O DIRETOR-GERAL INSTITUTO BENJAMIN CONSTANT, no uso das atribuições que lhe são conferidas pelo art. 25, inciso VII, do Regimento Interno aprovado pela Portaria MEC nº 325, de 17 de abril de 1998, e de acordo com o que consta no Processo nº 23119.001299.2026-35, resolve:
Dispor sobre a Política de Segurança da Informação.
OBJETIVO
A Política de Segurança da Informação - PSI-IBC tem por objetivo definir e implantar no âmbito do Instituto Benjamin Constant os princípios, as diretrizes e os instrumentos da Política Nacional de Segurança da Informação instituída pelo Decreto nº 12.572, de 4 de agosto de 2025, considerando a estrutura de gestão definida na Instrução Normativa GSI/PR nº 1, de 27 de maio de 2020, do Gabinete de Segurança Institucional da Presidência da República.
Este documento considera, ainda, o disposto no Decreto nº 12.573, de 4 de agosto de 2025, que aprova a Estratégia Nacional de Segurança Cibernética, e as instruções relacionadas à segurança da informação publicadas pelo Gabinete de Segurança Institucional da Presidência da República. Todos os instrumentos normativos gerados a partir deste documento são partes integrantes da Política de Segurança da Informação - PSI-IBC e emanam dos princípios e das diretrizes nela estabelecidos.
ESCOPO
A PSI-IBC abrange os domínios de segurança e defesa cibernética, segurança física e proteção de dados organizacionais e tem por escopo as ações destinadas à preservação da disponibilidade, integridade, confidencialidade e autenticidade das informações e dos dados bem como à proteção de dados pessoais e à privacidade, estabelecendo:
a. Diretrizes no que se refere a comportamentos, procedimentos e normas de segurança da informação, comunicação e proteção de dados;
b. Estrutura de gestão de segurança da informação, comunicação e proteção de dados adequada às diretrizes institucionais, considerando um conjunto de papéis, responsabilidades e instrumentos normativos e organizacionais; e
c. Orientações gerais de segurança da informação, comunicação e proteção de dados em harmonia com a legislação vigente, as boas práticas e a gestão eficiente dos riscos associados.
As diretrizes e orientações previstas nesta Política, nas demais normas específicas associadas e suas eventuais metodologias, manuais, procedimentos e documentos correlatos são aplicadas a todos os servidores, demais colaboradores e a terceiros do Instituto Benjamin Constant que tenham acesso às informações, aos dados e aos recursos de Tecnologia da Informação e Comunicação.
CONCEITOS E DEFINIÇÕES
Na forma do art. 6º da Instrução Normativa GSI/PR nº 1, de 2020, todos os termos e definições utilizados neste documento se baseiam no Glossário de Segurança da Informação, aprovado pela Portaria GSI/PR nº 93, de 18 de outubro de 2021.
PAPÉIS E RESPONSABILIDADES
Esta Política de Segurança da Informação envolve os seguintes papéis e responsabilidades:
a. Administradores de recursos de Tecnologia da Informação e Comunicações: equipe técnica responsável por um sistema de processamento de informações, serviço ou infraestrutura de TIC;
b. Custodiante da informação (qualquer pessoa que detém a posse das informações e dos dados): responsável por garantir a segurança das informações e dos dados sob sua posse e comunicar sobre situações que comprometam essa garantia;
c. Gestor da informação (colegiado, autoridade ou dirigente): responsável por classificar as informações e os dados sob sua gestão e definir procedimentos e critérios de acesso;
d. Proprietário do ativo de informação: refere-se à parte interessada do órgão ou da entidade da Administração Pública Federal, indivíduo legalmente instituído por sua posição e/ou cargo, o qual é responsável primário pela viabilidade e sobrevivência dos ativos de informação; e
e. Usuário de informação (ou usuário): pessoa física, seja servidor ou equiparado, empregado ou prestador de serviços, habilitada pela Administração para acessar os ativos de informação no Instituto Benjamin Constant, formalizada por meio da assinatura de termo de responsabilidade.
