# Programa de Privacidade e Segurança da Informação — PPSI ## Relatório para Simples Conferência · Diagnóstico por Controles Selecionados | Campo | Valor | |---|---| | **Diagnóstico** | [Nº DIAGNÓSTICO] | | **Órgão** | [ÓRGÃO] | | **Segmento** | Segmento Base | | **Data/Hora** | [DATA/HORA] | --- ## Controle: 0 - ESTRUTURAÇÃO BÁSICA PARA GOVERNANÇA ### 0.1 - A alta administração do órgão estabelece, mantém, monitora e aprimora o sistema de gestão de riscos e controles internos relativos aos temas de privacidade e segurança da informação? > A alta administração deve estabelecer, manter, monitorar e aprimorar o sistema de gestão de riscos e controles internos com vistas à identificação, à avaliação, ao tratamento, ao monitoramento e à análise crítica dos riscos que possam impactar a implementação da estratégia e a consecução dos objetivos da organização no cumprimento da sua missão institucional (Decreto nº 9203/2017, art. 17), sem prejuízo das responsabilidades dos gestores dos processos organizacionais. Nesse contexto, os temas de privacidade e segurança da informação devem estar integrados ao sistema de gestão de riscos e aos controles internos. Ademais, conforme Acórdão 2387/2024 – Plenário TCU, a alta administração da organização deve liderar o processo de gestão de riscos decorrentes de ataques cibernético. **Opções de resposta:** - ☐ 5 - Aprimorado - A implementação da medida atende mais de 80% do seu propósito e é monitorada e revisada continuamente de forma sistemática, com base em métricas quantitativas, possuindo mecanismos que garantem uma implementação consistente ao longo do tempo. - ☐ 4 - Completo - A implementação da medida atende mais de 80% do seu propósito. - ☐ 3 - Intermediário - A implementação da medida atende entre 40% e 80% do seu propósito. - ✅ **2 - Inicial - A implementação da medida atende menos de 40% do seu propósito.** - ☐ 1 - Não adota ou há decisão formal - A medida é aplicável, mas não é implementada ou existe apenas um planejamento ou decisão formal para implementá-la. ### 0.2 - O órgão nomeou gestor de tecnologia da informação e comunicação? > Designar formalmente agente público, e respectivo substituto, preferencialmente entre servidores públicos efetivos, empregados públicos ou militares, para exercer o cargo de Gestor de Tecnologia da Informação e Comunicação, conforme atribuições previstas no inciso IV do art. 4º da Portaria nº 778/2019 e em demais normas correlatas. **Opções de resposta:** - ✅ **2 - Sim - Medida integralmente implementada** - ☐ 1 - Não - A medida é aplicável, mas não é implementada ou existe apenas um planejamento ou decisão formal para implementá-la 📎 **Evidência:** [URL REMOVIDA] ### 0.3 - O órgão nomeou gestor de segurança da informação? > Designar formalmente servidor, e respectivo substituto, para exercer o encargo de Gestor de Segurança da Informação conforme atribuições previstas no art. 19 da IN nº 1/2020, do Gabinete de Segurança Institucional, da Presidência da República (GSI/PR) e demais normas correlatas. **Opções de resposta:** - ☐ 2 - Sim - Medida integralmente implementada - ✅ **1 - Não - A medida é aplicável, mas não é implementada ou existe apenas um planejamento ou decisão formal para implementá-la** ### 0.4 - O órgão nomeou encarregado pelo tratamento de dados pessoais? > Designar formalmente servidor, e respectivo substituto, para exercer o encargo de Encarregado pelo Tratamento de Dados Pessoais, nos termos do art. 41, § 2º, da Lei nº 13.709/2018, das Resoluções ANPD nºs 15/2024 e 18/2024 e demais normas correlatas. **Opções de resposta:** - ✅ **2 - Sim - Medida integralmente implementada** - ☐ 1 - Não - A medida é aplicável, mas não é implementada ou existe apenas um planejamento ou decisão formal para implementá-la 📎 **Evidência:** [URL REMOVIDA] ### 0.5 - O órgão nomeou o responsável