Publicador de Conteúdos e Mídias

PORTARIA Nº 55, DE 25 DE MARÇO DE 2021

Brasão do Brasil

Diário Oficial da União

Publicado em: 26/03/2021 | Edição: 58 | Seção: 1 | Página: 62

Órgão: Ministério da Infraestrutura/Gabinete do Ministro

PORTARIA Nº 55, DE 25 DE MARÇO DE 2021

Dispõe sobre a Política de Governança do Ministério da Infraestrutura.

O MINISTRO DE ESTADO DA INFRAESTRUTURA, no uso das atribuições conferidas pelo art. 87, parágrafo único, incisos I, e II da Constituição da República Federativa do Brasil de 1988, e pelo Decreto nº 10.368, de 22 de maio de 2020,

CONSIDERANDO a Instrução Normativa Conjunta nº 01 do então Ministério do Planejamento, Desenvolvimento e Gestão e da Controladoria-Geral da União, de 10 de maio de 2016, que dispõe sobre controles internos, gestão de riscos e governança, no âmbito do Poder Executivo Federal;

CONSIDERANDO o Decreto nº 9.203, de 22 de novembro de 2017, que dispõe sobre a política de governança da administração pública federal direta, autárquica e fundacional e estabelece os princípios e as diretrizes da governança pública;

CONSIDERANDO a Portaria nº 57, de 4 de janeiro de 2019, da Controladoria-Geral da União (CGU), que altera e atualiza a Portaria CGU nº 1.089/2018, que estabeleceu orientações para adoção de procedimentos para estruturação, execução e monitoramento de programa de integridade;

CONSIDERANDO o Decreto nº 9.759, de 11 de abril de 2019, que extingue e estabelece diretrizes, regras e limitações para colegiados da administração pública federal;

CONSIDERANDO a Portaria nº 2.873, de 28 de junho de 2019, que instituiu as instâncias de governança do Ministério da Infraestrutura, compreendendo gestão de riscos, controles internos, transparência e integridade;

CONSIDERANDO o Decreto nº 10.139, de 28 de novembro de 2019, que dispõe sobre a revisão e a consolidação dos atos normativos inferiores a decreto;

CONSIDERANDO o Decreto nº 10.368, de 22 de maio de 2020, que aprovou a nova estrutura regimental do Ministério da Infraestrutura, em substituição à estrutura dada pelo Decreto nº 9.676, de 2 de janeiro de 2019, resolve:

Art. 1º Dispor sobre a política de governança do Ministério da Infraestrutura, nos termos dos Anexos I a IV desta Portaria, intitulados conforme segue:

ANEXO I - INSTÂNCIAS DE GOVERNANÇA MINISTERIAL;

ANEXO II - IMPLEMENTAÇÃO E GESTÃO DA POLÍTICA DE GOVERNANÇA MINISTERIAL;

ANEXO III - INSTÂNCIAS DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO (GTIC) DE DADOS E INFORMAÇÃO (GDI), E DE SEGURANÇA DA INFORMAÇÃO (GSI);

ANEXO IV - IMPLEMENTAÇÃO E GESTÃO DA GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO (GTIC), DE DADOS E INFORMAÇÃO (GDI) E DE SEGURANÇA DA INFORMAÇÃO (GSI).

Art. 2º Revogam-se as Portarias nº 252, de 24 de outubro de 2014; nº 353, de 5 de maio de 2017; nº 536, de 22 de agosto de 2019; nº 5.171, de 23 de dezembro de 2019; nº 535, de 22 de agosto de 2019; nº 5.169, de 23 de dezembro de 2019; nº 537, de 22 de agosto de 2019; nº 2.873, de 28 de junho de 2019; nº 5.121, de 11 de dezembro de 2019; o Art. 3º da Portaria nº 102, de 23 de julho de 2020; o item V e § 1º do art. 8º da Portaria nº 123, de 21 de agosto de 2020.

Art. 3º Esta Portaria entra em vigor no dia 1° de abril de 2021.

TARCISIO GOMES DE FREITAS

ANEXO I

INSTÂNCIAS DE GOVERNANÇA MINISTERIAL

CAPÍTULO I

DISPOSIÇÕES GERAIS

Art. 1º As instâncias de governança constituídas no âmbito deste Ministério e as respectivas competências e atribuições, compreendendo gestão de riscos, controles internos, transparência e integridade, doravante são regidas nos termos deste Anexo.

Parágrafo único. As ações institucionais decorrentes da implementação da governança deverão estar alinhadas à estratégia do Ministério da Infraestrutura.

Art. 2º São instâncias de Governança no âmbito deste Ministério:

I - o Comitê Estratégico de Governança - CEG;

II - o Comitê Técnico de Governança - CTG;

III - o Comitê Técnico de Integridade - CTI;

IV - o Núcleo de Governança - NG;

V - as Unidades de Gestão, Integridade, Riscos e Controles Internos da Gestão - UGIRC; e

VI - os Gestores de Processos de Gestão.

Parágrafo único. A participação dos membros dos colegiados referidos neste artigo será considerada prestação de serviço público relevante, não remunerada.

CAPÍTULO II

COMPOSIÇÃO E FUNCIONAMENTO DAS INSTÂNCIAS

Art. 3º O Comitê Estratégico de Governança - CEG é composto pelo Ministro de Estado da Infraestrutura, que o preside, pelo Secretário-Executivo, pelos titulares das Subsecretarias vinculadas à Secretaria Executiva e pelos titulares das demais Secretarias.

Parágrafo único. O CEG reunir-se-á, ordinariamente, em sessão bimestral, e, extraordinariamente, em qualquer data, por convocação do seu presidente - por meio do Secretário Executivo do Comitê, ou pela maioria dos seus membros.

Art. 4º O CTG é composto por nove membros, sendo um representante de cada uma das seguintes unidades:

I - Secretaria Executiva;

II - Subsecretaria de Planejamento, Orçamento e Administração - SPOA;

III - Subsecretaria de Conformidade e Integridade - SCI;

IV - Subsecretaria de Gestão Estratégica, Tecnologia e Inovação - SGETI.

V - Subsecretaria de Sustentabilidade - SUST;

VI - Secretaria Nacional de Aviação Civil - SAC;

VII - Secretaria Nacional de Portos e Transportes Aquaviários - SNPTA;

VIII - Secretaria Nacional de Transportes Terrestres - SNTT; e

IX - Secretaria de Fomento, Planejamento e Parcerias - SFPP

Parágrafo único. O CTG reunir-se-á, ordinariamente, em sessão bimestral, e, extraordinariamente, em qualquer data, por convocação do seu coordenador, definido na forma do § 2º do art. 17 deste Anexo I, ou pela maioria dos seus membros.

Art. 5º O CTI é composto pelo titular da Assessoria Especial de Controle Interno, que o coordenará, bem como pelos titulares da Corregedoria, da Ouvidoria, da Subsecretaria de Conformidade e Integridade e pelo Presidente da Comissão de Ética.

§ 1º O CTI reunir-se-á, ordinariamente, em sessão mensal, e, extraordinariamente, em qualquer data, por convocação do seu coordenador ou pela maioria de seus membros.

§ 2º Para fins do disposto no art. 4º das Portarias CGU nº 1.089/2018 e nº 57/2019, a Assessoria Especial de Controle Interno - AECI é a Unidade de Gestão da Integridade no âmbito deste Ministério.

Art. 6º O NG é composto por seis servidores com conhecimentos em temas afetos à gestão, integridade, riscos e controles internos, sendo dois da Secretaria Executiva, dois da Assessoria Especial de Controle Interno, incluindo o Chefe da AECI, que o coordenará, e dois da Subsecretaria de Gestão Estratégica, Tecnologia e Inovação, incluindo o seu Subsecretário.

Parágrafo único. O NG reunir-se-á, em qualquer data, por convocação do seu coordenador ou pela maioria de seus membros.

Art. 7º As UGIRC são compostas, em cada Secretaria e Subsecretaria, pelo titular da Unidade e por servidores por ele designados, com conhecimento nos temas afetos à gestão, integridade, riscos e controles internos.

Art. 8º Os Gestores de Processos de Gestão correspondem a todo e qualquer responsável pela execução de determinado processo de trabalho, conforme as atribuições previstas no Capítulo IV do Anexo I do Decreto nº 10.368/2020.

CAPÍTULO III

COMPETÊNCIAS DAS INSTÂNCIAS

Seção I

Do Comitê Estratégico de Governança

Art. 9º Ao Comitê Estratégico de Governança - CEG, compete:

I - auxiliar a alta administração na implementação e na manutenção de processos, estruturas e mecanismos adequados à incorporação dos princípios e das diretrizes da governança previstos no Decreto nº 9.203/2017;

II - incentivar e promover iniciativas que busquem implementar o acompanhamento de resultados no MInfra, que promovam soluções para melhoria do desempenho institucional ou que adotem instrumentos para o aprimoramento do processo decisório;

III - promover e acompanhar a implementação das medidas, dos mecanismos e das práticas organizacionais de governança definidos pelo Comitê Interministerial de Governança - CIG em seus manuais e em suas resoluções;

IV - promover aderência à regulamentação decorrente de leis, códigos, normas e padrões na condução das políticas e na prestação de serviços de interesse público;

V - promover a adoção de práticas que institucionalizem a responsabilidade dos agentes públicos na prestação de contas, transparência e efetividade das informações;

VI - promover a integração e o desenvolvimento contínuo dos agentes responsáveis pela gestão de integridade, riscos e controles internos da gestão;

VII - promover estruturas adequadas de gestão de integridade, riscos e controle internos da gestão;

VIII - aprovar políticas, diretrizes, metodologias e mecanismos de monitoramento e de comunicação para a gestão de integridade, riscos e controles internos da gestão;

IX - aprovar as diretrizes de disseminação da cultura e capacitação dos agentes públicos no exercício do cargo, função e emprego em gestão de integridade, riscos e controles internos da gestão;

X - aprovar método de priorização de processos para a gestão de integridade, riscos e controles internos da gestão;

XI - aprovar as categorias de riscos a serem gerenciadas, seus limites de exposição a riscos, níveis de conformidade e os limites de alçada para exposição a riscos dos órgãos do Ministério;

XII - supervisionar, por meio dos mecanismos implantados por esta portaria, os riscos priorizados que possam comprometer o alcance dos objetivos estratégicos e a prestação de serviços de interesse público;

XIII - emitir recomendações e orientações para o aprimoramento da gestão, integridade, riscos e controles internos da gestão, inclusive naquilo que for compatível, às entidades vinculadas ao MInfra, com exceção das Agências Reguladoras;

XIV - publicar suas atas e resoluções em sítio eletrônico, ressalvado quando se tratar de conteúdo sujeito a sigilo;

XV - aprovar o Plano Nacional de Logística, os Planos Setoriais e o Plano Geral de Parcerias, bem como avaliar eventuais revisões extraordinárias desses planos, em conformidade com o disposto no art. 8º, item V e § 1º da Portaria MInfra nº 123, de 21 de agosto de 2020;

XVI - praticar outros atos de natureza técnica e administrativa necessários ao exercício de suas responsabilidades e elaborar manifestação técnica relativa aos temas de sua competência.

