas pela área de tecnologia da informação a fim de assegurar o previsto no art. 72.

Seção X

Da Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação

Art. 40. As atividades de aquisição, manutenção e desenvolvimento de sistemas de informação deverão observar os padrões, critérios e controles de segurança e seguir o estabelecido na Instrução Normativa SGD/ME nº 94, de 23 de dezembro de 2022.

Art. 41. O apoio técnico aos processos de planejamento e avaliação da qualidade das soluções de tecnologia da informação poderá ser objeto de contratação, desde que sob supervisão exclusiva de agente público designado pelo Ministério do Turismo, conforme disposto no art. 3º da Instrução Normativa SGD/ME nº 1, de 2019.

§ 1º O Termo de Referência ou Projeto Básico para contratação de soluções de tecnologia deverá conter, no que couber ao objeto contratado, requisitos e obrigações de segurança da informação e privacidade, conforme estabelecido no Anexo I - Item 7 da Instrução Normativa SGD/ME nº 94, de 2022.

§ 2º Nos editais de licitação e nos contratos de solução de tecnologia da informação com o Ministério do Turismo deverá constar cláusula específica sobre a obrigatoriedade de atendimento a esta POSIN, bem como que verse sobre a exigência estabelecida para empresa contratada e prestador de serviços assinarem o Termo de Responsabilidade e o Termo de Confidencialidade, conforme os Anexos II e III desta Portaria.

§ 3º A empresa contratada deverá demonstrar que possui mecanismos que assegurem a segurança das informações do Ministério do Turismo por ela acessadas direta ou indiretamente e cumprir o disposto nesta POSIN quando aplicável.

Art. 42. Não poderá ser objeto de contratação a Gestão de Processos de Tecnologia da Informação ou a Gestão de Segurança da Informação, conforme disposto no art. 3º da Instrução Normativa SGD/ME nº 94, de 2022.

Seção XI

Do Uso de Computação em Nuvem

Art. 43. A implementação ou contratação de computação em nuvem deverá estar em conformidade com as diretrizes desta POSIN e com a Instrução Normativa MTur nº 5, de 30 de agosto de 2021.

§ 1º O uso de recursos de computação em nuvem para suprir demandas de transferência e armazenamento de documentos, processamento de dados, aplicações, sistemas e demais tecnologias da informação será regido por norma interna de segurança da informação que deverá ser instituída pela unidade responsável pelos ativos de tecnologia e atenderá às determinações desta POSIN.

§ 2º Fica vedado o uso de recurso de computação em nuvem não disponibilizado pelo Ministério do Turismo para o armazenamento de ativo de informação institucional.

Seção XII

Do Uso de Dispositivos Móveis

Art. 44. O uso de dispositivos móveis para acesso aos recursos computacionais do Ministério do Turismo deverá ser controlado com a implementação de mecanismos de autenticação, autorização e registro de acesso.

Parágrafo Único. Norma interna de segurança da informação definirá os procedimentos específicos para o uso de dispositivos móveis que acessarem ativos de informação do Ministério do Turismo, conforme diretrizes desta Política de Segurança da Informação.

Seção XIII

Dos Controles de Acesso

Art. 45. O controle de acesso aos sistemas corporativos e o credenciamento de usuário de informações serão definidos em norma interna de segurança da informação do Ministério do Turismo.

Art. 46. A autorização, o acesso e o uso dos ativos de informação deverão ser controlados e limitados ao necessário para o cumprimento das atribuições de cada usuário de informação.

Art. 47. A identificação do usuário de informação, qualquer que seja o meio e a forma adotados, deverá ser pessoal e intransferível, permitindo o seu reconhecimento de maneira clara, inequívoca e irrefutável.

Art. 48. Sempre que houver mudança nas atribuições de determinado usuário de informação, os seus privilégios de acesso aos ativos de informação deverão ser imediatamente readequados, devendo ser cancelados em caso de seu desligamento do Ministério do Turismo.

Art. 49. A criação e a administração de contas serão realizadas de acordo com os procedimentos especificados em norma interna de segurança da informação do Ministério do Turismo para todo e qualquer usuário de informação.

Art. 50. As práticas de segurança deverão contemplar procedimentos de acesso físico a áreas e instalações, gestão de acessos e delimitação de perímetros de segurança.

Art. 51. A credencial de acesso concedida a usuários de informação pela área de tecnologia da informação poderá ser revogada, a qualquer tempo, pela área de segurança da informação, em virtude do descumprimento desta POSIN ou das normas e procedimentos específicos dela decorrentes, cabendo recurso ao Gestor de Segurança da Informação.

Seção XIV

Da Gestão de Riscos em Segurança da Informação

Art. 52. A Gestão de Riscos em Segurança da Informação será instituída por norma interna de segurança da informação do Ministério do Turismo com vistas a identificar os ativos de informação relevantes e determinar ações de gestão apropriadas.

§ 1º O processo de levantamento de riscos deverá avaliar os riscos relativos à segurança dos ativos de informação e a conformidade com as exigências regulatórias ou legais.

§ 2º A Gestão de Riscos em Segurança da Informação deverá estar alinhada às diretrizes desta POSIN e com a unidade organizacional responsável pela Gestão de Riscos do Ministério do Turismo, implementando, no que couber, suas diretrizes e procedimentos.

Seção XV

Da Gestão de Vulnerabilidades Técnicas

Art. 53. A Gestão de Vulnerabilidades Técnicas será implementada com vistas a prevenir a exploração de vulnerabilidades na rede corporativa do Ministério do Turismo por meio da aplicação sistemática de ações de identificação, classificação e tratamento de vulnerabilidades, sendo regulamentada por norma interna de segurança da informação do Ministério do Turismo.