pela gestão da integridade, da transparência e do acesso à informação? > Designar formalmente o responsável pela gestão da integridade, da transparência e do acesso à informação, nos termos do disposto no art. 5º, II do Decreto nº 11.529/2023. **Opções de resposta:** - ✅ **2 - Sim - Medida integralmente implementada** - ☐ 1 - Não - A medida é aplicável, mas não é implementada ou existe apenas um planejamento ou decisão formal para implementá-la ### 0.6 - O órgão instituiu Comitê de Segurança da Informação? > Instituir Comitê de Segurança da Informação ou estrutura equivalente para deliberar sobre os assuntos relativos à Política Nacional de Segurança da Informação e sobre normas de segurança da informação, contemplando demais atribuições do art. 20 da IN GSI/PR nº 1/2020. **Opções de resposta:** - ✅ **2 - Sim - Medida integralmente implementada** - ☐ 1 - Não - A medida é aplicável, mas não é implementada ou existe apenas um planejamento ou decisão formal para implementá-la ### 0.7 - O órgão instituiu Comitê de Proteção de Dados Pessoais? > Instituir Comitê de Proteção de Dados Pessoais ou estrutura equivalente para deliberar sobre os assuntos relativos à Lei Geral de Proteção de Dados Pessoais, resoluções da ANPD e demais normas sobre o tema. **Opções de resposta:** - ✅ **2 - Sim - Medida integralmente implementada** - ☐ 1 - Não - A medida é aplicável, mas não é implementada ou existe apenas um planejamento ou decisão formal para implementá-la 📎 **Evidência:** [URL REMOVIDA] ### 0.8 - O órgão instituiu Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos (ETIR)? > Instituir e implementar a Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos (ETIR), composta, preferencialmente, por servidores públicos civis ocupantes de cargo efetivo ou militares, com capacitação técnica compatível com as atividades da equipe. Para cada membro da Equipe deverá ser designado um substituto. Elaborar o documento de constituição da ETIR conforme NC nº 05/IN01/DSIC/GSIPR, devidamente aprovado pela alta administração da organização, para regulamentar o funcionamento da equipe. **Opções de resposta:** - ✅ **2 - Sim - Medida integralmente implementada** - ☐ 1 - Não - A medida é aplicável, mas não é implementada ou existe apenas um planejamento ou decisão formal para implementá-la - ☐ 0 - Não se aplica - A medida não se aplica. 📎 **Evidência:** [URL REMOVIDA] ## Controle: 0 - INSTRUMENTOS FUNDAMENTAIS ### 0.9 - O órgão possui Programa de Governança em Segurança da Informação (PGSI)? > Instituir e implementar, preferencialmente em instância colegiada, o PGSI, documento que contém, no mínimo, o disposto na IN GSI/PR nº 3/2021, art. 45, na forma de ações estruturadas, políticas, normas e procedimentos para promover a segurança da informação na organização. Recomenda-se que o PGSI contemple papéis e responsabilidades dos agentes públicos envolvidos em sua execução, os prazos para realização das ações, além da programação para implementação dos controles e medidas de segurança da informação do PPSI, e que especifique indicadores de desempenho, como o iSeg, a serem medidos ao longo da execução do Programa. Revisar e atualizar o PGSI com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas de suas ações. **Opções de resposta:** - ☐ 5 - Aprimorado - A implementação da medida atende mais de 80% do seu propósito e é monitorada e revisada continuamente de forma sistemática, com base em métricas quantitativas, possuindo mecanismos que garantem uma implementação consistente ao longo do tempo. - ☐ 4 - Completo - A implementação da medida atende mais de 80% do seu propósito. - ☐ 3 - Intermediário - A implementação da medida atende entre 40% e 80% do seu propósito. - ☐ 2 - Inicial - A implementação da medida atende menos de 40% do seu propósito. - ✅ **1 - Não adota ou há decisão formal - A medida é aplicável, mas não é implementada ou existe apenas um planejamento ou decisão formal para implementá-la.