Parágrafo único. O Comitê Estratégico de Governança - CEG exerce a condição de Comitê Interno de Governança, conforme o previsto no art. 15-A do Decreto nº 9.203, de 2017.

Seção II

Do Comitê Técnico de Governança

Art. 10. Ao Comitê Técnico de Governança - CTG, compete:

I - estimular e supervisionar a implementação das medidas, dos mecanismos e das práticas organizacionais de governança definidos pelo CEG;

II - disseminar a inovação e a adoção de boas práticas de gestão de riscos, integridade e controles internos da gestão;

III - apoiar as instâncias de gestão de integridade, riscos e controles internos da gestão, nos processos de trabalho, observadas as estratégias aprovadas pelo CEG;

IV - avaliar e orientar sobre a regulamentação, incluindo leis, códigos, normas e padrões na condução das políticas e na prestação de serviços de interesse público;

V - estimular a adoção de práticas institucionais de responsabilização dos agentes públicos na prestação de contas, transparência e efetividade das informações;

VI - incentivar e propor ações visando a integração e o desenvolvimento contínuo dos agentes responsáveis pela gestão, integridade, riscos e controles internos da gestão;

VII - propor a criação, readequação ou revisão das estruturas de governança;

VIII - avaliar e submeter ao CEG, políticas, diretrizes, metodologias e mecanismos de comunicação e monitoramento para a gestão de integridade, riscos e controles internos da gestão;

IX - identificar e submeter ao CEG ações para disseminação da cultura e plano de treinamento de gestão de integridade, riscos e controles internos da gestão;

X - avaliar e submeter ao CEG, método de priorização de processos para a gestão de integridade, riscos e controles internos da gestão;

XI - avaliar e submeter ao CEG, as categorias de riscos a serem gerenciadas, seus limites de exposição a riscos, níveis de conformidade, e os limites de alçada para exposição a riscos dos órgãos do Ministério;

XII - acompanhar e comunicar ao CEG, os riscos que podem comprometer o alcance dos objetivos estratégicos e a prestação de serviços de interesse público;

XIII - monitorar e reportar as informações sobre gestão de integridade, riscos e controles internos da gestão para subsidiar a tomada de decisões do CEG e assegurar que estas estejam disponíveis a todas as instâncias de governança; e

XIV - praticar outros atos de natureza técnica e administrativa necessários ao exercício de suas responsabilidades.

Seção III

Do Comitê Técnico de Integridade

Art. 11. Ao Comitê Técnico de Integridade - CTI, compete:

I - auxiliar na elaboração do Plano de Integridade, com vistas à prevenção e à mitigação de vulnerabilidades identificadas e suas revisões, sempre que necessário;

II - submeter à aprovação do Ministro de Estado a proposta de Plano de Integridade e suas revisões, quando necessárias;

III - auxiliar na implementação do Programa de Integridade e exercer o seu monitoramento contínuo, visando o aperfeiçoamento na prevenção, detecção e combate à ocorrência de atos lesivos;

IV - atuar na orientação e treinamento dos servidores do MInfra com relação aos temas atinentes ao Programa de Integridade;

V - promover outras ações relacionadas à gestão da integridade, em conjunto com as demais áreas do MInfra;

VI - manter o CEG informado quanto à implementação das ações do Plano de Integridade;

VII - mapear a situação das unidades relacionadas ao Programa de Integridade e, caso necessário, propor ações para sua estruturação ou fortalecimento;

VIII - apoiar a Gestão de Riscos no levantamento de riscos para a integridade e proposição de plano de tratamento;

IX - atuar na disseminação de informações sobre o Programa de Integridade no âmbito do MInfra;

X - auxiliar no planejamento das ações de treinamento relacionadas ao Programa de Integridade no âmbito do MInfra e participar dessas ações;

XI - identificar eventuais vulnerabilidades à integridade nos trabalhos desenvolvidos pela organização, propondo, em conjunto com outras unidades, medidas para mitigação;

XII - propor estratégias para expansão do Programa de Integridade para fornecedores e terceiros que se relacionam com o MInfra;

XIII - atuar como Secretaria Executiva do Comitê Gestor do Selo Infra+ Integridade, cabendo ao Coordenador indicar os membros do CTI que comporão a respectiva Secretaria; e

XIV - praticar outros atos de natureza técnica e administrativa necessários ao exercício de suas responsabilidades.

Parágrafo único. O Coordenador do CTI poderá convidar, em função de competências profissionais específicas, outros servidores para auxiliar a Secretaria Executiva do Comitê Gestor do Selo Infra+ Integridade.

Seção IV

Do Núcleo de Governança

Art. 12. Ao Núcleo de Governança - NG, compete:

I - assessorar e orientar as instâncias de Supervisão de Governança na implementação das metodologias e instrumentos para a gestão, riscos e controles internos da gestão;

II - prestar orientação técnica aos órgãos do MInfra sobre inovação e boas práticas em governança e gestão, riscos e controles internos;

III - apoiar a implementação de práticas e princípios de conduta e padrões de comportamento de acordo com normas e regulamentos vigentes;

IV - prestar orientação técnica sobre a aderência às regulamentações, leis e códigos, normas e padrões na condução das políticas e na prestação de serviços de interesse público;

V - prestar orientação técnica sobre responsabilidade dos agentes públicos na prestação de contas, transparência e efetividade das informações;

VI - atuar como facilitador na integração dos agentes responsáveis pela gestão, integridade, riscos e controles internos da gestão;

VII - avaliar a necessidade de criação, adequação ou revisão das estruturas de governança;

VIII - propor e submeter ao CEG políticas, diretrizes, metodologias e mecanismos de gestão, riscos e controles internos da gestão;

IX - propor e apoiar as ações de capacitação nas áreas de Controle Interno, de Gestão de Riscos, de Transparência e de Integridade;

X - propor e submeter ao CEG ações para disseminação da cultura de gestão, riscos e controles internos da gestão;

XI - propor e submeter ao CEG, método de priorização de processos para a gestão de integridade, riscos e controles internos da gestão;

XII - propor e submeter ao CEG, as categorias de riscos a serem gerenciadas, seus limites de exposição a riscos, níveis de conformidade, e os limites de alçada para exposição a riscos dos órgãos do MInfra;

XIII - assessorar e orientar a implementação das medidas, dos mecanismos e das práticas organizacionais de governança definidos pelo CEG;

XIV - assessorar o CEG na avaliação dos riscos que podem comprometer o alcance dos objetivos estratégicos do MInfra e a prestação de serviços de interesse público;

XV - acompanhar a implementação das medidas, dos mecanismos e das práticas organizacionais de governança definidos pelo CEG; e

XVI - praticar outros atos de natureza técnica e administrativa necessários ao exercício de suas responsabilidades.

Parágrafo único. As propostas a serem encaminhadas ao CEG poderão ser previamente submetidas ao CTG, para discussão.

Seção V

Das Unidades de Gestão, Integridade, Riscos e Controles Internos da Gestão

Art. 13. As Unidades de Gestão, Integridade, Riscos e Controles Internos da Gestão - UGIRC, compete:

I - promover os atos necessários ao cumprimento dos objetivos estratégicos, das políticas, diretrizes, metodologias e mecanismos para a comunicação e institucionalização da gestão, integridade, riscos e controles internos da gestão;

II - propor ao CTG, aprimoramentos em políticas, diretrizes e normas complementares para a gestão, integridade, riscos e controles internos da gestão;

III - estimular boas práticas e princípios de conduta e padrões de comportamento no âmbito de sua atuação;

IV - identificar, mapear e gerir riscos dos processos de trabalho da unidade, inclusive, os de integridade;

V - assegurar a aderência às regulamentações, leis, códigos, normas e padrões na condução das políticas e na prestação de serviços de interesse público;

VI - proporcionar o cumprimento de práticas que institucionalizem a responsabilidade dos agentes públicos na prestação de contas, transparência e efetividade das informações;

VII - garantir que as informações tempestivas e confiáveis sobre gestão, integridade, riscos e controles internos da gestão estejam disponíveis em todos os níveis, no âmbito da unidade;

VIII - promover a integração dos agentes responsáveis pela gestão, integridade, riscos e controles internos da gestão;

IX - identificar e apresentar necessidades de aprimoramento das estruturas de governança;

X - observar e cumprir as políticas, diretrizes, metodologias e mecanismos de gestão de integridade, riscos e controles internos da gestão;

XI - disseminar e cumprir a cultura da gestão de integridade, riscos e de controles internos da gestão;

XII - estimular e promover condições à capacitação dos agentes públicos no exercício do cargo, função e emprego em gestão, integridade, riscos e controles internos da gestão;

XIII - adotar as metodologias e instrumentos de governança na gestão, integridade, riscos e controles internos da gestão;

XIV - Identificar, mapear, categorizar e gerir riscos dos processos de trabalho da unidade;

XV - executar o gerenciamento de riscos dos processos de trabalho priorizados;

XVI - identificar e acompanhar a implementação e avaliar os resultados das ações de controles internos da gestão;

XVII - monitorar os riscos ao longo do tempo, de modo a permitir que as respostas adotadas resultem na manutenção do risco em níveis adequados, de acordo com a Política de Gestão de Riscos do MInfra;

XVIII - assegurar o cumprimento das recomendações e orientações emitidas pelas Instâncias de Supervisão de Governança; e

XIX - praticar outros atos de natureza técnica e administrativa necessários ao exercício de suas responsabilidades.