PRINCÍPIOS
As ações de segurança da informação, comunicações e proteção de dados do Instituto Benjamin Constant têm como premissas as definições contidas na Política Nacional de Segurança da Informação - PNSI bem como os seguintes princípios orientadores:
a. Alinhamento estratégico e sistêmico: Política de Segurança da Informação com o planejamento estratégico institucional, com o modelo de governança e com a Política de Gestão de Riscos do Instituto Benjamin Constant (conforme a legislação e os demais regulamentos específicos aplicáveis à Administração Pública Federal e/ou emanados dos órgãos governantes superiores);
b. Universalidade e uniformidade: abrangência, gradual e permanentemente, a todos os processos organizacionais observando os mesmos conceitos, parâmetros, referenciais técnicos e procedimentos em todas as unidades e níveis corporativos (de forma integrada, respeitando as especificidades e a autonomia das unidades corporativas);
c. Transparência: obrigação fundamental de prestar informações confiáveis, relevantes e tempestivas à sociedade, visando à participação social na proposição e no monitoramento da execução das políticas públicas geridas pelo Instituto Benjamin Constant (também refletida no dever institucional e dos agentes públicos de garantir o sigilo das informações e dos dados imprescindíveis à segurança da sociedade e do Estado e à inviolabilidade da intimidade da vida privada, da honra e da imagem das pessoas);
d. Corresponsabilidade: constituída pelo dever de todas as partes envolvidas em conhecer e respeitar a Política de Segurança da Informação do Instituto Benjamin Constant e as normas específicas a ela associadas;
e. Continuidade dos processos e serviços críticos: essenciais ao funcionamento do Instituto Benjamin Constant e ao cumprimento de sua missão institucional (protegendo sua disponibilidade e segurança e definindo uma estratégia adequada de prevenção, gestão e recuperação de incidentes, visando à continuidade do negócio e à redução dos impactos em ocorrências de interrupção causadas por desastres e/ou falhas); e
f. Educação, comunicação e cooperação: para fomento e aprimoramento das práticas de promoção da cultura em segurança da informação.
DIRETRIZES
A gestão de segurança da informação deve ser suportada por ações e métodos que visem à integração das atividades de gestão de riscos, à gestão de continuidade do negócio, ao tratamento de incidentes, ao tratamento das informações e dos dados, à conformidade, ao credenciamento, à segurança cibernética, à segurança física, à segurança lógica, à segurança orgânica e à segurança organizacional dos processos institucionais estratégicos, operacionais e táticos, considerando, sob caráter geral, o seguinte:
a. Informações e dados como ativos: toda e qualquer informação e dado gerados, custodiados, manipulados, utilizados ou armazenados no Instituto Benjamin Constant compõem o ativo de informação relevante para as suas atividades e devem ser protegidos e tratados com vistas à preservação dos princípios de disponibilidade, integridade, confidencialidade e autenticidade, bem como à proteção de dados pessoais e à privacidade, conforme as normas em vigor estabelecidas;
b. Classificação da informação como requisito: todo ativo de informação deve ser classificado e tratado segundo sua classificação de segurança da informação, de maneira a proteger adequadamente as informações e os dados na sua criação, coleta, utilização, custódia e no descarte;
c. Segregação de funções: sempre que processualmente viável, devem ser segregadas funções ou áreas de responsabilidade conflitantes, para que ninguém detenha controle de um processo crítico na sua totalidade, visando a reduzir os riscos de mau uso, acidental ou deliberado, dos ativos de informação;
d. Estabelecer controles adequados à relevância e ao risco: as medidas e os controles de segurança devem ser estabelecidos considerando a relevância dos ativos de informação e os níveis de risco associados - considerando o ambiente, o valor e a criticidade das informações e dos dados - de forma proporcional e balanceada, visando sempre à prevenção da ocorrência de incidentes;
e. Menor privilégio e mínimo acesso: pessoas e aplicações devem ter o menor privilégio e o mínimo de acesso aos recursos necessários para realizar uma determinada tarefa, tendo como condição a ciência expressa dos termos desta Política, as responsabilidades e os compromissos decorridos deste acesso e o conhecimento das penalidades cabíveis pela inobservância das regras previstas;
f. Responsabilização individual: todos os usuários são responsáveis pela segurança dos ativos de informação que estejam sob sua custódia, pelo uso e pela guarda de suas credenciais de acesso, sendo vedada a exploração de eventuais vulnerabilidades - que, assim que identificadas, devem ser imediatamente comunicadas às instâncias superiores;
g. Corresponsabilidade de terceiros: todos os contratos de prestação de serviços, firmados pelo Instituto Benjamin Constant deverão conter cláusula específica sobre a obrigatoriedade de atendimento às diretrizes desta Política, incluindo a assinatura de Termo de Responsabilidade pelas empresas contratadas e de Termo de Ciência pelos colaboradores diretamente envolvidas na execução dos serviços contratados;
h. Restrição de uso dos ativos de informação: o acesso e uso das informações e dados que não sejam de domínio público e dos ativos de informação do IBC são controlados e limitados às atribuições necessárias para cumprimento das atividades dos solicitantes e usuários devidamente autorizados e utilizados no estrito interesse do custodiante, apenas para as finalidades profissionais, lícitas, éticas, administrativamente aprovadas e devidamente autorizadas. Qualquer outra forma de acesso e uso necessitará de prévia autorização do proprietário do ativo de informação; e
i. Uso seguro dos ativos de informação: apenas os ativos de informação homologados e autorizados pelo IBC devem ter uso permitido, desde que sejam identificados de forma individual, inventariados, protegidos e tenham um proprietário do ativo de informação responsável. Os ativos de informação devem ter documentação atualizada, riscos mapeados, capacidade e contingência adequadas e sua operação deve estar de acordo com as normas, cláusulas contratuais e a legislação em vigor.