Art. 54. O processo de Gestão de Vulnerabilidades deverá assegurar que sejam disponibilizadas à Alta Administração e ao Comitê de Governança Digital e Segurança da Informação, sempre que solicitado, as informações sobre vulnerabilidades referentes aos ativos de rede e de sistemas informatizados geridos pelas áreas de tecnologia da informação, de forma a permitir a eficaz detecção e remediação de vulnerabilidades no menor tempo possível.

Art. 55. O inventário completo e atualizado dos ativos de rede e sistemas informatizados será pré-requisito para o efetivo processo de gestão de vulnerabilidades e deverá identificar, no mínimo, os ativos de hardware, software, serviços em nuvem, o grau de criticidade e o respectivo responsável pela sua gestão.

Seção XVI

Da Gestão de Continuidade de Negócios em Segurança da Informação

Art. 56. O Ministério do Turismo deverá manter processo de Gestão de Continuidade de Negócios em Segurança da Informação que forneça estrutura a fim de permitir a continuidade das atividades e, caso sejam interrompidas, assegurar a sua retomada em tempo hábil.

Art. 57. Os ativos de informação de propriedade ou custodiados pelo Ministério do Turismo, quando armazenados em meio eletrônico, deverão ser providos de cópia de segurança atualizada e guardada em local seguro, de forma a garantir a continuidade das atividades do órgão.

Art. 58. Deverá ser elaborado um Plano de Continuidade de Negócios em Segurança da Informação - PCN que contenha os procedimentos e as informações necessárias para que o Ministério do Turismo mantenha seus ativos de informação críticos e a continuidade de suas atividades críticas em local alternativo, em um nível previamente definido, em caso de incidente.

Parágrafo único. O Plano de Continuidade de Negócios em Segurança da Informação será elaborado pelo Gestor de Segurança da Informação e deverá ser testado e revisado periodicamente, de forma a se manter atualizado para responder às ameaças identificadas.

Seção XVII

Da Auditoria e Conformidade

Art. 59. O Ministério do Turismo deverá criar e manter registros e procedimentos, como trilhas de auditoria, que possibilitem o rastreamento, o acompanhamento, o controle e a verificação de acessos aos seus sistemas corporativos e à sua rede interna.

Art. 60. Deverá ser realizada, com periodicidade mínima anual, a verificação de conformidade das práticas de Segurança da Informação aplicadas no Ministério do Turismo com esta POSIN, bem como com as normas elaboradas pelo Gabinete de Segurança Institucional da Presidência da República, em vigor.

§ 1º A verificação de conformidade também deverá ser realizada nos contratos, convênios, acordos de cooperação e outros instrumentos do mesmo gênero celebrados com o Ministério do Turismo.

§ 2º A verificação de conformidade poderá combinar ampla variedade de técnicas, tais como análise de documentos, análise de registros (logs), análise de código-fonte, entrevistas, simulação de intrusão e testes de invasão.

§ 3º Os resultados de cada ação de verificação de conformidade serão documentados em Relatório de Avaliação de Conformidade a ser elaborado pelo Gestor de Segurança da Informação.

Art. 61. Os procedimentos e as metodologias utilizados na auditoria e conformidade serão definidos em norma interna de segurança da informação do Ministério do Turismo.

CAPÍTULO IV

DAS COMPETÊNCIAS

Art. 62. A estrutura de Gestão de Segurança da Informação no Ministério do Turismo será composta pelo Gestor de Segurança da Informação -GSI- e pelo Comitê de Governança Digital e Segurança da Informação -CGDSI.

Seção I

Do Comitê de Governança Digital e Segurança da Informação

Art. 63. O Comitê de Governança Digital e Segurança da Informação, instituído pela Portaria MTur nº 20, de 5 de julho de 2023, deverá realizar reuniões periódicas para acompanhamento das atividades de segurança institucional, avaliação do cumprimento de metas de segurança e a efetiva aplicação dessa POSIN.

Seção II

Do Gestor de Segurança da Informação

Art. 64. O Gestor de Segurança da Informação é o responsável pelas ações de segurança da informação no âmbito do órgão ou entidade da administração pública federal.

Art. 65. Ao Gestor de Segurança da Informação compete:

I - planejar, coordenar, supervisionar, executar e controlar a execução das atividades de tecnologia da informação em conformidade com as diretrizes desta POSIN;

II - definir estratégias para a implementação desta POSIN e suas normas internas de segurança da informação;

III - supervisionar e analisar a efetividade dos processos, procedimentos, sistemas e dispositivos de Segurança da Informação;

IV - acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança e adotar as medidas administrativas necessárias à aplicação de ações corretivas;

V - encaminhar os fatos apurados, decorrentes de quebra de segurança, para a aplicação das penalidades previstas no art. 74;

VI - gerenciar a análise de risco;

VII - verificar se os procedimentos de Segurança da Informação estão sendo aplicados de forma a atender à conformidade com legislações vigentes a respeito do assunto e normativos internos específicos;

VIII - promover, com apoio da alta administração, a ampla divulgação da Política, das normas internas de segurança da informação e de suas atualizações, de forma ampla e acessível, a todos os usuários de informação e aos prestadores de serviço;

IX - propor recursos necessários às ações de segurança da informação e das comunicações;

X - acompanhar as atividades da Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos;

XI- promover e acompanhar estudos de novas tecnologias quanto a possíveis impactos na segurança da informação e comunicações;

XII - propor normas internas relativas à segurança da informação e comunicações;

XIII - promover a melhoria contínua dos processos de gestão de segurança da informação e propor ajustes corretivos a serem incluídos nas revisões desta POSIN; e

XIV - propor conteúdo sobre segurança da informação, com vistas a facilitar a capacitação e a instrução dos servidores e colaboradores para a utilização de sistemas corporativos e acesso a informações nos níveis físico e lógico, em conformidade com as diretrizes desta POSIN.

