Seção 1 — 24/04/2026

Institui a Política de Segurança da Informação no âmbito do Ministério de Portos e Aeroportos.

O MINISTRO DE ESTADO DE PORTOS E AEROPORTOS, no uso das atribuições que lhe conferem os incisos I e II do parágrafo único do art. 87 da Constituição da República Federativa do Brasil de 1988, e no Decreto nº 12.572, de 4 de agosto de 2025, e considerando o que consta no Processo n° 50020.008392/2024-71, resolve:

CAPÍTULO I

DAS DISPOSIÇÕES GERAIS

Art. 1° Fica instituída a Política de Segurança da Informação do Ministério de Portos e Aeroportos, com a finalidade de estabelecer princípios, diretrizes, responsabilidades e competências para a gestão da segurança da informação.

Art. 2° Esta Política de Segurança da Informação aplica-se a todas as unidades organizacionais do Ministério de Portos e Aeroportos, e deverá ser observada por todos os usuários de informação, seja servidor ou equiparado, empregado, prestador de serviços ou pessoa habilitada pela administração, por meio da assinatura de Termo de Responsabilidade, para acessar os ativos de informação sob responsabilidade deste Órgão.

Art. 3° São objetivos da Política de Segurança da Informação:

I - estabelecer princípios e diretrizes a fim de proteger ativos de informação e conhecimentos gerados ou recebidos;

II - estabelecer orientações gerais de segurança da informação e, desta forma, contribuir para a gestão eficiente dos riscos, limitando-os a níveis aceitáveis, bem como preservar os princípios da disponibilidade, integridade, confiabilidade e autenticidade das informações;

III - estabelecer competências e responsabilidades quanto à segurança da informação;

IV - nortear a elaboração das normas necessárias à efetiva implementação da segurança da informação; e

V - promover o alinhamento das ações de segurança da informação com as estratégias de planejamento organizacional do Ministério de Portos e Aeroportos.

Art. 4° Para os efeitos desta Portaria e de suas regulamentações, aplicam-se os termos do Glossário de Segurança da Informação, aprovado pela Portaria GSI/PR n° 93, de 18 de outubro de 2021.

CAPÍTULO II

DOS PRINCÍPIOS E DIRETRIZES

Art. 5° As ações de segurança da informação do Ministério de Portos e Aeroportos são norteadas pelos princípios constitucionais e administrativos que norteiam a Administração Pública Federal, bem como pelos seguintes princípios:

I - disponibilidade, integridade, confidencialidade e autenticidade das informações;

II - continuidade dos processos e serviços essenciais para o funcionamento do Ministério de Portos e Aeroportos;

III - economicidade da proteção dos ativos de informação;

IV - respeito ao acesso à informação, à proteção de dados pessoais e à proteção da privacidade;

V - observância da publicidade como preceito geral e do sigilo como exceção;

VI - responsabilidade do usuário de informação pelos atos que comprometam a segurança dos ativos de informação;

VII - alinhamento estratégico da Política de Segurança da Informação com o planejamento estratégico do Ministério de Portos e Aeroportos, assim como demais normas específicas de segurança da informação da Administração Pública Federal;

VIII - conformidade das normas e das ações de segurança da informação com a legislação e regulamentos aplicáveis; e

IX - educação e comunicação como alicerces fundamentais para o fomento da cultura e segurança da informação.

Art. 6° Estas diretrizes constituem os principais pilares da gestão de segurança da informação que norteiam a elaboração de políticas, planos e normas complementares no âmbito deste Ministério de Portos e Aeroportos e objetivam a garantia dos princípios básicos de segurança da informação estabelecidos nesta Política.

Art. 7° As normas, procedimentos, manuais e metodologias de segurança da informação do Ministério de Portos e Aeroportos devem considerar, como referência, além dos normativos vigentes, as melhores práticas de segurança da informação.

Art. 8° As ações de segurança da informação devem:

I - considerar, prioritariamente, os objetivos estratégicos, os planos institucionais, a estrutura e a finalidade do Ministério de Portos e Aeroportos;

II - ser tratadas de forma integrada, respeitando as especificidades e a autonomia das unidades do Ministério de Portos e Aeroportos;

III - ser adotadas proporcionalmente aos riscos existentes e à magnitude dos danos potenciais, considerados o ambiente, o valor e a criticidade da informação; e

IV - visar à prevenção da ocorrência de incidentes.

Art. 9° O investimento necessário em medidas de segurança da informação deve ser dimensionado segundo o valor do ativo a ser protegido e de acordo com o risco de potenciais prejuízos ao Ministério de Portos e Aeroportos.

Art. 10 Toda e qualquer informação gerada, custodiada, manipulada, utilizada ou armazenada no Ministério de Portos e Aeroportos compõe o seu rol de ativos de informação e deve ser protegida conforme normas em vigor.

