CSI – Comitê de Segurança da Informação da UFRGS

Gestor

Atribuições do Gestor de Segurança da Informação

DECRETO Nº 9.637, DE 26 DE DEZEMBRO DE 2018:

Art. 15. Aos órgãos e às entidades da administração pública federal, em seu âmbito de atuação, compete:

I – implementar a PNSI;

II – elaborar sua política de segurança da informação e as normas internas de segurança da informação, observadas as normas de segurança da informação editadas pelo Gabinete de Segurança Institucional da Presidência da República;

III – designar um gestor de segurança da informação interno, indicado pela alta administração do órgão ou da entidade;

IV – instituir comitê de segurança da informação ou estrutura equivalente, para deliberar sobre os assuntos relativos à PNSI;

V – destinar recursos orçamentários para ações de segurança da informação;

VI – promover ações de capacitação e profissionalização dos recursos humanos em temas relacionados à segurança da informação;

VII – instituir e implementar equipe de prevenção, tratamento e resposta a incidentes cibernéticos, que comporá a rede de equipes dos órgãos e das entidades da administração pública federal, coordenada pelo Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo do Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República;  (Redação dada pelo Decreto nº 10.641, de 2021)

VIII – coordenar e executar as ações de segurança da informação no âmbito de sua atuação;

IX – consolidar e analisar os resultados dos trabalhos de auditoria sobre a gestão de segurança da informação; e

X – aplicar as ações corretivas e disciplinares cabíveis nos casos de violação da segurança da informação.

§ 1º O comitê de segurança da informação interno de que trata o inciso IV do caput será composto por:

I – o gestor da segurança da informação do órgão ou da entidade, de que trata o inciso III do caput , que o coordenará;

II – um representante da Secretaria-Executiva ou da unidade equivalente do órgão ou da entidade;

III – um representante de cada unidade finalística do órgão ou da entidade; e

IV – o titular da unidade de tecnologia da informação e comunicação do órgão ou da entidade.

§ 2º (revogado)

§ 3º O comitê de segurança da informação interno dos órgãos e das entidades da administração pública federal tem as seguintes atribuições:

I – assessorar na implementação das ações de segurança da informação;

II – constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre segurança da informação;

III – propor alterações na política de segurança da informação interna; e

IV – propor normas internas relativas à segurança da informação.

§ 4º  O gestor de segurança da informação será designado dentre os servidores públicos ocupantes de cargo efetivo, empregados públicos e militares do órgão ou da entidade, com formação ou capacitação técnica compatível com as normas estabelecidas por este Decreto.         (Incluído pelo Decreto nº 10.641, de 2021)

(…)

­

INSTRUÇÃO NORMATIVA GSI Nº 1, DE 27 DE MAIO DE 2020:

Art. 9º É obrigatório a todos os órgãos e as entidades da administração pública federal possuir uma Política de Segurança da Informação, implementada a partir da formalização e aprovação por parte da autoridade máxima da instituição, com o objetivo de estabelecer diretrizes, responsabilidades, competências e subsídios para a gestão da segurança da informação.

Parágrafo único. A autoridade máxima do órgão ou da entidade é responsável por garantir os recursos necessários para a execução da Política de Segurança da Informação no âmbito de sua organização.

Art. 10. A Política de Segurança da Informação deve ser elaborada sob a coordenação do Gestor de Segurança da Informação do órgão ou entidade, com a participação do Comitê de Segurança da Informação interno ou estrutura equivalente.

Parágrafo único. Cabe ao Gestor de Segurança da Informação promover, com apoio da alta administração, a ampla divulgação da Política, das normas internas de segurança da informação e de suas atualizações, de forma ampla e acessível, a todos os servidores, aos usuários e aos prestadores de serviço, a fim de que esses tomem conhecimento de tais instrumentos.

(…)

Art. 16. De forma a estruturar a gestão da segurança da informação, os órgãos e entidades da administração pública federal deverão designar ou instituir, ao menos:
I – o Gestor de Segurança da Informação;

(…)
Art. 18. O gestor de segurança da informação será designado dentre os servidores públicos civis ocupantes de cargo efetivo e militares de carreira do órgão ou entidade, com formação ou capacitação técnica compatível às suas atribuições.