CAPÍTULO V

DAS RESPONSABILIDADES

Seção I

Do Proprietário da Informação

Art. 66. O setor ou a chefia imediata, proprietário da informação, é o responsável primário pela sua viabilidade e sobrevivência.

Art. 67. Ao Proprietário da Informação caberá:

I - comunicar ao Gestor de Segurança da Informação acerca do ingresso, da alteração de lotação ou localização, e do desligamento de servidor, inclusive colaboradores do Ministério do Turismo; e

II - colher a assinatura do Termo de Responsabilidade disponível no Anexo II e do Termo de Confidencialidade disponível no Anexo III que envolvam o manuseio dos ativos de informação.

Seção II

Das Responsabilidades do Usuário de Informação

Art. 68. O Usuário de Informação é a pessoa física, servidor ou equiparado, empregado ou prestador de serviços, habilitada pela administração para acessar os ativos de informação do Ministério do Turismo.

Art. 69. Todo usuário de informação deverá respeitar a classificação atribuída a uma informação e, a partir dela, conhecer e obedecer às restrições de acesso e divulgação associadas.

Art. 70. Ao Usuário de Informação caberá:

I - acessar a rede de dados do Ministério do Turismo somente após tomar ciência desta POSIN e das normas internas de Segurança da Informação e assinar o Termo de Responsabilidade (Anexo II);

II - manter sigilo e trocar periodicamente a senha pessoal;

III - não usar a identificação de acesso /login e senha de terceiros;

IV - portar crachá de identificação de maneira visível ou uniforme, para os cargos que o exigirem, dentro das instalações do Ministério do Turismo;

V - zelar pelos equipamentos disponibilizados para a execução do seu serviço e tratar a informação digital como patrimônio do Ministério do Turismo e como recurso que deva ter seu sigilo preservado;

VI - utilizar as informações digitais disponibilizadas e os sistemas e produtos computacionais de propriedade ou direito de uso do Ministério do Turismo exclusivamente para o interesse do serviço;

VII - preservar o conteúdo das informações sigilosas a que tiver acesso, sem divulgá-las para pessoas não autorizadas ou que não tenham necessidade de conhecê-las;

VIII - não tentar obter acesso à informação cujo grau de sigilo não seja compatível com a sua Credencial de Segurança ou cujo teor não tenha autorização ou necessidade de conhecer;

IX - não compartilhar, transferir, divulgar ou permitir o conhecimento de credenciais de acesso (senhas) utilizadas no ambiente computacional do Ministério do Turismo por terceiros;

X - não utilizar o ambiente computacional do Ministério do Turismo para acessar, transmitir, copiar ou reter conteúdo ou arquivos com textos, fotos, filmes ou quaisquer outros registros que possam causar constrangimento a terceiros ou que estejam em desacordo com a moral e a ética públicas e com a legislação vigente;

XI - não transferir qualquer tipo de arquivo que pertença ao Ministério do Turismo para outro local, seja por meio magnético ou não, exceto no interesse do serviço e mediante autorização da autoridade competente;

XII - estar ciente de que o processamento, o trâmite e o armazenamento de arquivos que não sejam de interesse do serviço não serão permitidos na rede computacional do Ministério do Turismo;

XIII - estar ciente de que toda informação digital armazenada, processada e transmitida no ambiente computacional do Ministério do Turismo poderá ser auditada;

XIV - estar ciente de que o e-mail é de uso exclusivo para o interesse do serviço e que qualquer correspondência eletrônica originada ou retransmitida no ambiente computacional do Ministério do Turismo deverá obedecer a esse preceito;

XV - ao assinar o Termo de Responsabilidade disponível no Anexo II, o usuário de informação declara, formalmente, ter pleno conhecimento e aceitar expressamente, sem reservas, os termos desta POSIN;

XVI - utilizar as credenciais de acesso (login e senha) e os recursos computacionais em conformidade com a POSIN do Ministério do Turismo e procedimentos estabelecidos em normas específicas do órgão;

XVII - informar prontamente à Central de Suporte ao Usuário caso tome conhecimento de fato que esteja em desacordo com esta POSIN ou suspeite da veracidade de mensagem ou arquivo recebidos; e

XVIII - no caso de exoneração, demissão, licenciamento, término de prestação de serviço ou qualquer tipo de afastamento, preservar o sigilo das informações e documentos sigilosos a que teve acesso.

Seção III

Das Responsabilidades do Custodiante da Informação

Art. 71. O Custodiante da Informação é o agente público que tem responsabilidade formal de proteger a informação e aplicar os níveis de controles de segurança em conformidade com as exigências de segurança da informação comunicadas pelo proprietário da informação.