Seção VI

Dos Gestores de Processos de Gestão

Art. 14. Aos Gestores de Processos de Gestão, compete:

I - cumprir os objetivos, as políticas, diretrizes, metodologias e mecanismos para a comunicação e institucionalização da gestão, integridade, riscos e controles internos da gestão;

II - adotar boas práticas na gestão, integridade, riscos e controles internos da gestão;

III - adotar princípios de conduta e padrões de comportamento de acordo com códigos e regulamentos vigentes;

IV - cumprir as regulamentações, leis e códigos, normas e padrões na condução das políticas e na prestação de serviços de interesse público;

V - cumprir as práticas institucionalizadas na prestação de contas, transparência e efetividade das informações;

VI - cumprir as práticas de apresentação e prestação de contas, transparência e efetividade das informações;

VII - adotar e disseminar preceitos de comportamento íntegro e de cultura de gestão de riscos e controles internos de gestão;

VIII - gerir riscos dos processos de trabalho da sua unidade;

IX - implementar, gerenciar e avaliar os resultados das ações de controles internos da gestão;

X - gerar e reportar informações tempestivas e confiáveis sobre a gestão, integridade, riscos e controles internos da gestão às instâncias de Supervisão de Governança;

XI - cumprir as recomendações e observar as orientações emitidas pelas instâncias de Supervisão de Governança; e

XII - praticar outros atos de natureza técnica e administrativas necessárias ao exercício de suas responsabilidades.

CAPÍTULO IV

DISPOSIÇÕES FINAIS

Art. 15. A responsabilidade pela implementação da estratégia e do funcionamento da estrutura de gestão, integridade, riscos e controles internos da gestão, bem como pelo monitoramento e aperfeiçoamento da gestão do Ministério compete, além de à alta administração, conforme previsto no art. 6º do Decreto nº 9.203/2017, também aos responsáveis pelas unidades de gestão, pelos gestores de processos de trabalho e de programas de governo, bem como aos demais agentes públicos que exercem cargo, função ou emprego no MInfra, nos seus respectivos âmbitos de atuação.

Art. 16. Ações específicas de governança, compreendendo gestão de riscos, controles internos da gestão, transparência e integridade, poderão ser determinadas tanto pelo Ministro de Estado quanto pelo Secretário-Executivo, devendo ser comunicadas ao CEG, para fins de supervisão e monitoramento.

Art. 17. Os titulares das Secretarias e Subsecretarias, bem como o Chefe da Assessoria Especial de Controle Interno deverão indicar ao Secretário-Executivo, no prazo de 15 (quinze) dias, os servidores que deverão compor as instâncias dispostas nos incisos II, IV e V do art. 2º deste Anexo I.

§ 1º O Secretário Executivo designará os servidores em seus respectivos colegiados, conforme a indicação de que trata o caput, bem como os servidores da sua unidade que comporão o Núcleo de Governança, conforme o disposto no inciso IV do Art. 2º e no art. 6º deste Anexo I.

§ 2º O coordenador da instância de que trata o inciso II do art. 2º deste Anexo I será definido pelo Secretário Executivo.

§ 3º O coordenador das unidades de que trata o inciso V do art. 2º deste Anexo I será definido pelo titular da área, quando da indicação de que trata o caput.

Art. 18. O CEG poderá, caso julgue necessário, aprovar as organizações administrativas de cada instância, inclusive no que se refere à atuação do NG.

Parágrafo único. O Chefe da Assessoria Especial de Controle Interno exercerá a função de Secretário-Executivo do Comitê Estratégico de Governança.

Art. 19. O quórum mínimo para deliberação das instâncias de que tratam os incisos I, II, III e IV do art. 2º deste Anexo I será de 50% (cinquenta por cento) do total de seus membros.

Art. 20. Fica vedada a criação de subcolegiados por ato de qualquer dos colegiados listados no art. 2º deste Anexo I.

ANEXO II

IMPLEMENTAÇÃO E GESTÃO DA POLÍTICA DE GOVERNANÇA MINISTERIAL

CAPÍTULO I

DISPOSIÇÕES GERAIS

Art. 1º A política de governança do Ministério da Infraestrutura, instituída a partir das três linhas centrais de liderança, estratégia e controle, tem como instrumentos de suporte o planejamento estratégico institucional, a gestão de riscos, o programa de integridade e os controles internos da gestão.

Art. 2º Cabe aos executores da política de governança deste Ministério observar os princípios, diretrizes, objetivos, conceitos e orientações estabelecidos no Decreto n° 9.203/2017 e na Instrução Normativa Conjunta MP/CGU n° 01/2016, assim como as decisões do Comitê Interministerial de Governança - CIG e as orientações contidas no Guia da Política de Governança Pública do Governo Federal (www.gov.br/casacivil/pt-br/centrais-de-conteudo/downloads/guia-da-politica-de-governanca-publica) ou instrumento que vier a substituí-lo.

§ 1º As entidades da administração indireta vinculadas ao MInfra poderão instituir as suas próprias políticas de governança, observando o contido no caput e, no que couber, os demais dispositivos desta Portaria.

§ 2º Os gestores do Ministério devem pautar-se ainda no conceito da Organização para a Cooperação e Desenvolvimento Econômico -OCDE, no sentido de que "a boa governança é um meio para atingir um fim, qual seja, identificar as necessidades dos cidadãos e ampliar os resultados esperados".

Art. 3º As instâncias de governança interna de que trata o art. 2° do Anexo I desta Portaria devem atuar de forma integrada e colaborativa, visando fomentar e otimizar as reuniões do Comitê Estratégico de Governança - CEG, bem como implementar as deliberações deste.

CAPÍTULO II

GESTÃO ESTRATÉGICA

Seção I

Definições

Art. 4º Para fins do disposto nesta Portaria, considera-se:

I - GESTÃO ESTRATÉGICA: processo dinâmico que inclui a formulação, execução, acompanhamento e avaliação da estratégia institucional para o cumprimento da missão e visão de futuro da organização;

II - PLANEJAMENTO ESTRATÉGICO: processo gerencial pelo qual a organização mobiliza-se para a formulação de objetivos que visam a construção de futuro, levando em conta as condições internas e externas à organização;

III - MAPA ESTRATÉGICO: representação visual da estratégia da organização explicitada em macro objetivos, organizados em diferentes perspectivas de análise e interligados por relações de causa e efeito;

IV - TEMA ESTRATÉGICO: conjunto articulado de objetivos estratégicos que possuem uma finalidade ou um desafio comum. São grandes "pilares da estratégia" que auxiliam a organização a estabelecer foco no alcance da visão por meio de uma segmentação por categorias;

V - OBJETIVOS ESTRATÉGICOS: conjunto correlacionado de prioridades que esclarecem o que a estratégia deve alcançar e o que é crítico para seu sucesso. São as áreas de atuação onde o êxito é fundamental e que detalham as mudanças que precisam ser feitas para o cumprimento da missão e alcance da visão de futuro;

VI - INDICADOR: métricas que proporcionam informações sobre o desempenho de um objeto (seja governo, política, plano, programa, organização, projeto etc.), com vistas ao controle, comunicação e melhoria. Medem o grau de alcance dos objetivos propostos e influenciam o comportamento das pessoas na busca desses objetivos;

VII - METAS: atributos de um indicador, que representam o desempenho esperado para uma determinada data futura;

VIII - PORTFÓLIO ESTRATÉGICO: conjunto de projetos, programas, portfólios subsidiários e operações, que compartilham aspectos comuns e são gerenciados em grupo para alcançar os objetivos estratégicos da organização;

IX - PROGRAMA: grupo de projetos relacionados e gerenciados em um modo coordenado para obter benefícios e controles que não seriam alcançados se fossem gerenciados individualmente. Programas e projetos produzem benefícios para a organização e são meios para atingir os objetivos e as metas organizacionais;

X - PROJETO: empreendimento temporário que cria um produto, serviço ou resultado único. A característica de temporalidade significa que o projeto tem um início e um fim bem definidos. O foco de um projeto é a entrega do bem, produto ou serviço que ele se propôs a realizar, dentro das restrições de prazo, qualidade, escopo e custos;

XI - ATIVIDADE: ações específicas a serem realizadas para produzir as entregas do projeto. Conjunto de tarefas que resultam em um trabalho realizado, podendo ser observado e/ou medido em termos de percentual executado;

XII - ESCRITÓRIO DE PROJETOS: estrutura organizacional que promove a padronização dos processos de governança e gestão de projetos. Também chamado de PMO (da sigla Project Management Office), deve oferecer orientações, métodos e ferramentas para os líderes de programas e gerentes de projetos conduzirem suas atividades;

XIII - ESCRITÓRIO DE PROJETOS SETORIAL: PMO localizado em área da organização, que, alinhado ao PMO corporativo, ajuda a entregar resultados através da carteira de projetos de um setor;

XIV - ESCRITÓRIO DA ESTRATÉGIA: estrutura organizacional dedicada à gestão da estratégia institucional, que inclui as ações de planejamento estratégico, desdobramento da estratégia, monitoramento da execução e avaliação da estratégia e respectivos objetivos e metas;

XV - PATROCINADOR DE PROGRAMA: responsável por viabilizar todos os recursos organizacionais necessários para que o Programa seja executado. Deve atuar como um julgador acima do Líder do Programa, podendo tomar decisões fora da alçada do Líder. Além disso, o patrocinador funciona como um ponto focal para a alta administração e também para outros stakeholders, eventualmente. Normalmente, é desempenhado pelo Secretário a quem o Líder de Programa é subordinado;