(…)

Art. 19. Compete ao gestor de segurança da informação:

I – coordenar o Comitê de Segurança da Informação ou estrutura equivalente;

II – coordenar a elaboração da Política de Segurança da Informação e das normas internas de segurança da informação do órgão, observadas as normas afins exaradas pelo Gabinete de Segurança Institucional da Presidência da República;

III – assessorar a alta administração na implementação da Política de Segurança da Informação;

IV – estimular ações de capacitação e de profissionalização de recursos humanos em temas relacionados à segurança da informação;

V – promover a divulgação da política e das normas internas de segurança da informação do órgão a todos os servidores, usuários e prestadores de serviços que trabalham no órgão ou na entidade;

VI – incentivar estudos de novas tecnologias, bem como seus eventuais impactos relacionados à segurança da informação;

VII – propor recursos necessários às ações de segurança da informação;

VIII – acompanhar os trabalhos da Equipe de Tratamento e Resposta a Incidentes Cibernéticos;

IX – verificar os resultados dos trabalhos de auditoria sobre a gestão da segurança da informação;

X – acompanhar a aplicação de ações corretivas e administrativas cabíveis nos casos de violação da segurança da informação; e

XI – manter contato direto com o Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República em assuntos relativos à segurança da informação.

 Art. 20. O Comitê de Segurança da Informação interno dos órgãos e das entidades da administração pública federal possui as seguintes atribuições:

I – assessorar a implementação das ações de segurança da informação;

II – constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre segurança da informação;

III – participar da elaboração da Política de Segurança da Informação e das normas internas de segurança da informação;

IV – propor alterações à Política de Segurança da Informação e às normas internas de segurança da informação; e

V – deliberar sobre normas internas de segurança da informação.

 Art. 21. O Comitê de Segurança da Informação disposto no art. 20 terá a seguinte composição:

I – o gestor de segurança da informação do órgão ou da entidade, que o coordenará;

II – um representante da Secretaria-Executiva ou da unidade equivalente do órgão ou da entidade;

III – um representante de cada unidade finalística do órgão ou da entidade; e

IV – o titular da unidade de tecnologia da informação do órgão ou da entidade.

­

INSTRUÇÃO NORMATIVA GSI/PR Nº 3, DE 28 DE MAIO DE 2021

Art. 8º Cabe ao gestor de segurança da informação de cada órgão ou entidade coordenar o processo de mapeamento de ativos de informação, bem como designar um agente responsável pela gestão dos ativos de informação, dentre os servidores efetivos do órgão ou da entidade.

[…]

Art. 16. Cabe ao gestor de segurança da informação de cada órgão ou entidade:

I – coordenar a gestão de riscos de segurança da informação;

II – designar o agente responsável pela gestão de riscos de segurança da informação, dentre os servidores efetivos do órgão;

III – aprovar o plano de gestão de riscos de segurança da informação;

IV – aprovar o relatório de identificação, análise e avaliação dos riscos de segurança da informação e encaminhá-lo à alta administração;

V – aprovar o relatório de tratamento de riscos de segurança da informação; e

VI – propor medidas preventivas à alta administração.

[…]

Art. 25. O gestor de segurança da informação coordenará o processo de gestão de continuidade de negócios em segurança da informação nos seus respectivos órgãos ou entidades, bem como designará um agente responsável pela referida gestão, dentre os servidores efetivos do órgão.
[…]

GESTÃO DE MUDANÇAS NOS ASPECTOS DE SEGURANÇA DA INFORMAÇÃO

Art. 35. Cabe ao gestor de segurança da informação, com relação ao processo de gestão de mudanças nos aspectos de segurança da informação:

I – coordenar a gestão de mudanças;

II – designar o agente responsável pela gestão de mudança, dentre os servidores efetivos do órgão;

III – analisar e encaminhar o documento de avaliação e aprovação de mudança para apreciação da alta administração do órgão, à qual cabe a decisão de aprovar ou indeferir a mudança; e

IV – proporcionar a interação constante entre as equipes de gestão de mudanças em aspectos de segurança da informação, de gestão de riscos de segurança da informação e de gestão de continuidade de negócios em segurança da informação.

AVALIAÇÃO DE CONFORMIDADE NOS ASPECTOS DE SEGURANÇA DA INFORMAÇÃO

Art. 42. Cabe ao gestor de segurança da informação, com relação à avaliação de conformidade nos aspectos de segurança da informação:

I – coordenar a avaliação de conformidade nos aspectos relativos à segurança da informação;

II – designar, dentre os servidores efetivos do órgão, um ou mais agentes responsáveis pela avaliação de conformidade, de acordo com os aspectos relativos à segurança da informação, não podendo ser nenhum dos membros da equipe de gestão de segurança da informação do órgão ou da entidade;

III – fornecer, ao(s) agente(s) responsável(is) pela avaliação de conformidade, todas as informações necessárias ao processo de gestão de conformidade nos aspectos de segurança da informação;

IV – analisar o relatório de avaliação de conformidade e encaminhá-lo para apreciação e aprovação da alta administração; e

V – adotar as medidas necessárias para atender às recomendações do relatório de avaliação de conformidade aprovado pela alta administração.