Art. 72. Ao Custodiante da Informação caberá:

I - cumprir e zelar pela observância integral das diretrizes desta POSIN e demais normas e procedimentos decorrentes;

II - zelar pela disponibilidade, integridade, confidencialidade e autenticidade das informações e recursos em qualquer suporte sob sua custódia, conforme condições estabelecidas nesta POSIN e demais normas e procedimentos decorrentes, mediante assinatura do Termo de Responsabilidade (Anexo II);

III - participar de capacitação, treinamento ou eventos em segurança da informação promovidos pelo GSI;

IV - proteger as informações contra acesso, modificação, destruição ou divulgação não autorizada;

V - preservar a classificação do grau de sigilo a documentos, dados e informações dos quais tiver conhecimento em decorrência do exercício de suas funções;

VI - adotar as medidas de proteção necessárias para minimizar ou eliminar os riscos a que estão sujeitos seus ativos de informação no âmbito do Ministério do Turismo; e

VII - comunicar imediatamente ao Proprietário da Informação e ao Gestor de Segurança da Informação sobre qualquer incidente que possa comprometer a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações ou sobre fato de que tenha conhecimento que esteja em desacordo com esta POSIN.

CAPÍTULO VI

DAS PENALIDADES

Art. 73. O Usuário de Informação responderá pelo prejuízo que vier a ocasionar ao Ministério do Turismo em decorrência do descumprimento de uma ou mais regras desta POSIN e pelo uso indevido das suas credenciais de acesso.

Art. 74. A desobediência às regras estabelecidas nesta POSIN, por qualquer pessoa física ou jurídica, no âmbito do Ministério do Turismo, implicará ao infrator as penalidades previstas, nos âmbitos civil e penal, quanto à tipificação criminal de delitos informáticos, conforme a Lei nº 12.737, de 30 de novembro de 2012, bem como perante a justiça administrativa, conforme a Lei nº 8.112, de 11 de dezembro de 1990.

CAPÍTULO VII

DAS DISPOSIÇÕES FINAIS

Art. 75. Esta POSIN e suas atualizações deverão ser divulgadas amplamente aos usuários de informações do Ministério do Turismo.

Parágrafo único. A atualização desta POSIN, bem como todos os instrumentos normativos gerados a partir dela, deverão ser revisados e atualizados sempre que se fizer necessário, não excedendo o período máximo de quatro anos.

Art. 76. Todos os servidores, colaboradores, estagiários e demais agentes públicos ou particulares que executem atividade vinculada à atuação institucional do Ministério do Turismo, deverão seguir o estabelecido nesta POSIN e as normas internas de segurança da informação, bem como assinar o Termo de Responsabilidade (Anexo II) quanto ao sigilo do conhecimento dos dados e informações.

Parágrafo único. O MTur poderá providenciar meio informatizado, para o Termo de Responsabilidade (Anexo II) desta POSIN, visando facilitar a manifestação dos usuários de ativos de informação.

Art. 77. Fica revogada a Portaria MTur nº 108, de 22 de maio de 2013.

Art. 78. Esta Portaria entra em vigor em 19 de setembro de 2023.

CELSO SABINO

ANEXO I

CONCEITOS E DEFINIÇÕES

Art. 1º Os conceitos e as definições utilizados nesta Política de Segurança da Informação, em sua maioria, estão contidos no Glossário de Segurança da Informação, aprovado pelo Gabinete de Segurança Institucional da Presidência da República mediante a Portaria GSI/PF nº 93, de 18 de outubro de 2021, dentre eles:

I - acesso - ato de ingressar, transitar, conhecer ou consultar a informação, bem como possibilidade de usar os ativos de informação de um órgão ou entidade, observada eventual restrição que se aplique.

II - agente público - todo aquele que exerce, ainda que transitoriamente ou sem remuneração, por eleição, nomeação, designação, contratação, ou qualquer outra forma de investidura ou vínculo, mandato, cargo, emprego ou função nos órgãos e entidades da administração pública federal, direta e indireta.

III - ameaça - conjunto de fatores externos com o potencial de causar dano para um sistema ou organização.

IV - ataque - ação que constitui uma tentativa deliberada e não autorizada para acessar ou manipular informações, ou tornar um sistema inacessível, não íntegro ou indisponível.

V - ativos de informação - meios de armazenamento, transmissão e processamento da informação, equipamentos necessários a isso, sistemas utilizados para tal, locais onde se encontram esses meios, recursos humanos que a eles têm acesso e conhecimento ou dado que tem valor para um indivíduo ou organização.

VI - auditoria - processo de exame cuidadoso e sistemático das atividades desenvolvidas, cujo objetivo é averiguar se elas estão de acordo com as disposições planejadas e estabelecidas previamente, se foram implementadas com eficácia e se estão adequadas e em conformidade à consecução dos objetivos.

VII - autenticidade - propriedade pela qual se assegura que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, equipamento, sistema, órgão ou entidade.

VIII - backup - conjunto de procedimentos que permite salvaguardar os dados de um sistema computacional, garantindo guarda, proteção e recuperação. Tem a fidelidade ao original assegurada. Esse termo também é utilizado para identificar a mídia em que a cópia é realizada.

IX - comitê de governança digital e segurança da informação - grupo de pessoas com a responsabilidade de assessorar a implementação das ações de segurança da informação no âmbito do órgão ou entidade da administração pública federal.

X - computação em nuvem: modelo de fornecimento e entrega de tecnologia de informação que permite acesso conveniente e sob demanda a um conjunto de recursos computacionais configuráveis, sendo que tais recursos podem ser provisionados e liberados com mínimo gerenciamento ou interação com o provedor do serviço de nuvem;

XI - comprometimento - perda de segurança resultante do acesso não autorizado.

