Capítulo VI - Das Competências
Seção IV - Dos órgãos e das entidades da Administração Pública Federal
Art. 17
- Compete à alta administração dos órgãos e das entidades da administração pública federal a governança da segurança da informação, e especialmente:
I - promover a simplificação administrativa, a modernização da gestão pública e a integração dos serviços públicos, especialmente aqueles prestados por meio eletrônico, com vistas à segurança da informação;
II - monitorar o desempenho e avaliar a concepção, a implementação e os resultados da sua política de segurança da informação e das normas internas de segurança da informação;
III - incorporar padrões elevados de conduta para a garantia da segurança da informação e orientar o comportamento dos agentes públicos, em consonância com as funções e as atribuições de seus órgãos e de suas entidades;
IV - planejar a execução de programas, de projetos e de processos relativos à segurança da informação;
V - estabelecer diretrizes para o processo de gestão de riscos de segurança da informação;
VI - observar as normas que estabelecem requisitos e procedimentos para a segurança da informação publicadas pelo Gabinete de Segurança Institucional da Presidência da República;
VII - implementar controles internos fundamentados na gestão de riscos da segurança da informação;
VIII - instituir um sistema de gestão de segurança da informação;
IX - implantar mecanismo de comunicação imediata sobre a existência de vulnerabilidades ou incidentes de segurança que impactem ou possam impactar os serviços prestados ou contratados pelos órgãos da administração pública federal; e
X - observar as normas e os procedimentos específicos aplicáveis, implementar e manter mecanismos, instâncias e práticas de governança da segurança da informação em consonância com os princípios e as diretrizes estabelecidos neste Decreto e na legislação.
§ 1º - O planejamento e a execução de programas, de projetos e de processos relativos à segurança da informação de que trata o inciso IV do caput serão orientados para:
I - a utilização de recursos criptográficos adequados aos graus de sigilo exigidos no tratamento das informações e as restrições de acesso estabelecidas para o compartilhamento das informações, observada a legislação;
II - o aumento da resiliência dos ativos de tecnologia da informação e comunicação e dos serviços definidos como estratégicos pelo Governo federal;
III - a contínua cooperação entre as equipes de prevenção, tratamento e resposta a incidentes cibernéticos na administração pública federal direta, autárquica e fundacional e o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo do Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República; e
Decreto 10.641, de 02/03/2021, art. 1º (Nova redação ao inc. III).Redação anterior (original): [III - a contínua cooperação entre as equipes de resposta e de tratamento de incidentes de segurança na administração pública federal direta, autárquica e fundacional e o Centro de Tratamento de Incidentes de Redes do Governo do Gabinete de Segurança Institucional da Presidência da República; e]
IV - a priorização da interoperabilidade de tecnologias, processos, informações e dados, com a promoção:
a) da integração e do compartilhamento dos ativos de informação do Governo federal ou daqueles sob sua custódia;
b) da uniformização e da redução da fragmentação das bases de informação de interesse do Governo federal e da sociedade;
c) da integração e do compartilhamento das redes de telecomunicações da administração pública federal direta, autárquica e fundacional; e
d) da padronização da comunicação entre sistemas.
§ 2º - O sistema de gestão de segurança da informação de que trata o inciso VIII do caput identificará as necessidades da organização quanto aos requisitos de segurança da informação e implementará o processo de gestão de riscos de segurança da informação.
Comentários do Artigo 17