Parágrafo único. As informações citadas no caput, que tramitem pelo ambiente computacional do Ministério de Portos e Aeroportos, são passíveis de monitoramento e auditoria pelo Ministério de Portos e Aeroportos, respeitados os limites legais.

Art. 11 Pessoas e sistemas devem ter o menor privilégio e o mínimo acesso aos recursos necessários para realizar uma dada tarefa.

Parágrafo único. É condição para acesso aos recursos de tecnologia da informação do Ministério de Portos e Aeroportos a assinatura, preferencialmente eletrônica, de Termo de Responsabilidade indicando a ciência aos termos desta Política, as responsabilidades e os compromissos em decorrência deste acesso, bem como as penalidades cabíveis pela inobservância das regras previstas nas normas de segurança da informação do Ministério de Portos e Aeroportos.

Art. 12 A Política de Segurança da Informação e suas atualizações, bem como normas específicas de segurança da informação Ministério de Portos e Aeroportos, devem ser divulgadas amplamente a todos os Usuários de Informação, a fim de promover sua observância, seu conhecimento, bem como a formação da cultura de segurança da informação.

§ 1° Os Usuários de Informação devem ser continuamente capacitados nos procedimentos de segurança e no uso correto dos ativos de informação quando da realização de suas atribuições, de modo a minimizar possíveis riscos à segurança da informação.

§ 2° As ações de capacitação previstas no § 1° devem ser conduzidas de modo a possibilitar o compartilhamento de materiais educacionais sobre segurança da informação.

Art. 13 Todos os contratos de prestação de serviços firmados pelo Ministério de Portos e Aeroportos conterão cláusula específica sobre a obrigatoriedade de atendimento a esta Política de Segurança da Informação, bem como às suas normas decorrentes.

CAPÍTULO III

DA GESTÃO DE SEGURANÇA DA INFORMAÇÃO

Art. 14 A estrutura de Gestão de Segurança da Informação é composta por:

I - Alta Administração;

II - Comitê de Governança Digital e de Segurança da Informação;

III - Gestor de Segurança da Informação;

IV - Gestor de Tecnologia da Informação e Comunicação;

V - Encarregado pelo Tratamento de Dados Pessoais;

VI - Responsável pela Unidade de Controle Interno;

VII - Equipe de Prevenção, Tratamento e Respostas a Incidentes Cibernéticos; e

VIII - Usuários de Informação.

Art. 15 Compete à Alta Administração:

I - fornecer os recursos necessários para assegurar o desenvolvimento e a implementação da Gestão de Segurança da Informação do Ministério de Portos e Aeroportos, bem como com o tratamento das ações e decisões de segurança da informação em um nível de relevância e prioridade adequados; e

II - formalizar e aprovar a Política de Segurança da Informação do Ministério de Portos e Aeroportos, bem como suas alterações e atualizações.

Art. 16 Ao Comitê de Governança Digital e de Segurança da Informação do Ministério de Portos e Aeroportos, compete:

I - assessorar na implementação das ações de segurança da informação;

II - constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre segurança da informação;

III - participar da elaboração da Política de Segurança da Informação e das normas internas de segurança da informação;

IV - propor alterações à Política de Segurança da Informação e às normas internas de segurança da informação;

V - deliberar sobre normas internas de segurança da informação;

VI - avaliar as ações propostas pelo gestor de segurança da informação; e

VII - consolidar e analisar os resultados dos trabalhos de auditoria sobre a gestão de segurança da informação.

Parágrafo único. A composição, estrutura, recursos e funcionamento do Comitê de Governança Digital e de Segurança da Informação será definida em Resolução emitida pelo Comitê Ministerial de Governança do Ministério de Portos e Aeroportos, de acordo com a legislação vigente.

Art. 17 Compete ao Gestor de Segurança da Informação:

I - coordenar o Comitê de Governança Digital e de Segurança da Informação;

II - coordenar a elaboração da Política de Segurança da Informação - POSIN e das normas internas de segurança da informação do órgão, observadas a legislação vigente e as melhores práticas sobre o tema;

III - assessorar a Alta Administração na implementação da Política de Segurança da Informação;

IV - estimular ações de capacitação e de profissionalização de recursos humanos em temas relacionados à segurança da informação;

V - promover a divulgação da política e das normas internas de segurança da informação do órgão a todos os servidores, usuários e prestadores de serviços que trabalham no órgão;

VI - incentivar estudos de novas tecnologias, e seus eventuais impactos relacionados à segurança da informação;

VII - propor recursos necessários às ações de segurança da informação;

VIII - acompanhar os trabalhos da Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos;

IX - verificar os resultados dos trabalhos de auditoria sobre a gestão da segurança da informação;

X - acompanhar a aplicação de ações corretivas e administrativas cabíveis nos casos de violação da segurança da informação; e

XI - manter contato direto com o Gabinete de Segurança Institucional da Presidência da República em assuntos relativos à segurança da informação.