XII - confidencialidade - propriedade pela qual se assegura que a informação não esteja disponível ou não seja revelada à pessoa, ao sistema, ao órgão ou à entidade não autorizados nem credenciados.

XIII - controlador - pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais.

XIV - controle de acesso - conjunto de procedimentos, recursos e meios utilizados com a finalidade de conceder ou bloquear o acesso ao uso de recursos físicos ou computacionais. Via de regra, requer procedimentos de autenticação.

XV - controle de acesso à informação classificada - realizado por meio de credencial de segurança e da demonstração da necessidade de conhecer.

XVI - cópia de segurança - vide backup.

XVII - credenciamento - processo pelo qual o usuário recebe credenciais de segurança que concederão o acesso, incluindo a identificação, a autenticação, o cadastramento de código de identificação e definição de perfil de acesso, em função de autorização prévia e da necessidade de conhecer.

XVIII - crime cibernético - ato criminoso ou abusivo contra redes ou sistemas de informações, seja pelo uso de um ou mais computadores, utilizados como ferramentas para cometer o delito ou tendo como objetivo uma rede ou sistema de informações a fim de causar incidente, desastre cibernético ou obter lucro financeiro.

XIX - criptografia - arte de proteção da informação, por meio de sua transformação em um texto cifrado (criptografado), com o uso de uma chave de cifragem e de procedimentos computacionais previamente estabelecidos, a fim de que somente o(s) possuidor(es) da chave de decifragem possa(m) reverter o texto criptografado de volta ao original (texto pleno). A chave de decifragem pode ser igual (criptografia simétrica) ou diferente (criptografia assimétrica) da chave de cifragem.

XX - criticidade - o que é crítico, que envolve algum grau de risco.

XXI - custódia - consiste na responsabilidade de guardar um ativo para terceiros. A custódia não permite automaticamente o acesso ao ativo, nem o direito de conceder acesso a outros.

XXII - custodiante da informação - qualquer indivíduo ou estrutura de órgão ou entidade da administração pública federal, direta e indireta, que tenha responsabilidade formal de proteger a informação e aplicar os níveis de controles de segurança, em conformidade com as exigências de segurança da informação, comunicadas pelo proprietário da informação.

XXIII - dado pessoal - informação relacionada à pessoa natural identificada ou identificável.

XXIV - descarte - eliminação correta de informações, documentos, mídias e acervos digitais.

XXV - dinâmico - que evolui permanentemente, que está em constante mudança;

XXVI - direito de acesso - privilégio associado a um cargo, pessoa ou processo, para ter acesso a um ativo.

XXVII - disponibilidade - propriedade pela qual se assegura que a informação esteja acessível e utilizável, sob demanda, por uma pessoa física ou determinado sistema, órgão ou entidade devidamente autorizados.

XXVIII - dispositivos móveis - equipamentos portáteis, dotados de capacidade de processamento, ou dispositivos removíveis de memória para armazenamento, entre os quais se incluem, não limitando a estes: e-books, notebooks, netbooks, smartphones, tablets, pendrives, USBdrives, HD externo, e cartões de memória.

XXIX - documentos classificados - documentos que contenham informação classificada em qualquer grau de sigilo.

XXX - eliminação - exclusão de dado ou conjunto de dados, armazenados em banco de dados, independentemente do procedimento empregado.

XXXI - e-mail - sigla de correio eletrônico (electronic mail)

XXXII - encarregado - pessoa indicada pelo controlador, para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados.

XXXIII - equipe de prevenção, tratamento e resposta a incidentes cibernéticos - grupo de agentes públicos com a responsabilidade de prestar serviços relacionados à segurança cibernética para o órgão ou a entidade da administração pública federal, em observância à política de segurança da informação e aos processos de gestão de riscos de segurança da informação do órgão ou da entidade. Anteriormente era chamada de Equipe de Tratamento de Incidentes de Rede.

XXXIV - estruturado - munido de organização, o que é estruturalmente organizado.

XXXV - gestão de continuidade de negócios em segurança da informação - processo que identifica ameaças potenciais para uma organização e os possíveis impactos nas operações de negócio, caso estas ameaças se concretizem. Esse processo fornece uma estrutura para que se desenvolva uma resiliência organizacional que seja capaz de responder efetivamente e salvaguardar os interesses das partes interessadas, a reputação, a marca da organização e suas atividades de valor agregado.

XXXVI - gestão de incidentes cibernéticos: processo que realiza ações sobre qualquer evento adverso relacionado à segurança cibernética dos sistemas ou da infraestrutura de computação do Ministério do Turismo.

XXXVII - gestão de riscos em segurança da informação - processo de natureza permanente, estabelecido, direcionado e monitorado pela alta administração, que contempla as atividades de identificação, avaliação e gerenciamento de potenciais eventos que possam afetar a organização, destinado a fornecer segurança razoável quanto à realização de seus objetivos.

XXXVIII - gestão de segurança da informação - processo que visa integrar atividades de gestão de riscos, gestão de continuidade do negócio, tratamento de incidentes, tratamento da informação, conformidade, credenciamento, segurança cibernética, segurança física, segurança lógica, segurança orgânica e organizacional, aos processos institucionais estratégicos, operacionais e táticos, não se limitando, portanto, à tecnologia da informação.

XXXIX - gestão de vulnerabilidades técnicas: processo que visa prevenir a exploração de vulnerabilidades na rede corporativa do Ministério do Turismo por meio da aplicação sistemática de ações de identificação, classificação e tratamento de vulnerabilidades, sendo regulamentada por norma interna de segurança da informação do Ministério do Turismo, conforme diretrizes desta Política de Segurança da Informação.