Essas diretrizes gerais constituem os pilares da gestão de segurança da informação e proteção de dados do Instituto Benjamin Constant e norteiam a construção de ações, planos e normas associados que objetivam a garantia dos princípios básicos de segurança da informação estabelecidos nesta Política. Assim, considerando o rol mínimo estabelecido no inc. IV do art. 12 da Instrução Normativa GSI/PR nº 1, de 2020, com base nas diretrizes gerais, ficam estabelecidas as seguintes diretrizes específicas, por tema.
TRATAMENTO DA INFORMAÇÃO
Toda informação e dado criados manuseados, armazenados, transportados, descartados ou custodiados pelo Instituto Benjamin Constant é de sua responsabilidade e devem ser classificados e tratados adequadamente, quanto aos aspectos de confidencialidade, integridade, autenticidade e disponibilidade, bem como à proteção de dados pessoais e à privacidade, de forma explícita ou implícita, em harmonia com a legislação aplicável, em especial a Lei nº 12.527, de 18 de novembro de 2011, (Lei de Acesso à Informação - LAI), o Decreto nº 7.724, de 16 de maio de 2012, e o Decreto nº 7.845, de 14 de novembro de 2012.
Toda informação e dado institucionais, se eletrônicos, serão armazenados nos servidores de arquivos e bases de dados sob gestão e administração da Coordenação Geral de Informática e, se não eletrônicos, mantidos em local físico adequado.
Toda informação e dado institucionais sob a forma eletrônica deverão estar salvaguardados por meio de cópia de segurança (backup) em solução que garanta sua preservação e recuperação, quando necessária, conforme disposto em normas e procedimentos específicos sob responsabilidade da Coordenação Geral de Informática.
As informações e os dados classificados, considerando a legislação vigente, que sejam produzidos, armazenados e/ou transportados em meio eletrônico utilizarão criptografia compatível com o respectivo grau de sigilo, em especial as informações de autenticação de usuários das aplicações geridas pelo IBC.
No descarte de informações e dados institucionais, deverão ser observadas - além das próprias regras de sua respectiva classificação - as políticas, as normas e os procedimentos internos a serem estabelecidos em regramento próprio bem como a temporalidade prevista na legislação, em especial atenção às definições da Lei nº 12.527, de 2011.
Ao aplicar uma classificação a um documento e/ou informação/dado, todos os agentes responsáveis devem usar o bom senso, adotando como princípio orientador a garantia do direito fundamental de acesso à informação. É responsabilidade de todos garantir que as informações e os dados sejam
classificados apropriadamente, aplicando os procedimentos pertinentes relativos à respectiva classificação, de acordo com os critérios estabelecidos.
Os agentes responsáveis pelo tratamento dos dados são responsáveis por (i) decidir a classificação das informações e dos dados relevantes, (ii) comunicar o valor e a classificação da informação ou do dado quando for liberado ou fornecido a terceiros, e (iii) controlar o acesso às informações e aos dados custodiados. O usuário de informação, por sua vez, é responsável pela proteção da segurança e integridade das informações e dos dados em sua posse, devendo se familiarizar com as normas específicas do custodiante e com a legislação pertinentes.
