Aprova a Política de Segurança da Informação (PSI) e estabelece diretrizes para sua implementação, no Instituto Federal de Educação, Ciência e Tecnologia do Rio de Janeiro (IFRJ).
O REITOR SUBSTITUTO DO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO RIO DE JANEIRO, nomeado nos termos da Portaria N.º 1675, de 5 de julho de 2024, publicada no DOU de 8 de julho de 2024, no uso de suas atribuições legais e regimentais, e tendo em vista os autos do processo eletrônico N.º 23270.003234/2025-91, resolve:
Art. 1º Aprovar a Política de Segurança da Informação (PSI), que estabelece os princípios, diretrizes e responsabilidades para garantir a proteção das informações institucionais, conforme o Anexo Único desta Portaria, no âmbito do Instituto Federal de Educação, Ciência e Tecnologia do Rio de Janeiro (IFRJ).
Art. 2º Esta portaria entra em vigor na data da sua assinatura.
ANEXO ÚNICO - POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (PSI) DO IFRJ
CAPÍTULO I
DISPOSIÇÕES GERAIS
Seção I
Do Escopo
Art. 1º Esta Política de Segurança da Informação se aplica aos seguintes grupos do IFRJ:
I. todos os funcionários, sejam servidores efetivos ou temporários, do IFRJ;
II. todos os contratados e terceiros que prestam serviços para o IFRJ;
III. todos os funcionários de parceiros; e
IV. todos os discentes e visitantes.
Art. 2º Esta Política de Segurança da Informação refere-se:
I. aos aspectos estratégicos, estruturais, bem como os organizacionais;
II. aos requisitos da segurança humana;
III. aos requisitos da segurança física; e
IV. aos requisitos da segurança lógica.
Art. 3º Os contratos, convênios, acordos e outros instrumentos congêneres celebrados pelo IFRJ devem estar em conformidade com esta Política de Segurança da Informação.
Seção II
Dos Objetivos
Art. 4º O objetivo desta Política de Segurança da Informação é estabelecer princípios, diretrizes e responsabilidades para garantir a proteção das informações institucionais do Instituto Federal de Educação, Ciência e Tecnologia do Rio de Janeiro (IFRJ), assegurando a confidencialidade, integridade, disponibilidade, autenticidade e conformidade legal.
Seção III
Dos Princípios
Art. 5º As ações de segurança da informação do IFRJ são orientadas pelos princípios constitucionais e administrativos que norteiam a Administração Pública Federal, bem como pelos seguintes princípios:
I. disponibilidade, integridade, confidencialidade e autenticidade das informações;
II. continuidade dos processos e serviços essenciais para o funcionamento do IFRJ;
III. economicidade da proteção dos ativos de informação;
IV. respeito ao acesso à informação, à proteção de dados pessoais e à proteção da privacidade;
V. observância da publicidade como preceito geral e do sigilo como exceção;
VI. responsabilidade do usuário de informação pelos atos que comprometam a segurança dos ativos de informação;
VII. alinhamento estratégico da Política de Segurança da Informação com o planejamento estratégico do IFRJ, assim como demais normas específicas de segurança da informação da Administração Pública Federal;
VIII. conformidade das normas e das ações de segurança da informação com a legislação e regulamentos aplicáveis; e
IX. educação e comunicação como alicerces fundamentais para o fomento da cultura e segurança da informação.
Art. 6º Estas diretrizes constituem os principais pilares da gestão de segurança da informação norteando a elaboração de políticas, planos e normas complementares no âmbito do IFRJ e objetivam a garantia dos princípios básicos de segurança da informação estabelecidos nesta Política.
Art. 7º As normas, procedimentos, manuais e metodologias de segurança da informação do IFRJ devem considerar, como referência, além dos normativos vigentes, as melhores práticas de segurança da informação.
Art. 8º As ações de segurança da informação devem:
I. considerar, prioritariamente, os objetivos estratégicos, os planos institucionais, a estrutura e a finalidade do IFRJ;
II. ser tratadas de forma integrada, respeitando as especificidades e a autonomia das unidades do IFRJ;
III. ser adotadas proporcionalmente aos riscos existentes e à magnitude dos danos potenciais, considerados o ambiente, o valor e a criticidade da informação; e
IV. visar à prevenção da ocorrência de incidentes.
Art. 9º O investimento necessário em medidas de segurança da informação deve ser dimensionado segundo o valor do ativo a ser protegido e de acordo com o risco de potenciais prejuízos ao IFRJ.
