Secretaria de Governo Digital

Modelo de Política de Gestão de Ativos

PROGRAMA DE PRIVACIDADE
E SEGURANÇA DA INFORMAÇÃO

Versão 1.1
Brasília, maio de 2022

1
Coordenação-Geral de Proteção de Dados
Secretaria de Governo Digital

MODELO DE POLÍTICA DE GESTÃO DE ATIVOS

MINISTÉRIO DA ECONOMIA
Paulo Roberto Nunes Guedes

Ministro

SECRETARIA ESPECIAL DE DESBUROCRATIZAÇÃO, GESTÃO E GOVERNO DIGITAL

Caio Mario Paes de Andrade

Secretário Especial de Desburocratização, Gestão e Governo Digital

SECRETARIA DE GOVERNO DIGITAL

Fernando André Coelho Mitkiewicz

Secretário de Governo Digital

DEPARTAMENTO DE GOVERNANÇA DE DADOS E INFORMAÇÕES

Leonardo Rodrigo Ferreira

Diretor do Departamento de Privacidade e Segurança da Informação

COORDENAÇÃO-GERAL DE SEGURANÇA DA INFORMAÇÃO

Loriza Andrade Vaz de Melo

Coordenadora-Geral de Proteção de Dados

Equipe Técnica de Elaboração

Amaury C. da Silveira Junior

Eder Ferreira de Andrade

Francisco Magno Felix Nobre

Heráclito Ricardo Ferreira Gomes

Ivaldo Jeferson de Santana Castro

Yuri Arcanjo de Carvalho

Ramon Caldas

Guilherme Rufino Junior

Guilherme Mendonça Medeiros

2
Coordenação-Geral de Proteção de Dados
Secretaria de Governo Digital

Equipe Revisora
Marcus Paulo Barbosa Vasconcelos

Samuel Barichello Conceição

Sumaid Andrade de Albuquerque

3
Coordenação-Geral de Proteção de Dados
Secretaria de Governo Digital

Histórico de Versões

Data Versão Descrição Autor

Equipe
31/03/2022 1.0 Modelo de Política de Gestão de Ativos
Técnica de
Elaboração
05/05/2022 1.1 Modelo de Política de Gestão de Ativos Equipe
Técnica de
Elaboração

4
Coordenação-Geral de Proteção de Dados
Secretaria de Governo Digital

Sumário

Esclarecimentos ........................................................................................................................................................ 6
Introdução .................................................................................................................................................................. 7
Política de Gestão de Ativos ..................................................................................................................................... 7
Propósito [Objetivo da Política] conforme IN01 GSI/PR Art.11 ................................................................................. 8
Escopo [Amplitude, alcance da Política] conforme IN01 GSI/PR Art.12 item I ......................................................... 8
Termos e Definições [Glossário] conforme IN01 GSI/PR Art.12 item II .................................................................... 9
Referência legal e de boas práticas [Documentos norteadores] .............................................................................. 9
Declarações da política [Regras aplicáveis ao caso específico] ............................................................................. 10
Dos princípios gerais ............................................................................................................................................... 10
Diretrizes: ................................................................................................................................................................. 10
Não conformidade ................................................................................................................................................... 13
Concordância ........................................................................................................................................................... 13
Histórico de Revisão ................................................................................................................................................ 13

5
Coordenação-Geral de Proteção de Dados
Secretaria de Governo Digital

Esclarecimentos
O objetivo deste Modelo é fornecer aos responsáveis pela Proteção de Dados e Gestão da Segurança da
Informação no âmbito dos órgãos integrantes do Sistema Integrado de Recursos de Tecnologia da Informação
(SISP), orientações para mitigação de possíveis riscos ligados às temáticas de privacidade e segurança da
informação relativos aos seus sistemas informacionais, contratos administrativos e processos de trabalho da
instituição.

O Modelo foi construído a partir de análises de pontos relevantes dos sistemas informacionais críticos dos órgãos
integrantes do Sistema Integrado de Recursos de Tecnologia da Informação (SISP), realizado pela Secretaria de
Governo Digital (SGD) da Secretaria Especial de Desburocratização, Gestão e Governo Digital do Ministério da
Economia.