CONTROLES DE ACESSO
Todo usuário de informação que faça uso dos recursos de Tecnologia da Informação e Comunicação do Instituto Benjamin Constant deverá possuir uma conta de acesso único e intransferível, que permita seu reconhecimento individual de maneira inequívoca, e cujos concessão e gerenciamento serão regulamentados em norma específica associada.
A concessão e a revogação dos privilégios de acesso às informações ficam atribuídas ao agente responsável pelo tratamento dos dados sob a sua tutela, considerando sempre o princípio do menor privilégio.
GESTÃO DE RISCOS
No que couber, a gestão de riscos em segurança da informação e proteção de dados deverá observar as disposições da Política de Gestão de Riscos do Instituto Benjamin Constant.
O processo de gestão de riscos em segurança da informação deverá fornecer uma estrutura consistente de gerenciamento por meio da qual os riscos relacionados às funções e aos processos críticos possam ser identificados, avaliados e tratados mediante sistemas de revisão, controle e garantia.
GESTÃO DE CONTINUIDADE
Fica estabelecido o Programa de Gestão de Continuidade de Negócio - PGCN em Segurança da Informação no âmbito do Instituto Benjamin Constant visando a reduzir a possibilidade de interrupção causada por desastres ou falhas nos recursos de Tecnologia da Informação e Comunicação que suportam as operações do IBC.
Toda solução, sistema, aplicação e/ou serviço crítico do Instituto Benjamin Constant deverão estar suportados pelo Programa de Gestão de Continuidade de Negócio.
GESTÃO DE MUDANÇAS
No que se refere à segurança da informação, o processo de Gestão de Mudanças deverá ser estruturado visando a aumentar a probabilidade de sucesso em mudanças, com mínimos impactos, e assegurar a disponibilidade, integridade, confidencialidade e autenticidade das informações e dos dados, bem como a proteção de dados pessoais e a privacidade (sendo composto, no mínimo, pelas fases de descrição, avaliação, aprovação, implementação e verificação).
Toda mudança nos ambientes computacionais do Instituto Benjamin Constant, que tenha sido homologada e testada, necessitará ser documentada e registrada.
SEGURANÇA FÍSICA E DO AMBIENTE
As ações de segurança física e ambiental, no que se referem aos aspectos de segurança da informação, deverão prover normas e procedimentos que abordem, no mínimo, os seguintes aspectos:
a. Controle e monitoramento de acesso físico: compreendem as necessidades de controle e monitoramento de acesso às instalações e aos ambientes físicos do instituto, da gestão de autorizações e manutenção de registros de acesso de pessoal autorizado e de visitantes;
b. Controles ambientais: compreendem provisão e manutenção dos controles ambientais necessários, com base em uma avaliação de requisitos, que inclui, mas não se limita, a energia de reserva para facilitar um processo de desligamento ordenado (no mínimo), a detecção e supressão de incêndios, os controles de temperatura e umidade e a detecção e mitigação de danos ambientais; e
c. Descarte seguro de equipamentos: compreende a provisão e manutenção de controles para identificação e remoção permanente de quaisquer dados sensíveis e softwares licenciados em equipamentos antes do descarte.
GESTÃO DE INCIDENTES EM SEGURANÇA DA INFORMAÇÃO
O Instituto Benjamin Constant deverá prover e manter normas e procedimentos de resposta a incidentes consistentes com as leis e políticas governamentais aplicáveis, incluindo, mas não se limitando, a identificação de papéis e responsabilidades, a investigação, os procedimentos de contenção e escalonamento, a documentação e preservação de evidências, os protocolos de comunicação e as lições aprendidas.
O processo de gestão de incidentes deverá envolver também procedimentos adequados de comunicação de incidentes incluindo, mas não se limitando a treinamento de servidores, demais colaboradores e terceiros para identificar e comunicar rapidamente incidentes e preparação e apresentação de relatórios de acompanhamento.
Caberá à Coordenação Geral de Informática a responsabilidade pela infraestrutura necessária para fins de registro e resposta aos incidentes de segurança da informação no âmbito da rede corporativa do Instituto Benjamin Constant.
GESTÃO DE ATIVOS
O Instituto Benjamin Constant manterá um processo de inventário e mapeamento dos ativos de informação objetivando a segurança das infraestruturas críticas que garantem suas informações e dados. O processo de inventário e mapeamento de ativos de informação subsidiará o conhecimento, a valoração, a proteção e a manutenção de seus ativos de informação e deverá ser dinâmico, periódico e estruturado, para manter a base de dados de ativos de informação atualizada.
