Gerenciador de Documentos


Portaria 146

Ano

2025

Data de Criação

19/12/2025

Data de Vigência

Data de Revogação


Documentos Relacionados
Nenhum documento relacionado

Instituir a estrutura do Sistema de Gestão de Segurança da Informação e Privacidade da entidade


Portaria CFA nº 146, de 19 de dezembro de 2025 

 

O PRESIDENTE DO CONSELHO FEDERAL DE ADMINISTRAÇÃO, no uso das atribuições que lhe conferem a Lei n.º 4.769, de 9 de setembro de 1965, e o Regulamento aprovado pelo Decreto n.º 61.934, de 22 de dezembro de 1967, e o Regimento do CFA aprovado pela Resolução Normativa CFA nº 661, de 27 de dezembro de 2024;

CONSIDERANDO o disposto no artigo 53, IV,  V e XIV do Regimento do CFA, supracitado,

 

RESOLVE,  ad referendum do Plenário;

 

Art. 1º - Instituir a estrutura do Sistema de Gestão de Segurança da Informação e Privacidade da entidade, atribuir as suas competências e dar outras providências.

 

Art. 2º - Abreviações:

CESIP - Comissão Especial de Segurança da Informação e de Privacidade;

CGC - Coordenação de Governança e Controle;

CTI - Coordenação de Tecnologia da Informação;

DIREX - Diretoria Executiva;

Encarregado - Encarregado pelo Tratamento de Dados Pessoais;

ETIC - Equipe de Prevenção, Tratamento e Respostas a Incidentes Cibernéticos.

PSI – Política de Segurança da Informação; e

SGSI - Sistema de Gestão de Segurança da Informação e Privacidade.

 

Art. 3º - A estrutura do SGSI é composta por:

Plenário da entidade;

Presidência da entidade;

Diretoria Executiva da entidade;

Comissão Especial de Segurança da Informação e de Privacidade;

Coordenador da Comissão Especial de Segurança da Informação e de Privacidade;

Coordenador da Coordenação de Tecnologia da Informação;

Coordenador da Coordenação de Governança e Controle;

Encarregado pelo Tratamento de Dados Pessoais;

Equipe de Prevenção, Tratamento e Respostas a Incidentes Cibernéticos; e

Usuários de Informação.

 

Art. 4º - São objetivos do SGSI:

I. Fornecer uma estrutura consistente, baseada nas melhores práticas internacionais, para gerenciar a segurança da informação;

II. Implementar e gerenciar os processos relacionados à gestão da segurança da informação; e

III. Incrementar o nível de proteção das informações, com base na tríade confidencialidade, integridade e disponibilidade.

 

Art. 5º - Integram o arcabouço normativo mínimo do SGSI:

I. A PSI, como instrumento de nível estratégico;

II. As normas de segurança da informação, como instrumentos de nível tático;

III. Os controles de segurança da informação e da privacidade e os processos de gestão, como instrumentos de nível operacional:

§ 1º - O conjunto de processos de gestão deve conter, no mínimo:

a. Tratamento da informação;

b. Segurança física e do ambiente;

c. Incidentes em segurança da informação;

d. Ativos;

e. Dispositivos móveis;

f. Uso dos recursos operacionais e de comunicações, tais como e-mail, acesso à internet, mídias sociais e computação em nuvem;

g. Desenvolvimento seguro de software;

h. Preservação de evidências;

i. Controles de acesso;

j. Riscos;

k. Mudança;

l. Continuidade; e

m. Auditoria e conformidade.

§ 2º - A CESIP poderá definir outros processos de gestão de segurança da informação, desde que alinhados aos princípios e às diretrizes da PSI e destinados à implementação de ações de segurança da informação.

 

Art. 6º - O arcabouço normativo do SGSI será:

I. Revisado sempre que alguma atualização for necessária; e

II. Divulgado a todos os usuários, bem como publicado no sítio eletrônico da entidade, de modo que seu conteúdo posso ser consultado a qualquer tempo.