Parágrafo único. O Gestor de Segurança da Informação do Ministério de Portos e Aeroportos será designado em Portaria, de acordo com a legislação vigente.

Art. 18 Compete ao Gestor de Tecnologia da Informação e Comunicação, dentre outras atribuições dispostas na legislação vigente, em especial ao disposto na Portaria SGD/ME n° 778, de 4 de abril de 2019, planejar, implementar e melhorar continuamente os controles de privacidade e segurança da informação em soluções de tecnologia da informação e comunicações, considerando a cadeia de suprimentos relacionada à solução.

Art. 19 Compete ao Encarregado pelo Tratamento dos Dados Pessoais, dentre outras atribuições dispostas na legislação vigente, em especial ao disposto na Lei n° 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados - LGPD) e demais normativos e orientações emitidas pela Autoridade Nacional de Proteção de Dados (ANPD), conduzir o diagnóstico de privacidade, bem como orientar, no que couber, os gestores proprietários dos ativos de informação, responsáveis pelo planejamento, implementação e melhoria contínua dos controles de privacidade em ativos de informação que realizem o tratamento de dados pessoais ou dados pessoais sensíveis.

Art. 20 Compete ao Responsável pela Unidade de Controle Interno, dentre outras atribuições dispostas na legislação vigente, apoiar, supervisionar e monitorar as atividades desenvolvidas pela primeira linha de defesa prevista pela Instrução Normativa CGU n° 3, de 9 de junho de 2017.

Art. 21 Compete à Equipe de Prevenção, Tratamento e Respostas a Incidentes Cibernéticos:

I - facilitar, coordenar e executar as atividades de prevenção, tratamento e resposta a incidentes cibernéticos no Ministério de Portos e Aeroportos;

II - monitorar as redes computacionais;

III - detectar e analisar ataques e intrusões;

IV - tratar incidentes de segurança da informação;

V - identificar vulnerabilidades e artefatos maliciosos;

VI - recuperar sistemas de informação; e

VII - promover a cooperação com outras equipes, e participar de fóruns e redes relativas à segurança da informação.

Parágrafo único. A composição, estrutura, recursos e funcionamento da Equipe de Prevenção, Tratamento e Respostas a Incidentes Cibernéticos serão definidos em Portaria emitida pelo Ministério de Portos e Aeroportos, de acordo com a legislação vigente.

Art. 22 Compete aos Usuários de Informação conhecer, cumprir e fazer cumprir esta Política e as demais normas específicas de segurança da informação do Ministério de Portos e Aeroportos.

Parágrafo único. Todos os Usuários de Informação são responsáveis pela segurança dos ativos de informação que estejam sob a sua responsabilidade.

Art. 23 A Política de Segurança da Informação e demais normativos decorrentes desta Política integram o arcabouço normativo da Gestão de Segurança da Informação.

Art. 24 A Gestão da Segurança da Informação é constituída, no mínimo, pelos seguintes processos:

I - tratamento da informação;

II - segurança física e do ambiente;

III - gestão de incidentes em segurança da informação;

IV - gestão de ativos;

V - gestão do uso dos recursos operacionais e de comunicações, tais como e-mail, acesso à internet, mídias sociais e computação em nuvem;

VI - controles de acesso;

VII - gestão de riscos;

VIII - gestão de continuidade; e

IX - auditoria e conformidade.

§ 1° O Comitê de Governança Digital e de Segurança da Informação poderá definir outros processos de Gestão de Segurança da Informação, desde que alinhados aos princípios e às diretrizes desta Política e destinados à implementação de ações de segurança da informação.

§ 2° Para cada um dos processos que constituem a Gestão de Segurança da Informação, deve ser observada a pertinência de elaboração de políticas, normas, procedimentos, orientações ou manuais que disciplinem ou facilitem o seu entendimento em conformidade com a legislação vigente e boas práticas de segurança de informação.