GESTÃO DE COMUNICAÇÕES
Todos os sistemas de comunicação eletrônica, quer seja de origem externa quer seja interna, são recursos de Tecnologia da Informação e Comunicação disponibilizados pelo Instituto Benjamin Constant a seus servidores, demais colaboradores e terceiros, e deverão ser utilizados precipuamente no exercício das funções institucionais, em conexão com a finalidade do instituto e de forma aderente a esta Política e à legislação vigente, podendo ser concedidos ou revogados a qualquer tempo, em caráter total ou parcial, de acordo com os interesses do Instituto.
O IBC se reserva o direito de monitorar, acessar e revisar quaisquer aspectos de seus recursos de informação eletrônica e sistemas de comunicação, incluindo, entre outros, o uso da internet, sistemas de comunicação eletrônica, sistemas de telefonia, tráfego da rede e revisar ativos armazenados em qualquer sistema de comunicação. O consentimento para tais registros e monitoramento é presumido por parte dos usuários, não cabendo qualquer contestação ou alegação de desconhecimento dessa regra.
As comunicações eletrônicas são comunicações formais e espera-se que os usuários exerçam cuidado e profissionalismo na aplicação desses recursos, assim como o faria com qualquer outro expediente de comunicação formal emitido em nome do IBC. O uso dos recursos de comunicação eletrônica deverá ser disciplinado em regramento próprio, associado a esta Política.
ACESSO À INTERNET
O acesso à internet no ambiente de trabalho do Instituto Benjamin Constant está condicionado às necessidades dos agentes públicos no exercício de suas atribuições e será regido por norma específica, em conformidade com esta PSI- IBC e demais orientações governamentais e legislação em vigor.
Cada usuário de informação é responsável por tomar todas as medidas razoáveis para utilizar os recursos de internet de forma responsável e segura (credenciais de acesso são pessoais e intransferíveis, sendo que o usuário é individualmente responsável por todas as atividades exercidas a partir de sua credencial).
No que se refere ao acesso à internet, cada usuário deverá:
a. Utilizar os recursos de forma a proteger a organização de qualquer risco legal, regulatório, operacional ou de reputação;
b. Não compartilhar suas credenciais de acesso;
c. Não acessar websites ou objetos com conteúdo inadequado ou ilegal;
d. Estar ciente de suas responsabilidades pelo uso apropriado da internet e de que o uso dela está sujeito a registro e pode ser monitorado de acordo com as exigências das leis e dos regulamentos aplicáveis.
COMPUTAÇÃO EM NUVEM
O uso de aplicativos e serviços em nuvem deverá assegurar que toda a cadeia de suprimentos de TIC baseada em provedores de serviços no ambiente de computação em nuvem seja avaliada por todos os aspectos de segurança para proteger dados, metadados, informações e conhecimentos produzidos ou custodiados pelo Instituto Benjamin Constant, incluindo o cumprimento da legislação e regulamentação nacional e estrangeira, o gerenciamento de identidades, o monitoramento e auditoria regulares e as restrições de localizações geográficas.
DESENVOLVIMENTO SEGURO DE SOFTWARE
O processo de desenvolvimento de software no Instituto Benjamin Constant deverá priorizar a adoção de práticas voltadas à segurança da informação como modelagem de ameaças, análise estática do código com uso de ferramentas, revisão de código, testes de segurança direcionados (objetivando a minimização do surgimento de vulnerabilidades).
Itens relacionados à segurança da informação deverão compor a lista de requisitos, desde a concepção dos projetos de desenvolvimento e/ou aquisição de software (incluindo a definição da camada responsável pela validação do atendimento a esses critérios).
A monitoração da performance de aplicações deverá ser realizada preferencialmente mediante análise dinâmica ponto a ponto, não sendo admitida a operação de aplicações em ambiente de produção enquanto perdurar qualquer falha de segurança considerada crítica.
AUDITORIA E CONFORMIDADE
O uso dos recursos de Tecnologia da Informação e Comunicação disponibilizados pelo Instituto Benjamin Constant é passível de monitoramento e auditoria, incluindo a análise regular de registros de eventos (logs), com aplicação, sempre que viável, de softwares utilitários específicos para monitoramento do uso de sistemas computacionais.