­ 

INSTRUÇÃO NORMATIVA Nº 5, DE 30 DE AGOSTO DE 2021

DAS RESPONSABILIDADES

Art. 7º Ao Gestor de Segurança da Informação compete:

I – instituir e coordenar a equipe descrita no art. 6º, responsável pela elaboração e revisões do ato normativo sobre uso seguro de computação em nuvem;

II – supervisionar a aplicação do ato normativo sobre uso seguro de computação em nuvem;

III – assegurar a contínua efetividade da comunicação com o provedor de serviço de nuvem, que fornece tais serviços ao órgão ou à entidade, de forma a assegurar que os controles e os níveis de serviço acordados sejam cumpridos;

IV – supervisionar a aplicação das medidas de correção pelo provedor de serviço de nuvem, em casos de eventuais desvios;

V – comunicar incidentes cibernéticos informados pelo provedor de serviço de nuvem aos órgãos competentes para os seus tratamentos, conforme a relevância dos incidentes previamente estabelecida; e

VI – encaminhar para aprovação da alta administração as minutas de elaboração e de revisões do ato normativo sobre o uso seguro de computação em nuvem.

­­

INSTRUÇÃO NORMATIVA Nº 6, DE 23 DE DEZEMBRO DE 2021

Art. 6º Compete ao gestor de segurança da informação:

I – propor ações para melhoria contínua da gestão do uso seguro de mídias sociais;

II – fomentar o fortalecimento da cultura da segurança da informação no seu respectivo órgão ou entidade, no que diz respeito ao uso seguro de mídias sociais;

III – designar o agente responsável pelo uso seguro de mídias sociais;

IV – instituir e coordenar a equipe responsável pela elaboração e pelas revisões do ato normativo sobre o uso seguro de mídias sociais;

V – apresentar à alta administração e ao Comitê de Segurança da Informação ou à estrutura equivalente o relatório sobre a utilização de mídias sociais de que trata o inciso III do art. 4º; e

VI – encaminhar para aprovação da alta administração as minutas de elaboração e de revisões do ato normativo sobre o uso seguro de mídias sociais.

Art. 7º Compete ao Comitê de Segurança da Informação ou estrutura equivalente:

I – analisar os riscos de segurança da informação provenientes da presença do órgão ou da entidade em mídias sociais;

II – promover ações para tratar os riscos de segurança da informação provenientes da presença do órgão ou da entidade em mídias sociais;

III – analisar, em caráter conclusivo, as minutas de elaboração e de revisões do ato normativo sobre o uso seguro de mídias sociais;

IV – analisar os relatórios de que tratam o inciso III do art. 4º e o inciso IV do art. 5º; e

V – assessorar na implementação das ações de segurança da informação para o uso seguro de mídias sociais.

­­

Portaria Nº 49 – CDN, de 12 de dezembro de 2014

8.2 Cabe ao Gestor de SIC, no âmbito de suas atribuições no Comitê de SIC, propor, avaliar, realizar periódica análise de melhorias de normas e procedimentos internos de tratamento da informação.

­­

Resolução nº 100, DE 6 DE MAIO DE 2022 – CONSUN:

Art. 9º – Fica instituído o Gestor de Segurança da Informação, indicado pelo Reitor, com as seguintes responsabilidades:

I – coordenar o Comitê de Segurança da Informação da Universidade;

II – coordenar a elaboração da Política de Segurança da Informação e das normas internas de segurança da informação do órgão, observadas as normas afins exaradas pelo Gabinete de Segurança Institucional da Presidência da República;

III – assessorar a alta administração na implementação da Política de Segurança da Informação;

IV – estimular ações de capacitação e de profissionalização de recursos humanos em temas relacionados à segurança da informação;

V – promover a divulgação da política e das normas internas de segurança da informação do órgão a todos os servidores, usuários e

prestadores de serviços que trabalham no órgão ou na entidade;

VI – incentivar estudos de novas tecnologias, bem como seus eventuais impactos relacionados à segurança da informação;

VII – propor recursos necessários às ações de segurança da informação;

VIII – acompanhar os trabalhos da Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos;

IX – verificar os resultados dos trabalhos de auditoria sobre a gestão da segurança da informação; e

X – acompanhar a aplicação de ações corretivas e administrativas cabíveis nos casos de violação da segurança da informação.

Accessibility by WAH
Design adaptado de IDG_WP.