XVI - PATROCINADOR DE PROJETO: pessoa designada que irá garantir os recursos organizacionais para que seja executado, com disponibilidade, poder e influência suficiente para advogar em favor dos objetivos do projeto. Normalmente, é desempenhado por ocupante de cargo comissionado de nível 5 ou equivalente;

XVII - LÍDER DE PROGRAMA: pessoa alocada pela organização para liderar uma equipe e gerenciar uma carteira de projetos, com o objetivo de atingir ou exceder as necessidades e expectativas de uma estratégia da organização;

XVIII -GERENTE DE PROJETO: pessoa alocada pela organização para liderar a equipe responsável por alcançar os objetivos do projeto. Suas responsabilidades envolvem ações de planejamento, execução, acompanhamento e entrega do projeto;

XIX - RESPONSÁVEL POR ATIVIDADES: quem se responsabiliza pela execução de uma tarefa ou atividade de um projeto;

XX - REUNIÃO DE AVALIAÇÃO DA ESTRATÉGIA - RAE: Reunião realizada para avaliar a implementação da estratégia por meio do monitoramento dos indicadores, metas e Programas Estratégicos do Planejamento Institucional e deliberar sobre medidas para resolver problemas e mitigar riscos que impactem o alcance dos objetivos estratégicos;

XXI - ENTRAVE: Problema que pode comprometer os objetivos de um projeto ou programa. Pode ser decorrente de risco que foi materializado;

XXII - RISCO ESTRATÉGICO: riscos que afetam a estratégia da organização ou seus objetivos estratégicos. Esses riscos podem ser incertezas ou oportunidades e normalmente são os principais pontos de preocupação da alta administração;

XXIII- ANÁLISE CRÍTICA: avaliação geral de um projeto ou programa estratégico em relação à sua execução. Deve conter resumo dos principais avanços no período analisado, principais problemas, entraves e riscos, bem com as perspectivas para o próximo período. É elaborada pelo gerente de projeto e líder de programa considerando seus níveis de gerenciamento;

XXIV - PLANO DE PROJETO: documento que apresenta toda a concepção, fundamentação, planejamento e meios de acompanhamento e avaliação do projeto;

XXV - TERMO DE ABERTURA DE PROJETO - TAP: Documento elaborado pelo iniciador ou Patrocinador do projeto, que autoriza formalmente a existência do projeto, fornecendo ao Gerente a autorização para alocar os recursos nas atividades do projeto. Tem entre os seus atributos: Descrição do projeto e produto, objetivo e justificativa, benefícios esperados, premissas, restrições, escopo e não escopo, partes interessadas (Stakeholders) e estimativa de prazos e investimentos;

XXVI - LINHA DE BASE: conjunto de objetivos do projeto e planos para sua consecução. A Linha de Base é utilizada como referência para as comparações entre o planejado e o realizado ao longo do desenrolar do projeto;

XXVII - METODOLOGIA DE GERENCIAMENTO DO PORTFÓLIO ESTRATÉGICO: documento que sintetiza e dá publicidade aos conceitos, à governança e aos procedimentos detalhados de gerenciamento dos programas e projetos estratégicos do Ministério da Infraestrutura no âmbito da administração direta e das suas entidades vinculadas.

Seção II

Foco da Estratégia

Art. 5º A estratégia do Ministério é focada nas seguintes linhas mestras de atuação:

I - planejamento que contemple medidas voltadas ao acompanhamento dos resultados e busca constante de soluções para melhoria do desempenho, com utilização de mecanismos que promovam processo decisório baseado em evidências;

II - alinhamento às Diretrizes de Governo, à Estratégia Federal de Desenvolvimento - EFD e ao Plano Plurianual - PPA;

III - alinhamento com outras instituições, permitindo a criação de redes de boas práticas de governança, que contemplem objetivos e diretrizes comuns, facilitando a integração e a coordenação de serviços públicos e promovendo o desenvolvimento regional;

IV - acessão e convergência aos instrumentos legais e práticas da OCDE.

Seção III

Papéis e Responsabilidades na Gestão Estratégica

Art. 6º Caberá ao Ministro de Estado da Infraestrutura:

I - deliberar sobre riscos e entraves estratégicos levados à sua alçada de decisão;

II - coordenar as RAEs do MInfra;

Art. 7º Caberá ao Secretário Executivo:

I - deliberar acerca de definições e alterações nos indicadores de desempenho, metas e programas estratégicos, assegurando sua adequação e suficiência para o alcance dos objetivos estratégicos, à realização da visão e o cumprimento da missão, definidos no mapa estratégico do Ministério;

II - aprovar cronograma das RAEs;

III - deliberar sobre riscos e entraves estratégicos levados à sua alçada de decisão;

IV - designar os líderes de programas estratégicos;

V - convocar e coordenar as RAEs setoriais e substituir o Ministro nas RAEs do MInfra quando necessário;

Art. 8º Caberá à Subsecretaria de Gestão Estratégica, Tecnologia e Inovação - SGETI:

I - realizar o monitoramento dos projetos e programas estratégicos do Ministério visando à resolução de entraves, mitigação de riscos estratégicos e o alcance de seus objetivos;

II - coordenar o processo de formulação, revisão e tradução da estratégia;

III - buscar o permanente alinhamento entre as unidades do Ministério e órgãos vinculados, em relação ao planejamento estratégico do MInfra;

IV - organizar as Reuniões de Avaliação da Estratégia - RAEs;

V - acompanhar e analisar os indicadores institucionais, visando o atingimento das metas e o alcance dos objetivos estratégicos;

VI - prestar consultoria às unidades do Ministério, nas atividades de implementação e acompanhamento do planejamento estratégico e de gestão de projetos e programas estratégicos;

VII - gerenciar o portfólio de programas estratégicos, mantendo-o alinhado com os objetivos estratégicos;

VIII - definir e manter metodologias, padrões e técnicas de gestão de projetos estratégicos, no âmbito do Ministério;

IX - propor capacitações relacionadas à gestão estratégica e de projetos.

Art. 9º Caberá aos Secretários Finalísticos:

I - atuar como patrocinador dos programas afetos à sua área de atuação e indicar ao Secretário Executivo nomes para atuarem como líderes de programa;

II - participar das RAEs e atuar nos encaminhamentos sob sua responsabilidade definidos nessas reuniões;

III - deliberar sobre riscos e entraves estratégicos levados à sua alçada de decisão e escalar aos níveis superiores aqueles que superem sua alçada;

IV - dar diretrizes ao PMO setorial sob sua gestão, quando existir, alinhado às diretrizes do PMO corporativo.

Art. 10. Caberá aos Líderes de Programa:

I - estruturar o programa estratégico de acordo com a metodologia estabelecida pelo PMO corporativo;

II - propor a carteira de projetos do programa, suficiente para alcançar os objetivos e metas, em articulação com as unidades do Ministério e de suas entidades vinculadas;

III - articular a estruturação dos projetos da carteira junto aos gerentes de projeto das unidades do Ministério e das entidades vinculadas, quando cabível, respeitando a autonomia regulamentar dessas últimas;

IV - realizar reuniões periódicas de monitoramento da carteira de projetos com os respectivos gerentes de projeto para corrigir desvios, gerenciar riscos e aumentar suas chances de sucesso;

V - participar das reuniões de monitoramento dos programas sob sua responsabilidade, coordenadas pelo PMO corporativo;

VI - fazer, mensalmente, nos prazos definidos pelo PMO corporativo, a análise crítica do desempenho de seu programa e atuar nos encaminhamentos sob sua responsabilidade definidos nessas reuniões;

VII - deliberar sobre riscos e entraves estratégicos levados à sua alçada de decisão e subir aos níveis superiores aqueles que superem sua alçada.

Art. 11. Caberá aos Gerentes de Projeto:

I - atender às capacitações de gestão estratégica e de projetos;

II - realizar a estruturação do projeto de acordo com a metodologia estabelecida pelo escritório de projetos;

III - aprovar o plano de projeto junto ao patrocinador e ao líder do programa associado;

IV - atualizar, periodicamente, as informações requeridas no processo de monitoramento definido pelo PMO corporativo;

V - prestar informações ao patrocinador do projeto e ao líder do programa associado;

VI - deliberar sobre risco e entraves estratégicos sob sua alçada de decisão e subir aos níveis superiores aqueles que superem sua alçada.

Art. 12. Caberá ao Patrocinador de Projeto:

I - dar diretrizes e aprovar o plano de projeto;

II - deliberar sobre riscos e entraves estratégicos sob sua alçada de decisão e subir aos níveis superiores aqueles que superem sua alçada;

III - atuar para garantir a entrega dos resultados e o alcance dos objetivos do projeto.

Art. 13. As Unidades de Gestão Estratégicas das Entidades Vinculadas poderão:

I - promover o alinhamento e disseminação da estratégia do Ministério da Infraestrutura no âmbito de sua organização;

II - atuar como ponto focal entre o Ministério e sua organização promovendo a interação entre os líderes de programa e gerentes dos projetos sob sua gestão e o levantamento de dados e indicadores, de forma a contribuir para o alcance dos objetivos estratégicos;

III - participar das reuniões de monitoramento dos programas afetos à sua organização, bem como das respectivas RAEs.

Art. 14. Caberá aos PMOs setoriais:

I - auxiliar o PMO corporativo na disseminação da metodologia de gerenciamento do portfólio estratégico;

II - auxiliar o PMO corporativo na estruturação dos projetos e programas da sua área de atuação;

III - zelar pelo cumprimento do processo de monitoramento e avaliação da estratégia e do portfólio estratégico no âmbito de sua atuação;

IV - desenvolver e monitorar outros projetos setoriais não constantes do portfólio estratégico, mantendo o alinhamento com a estratégia do Ministério;

V - propor melhorias na metodologia de gerenciamento do portfólio estratégico ao PMO corporativo.