Sempre que possível, deverão ser implementados e mantidos mecanismos que permitam a rastreabilidade dos recursos de TIC por meio de estratégias como: trilhas de auditoria, rastreamento, acompanhamento, controle e verificação de acessos para todos os sistemas corporativos e rede corporativa.
Como medida de preservação de evidências, sempre que tecnicamente possível, todo e qualquer ativo de informação deverá ser configurado para armazenar registros históricos de registros de eventos (logs) em formato que permita a completa identificação dos fluxos de dados e das operações de seus usuários e/ou administradores. Esses registros devem ser armazenados pelo período mínimo de seis meses, sem prejuízo de outros prazos previstos em normativos específicos e os ativos de informação devem ser configurados de forma a armazenar seus registros de eventos (logs) não apenas localmente, como também remotamente, por meio de tecnologia aplicável.
ESTRUTURA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO
A estrutura de Gestão de Segurança da Informação do Instituto Benjamin Constant possui a seguinte composição:
a. Alta administração: representada pela autoridade máxima do Instituto Benjamin Constant ou o seu substituto nomeado oficialmente, responsável por adotar as decisões acerca do tratamento das informações e dos dados vinculados à atuação institucional do Instituto.
b. Coordenação Geral de Informática: unidade responsável pela gestão da informação e proteção de dados em meio eletrônico no âmbito do IBC, apoia as unidades na definição de procedimentos para proteção de suas informações e seus dados, monitora e avalia as práticas de segurança da informação e coordena ações de conscientização e treinamento bem comode tratamento de incidentes de segurança da informação, considerando as suas competências institucionais previstas;
c. Comitê de Segurança da Informação - CSI-IBC: colegiado responsável por tratar de assuntos relacionados à segurança da informação, à privacidade e à proteção de dados pessoais no âmbito do Instituto Benjamin Constant, conforme competências estabelecidas e considerado como estrutura equivalente àquela prevista no art. 20 da Instrução Normativa GSI/PR nº 1, de 2020;
d. Gestor de SI: servidor formalmente designado para exercer as competências definidas no art. 19 da Instrução Normativa GSI/PR nº 1, de 2020;
e. Dirigente de unidade ou subunidade: responsável por conscientizar servidores, demais colaboradores e terceiros em relação aos conceitos e às práticas de segurança da informação bem como incorporá-las aos processos de trabalho da unidade. Em caso de comprometimento da segurança da informação, devem tomar medidas administrativas para que sejam adotadas ações corretivas em tempo hábil;
f. Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos - ETIR-IBC: responsável por receber, analisar e responder às notificações e atividades relacionadas a incidentes cibernéticos no âmbito do Instituto Benjamin Constant, prevista no art. 22 da Instrução Normativa GSI/PR nº 1, 2020, e regulamentada pela Norma Complementar nº 05/IN01/DSIC/GSIPR; e
g. Servidores, demais colaboradores e terceiros: qualquer pessoa que tenha acesso a informações e dados do Instituto Benjamin Constant, responsável pela segurança da informação dos ativos a que tenha acesso.
Quanto à composição normativa, a gestão de segurança da informação do Instituto Benjamin Constant obedece à seguinte estrutura:
a. Política (nível estratégico): documento que define objetivos, princípios e diretrizes de alto nível que traduzem a visão estratégica do instituto nessa temática e orientam a elaboração de normas, procedimentos e ações de segurança da informação e proteção de dados;
b. Normas (nível tático): especificam, no plano tático, as regras, as escolhas tecnológicas e os controles que deverão ser implementados para execução dos objetivos e das diretrizes oriundas da Política de Segurança da Informação, dotando-a de instrumentos de implementação; e
c. Processos (nível operacional): instrumentalizam o disposto nas normas, orientando e direcionando sua aplicação.
PENALIDADES
Ações que violem a Política de Segurança da Informação do Instituto Benjamin Constant caracterizam infração funcional e poderão acarretar, isolada ou cumulativamente, nos termos da legislação aplicável, sanções administrativas, civis e penais, assegurado aos envolvidos o contraditório e a ampla defesa.