6
Coordenação-Geral de Proteção de Dados
Secretaria de Governo Digital

Introdução
No contexto da transformação digital do Estado brasileiro, o Governo Federal publicou em 29 de abril de
2020, através do Decreto nº 10.332, a Estratégia de Governo Digital, iniciativa que se encontra em plena
execução. Ela norteia as ações de todos os órgãos federais, com o objetivo de transformar o governo pelo
Digital, oferecendo políticas públicas e serviços de melhor qualidade, mais simples, acessíveis de qualquer
lugar e a um custo menor para o cidadão.

Hoje, mais do que em qualquer outro momento da história, o Governo utiliza a tecnologia para melhorar e expandir
a oferta de serviços públicos para o cidadão apoiado em sistemas informatizados.

Nesse contexto, os órgãos federais, com infraestrutura própria ou contratada de terceiros, coletam, recebem,
acessam, processam, modificam, produzem, extraem, validam, armazenam, distribuem e transmitem informações
confidenciais e públicas para apoiar a entrega de produtos e serviços essenciais (por exemplo, fornecimento de
serviços financeiros; fornecimento de serviços de emissões guias, certificados e carteiras; processamento de
autorizações de segurança ou dados de saúde; fornecimento de serviços em nuvem; desenvolvendo
comunicações via cabo, wireless e/ou satélites; sistemas militares de defesa). As informações federais são
frequentemente fornecidas ou compartilhadas, obedecidos os requisitos legais, com entidades como governos
estaduais e municipais, empresas públicas e privadas, faculdades e universidades, organizações de pesquisa
independentes ou públicas e organizações do terceiro setor.

A proteção dessas informações pelo Governo enquanto agente de tratamento está designada no Art.46. da Lei
Geral de Proteção de Dados, sancionada em 14 de agosto de 2018 – “Os agentes de tratamento devem adotar
medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados
e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento
inadequado ou ilícito.”

A sua não observância pode impactar diretamente a capacidade do governo federal de cumprir suas missões
precípuas de promover uma gestão pública eficiente, ampliar o acesso à cidadania, estimular uma economia
brasileira crescentemente digitalizada, dinâmica, produtiva e competitiva, e em última instancia, impedir a geração
de valor público para o cidadão.

Política de Gestão de Ativos

IMPORTANTE: Este modelo de Política de Gestão de Ativos deve ser utilizado exclusivamente como referência,
devendo o órgão considerar as particularidades técnicas especificas do seu ambiente, bem como observar a boa
aderência aos processos internos, a fim de construir uma política que seja adequada a sua realidade.
Este modelo tem por foco prover diretrizes para o a Gestão de Ativos, a fim de atender a necessidade de
implementar os controles emergenciais previstos no anexo 5 do Programa de Privacidade e Segurança da
Informação (PPSI). Contudo, recomenda-se que o órgão considere, no mínimo, as diretrizes gerais estabelecidas
para implementação, conforme prevê o Art.12, Inciso IV, alínea d da Instrução Normativa Nº 01/GSI/PR, bem como
o Capítulo II da Instrução Normativa Nº 03/GSI/PR, de 28 de maio de 2021, a qual dispõe sobre os processos
relacionados à gestão de segurança da informação nos órgãos e nas entidades da administração pública federal.

7
Coordenação-Geral de Proteção de Dados
Secretaria de Governo Digital

Para usar este modelo, basta substituir o texto em cinza por informações personalizadas do seu órgão ou entidade.
Quando estiver concluído, exclua todos os textos introdutórios ou de exemplo e converta todo o texto restante em
preto antes do processo de aprovação.

Responsável Nome da pessoa ou área responsável pela gestão desta política.