Art. 10 Toda e qualquer informação gerada, custodiada, manipulada, utilizada ou armazenada no IFRJ compõe o seu rol de ativos de informação e deve ser protegida conforme normas em vigor.
Art. 11 A Política de Segurança da Informação e suas atualizações, bem como normas específicas de segurança da informação do IFRJ, devem ser divulgadas amplamente a todos os usuários de informação, a fim de promover sua observância, seu conhecimento, bem como a formação da cultura de segurança da informação.
§ 1º Os usuários de informação devem ser continuamente capacitados nos procedimentos de segurança e no uso correto dos ativos de informação quando da realização de suas atribuições, de modo a minimizar possíveis riscos à segurança da informação.
§ 2º As ações de capacitação previstas no § 1º devem ser conduzidas de modo a possibilitar o compartilhamento de materiais educacionais sobre segurança da informação.
Seção IV
Dos Termos e Definições
ANPD: acrônimo de Autoridade Nacional de Proteção de Dados.
Autenticação de Multifatores (MFA): Multifactor Authentication (MFA) é a utilização de dois ou mais fatores de autenticação para concessão de acesso a um sistema. Os fatores de autenticação se dividem em: algo que o usuário conhece (senhas, frases de segurança, PIN, dentre outros); algo que o usuário possui (certificado digital, tokens, códigos enviados por SMS, dentre outros); algo que o usuário é (aferível por meios biométricos, tais como digitais, padrões de retina, reconhecimento facial, dentre outros); e onde o usuário está (quando o acesso só pode ser feito em uma máquina específica, cujo acesso é restrito).
Backup ou Cópia de Segurança: conjunto de procedimentos que permitem salvaguardar os dados de um sistema computacional, garantindo guarda, proteção e recuperação em caso de perda dos originais. Tem a fidelidade ao original assegurada. Esse termo também é utilizado para identificar a mídia em que a cópia é realizada.
Conscientização: atividade que tem por finalidade orientar sobre o que é SI levando os participantes a obterem um nível adequado de conhecimento sobre segurança, além de um senso apropriado de responsabilidade. O objetivo dessa atividade é proteger o ativo de informações do órgão ou entidade para garantir a continuidade dos negócios, minimizar os danos e reduzir eventuais prejuízos financeiros.
Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável.
Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Encarregado: pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados.
ETIR: acrônimo para Equipe de Prevenção, Tratamento e Resposta à Incidentes Cibernéticos, ou seja, grupo de pessoas com a responsabilidade de receber, analisar e responder às notificações e atividades relacionadas a incidentes de segurança em redes de computadores.
Gestão de Riscos: processo de natureza permanente, estabelecido, direcionado e monitorado pela alta administração, que contempla as atividades de identificar, avaliar, e gerenciar potenciais eventos que possam afetar a organização, destinado a fornecer segurança razoável quanto à realização de seus objetivos.
Hypertext Transfer Protocol Secure (HTTPS): extensão do HTTP utilizada para comunicação segura pela rede de computadores. No HTTPS, o protocolo de comunicação é criptografado usando o TLS ou o seu predecessor, o SSL. A principal motivação para o uso do HTTPS é a autenticação do site acessado e a proteção da privacidade e integridade dos dados trocados durante o tráfego de informações.
Incidente: evento, ação ou omissão, que tenha permitido, ou possa vir a permitir, acesso não autorizado, interrupção ou mudança nas operações (inclusive pela tomada de controle), destruição, dano, deleção ou mudança da informação protegida, remoção ou limitação de uso da informação protegida ou ainda a apropriação, disseminação e publicação indevida de informação protegida de algum ativo de informação crítico ou de alguma atividade crítica por um período de tempo inferior ao tempo objetivo de recuperação.
Incidente de Segurança: qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores.
Informação: conjunto de dados, textos, imagens, métodos, sistemas ou quaisquer formas de representação dotadas de significado em determinado contexto, independentemente do suporte em que resida ou da forma pela qual seja veiculado.
Infraestrutura Crítica: instalações, serviços, bens e sistemas, virtuais ou físicos, que se forem incapacitados, destruídos ou tiverem desempenho extremamente degradado, provocarão sério impacto social, econômico, político, internacional ou à segurança.
LGPD: acrônimo de Lei Geral de Proteção de Dados Pessoais.
Palavras Impessoais: Palavras impessoais são termos que se referem a conceitos, ideias, objetos, ou ações de forma genérica e abstrata, sem especificar um sujeito ou agente.