ATUALIZAÇÃO E REVISÃO
A Política de Segurança da Informação do Instituto Benjamin Constant deverá ser revisada em função de alterações na legislação pertinente, das diretrizes superiores do Governo Federal, de alterações nos normativos internos, quando considerada necessária ou no prazo máximo de quatro anos, a contar da data de sua publicação, mediante proposição pelo Comitê de Segurança da Informação (CSI-IBC) e aprovação pelo Diretor Geral.
O Comitê de Segurança da Informação (CSI-IBC) poderá expedir normas complementares associadas à PSI-IBC, no âmbito de sua competência regimental, visando a detalhar particularidades e procedimentos relativos à sua implementação no âmbito do Instituto Benjamin Constant.
Incumbe à Coordenação Geral de Informática expedir e gerir os procedimentos de nível operacional que instrumentalizam o disposto nas normas complementares e nesta Política.
CLASSIFICAÇÃO DAS INFORMAÇÕES
As informações e os dados deverão ser classificados (agrupados em "classes") para otimizar os controles que garantem seu acesso apenas por pessoas autorizadas, conforme processo a ser definido em normativo próprio. As classes devem se alinhar ao disposto na Lei nº 12.527, de 2011, (Lei de Acesso à Informação) e em outras leis que definem regras de sigilo, tais como sigilo fiscal, bancário, comercial e aquele relativo a denúncias.
DISPOSIÇÃO FINAIS
Esta Política de Segurança da Informação e suas atualizações deverão ser divulgadas amplamente a todos os servidores, demais colaboradores e terceiros do Instituto Benjamin Constant, ainda que sua atuação no Instituto seja temporária, a fim de promover sua observância e seu conhecimento bem como a formação da cultura de segurança da informação.
É responsabilidade de todos os gestores do Instituto Benjamin Constant promover o conhecimento e a disseminação desta Política e demais normas associadas à segurança da informação aos servidores, demais colaboradores e terceiros sob a sua gestão.
As dúvidas sobre esta Política e seus documentos associados devem ser submetidas ao Comitê de Segurança da Informação (CSI-IBC) do Instituto Benjamin Constant.
GLOSSÁRIO DE TERMOS
Autenticidade: informação produzida, expedida, modificada ou destruída por uma determinada pessoa física, equipamento, sistema, instituto ou entidade.
Confidencialidade: propriedade pela qual se assegura que a informação não esteja disponível ou não seja revelada à pessoa, ao sistema, ao instituto ou à entidade não autorizados nem credenciados.
Disponibilidade: propriedade pela qual se assegura que a informação esteja acessível e utilizável, sob demanda, por uma pessoa física ou determinado sistema, instituto ou entidade devidamente autorizados.
Divulgação não autorizada: revelação intencional ou não intencional de informações restritas a pessoas, tanto dentro como fora da organização, que não têm necessidade de conhecer essas informações.
Documento: unidade de registro de informações, qualquer que seja o suporte ou formato.
E-mail: transmissão eletrônica de informações por meio de um protocolo de correio, como SMTP ou IMAP.
Informação: dados, processados ou não, que podem ser utilizados para produção e transmissão de conhecimento, contidos em qualquer meio, suporte ou formato.
Informação pessoal: aquela relacionada à pessoa natural identificada ou identificável.
Informação sigilosa: aquela submetida temporariamente à restrição de acesso público em razão de sua imprescindibilidade para a segurança da sociedade e do Estado.
Integridade: propriedade pela qual se assegura que a informação não foi modificada ou destruída de maneira não autorizada ou acidental.
Mensagens: todas as mensagens, arquivos ou outros dados criados, carregados, baixados, enviados, recebidos ou armazenados em qualquer sistema de comunicações eletrônicas.
Mídias Sociais: incluem todas as formas e plataformas de comunicação e expressão públicas, baseadas na web, que reúnem pessoas, facilitando a publicação de conteúdo para o público.
Recursos de Tecnologia da Informação e Comunicação: conjunto de aplicativos, serviços, ativos de tecnologia da informação ou outros componentes de processamento digital de informações e dados.
Sistema de Comunicação Eletrônica: correio de voz, correio eletrônico, mensagens instantâneas, áudio e vídeo, intranet ou sistema de acesso à internet de propriedade, alugado, operado, mantido ou administrado pela organização.
Tratamento da informação: conjunto de ações referentes a produção, recepção, classificação, utilização, acesso, reprodução, transporte, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação ou controle da informação.
MAURO MARCOS FARIAS DA CONCEIÇÃO