** ### 0.10 - O órgão possui Programa de Governança em Privacidade (PGP)? > Instituir e implementar, preferencialmente em instância colegiada, o PGP, documento que contém, no mínimo, o disposto na Lei nº 13.709/2018, art. 50, §2°, I, na forma de ações estruturadas, políticas, normas e procedimentos para o tratamento de dados pessoais pela organização. Recomenda-se que o PGP contemple papéis e responsabilidades dos agentes públicos envolvidos em sua execução, os prazos para realização das ações, além da programação para implementação dos controles e medidas de privacidade e proteção de dados pessoais do PPSI, e que especifique indicadores de desempenho, como o iPriv, a serem medidos ao longo da execução do Programa. Revisar e atualizar o PGP com base em informações obtidas a partir de monitoramento contuíno e avaliações periódicas de suas ações. **Opções de resposta:** - ☐ 5 - Aprimorado - A implementação da medida atende mais de 80% do seu propósito e é monitorada e revisada continuamente de forma sistemática, com base em métricas quantitativas, possuindo mecanismos que garantem uma implementação consistente ao longo do tempo. - ✅ **4 - Completo - A implementação da medida atende mais de 80% do seu propósito.** - ☐ 3 - Intermediário - A implementação da medida atende entre 40% e 80% do seu propósito. - ☐ 2 - Inicial - A implementação da medida atende menos de 40% do seu propósito. - ☐ 1 - Não adota ou há decisão formal - A medida é aplicável, mas não é implementada ou existe apenas um planejamento ou decisão formal para implementá-la. ### 0.11 - O órgão possui Política de Segurança da Informação (POSIN)? > Instituir e implementar uma Política de Segurança da Informação (POSIN), a partir da formalização e aprovação por parte da autoridade máxima da instituição, com o objetivo de estabelecer diretrizes, responsabilidades, competências e subsídios para a gestão da segurança da informação. Revisar e atualizar a POSIN periodicamente ou quando ocorrerem mudanças significativas na organização que possam impactar esta medida. **Opções de resposta:** - ☐ 5 - Aprimorado - A implementação da medida atende mais de 80% do seu propósito e é monitorada e revisada continuamente de forma sistemática, com base em métricas quantitativas, possuindo mecanismos que garantem uma implementação consistente ao longo do tempo. - ✅ **4 - Completo - A implementação da medida atende mais de 80% do seu propósito.** - ☐ 3 - Intermediário - A implementação da medida atende entre 40% e 80% do seu propósito. - ☐ 2 - Inicial - A implementação da medida atende menos de 40% do seu propósito. - ☐ 1 - Não adota ou há decisão formal - A medida é aplicável, mas não é implementada ou existe apenas um planejamento ou decisão formal para implementá-la. ### 0.12 - O órgão possui Política de Proteção de Dados Pessoais? > Instituir e implementar uma Política de Proteção de Dados Pessoais, que estabeleça as diretrizes para o tratamento de dados pessoais, independentemente do meio em que são tratados, incluindo papéis e responsabilidades dos agentes públicos envolvidos nos tratamentos de dados pessoais. Instituir e divulgar demais políticas, normas e procedimentos sobre a temática. Revisar e atualizar os documentos periodicamente ou quando ocorrerem mudanças significativas na organização que possam impactar esta medida. **Opções de resposta:** - ☐ 5 - Aprimorado - A implementação da medida atende mais de 80% do seu propósito e é monitorada e revisada continuamente de forma sistemática, com base em métricas quantitativas, possuindo mecanismos que garantem uma implementação consistente ao longo do tempo. - ✅ **4 - Completo - A implementação da medida atende mais de 80% do seu propósito.