Art. 25 Os processos de gestão de segurança do Ministério devem abordar, no mínimo:

I - as políticas de controle de acesso, a administração de senhas e a governança de identidades, com segregação de funções e autenticação multifator;

II - os controles de acesso físico e lógico orientados pelo princípio do menor privilégio;

III - o uso responsável de computação em nuvem, com seleção entre nuvem pública, privada, comunitária ou híbrida orientada pela classificação da informação;

IV - a delimitação e a proteção de perímetros de segurança física;

V - o inventário e a rastreabilidade de ativos, com vigilância sobre vulnerabilidades e sobre suas movimentações;

VI - as regras de uso aceitável de e-mail, internet, redes cabeadas e sem fio, acesso remoto, mídias sociais, computação em nuvem, mídias de armazenamento e dispositivos corporativos e pessoais;

VII - a segurança no ciclo de vida de softwares e de sistemas de informação adquiridos ou desenvolvidos pelo Ministério;

VIII - a gestão de mudanças em ativos de informação e controles, com avaliações prévias de impacto em segurança;

IX - a identificação, a mensuração, a priorização, o tratamento, a comunicação e o acompanhamento contínuo dos riscos;

X - o tratamento de informações classificadas e de dados pessoais, assegurando privacidade, transparência e acesso à informação, nos termos da legislação vigente;

XI - o preparo, a detecção, a contenção, a resposta e a restauração relativos a incidentes, consolidados em planos de gestão de incidentes;

XII - os critérios e os fluxos de comunicação de incidentes às partes interessadas e às autoridades competentes;

XIII - a elaboração de planos de continuidade de negócios e de recuperação de desastres, com a realização periódica de testes e exercícios; e

XIV - a auditoria e a conformidade, com programas de verificação e relatórios de avaliação.

§ 1° Todas as ações, realizadas pelas unidades do Ministério de Portos e Aeroportos, que envolvem a segurança da informação devem estar em conformidade com as leis e regulamentos aplicáveis à esta temática.

§ 2° As atividades, produtos e serviços desenvolvidos no Ministério de Portos e Aeroportos devem estar em conformidade com requisitos de privacidade e proteção de dados pessoais constantes de leis, regulamentos, resoluções, normas, estatutos e contratos jurídicos vigentes.

CAPÍTULO IV

DAS VEDAÇÕES E DISPOSIÇÕES FINAIS

Art. 26 É vedada a utilização dos recursos de tecnologia da informação disponibilizados pelo Ministério de Portos e Aeroportos para acesso, guarda e divulgação de material incompatível com ambiente do serviço, que viole direitos autorais ou que infrinja a legislação vigente.

Art. 27 São vedados o uso e a instalação de recursos de tecnologia da informação que não tenham sido homologados ou adquiridos pelo Ministério de Portos e Aeroportos.

Art. 28 É vedada a divulgação a terceiros de mecanismos de identificação, autenticação e autorização baseados em conta e senha ou certificação digital, de uso pessoal e intransferível, que são fornecidos aos usuários.

Art. 29 É vedada a exploração de eventuais vulnerabilidades, as quais devem ser comunicadas às instâncias superiores assim que identificadas.

Art. 30 É vedado o uso de ferramentas de IA não autorizadas pelo Ministério para o tratamento ou compartilhamento de dados pessoais, informações restritas ou sigilosas, até a edição de normativo interno específico que discipline o uso institucional de ferramentas de inteligência artificial no âmbito do Ministério de Portos e Aeroportos.

Art. 31 As unidades organizacionais do Ministério de Portos e Aeroportos devem promover ações de treinamento e conscientização para que os seus colaboradores entendam suas responsabilidades e procedimentos voltados à segurança da informação e à proteção de dados.

Parágrafo único. A conscientização, a capacitação e a sensibilização em segurança da informação devem ser adequadas aos papéis e responsabilidades dos colaboradores.

Art. 32 As denúncias relativas a violações desta Política poderão ser encaminhadas ao Gestor de Segurança da Informação, por meio dos canais disponibilizados na Intranet do Ministério.

Art. 33 O cumprimento desta Política, bem como dos normativos que a complementam devem ser avaliados pelo Ministério de Portos e Aeroportos periodicamente por meio de verificações de conformidade, buscando a certificação do cumprimento dos requisitos de segurança da informação e da garantia de cláusula de responsabilidade e sigilo constantes de termos de responsabilidade, contratos, convênios, acordos e instrumentos congêneres.

Art. 34 A não observância do disposto nesta Política, bem como em seus instrumentos normativos correlatos, sujeita o infrator à aplicação de sanções administrativas conforme a legislação vigente, sem prejuízo das responsabilidades penal e civil, assegurados sempre aos envolvidos o contraditório e a ampla defesa.

Art. 35 Esta Política será revisada periodicamente, pelo menos a cada quatro anos, ou com mais frequência se necessário, para refletir as mudanças no ambiente do Ministério de Portos e Aeroportos, nos riscos à segurança da informação e nas melhores práticas de segurança da informação.

Art. 36 Os casos omissos e as dúvidas sobre a Política de Segurança da Informação e seus documentos devem ser submetidos ao Comitê de Governança Digital e de Segurança da Informação.

Art. 37 Esta Portaria entra em vigor na data da sua publicação.

TOMÉ BARROS MONTEIRO DA FRANCA