XL- gestor de segurança da informação - responsável pelas ações de segurança da informação no âmbito do órgão ou entidade da administração pública federal.

XLI - gestor de segurança e credenciamento - responsável pela segurança da informação classificada, em qualquer grau de sigilo, nos órgãos de registro e postos de controle.

XLII - guerra cibernética - atos de guerra, utilizando predominantemente elementos de tecnologia da informação em escala suficiente, por um período específico e em alta velocidade, em apoio às operações militares, por meio de ações tomadas exclusivamente no espaço cibernético, com a finalidade de abalar ou de incapacitar as atividades de uma nação inimiga, especialmente pelo ataque aos sistemas de comunicação, visando obter vantagem operacional militar significativa.

XLIII - incidente cibernético - ocorrência que pode comprometer, real ou potencialmente, a disponibilidade, a integridade, a confidencialidade ou a autenticidade de sistema de informação ou das informações processadas, armazenadas ou transmitidas por esse sistema.

XLIV - incidente de segurança - qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores.

XLV - informação - dados, processados ou não, que podem ser utilizados para produção e para transmissão de conhecimento, contidos em qualquer meio, suporte ou formato.

XLVI - informação classificada em grau de sigilo: informação sigilosa em poder dos órgãos e entidades públicas, observado o seu teor e em razão de sua imprescindibilidade à segurança da sociedade ou do Estado, a qual é e que pode ser classificada como ultrassecreta, secreta ou reservada.

XLVII - informação pessoal - informação relacionada à pessoa natural identificada ou identificável, relativa à intimidade, à vida privada, à honra e à imagem.

XLVIII - informação sigilosa - informação submetida temporariamente à restrição de acesso público em razão de sua imprescindibilidade para a segurança da sociedade e do Estado e aquela abrangida pelas demais hipóteses legais de sigilo.

XLIX - integridade - propriedade pela qual se assegura que a informação não foi modificada ou destruída de maneira não autorizada ou acidental.

L - internet - rede global, composta pela interligação de inúmeras redes, provendo comunicação e informações das mais variadas áreas de conhecimento.

LI - invasão - incidente de segurança no qual o ataque foi bem-sucedido, resultando no acesso, na manipulação ou na destruição de informações em um computador ou em um sistema da organização.

LII - log (registro de auditoria) - registro de eventos relevantes em um dispositivo ou sistema computacional;

LIII - medidas de segurança - medidas destinadas a garantir sigilo, inviolabilidade, integridade, autenticidade e disponibilidade da informação classificada em qualquer grau de sigilo.

LIV - níveis de acesso - especificam quanto de cada recurso ou sistema o usuário pode utilizar.

LV - perfil de acesso - conjunto de atributos, de cada usuário, definidos previamente como necessários para credencial de acesso.

LVI - perfil institucional - cadastro do órgão ou entidade da administração pública federal como usuário em redes sociais, alinhado ao planejamento estratégico e à Política de Segurança da Informação da instituição, com observância de sua correlata atribuição e competência.

LVII - periódico - que ocorre em regulares intervalos de tempo.

LVIII - política de segurança da informação - documento aprovado pela autoridade responsável pelo órgão ou entidade da administração pública federal, direta e indireta, com o objetivo de fornecer diretrizes, critérios e suporte administrativo suficientes à implementação da segurança da informação. Este termo substituiu o termo Política de Segurança da Informação e Comunicação.

LIX - prestador de serviço - pessoa envolvida com o desenvolvimento de atividades, de caráter temporário ou eventual, exclusivamente para o interesse do serviço, que poderão receber credencial especial de acesso.

LX - rede de computadores - conjunto de computadores, interligados por ativos de rede, capazes de trocar informações e de compartilhar recursos, por meio de um sistema de comunicação.

LXI - redes sociais - estruturas sociais digitais, compostas por pessoas ou organizações, conectadas por um ou vários tipos de relações, que partilham valores e objetivos comuns.

LXII - reduzir risco - forma de tratamento de risco na qual a alta administração decide realizar a atividade adotando ações para reduzir a probabilidade, as consequências negativas, ou ambas, associadas a um risco.

LXIII - segurança cibernética - ações voltadas para a segurança de operações, visando garantir que os sistemas de informação sejam capazes de resistir a eventos no espaço cibernético capazes de comprometer a disponibilidade, a integridade, a confidencialidade e a autenticidade dos dados armazenados, processados ou transmitidos e dos serviços que esses sistemas ofereçam ou tornem acessíveis.

LXIV - segurança da informação - ações que objetiva viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações.

LXV - serviços - meio de fornecimento de valor a clientes, com vistas a entregar os resultados que eles desejam, sem que tenham que arcar com a propriedade de determinados custos e riscos.

LXVI - sistema de informação - conjunto de elementos materiais ou intelectuais colocado à disposição dos usuários em forma de serviços ou bens que possibilitam a agregação dos recursos de tecnologia, informação e comunicações de forma integrada.

LXVII - termo de compromisso de manutenção de sigilo - termo utilizado para garantir o sigilo de uma informação classificada em grau de sigilo em caráter excepcional, mediante assinatura de pessoa natural não credenciada ou não autorizada por legislação.

LXVIII - termo de responsabilidade - termo assinado pelo usuário com a sua concordância em contribuir com a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações a que tiver acesso, bem como assumir responsabilidades decorrentes de tal acesso.