Seção IV

Monitoramento e Avaliação da Execução Estratégica

Art. 15. Para viabilizar o processo de monitoramento da execução da estratégia, o Ministério irá realizar as seguintes reuniões:

I - reuniões de acompanhamento dos projetos, coordenadas pelo gerente de projeto com a participação dos membros da equipe, com o objetivo de monitorar o progresso das atividades e entregas, mapeando riscos e entraves e endereçando encaminhamentos para correção de rumos, quando necessário;

II - reuniões de monitoramento dos projetos, coordenadas pelo líder de programa, com a participação dos gerentes de projetos do programa e opcional do PMO corporativo, com o objetivo de monitorar o andamento dos projetos da carteira, mapeando riscos e entraves e endereçando encaminhamentos;

III - reuniões mensais de monitoramento dos programas, coordenadas pelo PMO corporativo com a participação dos líderes de programa, com eventual participação de gerentes de projetos, a critério do líder, com o objetivo de avaliar a aderência do programa à metodologia definida, monitorar o alcance de seus objetivos e metas e avaliar os entraves e riscos, mapeando ações de correção dos problemas ou mitigação dos riscos;

IV - reuniões gerenciais, coordenadas pelo Gabinete da Secretaria Executiva, com participação dos Secretários e Subsecretários do Ministério;

V - reuniões de avaliação da estratégia - RAEs - setoriais, coordenadas pelo PMO corporativo com a participação dos Secretários do Ministério, Autoridades máximas das entidades vinculadas e líderes dos programas relativos ao setor, conforme a seguir:

a) Setor de Transportes Terrestres: Secretário-Executivo, Secretário Nacional de Transportes Terrestres, Secretário de Fomento, Planejamento e Parcerias, Diretor-Geral do Departamento Nacional de Infraestrutura de Transportes, Diretor-Geral da Agência Nacional de Transportes Terrestres, Diretor-Presidente da VALEC e Diretor-Presidente da Empresa de Planejamento e Logística - EPL;

b) Setor de Portos e Transportes Aquaviários: Secretário-Executivo, Secretário Nacional de Portos e Transportes Aquaviários, Secretário de Fomento, Planejamento e Parcerias, Diretor-Geral da Agência Nacional de Transportes Aquaviários, Diretor-Geral do Departamento Nacional de Infraestrutura de Transportes e Diretor-Presidente da Empresa de Planejamento e Logística - EPL;

c) Setor de Aviação Civil; Secretário-Executivo, Secretário Nacional de Aviação Civil, Secretário de Fomento, Planejamento e Parcerias, Diretor-Geral da Agência Nacional de Aviação Civil, Presidente da INFRAERO e Diretor-Presidente da Empresa de Planejamento e Logística - EPL; e

d) Programas Transversais: Secretário-Executivo, Secretário de Fomento, Planejamento e Parcerias e Diretor-Presidente da Empresa de Planejamento e Logística - EPL.

VI - reunião de avaliação da estratégia - RAE - ministerial, coordenada pelo PMO corporativo com a participação do Ministro de Estado da Infraestrutura, do Secretário-Executivo, dos Secretários do Ministério, das autoridades máximas das entidades vinculadas e dos líderes dos programas.

Art. 16. As ações para resolução de entraves e mitigação de riscos deverão ser tratadas de forma escalonada, de acordo com níveis de alçada previstos em regulamento, seguindo os níveis de decisão abaixo:

I - gerente de projeto;

II - patrocinador de projeto;

III - líder de programa;

IV - secretário/subsecretário

V - Secretário Executivo;

VI - Ministro de Estado;

VII - reuniões colegiadas previstas neste regulamento.

Art. 17. O ciclo de avaliação da Estratégia compreenderá as quatro RAEs setoriais e a RAE ministerial.

Parágrafo único. A periodicidade do ciclo estratégico e da realização das reuniões previstas será definida na metodologia de gerenciamento do portfólio estratégico.

Seção V

Gerenciamento e Sistemática de Registros

Art.18. O Ministério da Infraestrutura adotará sistema eletrônico de acompanhamento estratégico comum a todos os participantes, ficando os gerentes de projetos e líderes de programa responsáveis por sua atualização tempestiva.

Art. 19. O processo de monitoramento do portfólio estratégico contempla as seguintes atividades:

I - o gerente do projeto, com base nas reuniões de acompanhamento de projeto e em outras informações a que tiver acesso, deverá atualizar periodicamente no sistema eletrônico de acompanhamento estratégico os elementos do projeto definidos na metodologia de gerenciamento do portfólio estratégico;

II - o líder de programa, com base nas reuniões de monitoramento dos projetos, nas informações alimentadas sistematicamente pelo gerente de projeto e em outras a que tiver acesso, deverá atualizar periodicamente no sistema eletrônico de acompanhamento estratégico os elementos do programa definidos na metodologia de gerenciamento do portfólio estratégico;

III - o PMO corporativo deverá realizar em conjunto com os Líderes de Programa as reuniões periódicas de monitoramento dos programas onde serão abordados o monitoramento dos objetivos e metas, os status dos projetos e entregas, os principais riscos e entraves e seus respectivos encaminhamentos. A preparação da reunião utilizará como base as informações inseridas pelos líderes e gerentes de projeto no sistema eletrônico de acompanhamento estratégico. Como produto, será gerada a Ficha de Monitoramento do programa;

IV - o PMO corporativo, a partir das fichas de monitoramento dos programas, elaborará relatórios e painéis de monitoramento do portfólio estratégico, bem como de avaliação da estratégia para subsidiar as RAEs;

Parágrafo único. A periodicidade da atualização das informações pelos atores será definida na metodologia de gerenciamento do portfólio estratégico.

Art. 20. O processo de gestão dos projetos estratégicos contempla as seguintes etapas:

I - iniciação: situação inicial do projeto, após o cadastro e antes da aprovação;

II - aprovação: situação na qual o projeto aguarda aprovação pelo seu patrocinador;

III - planejamento: após ser aprovado, o projeto passa para o status "em planejamento" e fica neste status até que seja posto "em execução", momento em que é gerada uma linha de base;

IV - execução: neste status as atividades são distribuídas para os responsáveis, e o sistema começa a enviar os alarmes configurados; Os alarmes de atividades pendentes são enviados somente neste status; nos demais o alarme fica desativado;

V - cancelado: situação na qual um projeto deixa de existir. As atividades desaparecem da lista dos executores e os alarmes de atividades pendentes do projeto deixam de ser enviados;

VI - suspenso: status temporário no qual as atividades desaparecem da lista dos executores e os alarmes de atividades pendentes do projeto deixam de ser enviados;

VII - encerrado: situação final, na qual um projeto chega ao fim. Os dados dos projetos finalizados ficam disponíveis para consulta nos relatórios do sistema.

§ 1º É responsabilidade do gerente do projeto atuar nas diversas etapas do projeto objetivando a execução plena, exceto da fase de aprovação que é responsabilidade do patrocinador do projeto.

§ 2º É responsabilidade do gerente do projeto durante a execução do projeto realizar os replanejamentos de atividades que não puderam ser executadas no prazo previsto inicialmente ou porque foram introduzidas novas informações ao projeto que indicam esta necessidade. Se os replanejamentos foram significativos, as datas das atividades, ou mesmo inclusão ou exclusão de atividades indicam que a linha de base está pouco aderente ao projeto em execução e faz-se necessário a geração de uma nova linha de base.

§ 3º É responsabilidade do gerente, do patrocinador do projeto e do líder de programa aprovar ou reprovar as novas linhas de base que são atualizadas pelo gerente de projeto.

Seção VI

Avaliação de Desempenho da Gestão estratégica

Art. 21. O MInfra adotará o Índice de Maturidade de Gestão Estratégica - IMGE, elaborado pela Secretaria de Gestão do Ministério da Economia - SEGES/MP, para avaliar a sua maturidade e promover melhorias em seu processo.

Art. 22. O Ministério avaliará, anualmente, a necessidade de revisão do mapa estratégico, por meio de entrevistas ou pesquisas com a alta administração do órgão e de suas entidades vinculadas, disparando o processo de revisão quando houver indícios da necessidade.

Seção VII

Disposições Complementares sobre Gestão Estratégica

Art. 23. O presente regulamento se aplica aos programas e projetos considerados estratégicos, com execução no âmbito da administração central do Ministério da Infraestrutura e, no que couber, aos das suas entidades vinculadas;

Art. 24. O Ministério disponibilizará em sítio eletrônico a metodologia de gerenciamento do portfólio estratégico, contendo orientações e sugestões para a implementação do planejamento estratégico institucional e do conjunto de processos que conformam a gestão estratégica.

CAPÍTULO III

GESTÃO DE RISCOS

Seção I

Objetivos e Diretrizes

Art. 25. O principal objetivo da gestão de riscos no Ministério é prover aos seus gestores informações necessárias e suficientes, de forma tempestiva, para que, face às incertezas derivadas dos objetivos definidos para cada processo finalístico, haja as melhores condições possíveis para uma adequada tomada de decisão na defesa dos interesses do cidadão.

Art. 26. Constituem ainda objetivos da gestão de riscos no MInfra, além dos elencados no art. 15 da IN-MP/CGU-01/2016:

I - suportar a missão, a continuidade e a sustentabilidade institucional, em busca do atendimento aos objetivos estratégicos;

II - proporcionar eficiência, eficácia e efetividade operacional, mediante execução ordenada, ética e econômica dos processos de trabalho;

III - produzir informações íntegras, confiáveis e tempestivas à tomada de decisão, com vistas à salvaguarda e à proteção de bens, ativos e recursos públicos contra desperdício, perda, mau uso, dano, utilização não autorizada ou apropriação indevida; e

IV - aprimorar os controles internos da gestão e assegurar a conformidade com as leis e regulamentos aplicáveis.

