A COMISSÃO INTERMINISTERIAL DE GOVERNANÇA CORPORATIVA E DE ADMINISTRAÇÃO DE PARTICIPAÇÕES SOCIETÁRIAS DA UNIÃO, no uso das atribuições que lhe conferem os arts. 3º e 7º do Decreto nº 6.021, de 22 de janeiro de 2007, e tendo em vista a proposição do Grupo Executivo, aprovada conforme Ata da 108ª Reunião Ordinária, realizada no dia 26 de maio de 2022,
Considerando o disposto no art. 7º do Decreto nº 10.139, de 28 de novembro de 2019, que determinada a revisão, consolidação e/ou revogação de todos os atos normativos inferiores a decreto, resolve:
Art. 1º As empresas estatais federais devem planejar, implementar e manter práticas de Governança de Tecnologia da Informação e Comunicação (TIC) que atendam de forma adequada aos padrões usualmente reconhecidos nesta área.
§1º A adoção das práticas de que trata o caput deste artigo deve ser compatível com o porte da empresa estatal, a natureza das operações, o ambiente de negócio em que está inserida, o grau de sigilo de suas informações, a complexidade de sua estrutura organizacional e de tecnologia da informação, bem como de suas práticas de aquisição, desenvolvimento e manutenção de sistemas.
§2º A aplicação desta Resolução deve envolver as áreas responsáveis pelos diversos processos, alguns dos quais são relacionados, porém não subordinados, diretamente à área de TIC.
Art. 2º As práticas de governança de TIC devem incluir:
I – elaboração e acompanhamento de Plano Diretor de Tecnologia da Informação e Comunicação (PDTIC), aderente ao Plano Estratégico Institucional (PEI), dando-lhe ampla divulgação, à exceção de informações classificadas como não públicas, nos termos da lei;
II – definição e acompanhamento de indicadores e metas ligadas ao planejamento de TIC, baseados em parâmetros de governança e nas necessidades do negócio; e
III – estabelecimento de um Comitê de Governança Digital, ou órgão colegiado equivalente de nível estratégico de TIC, formado por representantes da alta administração, incluindo ao menos um Diretor estatutário, com as seguintes competências:
a) exercer a Governança de TIC da empresa estatal, conduzindo os processos de direção, monitoramento e avaliação do desempenho de TIC, com a finalidade de alcançar os objetivos e as metas da organização e assegurar a adoção de práticas estabelecidas nesta Resolução; e
b) deliberar sobre os assuntos relacionados à Governança de TIC da empresa estatal, orientando as iniciativas, os planos e os investimentos em TIC, com a finalidade de atender às necessidades prioritárias e estratégicas da organização, monitorando a sua efetividade;
IV – estabelecimento de colegiado de nível tático, responsável, ao menos, pela definição dos investimentos seguindo as prioridades estabelecidas pelo colegiado de nível estratégico, pelo monitoramento de projetos e solução de conflitos, e pelo monitoramento dos níveis de serviço de TIC e de sua melhoria;
V – definição de processos críticos de negócio, com identificação dos gestores responsáveis pelos sistemas de informação que dão suporte a esses processos;
VI – formalização de processos de gestão de serviços internos de TIC, incluindo, ao menos, gestão de configuração, gestão de incidentes, gestão de mudança e gestão de continuidade de negócios;
VII – formalização de processo de gerenciamento de projetos;
VIII – formalização de processo de software; e
IX – formalização e execução de políticas de segurança da informação, incluindo, ao menos:
a) a classificação das informações pelas respectivas áreas de negócio e a disponibilização, pela área de TIC, de ambientes com o nível de segurança necessário ao seu armazenamento;
b) o controle de acesso local e remoto às redes de dados;
c) o controle de acesso aos sistemas;
d) o controle de acesso físico aos equipamentos de TIC;
e) o uso de unidades portáteis de armazenamento de dados e de computadores portáteis; e
f) a existência de rastro de auditoria (log) em sistemas críticos;
X – definição dos requisitos e competências necessários para acesso às funções de liderança na área de TIC;
XI – realização periódica de avaliações qualitativas e quantitativas do pessoal da área de TIC, determinando as necessidades de recursos humanos do setor e mantendo, caso necessário, plano de capacitação voltado a esse tema;
XII – estabelecimento de processo formal para contratação e gestão de soluções de TIC, aderente, no que couber, às definições da Instrução Normativa SGD/ME nº 1, de 4 de abril de 2019, ou de normativos que vierem a sucedê-la;
XIII – obrigatoriedade da vinculação de um processo de software a todos os contratos de desenvolvimento e manutenção de sistemas;
XIV – mapeamento e gestão dos riscos relevantes ligados à TIC;
XV – designar um Gestor de Segurança da Informação interno, indicado pela alta administração da empresa estatal;
XVI – instituição um Comitê de Segurança da Informação, ou estrutura equivalente, para deliberar sobre os assuntos relativos à Segurança da Informação; e
XVII – instituição e implementação de equipe de prevenção, tratamento e resposta a incidentes cibernéticos.