** - ☐ 3 - Intermediário - A implementação da medida atende entre 40% e 80% do seu propósito. - ☐ 2 - Inicial - A implementação da medida atende menos de 40% do seu propósito. - ☐ 1 - Não adota ou há decisão formal - A medida é aplicável, mas não é implementada ou existe apenas um planejamento ou decisão formal para implementá-la. ### 0.13 - O órgão possui um processo de gestão de riscos de segurança da informação? > Estabelecer e manter, em conformidade ao Capítulo III da IN GSI/PR nº 3/2021, um processo de gestão de riscos de segurança da informação alinhado com o modelo de gestão de riscos institucional, compatível com a missão e os objetivos estratégicos da organização considerando o disposto nos incisos do art. 11. Além disso, o processo deve ser composto por, no mínimo: plano de gestão de riscos de segurança da informação, conforme disposto no art. 13; relatório de identificação, análise e avaliação dos riscos de segurança da informação, conforme disposto no art. 14; e, relatório de tratamento de riscos de segurança da informação, conforme disposto no art. 15. Considerar as atribuições dispostas nos arts. 16 e 17. **Opções de resposta:** - ☐ 5 - Aprimorado - A implementação da medida atende mais de 80% do seu propósito e é monitorada e revisada continuamente de forma sistemática, com base em métricas quantitativas, possuindo mecanismos que garantem uma implementação consistente ao longo do tempo. - ☐ 4 - Completo - A implementação da medida atende mais de 80% do seu propósito. - ☐ 3 - Intermediário - A implementação da medida atende entre 40% e 80% do seu propósito. - ☐ 2 - Inicial - A implementação da medida atende menos de 40% do seu propósito. - ✅ **1 - Não adota ou há decisão formal - A medida é aplicável, mas não é implementada ou existe apenas um planejamento ou decisão formal para implementá-la.** ### 0.14 - O órgão possui um processo de gestão de continuidade de negócios em segurança da informação? > Estabelecer e manter, em conformidade ao Capítulo IV da IN GSI/PR nº 3/2021, um processo de gestão de continuidade de negócios em segurança da informação baseado nas estratégias de continuidade para as atividades críticas, na avaliação dos riscos levantados no processo de gestão de riscos e nas diretrizes institucionais sobre gestão de continuidade de negócio. Tal processo deve ser composto por um plano de continuidade de negócios em segurança da informação, o qual observará o disposto no relatório de identificação, análise e avaliação de riscos de segurança da informação e a prioridade de recuperação dos processos de negócio, revisado uma vez por ano ou após mudanças significativas nos itens que compõem o plano. Além disso, o conteúdo do plano deve incluir o disposto no art. 23, e ser testado regularmente. Considerar as atribuições dispostas nos arts. 25, 26 e 27. **Opções de resposta:** - ☐ 5 - Aprimorado - A implementação da medida atende mais de 80% do seu propósito e é monitorada e revisada continuamente de forma sistemática, com base em métricas quantitativas, possuindo mecanismos que garantem uma implementação consistente ao longo do tempo. - ☐ 4 - Completo - A implementação da medida atende mais de 80% do seu propósito. - ☐ 3 - Intermediário - A implementação da medida atende entre 40% e 80% do seu propósito. - ☐ 2 - Inicial - A implementação da medida atende menos de 40% do seu propósito. - ✅ **1 - Não adota ou há decisão formal - A medida é aplicável, mas não é implementada ou existe apenas um planejamento ou decisão formal para implementá-la.