 

Art. 7º - Compete ao Plenário da entidade:

I. Aprovar PSI e suas revisões; e

II. Contribuir para a implementação e continuidade do SGSI.

 

Art. 8º - Compete à Presidência da entidade:

I. Deliberar sobre e aprovar a criação e composição da CESIP e do ETIC;

II. Definir, por ato administrativo próprio, a  composição e funcionamento:

III. Da Comissão Especial de Segurança da Informação e Privacidade; e

IV. Da Equipe de Prevenção, Tratamento e Respostas a Incidentes Cibernéticos;

V. Deliberar sobre e aprovar o escopo e revisões propostos pela CESIP de:

VI. Normas de segurança da informação;

VII. Procedimentos de segurança da informação;

VIII. Gestão de riscos associados à segurança da informação; e

IX. Controles de segurança da informação e privacidade;

X. Deliberar sobre os casos de descumprimento da PSI, das normas e dos procedimentos de segurança da informação, mediante recomendações da CESIP; e

XI. Deliberar sobre as medidas relativas a tratamento de incidentes cibernéticos.

 

Art. 9º - Compete à Diretoria Executiva da entidade:

I. Fornecer os recursos necessários para assegurar o desenvolvimento e a implementação do SGSI da entidade, bem como o tratamento das ações e decisões de segurança da informação em um nível de relevância e prioridade adequados; e

II. Deliberar e aprovar a PSI bem como suas alterações e atualizações.

 

Art. 10º - Compete à Comissão Especial de Segurança da Informação e Privacidade:

I. Formular diretrizes para o desenvolvimento e para a sustentação do SGSI, bem como analisar periodicamente sua efetividade;

II. Constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre segurança da informação;

III. Elaborar a PSI, as normas e procedimentos internos de segurança da informação;

IV. Propor alterações à PSI, às normas e aos procedimentos internas de segurança da informação;

V. Avaliar as proposições dos usuários de informação concernentes à segurança da informação e privacidade;

VI. Submeter, ao Plenário, as minutas da PSI e suas revisões para deliberação e aprovação;

VII. Submeter, à Presidência, para deliberação e aprovação:

a. As minutas das normas de segurança da informação e suas revisões;

b. As minutas do escopo e dos processos do SGSI e suas revisões;

VIII. Promover a cultura de segurança da informação e os programas contínuos destinados à conscientização e capacitação dos usuários acerca da segurança da informação;

IX. Analisar as comunicações de descumprimento da PSI e normas de segurança da informação, apresentando, se for o caso, parecer à autoridade ou órgão competente;

X. Promover ou coordenar auditorias relacionadas ao uso dos ativos de TIC;

XI. Acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança da informação;

XII. Elaborar relatórios sobre o uso de recursos de tecnologia, anotando os registros necessários para tratamento e melhoria do SGSI;

XIII. Manifestar-se sobre matérias atinentes à segurança da informação que lhe sejam submetidas, inclusive os casos omissos na PSI, nas normas e nos procedimentos;

XIV. Prospectar e avaliar, com apoio da CTI, novas tecnologias relacionadas à segurança da informação;

XV. Monitorar o SGSI, incluindo:

a. PSI vigente;

b. Normas de segurança da informação vigentes;

c. Procedimentos de segurança da informação vigentes;

d. Controles de segurança da informação aplicados; e

e. Riscos de segurança da informação definidos;

XVI. Obter os recursos necessários à manutenção do SGSI; e

XVII. Notificar à Presidência toda ocorrência de incidente, classificado com grau máximo de risco, e o tratamento dado, conforme definido no processo de gestão de riscos.

 

Art. 11 - Compete ao Coordenador de Segurança da Informação e Privacidade:

I. Coordenar o SGSI;

II. Coordenar a elaboração da PSI, das normas e dos procedimentos de segurança da informação, observadas a legislação vigente e as melhores práticas sobre o tema, em especial as recomendações do governo federal do Brasil;

III. Assessorar o Presidente da entidade no atendimento a demandas relacionadas à segurança da informação, requeridas por órgãos externos e de controle;

IV. Estabelecer, em nome da CESIP, a comunicação formal com todas as partes comprometidas com a segurança da informação da entidade;

V. Estimular ações de capacitação e de profissionalização de recursos humanos em temas relacionados à segurança da informação;

VI. Promover a divulgação da política e das normas internas de segurança da informação do órgão a todos os usuários de informação da organização;

VII. Incentivar estudos de novas tecnologias, e seus eventuais impactos relacionados à segurança da informação;

VIII. Propor recursos necessários às ações de segurança da informação;

IX. Acompanhar os trabalhos da ETIC;

X. Verificar os resultados dos trabalhos de auditoria sobre a gestão da segurança da informação;

XI. Acompanhar a aplicação de ações corretivas e administrativas cabíveis nos casos de violação da segurança da informação;

XII. Promover a atualização contínua dos integrantes da CESIP e da CTI em relação à segurança da informação; e

XIII. Assegurar que os usuários de informação possuam acesso e entendimento sobre a estrutura do SGSI e suas competências.