Nome da pessoa ou área responsável pela aprovação e autorização da
Aprovado por: implementação desta política.
Relacione outras políticas corporativas relacionadas dentro ou externas a este
Políticas Relacionadas modelo, por exemplo, Política de Gestão de Riscos \ Política de Retenção de Dados
\ POSIN
Localização de Descreva a localização física ou digital das cópias desta política.
armazenamento
Data da Aprovação Liste a data em que essa política entrou em vigor.

Data de revisão Liste a data em que esta política deve passar por revisão e atualização.

Versão Indique a versão atual desta política

Propósito [Objetivo da Política] conforme IN01 GSI/PR Art.11

Levando em consideração a natureza e a finalidade do órgão ou entidade, descreva os fatores ou circunstâncias
que determinam a existência da política de gestão de ativos. Além disso, afirmam os objetivos básicos da política
e o que a política pretende alcançar.

Exemplo: O objetivo desta política é garantir que os ativos de informação sejam identificados adequadamente e
que os controles de proteção recomendados para estes ativos de informação estejam em vigor.

Para manter a segurança e continuidade do negócio do [Órgão ou entidade], em sua missão é fundamental mapear
e monitorar os ativos tecnológicos, para maior controle da organização, auxiliando na aplicação de atualizações,
implementação de controles de segurança e gestão de risco da organização. Auxiliando também na recuperação
de incidentes.

Os ativos de informação da (o) [Órgão ou entidade] devem ser classificados a fim de permitir a definição de níveis
de segurança para eles. Cada ativo de informação deverá ter um “dono”, no qual realizará a classificação do ativo
de informação e deverá ser registrado em uma base de dados gerenciada de forma centralizada.

Escopo [Amplitude, alcance da Política] conforme IN01 GSI/PR Art.12 item I

Defina a quem e a quais sistemas esta política se aplica. Liste os agentes públicos e colaboradores necessários
para cumprir ou simplesmente indique "todos" se todos devem cumprir. Também indique quaisquer exclusões ou
exceções que estejam fora de escopo, ou seja, essas pessoas, elementos ou situações que não estejam cobertas
por esta política ou onde uma consideração especial possa ser feita.
EX: Esta Política de Gestão de Ativos se aplica a todos os processos de negócios e dados, sistemas de informação
e componentes, pessoal e áreas físicas de [inserir nome da empresa].

• Esta política se aplica a todos os ativos de informação no [Órgão ou entidade], incluindo ativos fora do
[Órgão ou entidade] armazenados em um serviço de nuvem. Ativos de informação neste contexto,
incluem [citar os dados considerados críticos para organização, ex.: Documentos, base de dados,
contratos, documentação de sistemas, procedimentos, manuais, logs de sistemas, planos, guias,
programas de computador, servidores, computadores, e-mail, arquivos pessoais e compartilhados, bancos
de dados e conteúdo da web específicos].
8
Coordenação-Geral de Proteção de Dados
Secretaria de Governo Digital

• A classificação dos ativos de informação e o escopo desta política serão revisados [informar a
periodicidade, ex.: anualmente].

Termos e Definições [Glossário] conforme IN01 GSI/PR Art.12 item II

Defina quaisquer termos-chave, siglas ou conceitos que serão utilizados na política. [Sugere-se utilizar como
referência as definições apresentadas na PORTARIA GSI/PR Nº 93, DE 18 DE OUTUBRO DE 2021 – Glossário
de Segurança da Informação do Gabinete de Segurança Institucional da PRESIDÊNCIA DA REPÚBLICA].
Exemplo:
ATIVOS DE INFORMAÇÃO - meios de armazenamento, transmissão e processamento da informação,
equipamentos necessários a isso, sistemas utilizados para tal, locais onde se encontram esses meios, recursos
humanos que a eles têm acesso e conhecimento ou dado que tem valor para um indivíduo ou organização;

INCIDENTE - interrupção não planejada ou redução da qualidade de um serviço, ou seja, ocorrência, ação ou
omissão, que tenha permitido, ou possa vir a permitir, acesso não autorizado, interrupção ou mudança nas
operações (inclusive pela tomada de controle), destruição, dano, deleção ou mudança da informação protegida,
remoção ou limitação de uso da informação protegida ou ainda a apropriação, disseminação e publicação indevida
de informação protegida de algum ativo de informação crítico ou de alguma atividade crítica por um período de
tempo inferior ao tempo objetivo de recuperação;