Parceiro: Pessoa física ou jurídica, de direito público ou privado, que celebra e mantém vínculo formal com o órgão ou entidade governamental por meio de instrumento jurídico de cooperação, convênio, acordo, contrato ou similar. A parceria tem como objetivo a execução mútua de ações ou projetos de interesse comum, visando a otimização de recursos, o aprimoramento de serviços, a expansão do alcance das políticas públicas ou a realização de metas compartilhadas, sem que isso implique na transferência de responsabilidade ou subordinação.
Risco de Segurança da Informação: potencial associado à exploração de uma ou mais vulnerabilidades de um ativo de informação ou de um conjunto de tais ativos, por parte de uma ou mais ameaças, com impacto negativo no negócio da organização.
SSH (Secure Shell): protocolo de rede criptografado utilizado para permitir a comunicação segura e o gerenciamento remoto de sistemas operacionais, como servidores. Ele fornece um método seguro para acessar e operar um computador por meio de uma rede não segura, substituindo protocolos inseguros como o Telnet e o FTP.
Terceiros: quaisquer pessoas, físicas ou jurídicas, de natureza pública ou privada, externos à organização.
Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Tratamento da Informação: conjunto de ações referentes à recepção, produção, reprodução, utilização, acesso, transporte, transmissão, distribuição, armazenamento, eliminação e controle da informação.
Tokens: unidades digitais de valor ou utilidade que representam um ativo, direito ou serviço específico. Eles são criados e gerenciados por meio de uma tecnologia de registro distribuído, como o blockchain, garantindo sua segurança, rastreabilidade e imutabilidade.
Usuário: pessoa física, seja servidor ou equiparado, empregado ou prestador de serviços, habilitado pelo órgão para acessar os seus ativos de informação.
CAPÍTULO II
DA ESTRUTURA NORMATIVA
Art. 12 A estrutura normativa da Segurança da Informação do IFRJ é composta por um conjunto de documentos interdependentes:
I. Política de Segurança da Informação: define as diretrizes, as competências e as responsabilidades referentes à Segurança da Informação. Devendo esta ser publicada por meio de Portaria;
II. Normas de Segurança da Informação: estabelecem os conceitos, detalhando os passos a serem executados, e as obrigações a serem observadas para o cumprimento da Política. Devendo esta ser publicada por meio de Instrução Normativa; e
III. Procedimentos de Segurança da Informação: instrumentalizam o disposto nas normas, permitindo sua direta aplicação no âmbito do IFRJ. Devendo esta ser publicada na forma de documentação interna.
CAPÍTULO III
DA GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Art. 13 A estrutura de Gestão de Segurança da Informação deverá ser composta por:
I. Alta Administração;
II. Comitê de Segurança da Informação;
III. Gestor de Segurança da Informação;
IV. Gestor de Tecnologia da Informação;
V. Encarregado pelo Tratamento de Dados Pessoais;
VI. Responsável pela Auditoria Interna;
VII. Equipe de Prevenção, Tratamento e Respostas a Incidentes Cibernéticos (ETIR); e
VIII. Usuários de Informação.
CAPÍTULO IV
DIRETRIZES GERAIS
Seção I
Inventário de Ativos
Art. 14 O IFRJ deverá registrar, estabelecer e manter um inventário de ativos (hardware e software) que podem armazenar ou processar dados. Seus registros devem conter informações precisas e detalhadas dos ativos, possibilitando sua rastreabilidade.
Art. 15 Os ativos (hardware e software) não autorizados deverão ser identificados e gerenciados em todo o ambiente do IFRJ.
Art. 16 O IFRJ deve garantir que os softwares utilizados em seu ambiente recebam suporte ativo de seus desenvolvedores.
Art. 17 Os datacenters da reitoria e das demais unidades integrantes do IFRJ devem ser priorizados no mapeamento de ativos.
Art. 18 Os ativos críticos do IFRJ (hardware e software) devem ser identificados, facilitando a priorização das medidas descritas nesta política.
Seção II
Riscos de Segurança da Informação
Art. 19 Deverá ser estabelecido o processo de Gestão de Riscos de Segurança da Informação (GRSI) com vistas a minimizar possíveis impactos associados aos ativos de informação, possibilitando a seleção e a priorização dos ativos de informação a serem protegidos, bem como a definição e a implementação de controles para a identificação e o tratamento de possíveis falhas de segurança.
Art. 20 O IFRJ, conforme a GRSI, irá dimensionar e aplicar os investimentos necessários em medidas de segurança, segundo o valor do ativo de informação que está sendo protegido e de acordo com a identificação de riscos de potenciais prejuízos ao negócio, à atividade fim e aos objetivos institucionais.