Art. 27. São diretrizes para a gestão de riscos no MInfra:

I - modelo de gestão de riscos estruturado com base nos conceitos e orientações do Committee of Sponsoring Organizations of the Treadway Commission - COSO, da Norma Internacional NBR ISO 31.000:2018, da Instrução Normativa Conjunta CGU/MPDG nº 1, de 10 de maio de 2016, e de normativos e documentos congêneres;

II - gerenciamento de riscos liderado pela alta administração e integrado aos processos de planejamento, orçamento e demais processos de trabalho nos diferentes níveis organizacionais;

III - limite temporal médio de dois anos a ser considerado para o ciclo do gerenciamento de riscos de cada processo de trabalho relevante, considerando nessa definição de tempo a criticidade dos processos, os sistemas informatizados, a gestão orçamentária e de pessoas e a legislação vigente, tendo como foco a redução dos eventos de risco emergentes, a alteração na severidade dos riscos já identificados e a integridade dos controles existentes;

IV - medição do desempenho da gestão de riscos por meio de atividades contínuas registradas em sistema informatizado ou por meio de avaliações independentes ou a combinação de ambas; e

V - desenvolvimento contínuo dos agentes públicos em gestão de riscos, por meio de plano de educação continuada, de divulgação interna de cursos e de capacitações em escolas de governo.

Seção II

Unidades Responsáveis

Art. 28. As instâncias operacionais são responsáveis por identificar, avaliar e tratar os riscos relativos aos seus processos de trabalho, sendo elas:

I - as Unidades de Gestão, Integridade, Riscos e Controles Internos da Gestão - UGIRC; e

II - os Gestores de Processos de Gestão.

Seção III

Riscos à Integridade e Riscos Estratégicos

Art. 29. A gestão de riscos à integridade é assentada na diretriz fundamental de "apetite zero" a risco desta natureza, de forma a evitar os atos tipificados como desvio de conduta, fraude, irregularidade e conflito de interesses, em qualquer nível hierárquico, mediante implementação de controles internos que visem inibir a prática desses atos.

Art. 30. A gestão dos riscos estratégicos, entendidos aqueles que ameaçam o alcance dos objetivos estratégicos do MInfra, está sob responsabilidade da alta administração, e pressupõe a compreensão desses objetivos, o conhecimento profundo do Ministério, incluindo o mercado em que atua, bem como o ambiente legal, social, político e cultural em que está inserido.

Seção IV

Metodologia de Avaliação de Riscos e Apetite a Riscos

Art. 31. A gestão de riscos do MInfra será documentada por meio do software ÁGATHA - Sistema de Gestão de Integridade, Riscos e Controles, constante do site https://riscos.infraestrutura.gov.br.

Art. 32. O nível de severidade dos riscos de qualquer tipologia (operacionais, legais, de imagem, financeiro-orçamentários e outros, com exceção dos de integridade),é estimado pelo produto da avaliação de impacto pela avaliação de probabilidade, conforme descrito nos incisos I, II e III deste artigo.

I - são níveis de impacto:

a) 1 - insignificante;

b) 2 - pequeno;

c) 3 - moderado;

d) 4 - grande; e

e) 5 - catastrófico.

II - são níveis de probabilidade:

a) 1 - muito baixa;

b) 2 - baixa;

c) 3 - média;

d) 4 - alta; e

e) 5 - muito alta.

III - os riscos avaliados serão classificados de acordo com sua severidade, calculada pelas combinações de avaliação de probabilidade versus impacto, nas seguintes faixas de nível:

a) pequeno: < 4;

b) moderado: entre 4 e 7;

c) alto: entre 8 e 14; e

d) crítico: entre 15 e 25.

IV - Como orientação inicial aos gestores, independente de declaração de apetite a riscos a ser formulada, com relação aos riscos para a integridade o apetite a riscos do MInfra é zero. Qualquer fato ou evento de risco reportado deve ser investigado e as providências cabíveis devem ser tomadas de imediato.

Seção V

Disposições Complementares sobre a Gestão de Riscos

Art. 33. As UGIRC e os Gestores de Processos de Gestão, bem como o Comitê Técnico de Governança - CTG, poderão valer-se da contribuição de especialistas de instituições públicas ou privadas, em temas afetos à gestão de riscos.

Art. 34. O CTG poderá definir temas prioritários, bem como unidades administrativas prioritárias para execução das atividades de gerenciamento de riscos.

Art. 35. No prazo de até 12 (doze) meses após a publicação desta Portaria deverá ser editado e aprovado o Manual contendo a metodologia de gestão de riscos do MInfra.

CAPÍTULO IV

PROGRAMA DE INTEGRIDADE

Art. 36. O Programa de Integridade materializa-se com o comprometimento e o apoio permanente da alta administração, com a análise, avaliação e gestão dos riscos associados ao tema Integridade, contemplados na política de riscos de que trata o Capítulo III desta Portaria e com o monitoramento contínuo dos seus atributos pelo Comitê Técnico de Integridade.

Art. 37. A Assessoria Especial de Controle Interno, unidade de gestão da Integridade no âmbito deste Ministério, elaborará, em conjunto com o Comitê Técnico de Integridade, Plano de Integridade anual, contendo proposta de ações corretivas e indutoras das boas práticas de gestão e transparência, com vistas à redução dos riscos de fraude e corrupção.

CAPÍTULO V

CONTROLES INTERNOS DA GESTÃO

Seção I

Modelo das Três Linhas

Art. 38. A estrutura de controles internos do MInfra deve seguir o Modelo das Três Linhas do Instituto dos Auditores Internos - IIA, conforme o descrito nos parágrafos 1º, 2º e 3º deste artigo, comunicando, de maneira clara, as responsabilidades dos envolvidos e provendo a atuação coordenada e eficiente, sem sobreposições ou lacunas.

§ 1º A Primeira Linha constitui-se das UGIRC e dos Gestores de Processos de Gestão, onde os controles primários são implementados e o gestor responsável identifica, avalia, controla e mitiga os riscos, com vistas à realização das políticas públicas conforme o planejado.

§ 2º A Segunda Linha constitui-se da AECI e dos órgãos de supervisão e apoio, e objetivam assegurar que as atividades realizadas pelas instâncias de primeira linha sejam desenvolvidas e executadas de forma apropriada, o que significa apoiar o desenvolvimento dos controles internos da gestão e realizar atividades de supervisão e monitoramento, que incluem gerenciamento de riscos, conformidade, verificação de qualidade, controle financeiro, orientação e treinamento.

§ 3º A Terceira Linha é representada pela atividade de auditoria interna governamental, que no caso do MInfra (administração direta) é exercida pela Controladoria Geral da União - CGU, a qual presta serviços de avaliação e de consultoria com base nos pressupostos de autonomia técnica e objetividade, incluindo os processos de governança, gerenciamento de riscos e controles internos, com o propósito de contribuir para o aprimoramento das políticas públicas e a atuação das organizações.

Seção II

Finalidade e Premissas Básicas

Art. 39. A finalidade dos controles internos da gestão é evitar a ocorrência de erros e irregularidades, por meio da identificação, avaliação e gerenciamento de riscos que possam impactar a consecução dos objetivos propostos, com base nos componentes de Ambiente de Controle, Avaliação de Riscos, Atividades de Controle e Monitoramento, Informação e Comunicação.

Art. 40. A implementação dos controles internos da gestão no MInfra deve obedecer às seguintes premissas:

I - controles integrados ao processo de gestão, considerando a estrutura e a missão do órgão, de forma a assegurar a sua adequação e eficácia;

II - controles fundamentados na gestão de riscos, que privilegiará ações estratégicas de prevenção antes da autuação de processos sancionadores, desenvolvidos e dimensionados na proporção requerida pelos riscos identificados;

III - definição e operacionalização visando mitigar a ocorrência de riscos ou os impactos destes sobre os objetivos institucionais do Ministério;

IV - implementação efetiva e compatível com a natureza, a complexidade, o grau de importância e os riscos do processo de trabalho; e

V - custo do controle ou da resposta implementada não superior ao custo do dano decorrente da ausência do controle, não devendo, este último, limitar-se aos custos diretos e internos, mas também alcançar os custos indiretos e externos.

CAPÍTULO VI

INSTÂNCIAS SUPERVISORAS E ASSESSORIA JURÍDICA

Art. 41. São instâncias supervisoras da Política de Governança do MInfra: o Comitê Estratégico de Governança - CEG, o Comitê Técnico de Governança - CTG e o Comitê Técnico de Integridade - CTI, sendo este último apenas no que se referir ao tema Integridade, devendo esta supervisão abarcar, no que couber, a governança das áreas de Tecnologia da Informação e Comunicação, de Dados e Informação e de Segurança da Informação - GTIC, GDI e GSI, de que tratam os Anexos III e IV desta Portaria.

Parágrafo único. A supervisão de que trata o caput poderá ser exercida por qualquer dos membros das referidas instâncias, mediante reporte aos Gestores de Processos de Gestão ou à instância de governança que julgar mais adequada, dentre as elencadas no art. 2° do Anexo I desta Portaria.

Art. 42. A Consultoria Jurídica, além de asseverar a legalidade formal dos atos administrativos pretendidos, atuará como parte ativa na construção de soluções jurídicas adequadas ao cumprimento dos objetivos do Ministério, em constante cooperação com os gestores, buscando identificar as necessidades dos cidadãos e ampliar os resultados esperados.

CAPÍTULO VIII

DISPOSIÇÕES FINAIS

Art. 43. Doravante, qualquer política que vier a ser adotada no âmbito deste Ministério, envolvendo o tema governança, deverá estar alinhada aos dispositivos desta Portaria, considerando, em especial, o disposto no art. 2° deste Anexo II.

Art. 44. Os casos omissos e as excepcionalidades serão solucionados pelo Comitê Técnico de Governança - CTG ou pelo Comitê Técnico de Integridade - CTI, conforme a pertinência da matéria, ou pelo Secretário Executivo quando o assunto se referir à Gestão Estratégica.