** ### 0.15 - O órgão possui um processo de gestão de mudanças dos aspectos de segurança da informação? > Estabelecer e manter, em conformidade ao Capítulo V da IN GSI/PR nº 3/2021, um processo de gestão de mudanças nos aspectos de segurança da informação, respaldado nos relatórios do processo de gestão de riscos em segurança da informação e considerando a análise crítica das consequências de mudanças não previstas, atuando em ações para amenizar os efeitos adversos. O processo deve prever que a mudança seja classificada em emergencial, rotineira ou proativa, nos termos do art. 29. O processo deve ser constituído, minimamente, dos documentos de descrição da mudança e de avaliação e aprovação da mudança, contemplando o conteúdo dos arts. 32 e 34. Considerar as atribuições dispostas no parágrafo único do art. 31 e nos arts. 35 e 36. **Opções de resposta:** - ☐ 5 - Aprimorado - A implementação da medida atende mais de 80% do seu propósito e é monitorada e revisada continuamente de forma sistemática, com base em métricas quantitativas, possuindo mecanismos que garantem uma implementação consistente ao longo do tempo. - ☐ 4 - Completo - A implementação da medida atende mais de 80% do seu propósito. - ☐ 3 - Intermediário - A implementação da medida atende entre 40% e 80% do seu propósito. - ☐ 2 - Inicial - A implementação da medida atende menos de 40% do seu propósito. - ✅ **1 - Não adota ou há decisão formal - A medida é aplicável, mas não é implementada ou existe apenas um planejamento ou decisão formal para implementá-la.** ### 0.16 - O órgão possui um processo de avaliação de conformidade dos aspectos de segurança da informação? > Estabelecer e manter, em conformidade ao Capítulo VI da IN GSI/PR nº 3/2021, um processo de avaliação de conformidade nos aspectos de segurança da informação. O processo deve ser constituído, minimamente, do plano de verificação de conformidade e do relatório de avaliação de conformidade, contemplando o conteúdo do art. 39 e art. 40. Considerar as atribuições dispostas nos arts. 41, 42 e 43. **Opções de resposta:** - ☐ 5 - Aprimorado - A implementação da medida atende mais de 80% do seu propósito e é monitorada e revisada continuamente de forma sistemática, com base em métricas quantitativas, possuindo mecanismos que garantem uma implementação consistente ao longo do tempo. - ☐ 4 - Completo - A implementação da medida atende mais de 80% do seu propósito. - ☐ 3 - Intermediário - A implementação da medida atende entre 40% e 80% do seu propósito. - ☐ 2 - Inicial - A implementação da medida atende menos de 40% do seu propósito. - ✅ **1 - Não adota ou há decisão formal - A medida é aplicável, mas não é implementada ou existe apenas um planejamento ou decisão formal para implementá-la.** ### 0.17 - O órgão possui processo de gestão de riscos relacionados ao tratamento de dados pessoais? > Estabelecer e manter um processo documentado de gestão de riscos relacionados às operações de tratamento de dados pessoais, independentemente do meio em que ocorrem, que considere também a etapa de aplicação de medidas de segurança, técnicas e administrativas, testadas e avaliadas, aptas a proteger os dados pessoais. Periodicamente, realizar revisão ou atualização deste processo, assim como em casos específicos quando ocorrerem mudanças que impactem de forma significativa esta medida. Este processo pode ser incorporado a outros processos institucionais de gestão de riscos da organização. **Opções de resposta:** - ☐ 5 - Aprimorado - A implementação da medida atende mais de 80% do seu propósito e é monitorada e revisada continuamente de forma sistemática, com base em métricas quantitativas, possuindo mecanismos que garantem uma implementação consistente ao longo do tempo. - ☐ 4 - Completo - A implementação da medida atende mais de 80% do seu propósito. - ☐ 3 - Intermediário - A implementação da medida atende entre 40% e 80% do seu propósito. - ✅ **2 - Inicial - A implementação da medida atende menos de 40% do seu propósito.** - ☐ 1 - Não adota ou há decisão formal - A medida é aplicável, mas não é implementada ou existe apenas um planejamento ou decisão formal para implementá-la.