Seção III
Proteção de Dados
Art. 21 O IFRJ deverá criar, estabelecer e manter um processo de gestão de dados que trate dos seguintes aspectos:
I. sensibilidade dos dados;
II. proprietário;
III. manuseio;
IV. limites de retenção; e
V. requisitos de descarte.
Art. 22 O descarte de dados (físico ou lógico) deve ser realizado de forma segura, garantindo que não seja recuperável.
Art. 23 O uso de criptografia para dispositivos de usuários que possuam dados sensíveis e/ou confidenciais deve ser implementado, onde suportado.
Seção IV
Configuração Segura
Art. 24 O IFRJ deve estabelecer e manter configurações seguras nos dispositivos de seu ambiente, utilizando baselines ou imagens do sistema pré-configuradas, sem se limitar somente a essas medidas.
Art. 25 Onde suportado, o bloqueio automático de sessões de usuários e ativos deve ser implementado.
Art. 26 O IFRJ deve implementar e gerenciar sistemas de firewall nos servidores e hosts internos.
Art. 27 O IFRJ deve configurar seus firewalls permitindo apenas o tráfego essencial para o funcionamento das operações institucionais.
Art. 28 O gerenciamento dos ativos e softwares do IFRJ devem ser realizados através de protocolos seguros como, por exemplo, SSH (Secure Shell), HTTPS (Hypertext Transfer Protocol Secure) e outra soluções similares.
Art. 29 Os usuários com acesso a contas do tipo root¸ administrador ou equivalentes devem ser devidamente identificados.
Art. 30 Servidores DNS confiáveis (controlados pelo IFRJ ou acessíveis externamente) devem ser configurados e implementados.
Seção V
Gestão de Acessos
Art. 31 O IFRJ deverá estabelecer e manter um inventário de todas as contas gerenciadas, devendo incluir contas de usuários e administradores com informações como nome completo, nome de usuário, departamento e demais que facilitem a rastreabilidade.
Art. 32 O IFRJ deverá criar, definir e manter um processo de concessão e revogação de acessos.
Art. 33 As contas inativas no ambiente do IFRJ devem ser identificadas e desabilitadas.
Art. 34 As senhas utilizadas devem seguir um padrão de robustez, como:
I. mínimo de 08 (oito) caracteres;
II. letras maiúsculas, minúsculas, números e caracteres especiais;
III. frases e/ou palavras impessoais; e
IV. combinações de caracteres variados, evitando padrões previsíveis como dados pessoais, repetição de caracteres ou sequências numéricas.
Art. 35 Onde houver suporte, o Autenticação Multifator deve ser utilizado para:
I. aplicações expostas externamente;
II. acesso remoto à rede; e
III. acesso administrativo.
Art. 36 O compartilhamento de login, senha e tokens de acesso dentro do ambiente do IFRJ é estritamente proibido.
Art. 37 O usuário é responsável pelas atividades geradas pelas suas credenciais e irá responder por qualquer ação realizada através de seu acesso.
Art. 38 Pessoas e sistemas devem ter o menor privilégio e o mínimo acesso aos recursos necessários para realizar uma dada tarefa.
Seção VI
Gestão de Vulnerabilidades
Art. 39 O IFRJ deverá definir e manter um processo de gestão de vulnerabilidades para seus ativos.
Art. 40 O IFRJ deverá definir e manter um processo de remediação de vulnerabilidades de acordo com seus riscos.
Art. 41 O IFRJ deve realizar a gestão de patches, automatizada quando possível, dos sistemas operacionais e aplicações.
Art. 42 O planejamento de atualizações deve considerar o impacto das mudanças, garantindo que patches pequenos de segurança e correções de bugs sejam aplicados rapidamente, enquanto atualizações maiores, que incluem novas funcionalidades, tenham um prazo adequado para implementação.
Seção VII
Gestão de Registros
Art. 43 O IFRJ deve definir e manter um processo de gestão de logs para fins de auditoria, considerando questões como coleta, revisão e retenção de logs.
Art. 44 Os logs de auditoria devem ser armazenados de forma segura, garantindo sua integridade.
Art. 45 A sincronização de tempo dos sistemas e dispositivos devem ser padronizados.
Seção VIII
Proteções de Correio Eletrônico e Web
Art. 46 O uso de navegadores e mensageiros eletrônicos atualizados e com suporte ativo deve ser adotado em todo o ambiente institucional.