ANEXO III

INSTÂNCIAS DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO (GTIC) DE DADOS E INFORMAÇÃO (GDI), E DE SEGURANÇA DA INFORMAÇÃO (GSI);

CAPÍTULO I

INSTÂNCIAS DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO (GTIC)

Seção I

COMITÊ DE GOVERNANÇA DIGITAL - CGD

Subseção I

Natureza do Comitê

Art. 1º O Comitê de Governança Digital (CGD) será órgão de caráter permanente e terá funções consultivas e deliberativas, tendo como objetivo determinar as prioridades dos programas de investimentos em Tecnologia da Informação e Comunicações - TIC, bem como todas as iniciativas correlatas a TIC, visando assegurar a qualidade, eficiência e eficácia das atividades e ações que dão suporte ao cumprimento da missão institucional do Ministério da Infraestrutura (MInfra).

Parágrafo único. As ações do CGD deverão estar em consonância com ao Plano Estratégico Institucional - PEI, ao Plano Anual de Contratações de TIC - PAC/TIC e a Estratégia de Governança Digital - EGD da administração pública federal.

Subseção II

Competências

Art. 2º Compete ao CGD:

I - estabelecer diretrizes, normas e práticas que assegurem o disposto no art.4º desta política no âmbito do Ministério;

II - deliberar sobre recursos e riscos estruturantes afetos ao Plano de Transformação Digital e à prestação de serviços digitais pelo MInfra;

III - deliberar sobre os assuntos relativos à implementação das ações de governo digital e ao uso de recursos de tecnologia da informação e comunicação; e

IV - outras atribuições que lhe forem cometidas pela autoridade competente.

V - aprovar o Plano de Transformação Digital, que conterá, no mínimo, as ações de:

a) transformação digital de serviços;

b) unificação de canais digitais; e

c) interoperabilidade de sistemas.

VI - aprovar e revisar o Plano Diretor de Tecnologia da Informação e Comunicação - PDTIC;

VII - aprovar o Plano de Dados Abertos do MInfra, nos termos da legislação vigente. No caso das entidades vinculadas, se for o caso, elas devem encaminhar os respectivos Planos ao CGDI para ciência e acompanhamento.

VIII - propor políticas, diretrizes, normas e práticas que assegurem o alinhamento das ações de tecnologia da informação e comunicação no âmbito do Ministério;

IX - definir prioridades de execução de projetos de TIC, segundo estratégias previamente formuladas, considerando-se as demandas apresentadas pelas unidades que compõem a estrutura do Ministério;

X - monitorar a situação dos projetos relativos, a TIC e resolver, conflitos de recursos e prioridades;

XI - acompanhar a execução do PDTIC;

XII - priorizar a alocação dos recursos orçamentários destinados à TIC, bem como as alterações posteriores que provoquem impacto significativo sobre a alocação inicial;

XIII - convocar servidor deste Ministério para tomar parte em reuniões ou compor grupos ou subgrupos de trabalho e convidar colaboradores eventuais;

XIV - deliberar sobre o prosseguimento de projeto que não esteja previsto no PDTIC;

XV - decidir sobre a utilização de serviços de desenvolvimento para a construção de softwares de atividades-meio.

XVI - apreciar e deliberar sobre estudos e pareceres técnicos, submetidos pela área de TIC, quanto à adoção de tecnologias, ferramentas e metodologias de trabalho para temas especializados de TIC do Ministério;

XVII - autorizar, mediante aprovação de justificativa, a contratação direta de ativo de infraestrutura de TIC, no que couber;

XVIII - zelar pelo fiel cumprimento e observância da legislação aplicável ao CGD;

XIX - participar das reuniões, apreciar e votar as matérias submetidas a exame;

XX - assinar as atas das reuniões;

XXI - fornecer ao comitê todas as informações e dados relativos ao CGD a que tenham acesso ou que se situem em suas esferas de competência, desde que não protegidas por legislação específica, sempre que as julgarem importantes, como subsídio às deliberações do comitê;

XXII - encaminhar ao comitê, por intermédio de sua Secretaria, quaisquer matérias que tenham interesse em submeter ao Colegiado;

XXIII - constituir, por meio de portaria, subgrupos/subcolegiados para tratar de assuntos específicos, quando assim deliberar o comitê, desde que sejam observadas as seguintes condições:

a) limitado o número máximo de seus membros;

b) estabelecido caráter temporário e duração não superior a um ano;

c) fixado o número máximo de subcolegiados que poderão operar simultaneamente.

Parágrafo único. Os grupos e os subgrupos de trabalho serão criados com vistas a aprofundar debates, discussões e a encontrar soluções diante de demandas suscitadas, propostas ou exigidas pelo Governo Federal ou pelo Ministério.

Art. 3º Compete ao presidente do comitê:

I - presidir as sessões plenárias, orientar os debates, tomar os votos e votar;

II - emitir voto de qualidade nos casos de empate;

III - convocar as reuniões ordinárias e formalizar as convocações das extraordinárias;

IV - solicitar informações sobre temas de relevante interesse para o desenvolvimento dos trabalhos do CGD;

V - solicitar estudos ou pareceres sobre matérias de interesse do comitê;

VI - decidir, "ad referendum" do comitê, utilizando-se de consulta prévia à Subsecretaria de Gestão Estratégica, Tecnologia e Inovação, quando se tratar de matéria inadiável e não houver tempo hábil para a realização de reunião, devendo dar conhecimento imediato da decisão aos demais membros do CGD; e

VII - firmar as atas das reuniões e as resoluções adotadas.

Parágrafo único. A decisão de que trata o inciso VI deste artigo será submetida à deliberação do comitê na primeira reunião subsequente ao ato, acompanhada de justificativa dos motivos determinantes da urgência.

Art. 4º Compete ao secretário (a) do comitê:

I - organizar a agenda das reuniões, divulgar a pauta, convocar os membros titulares e suplentes e assegurar o apoio logístico ao comitê;

II - secretariar as reuniões, registrando os fatos ocorridos e lavrando as respectivas atas; e

III - acompanhar e coordenar, no que couber, o cumprimento do que for deliberado pelo comitê, em conjunto com a coordenação executiva.

Subseção III

Composição do CGD

Art. 5º O Comitê de Governança Digital será composto por:

I - representante da Secretaria Executiva;

II - representante do Gabinete do Ministro;

III - representante da Secretaria Nacional de Aviação Civil;

IV - representante da Secretaria Nacional de Portos e Transportes Aquaviários;

V - representante da Secretaria de Fomento, Planejamento e Parcerias;

VI - representante da Secretaria de Nacional de Transportes Terrestres;

VII - representante da Subsecretaria de Planejamento, Orçamento e Administração;

VIII - representante da Subsecretaria de Conformidade e Integridade;

IX - representante da Subsecretaria de Sustentabilidade;

X - titular da unidade da Subsecretaria de Gestão Estratégica, Tecnologia e Inovação;

XI - encarregado do tratamento de dados pessoais, nos termos do disposto da Lei nº 13.709, de 14 de agosto de 2018.

§ 1º O Comitê de Governança Digital - CGD será presidido pelo representante da Secretaria Executiva e, nas suas faltas e impedimentos, pelo Subsecretário de Gestão Estratégica, Tecnologia e Inovação - SGETI.

§ 2º Os membros titulares referidos nos incisos I a X deverão ser ocupantes de cargos de provimento em comissão do Grupo - Direção e Assessoramento Superior - de nível 5 ou equivalente, ou de cargo de hierarquia superior.

§ 3º Os membros do comitê serão indicados pelo titular legal da respectiva área.

§ 4º O representante suplente será o substituto oficial do cargo do membro titular, independentemente do cargo de provimento em comissão que ocupe.

§ 5º Os suplentes dos integrantes do comitê ficarão investidos em todas as competências do titular, gozando de poderes especiais de representação quanto às matérias de competência do comitê e suas decisões terão efeito vinculante em relação à seção representada.

Art. 6º O comitê contará com o auxílio de um (a) Secretário (a) para apoiar os trabalhos administrativos, indicado (a) pela Secretaria Executiva do Ministério.

Subseção IV

Funcionamento do Comitê

Art. 7º O Comitê de Governança Digital reunir-se-á:

I - ordinariamente, trimestralmente, por convocação de seu presidente, em dia hora e local marcados com antecedência mínima de 7 (sete) dias; e

II - extraordinariamente, por convocação do presidente ou por solicitação de, no mínimo, 2 (dois) de seus membros, sendo necessário quórum da maioria absoluta para realização da reunião.

§ 1º Caso a Reunião Ordinária não seja convocada pelo presidente do comitê até o final do semestre, qualquer membro do CGD poderá fazê-lo no prazo de 15 quinze) dias, a contar do encerramento do semestre referido no inciso I.

§ 2º O ato de convocação da Reunião Extraordinária será formalizado pelo presidente do comitê, até 5 (cinco) dias após o recebimento de requerimento, e a reunião será realizada no prazo máximo de 10 (dez) dias, contado da data constante do ato de convocação.

Art. 8º Os membros do comitê deverão receber com antecedência mínima de 2 (dois) dias da reunião ordinária, a pauta da reunião e a versão definitiva das matérias dela constantes.

Art. 9º As reuniões do comitê serão realizadas com a presença de, no mínimo, 4 (quatro) dos seus membros.

Parágrafo único. O presidente, por solicitação de qualquer membro do CGD, poderá facultar a palavra a pessoas não integrantes do colegiado, para se pronunciarem sobre a matéria de interesse do comitê.

Art. 10. Da pauta da reunião ordinária deverá constar:

I - leitura da ata da reunião anterior;

II - síntese das comunicações da presidência referentes aos expedientes de interesse do comitê recebidos e remetidos, bem assim qualquer outro assunto que envolva matéria não constante em assuntos gerais;

III - matérias operacionais; e

IV - assuntos gerais.

§ 1º Após a realização da reunião, será encaminhada aos integrantes do comitê, minuta da ata da reunião, a qual poderá ser impugnada no prazo máximo de 10 (dez) dias, contados da data do recebimento desta.

§ 2º Considerar-se-á aprovada e apta à assinatura a minuta de ata de reunião não impugnada no prazo determinado no parágrafo anterior.

Art. 11. As decisões do comitê serão tomadas por maioria simples dos presentes.