 

Art. 12 - Compete ao Coordenador de Tecnologia da Informação:

I. Planejar, implementar e melhorar continuamente os controles de privacidade e segurança da informação, previstos na PSI e nas normas de segurança da informação vigentes;

II. Propor à CESIP os recursos necessários para manutenção dos controles de privacidade e segurança da informação previstos na PSI e nas normas de segurança vigentes; e

III. Gerir as ações da ETIC.

 

Art. 13 - Compete ao Encarregado pelo Tratamento dos Dados Pessoais, dentre outras atribuições dispostas na legislação vigente, em especial ao disposto na Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados - LGPD) e demais normativos e orientações emitidas pela Autoridade Nacional de Proteção de Dados (ANPD), conduzir o diagnóstico de privacidade, bem como orientar, no que couber, os proprietários dos ativos de informação, responsáveis pelo planejamento, implementação e melhoria contínua dos controles de privacidade em ativos de informação que realizem o tratamento de dados pessoais ou dados pessoais sensíveis.

 

Art. 14 - Compete ao CGC - Coordenador da Coordenação de Governança e Compliance, dentre outras atribuições dispostas no Regimento Interno, apoiar e monitorar as atividades desenvolvidas pela CESIP.

 

Art. 15 - Compete à Equipe de Prevenção, Tratamento e Respostas a Incidentes Cibernéticos:

I. Monitorar as redes computacionais;

II. Identificar vulnerabilidades e artefatos maliciosos;

III. De forma coordenada, detectar, analisar e tratar, baseados no processo de gestão de riscos, incidentes de segurança da informação;

IV. Notificar à CESIP toda ocorrência de incidente e o tratamento dado, conforme definido no processo de gestão de riscos;

V. Recuperar sistemas de informação;

VI. Promover a cooperação com outras equipes;

VII. Participar de fóruns e redes relativas à segurança da informação; e

VIII. Propor à CTI os recursos necessários para cumprimento de suas competências.

 

Art. 16 - Compete aos diretores da Diretoria Executiva:

I. Observar as disposições da PSI, das normas e procedimentos de segurança da informação, no âmbito de suas unidades de competência, comunicando à CESIP eventuais irregularidades; e

II. Propor à CESIP a elaboração de procedimentos de segurança da informação, relacionados às suas unidades de competência.

 

Art. 17 - Compete aos usuários de informação conhecer, cumprir e fazer cumprir os processos do SGSI, bem como:

I. Assumir a responsabilidade pela segurança dos ativos de informação e comunicações sob sua custódia e por todos os atos executados com suas identificações (identificação de usuário da rede (login), crachá, carimbo, endereço de correio eletrônico ou assinatura, seja simples, eletrônica avançada ou eletrônica qualificada, nos termos do Decreto nº 10.543, de 13 de novembro de 2020;

II. Zelar continuamente pela proteção das informações produzidas ou custodiadas pela instituição contra acesso, modificação, destruição ou divulgação não autorizada; e

III. Comunicar imediatamente à CESIP e à ETIC qualquer incidente que afete a segurança da informação ou o descumprimento da PSI e normas de segurança.

Parágrafo único. Todos os usuários de informação são responsáveis pela segurança dos ativos de informação que estejam sob a sua responsabilidade.

Art. 18 - Esta Portaria entra em vigor na data de sua assinatura.

 

Adm. Leonardo José Macedo

Presidente do CFA

CRA-CE nº 08277


CFA - Conselho Federal de Administração
SAUS Quadra 1 Bloco "L" CEP:70070-932 - Brasília - DF
Telefones: (61) 3218-1800 / (61) 3218-1842
8h30-12h/13h30-18h Seg-Sexta