Referência legal e de boas práticas [Documentos norteadores]

Se for aplicável, liste quaisquer leis, regulamentos ou guias de boas práticas que regem a política ou com as quais
a política deve estar em conformidade ou ser cumprida. Confirme com o departamento jurídico que a lista é
completa e precisa.
Orientação Secção
Relatório de Levantamento de Auditoria
Acórdão 1.889/2020-TCU-Plenário
Páginas 30-32
Decreto Nº 10.332/2020 - Estratégia de Governo Digital 2020-2022 Em sua íntegra
Decreto Nº 10.046/2019 - Governança no Compartilhamento de Dados (GCD) Art. 2, XXIII
Decreto Nº 10.222/2020 - Estratégia Nacional de Segurança Cibernética (E-
Anexo, Item 2.3.4 e 2.3.5
CIBER)
Decreto Nº 9.573/2018 - Política Nacional de Segurança de Infraestruturas
Anexo Art.3, Inciso I, II e V
Críticas (PNSIC)
CAPÍTULO I - Art.2, Incisos III e IV
Decreto Nº 9.637/2018 - Política Nacional de Segurança da Informação (PNSI) CAPÍTULO II - Art.3, Inciso III, IV, VIII XI
CAPÍTULO VI - Seção IV – Art.15
Framework de segurança cibernética do CIS 8 Salvaguarda 1,2 e 3
Framework Information Technology Infrastructure Library – ITIL, v. 4, conjunto
de boas práticas a serem aplicadas na infraestrutura, operação e gerenciamento Gestão da Segurança da Informação
de serviços de TI;
Guias Operacionais SGD Todos
Instrução Normativa Nº 01/GSI/PR Art.12, Inciso IV, alínea d
Instrução Normativa Nº 03/GSI/PR, de 28 de maio de 2021 Capítulo II
Lei Nº 12.527/2011 – Lei de Acesso à Informação (LAI) Em sua íntegra
CAPÍTULO VII - Seção I – Art. 46, Seção
Lei Nº 13.709/2018 – Lei Geral de Proteção de Dados
II Art. 50
AC-3, AC-4, AC-16, AC-20, CM-8, CM-9,
NIST SP 800-53 v4 MP-2, MP-3, PL-4, PM-5, PS-6, RA-2, SC-
16

9
Coordenação-Geral de Proteção de Dados
Secretaria de Governo Digital

Norma ABNT NBR ISO/IEC 27001:2013 Tecnologia da informação - Técnicas

A.8 (A.8.1., A.8.2., A.8.3.)
de segurança – Sistemas de gestão de segurança da informação - Requisitos;
Portaria GSI/PR nº 93, de 18 de outubro de 2021 Em sua íntegra

Declarações da política [Regras aplicáveis ao caso específico]

Descreva as regras que compõem a política. Isso normalmente toma a forma de uma série de breves declarações
prescritivas e proscritivas. A subdivisão desta seção em subseções pode ser necessária dependendo do
comprimento ou complexidade da política.

Dos princípios gerais

i. A Política de Gestão de Ativos de informação deve estar alinhada com à Política de Segurança da
Informação da [organização].
ii. A Política de Gestão de Ativos de informação deve estar alinhada com uma gestão de continuidade
de negócios em nível organizacional.
iii. O processo de mapeamento de ativos de informação deve estruturar e manter um registro de ativos
de informação, destinados a subsidiar os processos de gestão de risco, de gestão de continuidade
e de gestão de mudanças nos aspectos relativos à segurança da informação.
iv. As rotinas de inventário e mapeamento de ativos de informação devem ser orientadas para a
identificação dos ativos de informação da organização, a fim de manter o escopo da organização
mapeado e documentado.
v. O processo de mapeamento de ativos de informação deve considerar, preliminarmente os
objetivos estratégicos da organização, seus processos internos, os requisitos legais e sua estrutura
organizacional.
vi. O registro de ativos de informação resultante do processo de mapeamento de ativos de informação
deverá conter: os responsáveis (proprietários e custodiantes) de cada ativo de informação; as
informações básicas sobre os requisitos de segurança da informação de cada ativo de informação;
os contêineres de cada ativo de informação; as interfaces de cada ativo de informação e as
interdependências entre eles.
vii. [Acrescentar os princípios que devem ser considerados para a política].