LXIX - tratamento da informação - conjunto de ações referente à produção, recepção, classificação, utilização, acesso, reprodução, transporte, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação ou controle da informação.

LXX - tratamento da informação classificada - conjunto de ações referente à produção, recepção, classificação, utilização, acesso, reprodução, transporte, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação ou controle de informação classificada, independente do meio, suporte ou formato.

LXXI - trilha de auditoria - registro ou conjunto de registros gravado em arquivos de log ou outro tipo de documento ou mídia que possa indicar, de forma cronológica e inequívoca, o autor e a ação realizada em determinada operação, procedimento ou evento.

LXXII - uso compartilhado de dados - comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais, por órgãos e entidades públicos, no cumprimento de suas competências legais, ou entre esses entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.

LXXIII - usuário de informação - pessoa física, seja servidor ou equiparado, empregado ou prestador de serviços, habilitada pela administração para acessar os ativos de informação de um órgão ou entidade da administração pública federal, formalizada por meio da assinatura de Termo de Responsabilidade.

ANEXO II

TERMO DE RESPONSABILIDADE

Pelo presente instrumento, eu, ___________________________________________________ , CPF nº _________________, Carteira de Identidade nº______________________, expedida pelo ____________________________ em____________________, lotado(a) no(a)___________ _______________________________________________, deste Ministério, na qualidade de USUÁRIO ou CUSTODIANTE de informações do Ministério do Turismo, declaro ter CONHECIMENTO da Política de Segurança da Informação (POSIN), segundo a qual devo cumprir todas as suas diretrizes e orientações.

Estou ciente de meu compromisso no Ministério do Turismo e assumo a responsabilidade pelas consequências decorrentes da não observância do disposto na POSIN do MTur e na legislação vigente.

Brasília - DF, ____ de ____________ de _________

Assinatura

(Usuário de Informação)

ANEXO III

TERMO DE CONFIDENCIALIDADE

A ________________________________, inscrita no CNPJ sob o nº _____________________, sediada ____________________________________________, por intermédio de seu representante legal, o Sr. (a.)_______________________________________________, portador(a) da Cédula de Identidade nº __________, expedida pelo (a)_________ e CPF nº _______________, declara que, para fins da execução do contrato nº ____________________, comprometemo-nos a manter em sigilo, ou seja, não revelar ou divulgar as informações confidenciais ou de caráter não público recebidas durante e após a prestação dos serviços nas instalações do Ministério do Turismo, tais como: informações técnicas, operacionais, administrativas, econômicas, financeiras e quaisquer outras informações, escritas ou verbais, fornecidas ou que venham a ser de nosso conhecimento, sobre os serviços licitados, ou que a eles se referem e ainda respeitar as normas internas de segurança da informação vigentes.

A violação dos termos deste instrumento resultará na aplicação das penalidades cabíveis ao infrator, cíveis e criminais, nos termos da lei, obrigando-lhe, ainda, a isentar e/ou indenizar o Ministério do Turismo de todo e qualquer dano, perda, prejuízo ou responsabilidade, em virtude de demandas, ações, danos, perdas, custas e despesas que porventura venha a sofrer como resultado da violação do disposto neste instrumento.

Este conteúdo não substitui o publicado no D.O.U de 12 de setembro de 2023.