Art. 47 A implementação de serviços de filtragem para restringir o acesso a sites potencialmente mal-intencionados ou não essenciais às funções internas deve abranger todos os ativos compatíveis.
Art. 48 Demais regras e definições sobre o uso seguro de correio eletrônico e web serão definidos no Termo de Responsabilidade para Utilização do E-mail Institucional.
Seção IX
Defesas Contra Malware
Art. 49 Soluções anti-malware devem ser utilizadas, onde houver suporte, em todo o ambiente do IFRJ.
Art. 50 A execução e reprodução automática para mídias removíveis deve ser desabilitada.
Seção X
Backups
Art. 51 Diretrizes relacionadas a controles de Backups serão contemplados no documento Política de Backup e Restore.
Seção XI
Gestão de Rede
Art. 52 A infraestrutura de rede deverá ser atualizada periodicamente, garantindo o uso de versões estáveis em seus componentes.
Seção XII
Treinamento e Conscientização
Art. 53 O IFRJ deverá definir e executar um programa de conscientização e treinamentos em segurança da informação, promovendo conhecimentos sobre engenharia social, práticas de autenticação, práticas de tratamento de dados e outros aspectos relevantes.
Art. 54 O conteúdo do programa de conscientização e treinamentos deve ser periodicamente revisado, adequando-se às necessidades atuais.
Seção XIII
Segurança de Aplicações
Art. 55 O desenvolvimento de aplicações no ambiente do IFRJ deve ser realizado considerando as melhores práticas de segurança, garantindo a proteção de dados, a mitigação de vulnerabilidades e a conformidade com normas e regulamentos aplicáveis.
Art. 56 As aplicações desenvolvidas em ambiente interno do IFRJ devem ser testadas em ambiente de homologação antes de entrarem em produção.
Seção IXV
Resposta à Incidentes
Art. 57 O IFRJ deverá manter uma Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos (ETIR).
Art. 58 Um plano de resposta a incidentes deve estar formalizado e conter: definição de tipos de incidentes, canais de comunicação, responsáveis, fluxos de ação e medidas corretivas.
Art. 59 Todos os incidentes devem ser registrados, categorizados e avaliados quanto à sua gravidade e impacto.
Art. 60 Após cada incidente, deve ser realizada uma análise de causa raiz e atualizar o plano conforme lições aprendidas, caso necessário.
Seção XV
Relacionamento com Terceiros
Art. 61 A relação com terceirizados deve incluir cláusulas contratuais que garantam a proteção das informações institucionais.
§ 1º Nos editais de licitação, nos contratos, convênios, acordos e instrumentos similares de cooperação técnica com entidades prestadoras de serviços para o IFRJ, deverá constar cláusula específica sobre a obrigatoriedade de observância a esta Política, bem como deverá ser exigida, do terceiro contratado, a assinatura do Termo de Responsabilidade.
§ 2º No contrato, acordo, convênio ou instrumento congênere deverá estar prevista a obrigação da outra parte de divulgar esta Política, bem como suas normas e procedimentos complementares aos seus empregados e prepostos envolvidos em atividades no IFRJ.
CAPÍTULO V
DAS COMPETÊNCIAS E RESPONSABILIDADES
Seção I
Da Alta Administração
Art. 62 Compete à Alta Administração:
I. fornecer os recursos necessários para assegurar o desenvolvimento e a implementação da Gestão de Segurança da Informação do IFRJ, bem como o tratamento das ações e decisões de segurança da informação em um nível de relevância e prioridade adequados; e
II. formalizar e aprovar a Política de Segurança da Informação do IFRJ, bem como suas alterações e atualizações.
Seção II
Do Comitê de Segurança da Informação
Art. 63 Compete ao Comitê de Segurança da Informação:
I. assessorar na implementação das ações de segurança da informação;
II. constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre segurança da informação;
III. participar da elaboração da Política de Segurança da Informação e das normas internas de segurança da informação;
IV. propor alterações à Política de Segurança da Informação e às normas internas de segurança da informação;
V. deliberar sobre normas internas de segurança da informação; e
VI. avaliar as ações propostas pelo gestor de segurança da informação.
Seção III
Do Gestor de Segurança da Informação
Art. 64 Compete ao Gestor de Segurança da Informação:
I. coordenar o Comitê de Segurança da Informação;
II. coordenar a elaboração da Política de Segurança da Informação - PSI e das normas internas de segurança da informação do órgão, observadas a legislação vigente e as melhores práticas sobre o tema;
III. assessorar a Alta Administração na implementação da Política de Segurança da Informação;
IV. estimular ações de capacitação e de profissionalização de recursos humanos em temas relacionados à segurança da informação;
V. promover a divulgação da política e das normas internas de segurança da informação do IFRJ a todos os servidores, usuários e prestadores de serviços que trabalham na Instituição;
VI. incentivar estudos de novas tecnologias, e seus eventuais impactos relacionados à segurança da informação;
VII. propor recursos necessários às ações de segurança da informação;
VIII. acompanhar os trabalhos da Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos (ETIR);
IX. verificar os resultados dos trabalhos de auditoria sobre a gestão da segurança da informação;
X. acompanhar a aplicação de ações corretivas e administrativas cabíveis nos casos de violação da segurança da informação; e
XI. manter contato direto com o Gabinete de Segurança Institucional da Presidência da República em assuntos relativos à segurança da informação.
Seção IV
Do Gestor de Tecnologia da Informação
Art. 65 Compete ao Gestor de Tecnologia da Informação, dentre outras atribuições dispostas na legislação vigente, planejar, implementar e melhorar continuamente os controles de privacidade e segurança da informação em soluções de tecnologia da informação, considerando a cadeia de suprimentos relacionada à solução.
Seção V
Do Encarregado pelo Tratamento dos Dados Pessoais
Art. 66 Compete ao Encarregado pelo Tratamento dos Dados Pessoais, dentre outras atribuições dispostas na legislação vigente, em especial ao disposto na Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados - LGPD) e demais normativos e orientações emitidas pela Autoridade Nacional de Proteção de Dados (ANPD), conduzir o diagnóstico de privacidade, bem como orientar, no que couber, os gestores proprietários dos ativos de informação, responsáveis pelo planejamento, implementação e melhoria contínua dos controles de privacidade em ativos de informação que realizem o tratamento de dados pessoais ou dados pessoais sensíveis.
Seção VI
Do Responsável pela Auditoria Interna
Art. 67 Compete ao Responsável pela Auditoria Interna, dentre outras atribuições dispostas na legislação vigente, apoiar, supervisionar e monitorar as atividades desenvolvidas pela primeira linha de defesa prevista pela Instrução Normativa CGU nº 3, de 9 de junho de 2017.
Seção VII
Da Equipe de Prevenção, Tratamento e Respostas a Incidentes Cibernéticos
Art. 68 Compete à Equipe de Prevenção, Tratamento e Respostas a Incidentes Cibernéticos:
I. facilitar, coordenar e executar as atividades de prevenção, tratamento e resposta a incidentes cibernéticos no IFRJ;
II. monitorar as redes computacionais;
III. detectar e analisar ataques e intrusões;
IV. tratar incidentes de segurança da informação;
V. identificar vulnerabilidades e artefatos maliciosos;
VI. recuperar sistemas de informação; e
VII. promover a cooperação com outras equipes, participar de fóruns e redes relativas à segurança da informação.
Seção VIII
Dos Usuários
Art. 69 Compete aos Usuários de Informação conhecer, cumprir e fazer cumprir esta Política e às demais normas específicas de segurança da informação do IFRJ.
CAPÍTULO V
DAS DISPOSIÇÕES FINAIS
Art. 70 Esta Política de Segurança da Informação deve ser revisada quando necessário ou respeitando o prazo máximo de vigência de 04 anos.
Art. 71 O não cumprimento de qualquer diretriz desta política poderá ocasionar medidas administrativas, suspensão de acesso e/ou sanções legais. As penalidades impostas visam garantir a segurança da informação do IFRJ.
Art. 72 A implementação das diretrizes dispostas nesta política dependerá da disponibilidade de recursos financeiros, humanos e tecnológicos do IFRJ.
Art. 73 Os sistemas legados incapazes de implementar as ações previstas neste normativo deverão ser identificados, por meio do inventário de ativos, juntamente aos seus riscos e justificativas, a fim de que sejam adotadas medidas para mitigar tais riscos.
Art. 74 A periodicidade para atualização e revisão das ações previstas nas diretrizes desta política deverá ser definida por meio de normativo interno, especificando os casos individualmente.
Art. 75 Os editais de licitação, contratos, convênios, acordos e demais instrumentos de cooperação técnica com entidades prestadoras de serviços para o IFRJ devem conter uma cláusula específica sobre a obrigatoriedade de cumprimento desta Política, além da exigência de assinatura do Termo de Responsabilidade pela entidade contratada.