§1º Para o cumprimento do estabelecido nos incisos VII e VIII, as empresas podem optar pela adoção das metodologias mantidas pelo Sistema de Administração dos Recursos de Tecnologia da Informação (SISP) do Governo Federal.
§2º Para o cumprimento do estabelecido no inciso XIII, as empresas podem optar pela vinculação ao processo de software utilizado por seu fornecedor, desde que adequadamente detalhado e formalizado em contrato.
§3º A equipe de que trata o inciso XVII poderá compor a rede de equipes dos órgãos e das entidades da administração pública federal, coordenada pelo Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo do Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República, nos termos do Decreto nº 10.748, de 16 de julho e 2021.
Art. 3º Devem ser estabelecidos controles internos, abrangendo os diversos níveis da organização, visando mitigar os riscos ligados, ao menos, aos seguintes processos:
I – Planejamento Estratégico Institucional (PEI);
II – Plano Diretor de TIC (PDTIC);
III – funcionamento de comitês e fóruns ligados à TIC;
IV – processo orçamentário de TIC;
V – processo de software;
VI – gerenciamento de projetos de TIC;
VII – gestão de serviços de TIC;
VIII – segurança da informação;
IX – Gestão de pessoal de TIC;
X – contratação e gestão de soluções de TIC; e
XI – monitoramento do desempenho da TIC organizacional.
Parágrafo único. Os controles internos devem ser periodicamente revisados e atualizados, de forma a serem incorporadas medidas relacionadas a riscos novos ou anteriormente não abordados.
Art. 4º No caso de empresas estatais pertencentes a um mesmo grupo, as práticas de Governança de TIC e os controles internos a elas relacionados poderão ser definidos e mantidos:
I – individualmente, no âmbito de cada empresa; ou
II – total ou parcialmente centralizados em uma das empresas que compõe o grupo, desde que não haja perda de efetividade.
Parágrafo único. A faculdade estabelecida no inciso II do caput deverá ser exercida, preferencialmente, pela empresa controladora do grupo ou por empresa especializada em TIC, e esta deverá ter ascendência sobre as demais empresas que compõem o grupo em relação aos processos que centraliza.
Art. 5º A Auditoria Interna das empresas estatais federais deverá incluir, no escopo de seus trabalhos, no que couber, a verificação quanto à observância pelas empresas desta Resolução.
Art. 6º Fica a Secretaria de Coordenação e Governança das Empresas Estatais autorizada a enviar, às empresas estatais federais, orientações sobre temas associados à Governança e à Gestão de TIC, aplicáveis a essas empresas.
Art. 7º Fica revogada a Resolução CGPAR nº 11, de 10 de maio de 2016.
Art. 8º Esta Resolução entra em vigor na data de sua publicação.
PAULO GUEDES
Ministro de Estado da Economia
CIRO NOGUEIRA LIMA FILHO
Ministro de Estado da Casa Civil
Fonte: www.editoraroncarati.com.br/v2/Diario-Oficial/Diario-Oficial