Compartilhe por Facebook Compartilhe por Twitter Compartilhe por LinkedIn Compartilhe por WhatsApp link para Copiar para área de transferência
  • Serviços
    • Carta de serviços
  • Assuntos
    • Notícias
    • Campanhas
      • Turismo em Natureza
      • Selo Turismo Responsável
      • A Hora do Turismo
      • Viva de Perto
      • Viaje pro Sul
      • Amazônia Legal
      • #PartiuBrasil
      • Brasil Pronto
      • Festas São João
      • 2022
    • Agenda de Eventos
    • Dados e Fatos
    • PrevenTUR
      • Plano de Prevenção e Repressão de Irregularidades no âmbito do Ministério do Turismo
      • Evento de Lançamento
      • Videos PrevenTUR
  • Acesso à Informação
    • Institucional
      • Quem é Quem
      • Organograma
      • Base Jurídica
      • Atos normativos
      • Atos de designação de colegiados
      • Competências
      • Horário de Atendimento
      • Secretarias Estaduais
    • Ações e Programas
      • Afroturismo
      • Apoio a Eventos Geradores de Fluxo
      • Cadastur
      • Câmara do Turismo 4.0
      • Carta de Serviços
      • Destinos Turísticos Inteligentes
      • Experiências do Brasil Rural
      • Experiências do Brasil Original
      • Fórum MOB-Tur
      • Fungetur
      • Observatório Nacional de Turismo
      • Planejamento Estratégico Institucional – PEI
      • PDTIC 2023-2025
      • Plano Nacional do Turismo (PNT) 2024-2027
      • Portal de Investimentos
      • Prêmio Nacional do Turismo
      • PRODETUR + Turismo
      • Produtos e Experiências Turísticas
      • Programa ADS China
      • Programa de Regionalização do Turismo
      • Programa Mais Crédito Mais Turismo
      • Programa Nacional de Turismo Gastronômico
      • Qualificação no Turismo
      • Rede de Inteligência de Mercado
      • Retomada do Turismo
      • Sustentabilidade e Turismo Responsável
      • Governança
      • Plano Nacional do Turismo (PNT) 2024 - 2027
      • Conheça o Brasil
      • Programa de Gestão e Desempenho - PGD
      • Transparência Ativa - Resultados alcançados no 1º trimestre de 2024
      • Programa Investe Turismo
      • Plano de Transformação Digital
      • Programas Financiados pelo Fundo de Amparo ao Trabalhador
      • Renúncias de Receitas
      • Ações, Programas e Eventos Encerrados/Concluídos
    • Participação Social
      • Chamadas Públicas e Seleções
      • Ouvidoria
    • Auditorias
      • Ações de Supervisão, Controle e Correição
      • Prestação de Contas
      • Relatório Anual de Atividades de Auditoria Interna (RAINT)
    • Convênios e Transferências
      • Termos de Execução Descentralizada
    • Receitas e Despesas
    • Licitações e Contratos
      • Licitações
      • Contratos Administrativos
      • Plano de Contratações Anual
    • Servidores
      • Servidores (ou Empregados Públicos)
      • Aposentados e Pensionistas
      • Concursos Públicos
      • Terceirizados
    • Informações Classificadas
      • Ministério do Turismo
    • Serviço de Informação ao Cidadão (SIC)
    • Perguntas Frequentes
      • Ministério do Turismo
    • Dados Abertos
    • Agenda de Autoridades
    • Corregedoria
      • Competências
      • Informações da Corregedoria
      • Normativos aplicáveis
      • Orientações e Prevenção
      • Painel de Correição em Dados
      • Processos Administrativos de Responsabilização - PARs
      • Relatório Anual de Corregedoria
    • Sistemas
      • MONITOR
      • fuTURo
      • SIACOR
      • CDE
      • SMPPP
      • SCDP
      • SIAFI
      • SICONV
      • SIOP
      • SIAPE
      • SISPROM
    • Sanções Administrativas
      • Servidores
      • Empresas
    • Lei Geral de Proteção de Dados Pessoais
    • Ouvidoria
  • Composição
    • Gabinete do Ministro - GM
      • Ouvidoria - OUV
      • Corregedoria - CORREG
      • Assessoria de Participação Social e Diversidade - ASPADI
      • Coordenação-Geral de Agenda - CGAM
      • Coordenação-Geral de Cerimonial - CGCE
      • Assessoria de Documentação - ASDOC
      • Assessoria Especial de Assuntos Parlamentares e Federativos - ASPAR
      • Assessoria Especial de Controle Interno - AECI
      • Assessoria Especial de Assuntos Técnicos - ASTEC
      • Assessoria Especial de Comunicação Social - ASCOM
      • Assessoria Especial de Relações Internacionais - AERI
      • Consultoria Jurídica - CONJUR
    • Secretaria Executiva - SE
      • Gabinete da Secretaria Executiva - GSE
      • Diretoria de Gestão Estratégica - DGE
      • Subsecretaria de Administração - SAD
    • Secretaria Nacional de Políticas de Turismo - SNPTur
      • Departamento de Planejamento, Inteligência, Inovação e Competitividade no Turismo - DEOTUR
      • Departamento de Qualidade, Sustentabilidade e Ações Climáticas no Turismo - DEQUA
      • Departamento de Marketing, Eventos e Expansão Digital - DMEX
    • Secretaria Nacional de Infraestrutura, Crédito e Investimentos no Turismo - SNINFRA
      • Departamento de Infraestrutura Turística - DIETU
      • Departamento de Investimentos, Crédito, Parcerias e Concessões no Turismo - DEINV
    • Conselho Nacional de Turismo
    • Comitê Interministerial de Facilitação Turística (CIFAT)
    • Comitê Interministerial de Gestão Turística do Patrimônio Mundial
    • Comitê Consultivo do Cadastro Nacional de Prestadores de Serviços Turísticos (CCCad)
  • Centrais de Conteúdo
    • Publicações
      • Acordos
      • Auditorias
      • Cartilha Parlamentar
      • Consumidor Turista
      • Decisões
      • Fungetur
      • Glossários
      • Guias para Atendimento aos Turistas
      • Manuais
      • Participação Social
      • Programa de Regionalização do Turismo
      • Turismo Acessível
      • Segmentação do Turismo
      • Planos de Desenvolvimento Turístico
      • Estudos de Competitividade
      • Economia da Experiência
      • Destinos Referência em Segmentos Turísticos
      • Planos de Marketing Turístico
      • Inventário da Oferta Turística
      • Manual de Desenvolvimento de Projetos Turísticos de Geoparques
      • RedeTrilhas
      • Cidades Criativas
      • Plano Diretor Orientado ao Turismo
      • Destinos Turísticos Inteligentes (DTI)
      • Relatório de Gestão SNDTUR
      • Ação Climática em Turismo no Brasil
      • Protocolo de Intenções
    • Imagens
    • Banco de Imagens
    • Vídeos
    • Agência de Notícias do Turismo
  • Canais de Atendimento
    • Fale Conosco
    • Ouvidoria
      • Fluxogramas
    • Imprensa
      • Imprensa
      • Mailing de imprensa
      • WhatsApp MTur
      • Redes Sociais
    • Serviço de Informação ao Cidadão (SIC)
      • Formulários SIC
    • Encarregado de Dados - LGPD
  • Casa Brasil em Baku - COP29
Redefinir Cookies
Redes sociais
  • Twitter
  • YouTube
  • Facebook
  • Flickr
  • Instagram
Acesso àInformação
Todo o conteúdo deste site está publicado sob a licença Creative Commons Atribuição-SemDerivações 3.0 Não Adaptada.
Voltar ao topo da página
Fale Agora Refazer a busca