Os seguintes ativos de informação devem ser considerados no processo de mapeamento de ativos de

informação:

I. Ativos físicos;
II. Bancos de dados;
III. Dispositivos móveis;
IV. Hardwares;
V. Mídias removíveis;
VI. Níveis de permissões;
VII. Serviços;
VIII. Softwares.
IX. [Acrescentar dos ativos de informação que devem ser considerados no processo].

Diretrizes:
1. Informações ou ativos de informação de instalações de processamento de informações devem ser
inventariados e documentados e esse registro deve ser mantido atualizado.
10
Coordenação-Geral de Proteção de Dados
Secretaria de Governo Digital

• A categorização do inventário deve ser aprovada pelas partes apropriadas ou autoridade de

autorização.
• A organização empregará o uso de mecanismos automatizados para identificar sistemas
autorizados e não autorizados, incluindo hardware ou software.
• O inventário também deverá incluir atualizações ou remoções do sistema de informação.
• [Acrescentar as diretrizes para guarda dos ativos de informação].

2. Das responsabilidades do proprietário do processo (recomenda-se a leitura ao Art. 9º da IN GSI/PR nº

3/2021)

• Identificar potenciais ameaças aos ativos de informação;

• Identificar vulnerabilidades dos ativos de informação;
• Consolidar informações resultantes da análise do nível de segurança da informação de cada ativo
de informação ou de grupos de ativos de informação em um relatório;
• Avaliar os riscos dos ativos de informação ou do grupo de ativos de informação.
• Indivíduos que requerem acesso aos sistemas de informação devem seguir o procedimento
adequado para receber tal acesso, como descritos na política de controle de acesso e catalogadas
no sistema de gestão de ativos.
• Os processos em torno do gerenciamento de mudança e de configuração também serão
estabelecidos e monitorados.
• Todos os ativos de informação devem ser devolvidos após a rescisão do contrato de trabalho ou
contrato.
• [Acrescentar outras diretrizes cabíveis para o processo de acesso].

3. Criticidade do ativo de informação:

• A criticidade dos ativos de informação críticos da organização é determinado pelo:
i. Requisitos legais;
ii. Pelo valor financeiro;
iii. Pelo seu potencial de agregar valor ao negócio;
iv. Por sua vida útil e
v. [outros critérios de risco ou fatores de criticidade].

4. Classificação das informações:

• Todos os ativos de informação devem ser classificados de acordo com sua criticidade.
• As informações armazenadas, transmitidas, processadas ou que se encontram sob a guarda dos
ativos de informação do [Órgão ou entidade] devem ser classificados de acordo com a legislação
pertinente (recomenda-se leitura da LEI Nº 12.527, DE 18 DE NOVEMBRO DE 2011), podendo
ser classificado em uma das seguintes categorias:
i. Ultrassecreta: São passíveis de classificação como ultrassecretos, dentre outros, dados,
informações ou documentos referentes à soberania e à integridade territorial nacionais, a
planos e operações, às relações internacionais do País, a projetos de pesquisa e
desenvolvimento científico e tecnológico de interesse da defesa nacional e a programas
econômicos, cujo conhecimento não autorizado possa acarretar dano
excepcionalmente grave à segurança da sociedade ou do Estado.
ii. Secreta: São passíveis de classificação como secretos, dentre outros, dados, informações
ou documentos referentes a sistemas, instalações, programas, projetos, planos ou
11
Coordenação-Geral de Proteção de Dados
Secretaria de Governo Digital

operações de interesse da defesa nacional, a assuntos diplomáticos e de inteligência e a

planos ou detalhes, programas ou instalações estratégicas, cujo conhecimento não
autorizado possa acarretar dano grave à segurança do [Órgão ou entidade], da
sociedade ou do Estado.
iii. Reservada: São passíveis de classificação como confidenciais, dentre outros, dados,
informações ou documentos que, no interesse do [Órgão ou entidade], devam ser de
conhecimento restrito e cuja revelação não autorizada possa frustrar seus objetivos ou
acarretar dano à segurança do [Órgão ou entidade], da sociedade ou do Estado.
• Os ativos de informação serão rotulados e manuseados com base nos procedimentos apropriados
de classificação de informações usados pela organização.
• [Acrescentar as diretrizes para classificação das informações].

5. Manipulação de mídia:
• A mídia removível também deve ser gerenciada pelo mesmo procedimento de classificação de
ativos de informação usado pela organização.
• A mídia removível deve ser protegida contra acesso não autorizado e uso indevido durante o uso
e em trânsito, e deve ser descartada com segurança, usando os procedimentos apropriados.
• A mídia contendo informações confidenciais e internas do [Órgão ou entidade] devem ser
protegidas contra acesso não autorizado, uso indevido, corrupção durante o transporte e,
preferencialmente, com o uso de criptografia.
• [Acrescentar as diretrizes para manipulação da mídia].

6. Uso aceitável:
• Padrões ou diretrizes para o uso aceitável de ativos devem ser documentados para indicar o que
os usuários dos ativos de informação podem ou não fazer.
• Os seguintes itens devem ser cobertos nas diretrizes de uso aceitáveis:
i. Uso do computador e dos sistemas de informação;
ii. Uso de softwares e dados;
iii. Uso da Internet e e-mail;
iv. Uso do telefone;
v. Uso de equipamentos e materiais de escritório.
• Como requisito de acesso ao ativo de informação e como componente do treinamento de
conscientização de segurança, todos os usuários dos ativos de informação, sejam funcionários ou
terceiros, serão obrigados a fornecer aceitação assinada das diretrizes de uso aceitáveis

• [Acrescentar as diretrizes para uso aceitável de ativos de informação].

Procedimentos Relevantes
Considere criar documentos de procedimentos formais que reforcem e apoiem as determinações acima. Note que
é uma prática recomendada abrigar políticas e procedimentos em documentos separados para manter o conteúdo
focado e reduzir o número de vezes que a política deve ser reaprovada pela alta administração.

12
Coordenação-Geral de Proteção de Dados
Secretaria de Governo Digital

Não conformidade
Descrever claramente as consequências (legais e/ou disciplinares) para o não cumprimento da política dos
funcionários. Pode ser pertinente descrever o processo de escalonamento para repetida não conformidade.

Ex.: Em caso de violação desta política poderão ser aplicadas sanções previstas na Lei 8.112/1990 e outras
legislações cabíveis
As sanções por descumprimento podem incluir, mas não se limitam a um ou mais dos seguintes:

Exemplo:
1. Processo Administrativo disciplinar de acordo com a legislação aplicável
2. Exoneração.
3. Ação judicial de acordo com as leis aplicáveis e acordos contratuais.

Concordância
Inclua uma seção que confirme o entendimento e o acordo para cumprir a política. Assinaturas e datas são
necessárias. Uma declaração de amostra é fornecida abaixo.

Eu li e entendi a Política de Controle de Ativos do [órgão/empresa/fundação]. Entendo que se eu violar as diretrizes

estabelecidas nesta Política, posso enfrentar ações legais ou disciplinares de acordo com as leis aplicáveis ou
normas internas do [órgão/empresa/fundação].

Nome do Servidor/Empregado

__________________________________________________________________________________
Assinatura do funcionário Data

Histórico de Revisão
ID da versão Data da Autor
Mudança

_____________________________________________________

13
Coordenação-Geral de Proteção de Dados