Parágrafo único. Excepcionalmente, o comitê, por decisão da maioria simples dos presentes à reunião, poderá permitir a inclusão de matéria não incluída na pauta, atendendo à justificativa de urgência e relevância apresentada pelo membro do CGD proponente.

Art. 12. As deliberações do CGD serão obrigatoriamente lavradas em ata que deverá ser assinada por todos os membros presentes na reunião.

Subseção V

Disposições Gerais sobre o Comitê de Governança Digital

Art. 13. O comitê contará com apoio administrativo da Secretaria Executiva do Ministério.

Art. 14. A participação nas atividades do CGD será considerada serviço relevante e não remunerada.

Art. 15. Fica vedada a possibilidade de criação de subcolegiados por ato desde comitê, exceto se:

I - limitado o número máximo de seus membros;

II - estabelecido caráter temporário e duração não superior a um ano; e

III - fixado o número máximo de até 4 subcolegiados que poderão operar simultaneamente.

§ 1º Nos casos de membros que estiverem em entes federativos diversos, os mesmos deverão participar das reuniões do comitê através de videoconferência, exceto na hipótese de ser demonstrada, de modo fundamentado, a inviabilidade ou a inconveniência de se realizar a reunião por videoconferência e desde que comprovada a disponibilidade orçamentária e financeira para gastos com diárias e passagens.

§ 2º Os atos administrativos decorrentes das deliberações do comitê e necessários ao cumprimento desta Portaria serão expedidos pelo seu presidente.

Seção II

COMITÊ SETORIAL DE INFRAESTRUTURA DO SISP - COSETI

Subseção I

Da Natureza do Comitê

Art. 16. O Comitê Setorial de Infraestrutura do SISP - COSETI tem por finalidade apoiar e integrar as iniciativas estratégicas relacionadas à Tecnologia da Informação e Comunicação (TIC) e à Gestão da Informação, no âmbito do Ministério da Infraestrutura e das entidades vinculadas, integrantes do SISP.

Art. 17. O COSETI será de caráter permanente e terá funções consultivas tendo como objetivo promover o apoio, o planejamento, a coordenação, a integração e a articulação entre os programas de governo, planos, projetos e atividades, por meio da definição de políticas, diretrizes e normas relativas à TIC e à Gestão da Informação.

§ 1º O COSETI apoiará as ações de TIC e de Gestão da Informação deste Ministério e das entidades vinculadas que integram o SISP.

§ 2º Caberá ao COSETI promover a publicidade e transparência das informações tratadas no âmbito deste.

Subseção II

Das Competências

Art. 18. Compete ao COSETI:

I - promover a articulação entre as entidades vinculadas a este Ministério, quando for o caso, de modo a favorecer a integração das ações relacionadas à gestão da informação;

II - elaborar, deliberar e publicar os atos decorrentes das atribuições do COSETI;

III - propor à autoridade competente a formação de grupos de trabalho para o desenvolvimento de estudos, propostas e pareceres quanto à adoção de técnicas, ferramentas e métodos de trabalho que visem apoiar e atender de forma integrada as ações de TIC e de gestão da informação, desde que sejam observadas as seguintes condições:

a) limitado o número máximo de seus membros;

b) estabelecido caráter temporário e duração não superior a um ano; e

c) fixado o número máximo de subcolegiados que poderão operar

simultaneamente.

IV - contribuir com ações de minimização dos riscos e do aumento do nível de segurança das informações dos órgãos e entidades vinculadas, integrantes do SISP, e;

V - contribuir com o suporte tecnológico à consecução da governança de gestão da tecnologia da informação e comunicação.

§ 1º O ato de constituição do grupo de trabalho definirá seus objetivos específicos, sua composição e prazo para conclusão dos trabalhos.

§ 2º O Presidente do CETIC poderá convidar representantes de outros órgãos e entidades federais, bem como representantes da iniciativa privada para participarem das suas atividades.

Subseção III

Atribuições dos membros

Art. 19. São atribuições dos Membros do COSETI:

I - zelar pelo fiel cumprimento e observância das tratativas definidas nas reuniões;

II - participar das reuniões, contribuir com matérias de interesse do comitê;

III - firmar as atas das reuniões;

IV - examinar as matérias que lhes forem submetidas, emitindo pareceres;

V - propor e aprovar matérias e cronograma referentes à agenda anual do COSETI;

VI - apreciar e aprovar as matérias e pareceres apresentados pelos grupos de trabalho;

VII - representar o COSETI, por delegação do seu Presidente;

VIII - disseminar e acompanhar o cumprimento das decisões do COSETI em suas respectivas unidades internas ou entidades integrantes do SISP;

IX - encaminhar ao Secretário(a) do COSETI, matérias que tenham interesse de submeter ao Colegiado.

Art. 20. São atribuições do Presidente do COSETI:

I - presidir as reuniões;

II - orientar os trabalhos;

III - definir datas e pautas das reuniões;

IV - firmar e publicar atas das reuniões;

V - autorizar a presença nas reuniões de pessoas que, por si ou pelos órgãos que representem, possam contribuir com os trabalhos;

VI - designar o Secretário(a) do COSETI.

Art. 21. São atribuições do Secretário(a) do COSETI:

I - organizar a agenda das reuniões, divulgar a pauta e expedir atos de convocação dos membros titulares e suplentes;

II - secretariar as reuniões, registrando os fatos ocorridos e lavrando as respectivas atas;

III - solicitar das entidades responsáveis, observada a antecedência de cinco dias, a instrução de matérias a serem submetidas ao COSETI.

Subseção IV

Composição do Comitê

Art. 22. O COSETI será presidido pelo Subsecretário de Gestão Estratégica, Tecnologia e Inovação (SGETI) e contará com a participação de membros titulares ou suplentes, representantes das seguintes unidades e entidades vinculadas, integrantes do SISP:

I - Subsecretaria de Gestão Estratégica, Tecnologia e Inovação (SGETI);

II - Agência Nacional de Aviação Civil (ANAC);

III - Agência Nacional de Transportes Aquaviários (ANTAQ);

IV - Agência Nacional de Transportes Terrestres (ANTT);

V - Departamento Nacional da Infraestrutura de Transportes (DNIT);

§ 1º Os representantes titulares referidos nos incisos I a VIII deverão ser a autoridade máxima da área de tecnologia da informação - TI do órgão e ocupantes de provimento em comissão do grupo - Direção e Assessoramento Superior - DAS, de nível 5 ou equivalente, ou de cargo de hierarquia superior.

§ 2º O representante suplente para a composição do comitê, será o substituto oficial do cargo do membro titular, independentemente do cargo de provimento em comissão que ocupe.

§ 3º Nos impedimentos, o presidente do COSETI será substituído pelo seu substituto oficial.

§ 4º As demais entidades vinculadas ao Ministério, não integrantes do SISP, poderão participar do comitê na condição de convidadas.

Subseção V

Funcionamento do Comitê

Art. 23. O COSETI reunir-se-á, em caráter ordinário, trimestralmente, e, em caráter extraordinário, por convocação do seu presidente ou por solicitação de no mínimo 2 (dois) de seus membros, sendo necessário quórum da maioria absoluta de seus membros para a realização da reunião.

Parágrafo único. Nos casos de membros que estiverem em entes federativos diversos, os mesmos deverão participar das reuniões do comitê através de videoconferência, exceto na hipótese de ser demonstrada, de modo fundamentado, a inviabilidade ou a inconveniência de se realizar a reunião por videoconferência.

Subseção VI

Disposições Gerais

Art. 24. A participação como membro do COSETI é considerada serviço público relevante e não dá ensejo a qualquer tipo de remuneração.

CAPÍTULO II

INSTÂNCIAS DE GOVERNANÇA DE DADOS E INFORMAÇÃO (GDI)

Seção I

COMITÊ DE GOVERNANÇA DE DADOS E INFORMAÇÃO - CGDI

Subseção I

Natureza do Comitê

Art. 25. A atuação do Comitê de Governança de Dados e Informação (CGDI) contempla:

I - todos os dados e as informações produzidos, custodiados, mantidos ou recebidos no âmbito do MInfra e de suas entidades vinculadas integrantes do SISP, bem como suas análises, no que couber;

II - os processos de captação, geração, armazenamento, integração, utilização, compartilhamento, divulgação, retenção e descarte de dados e informações no âmbito do MInfra e de suas vinculadas integrantes do SISP.

Subseção II

Das Competências

Art. 26. Compete ao Comitê de Governança de Dados e Informação - CGDI do Ministério da Infraestrutura - MInfra:

I - prestar assessoria técnica ao Comitê de Governança Digital - CGD no tocante à gestão, compartilhamento, transparência e abertura de dados e informações;

II - dirimir dúvidas e decidir sobre conflitos sobre governança de dados e informação do MInfra;

III - definir a estratégia de catalogação e curadoria dos dados de interesse ao negócio do Ministério da Infraestrutura;

IV - avaliar o Plano Diretor de Tecnologia da Informação e Comunicação - PDTIC e a Política de Segurança da Informação e Comunicação - POSIC, a fim de resguardar o alinhamento com a política e o plano de ação de governança de dados e informação;

V - monitorar e avaliar as solicitações de abertura de bases de dados prevista no art. 6º do Decreto nº 8. 777, de 11 de maio de 2016 e Decreto nº 10.046, de 9 de outubro de 2019, conforme critérios estabelecidos pelo comitê;

VI - emitir normas complementares, orientações e diretrizes para a governança dos dados e informação, análise, catalogação, curadoria, integração, compartilhamento de dados no âmbito do MInfra e suas vinculadas, respeitando a legislação referente ao sigilo e à proteção de dados pessoais;

VII - definir critérios e monitorar a qualidade, a tempestividade, a acurácia, a validade, a completude, integridade, qualidade e consistência dos dados e informações no âmbito do MInfra e suas entidades vinculadas integrantes do SISP;

VIII - resolver controvérsias acerca da validade de informações cadastrais e regras de prevalência entre registros conflitantes no âmbito do MInfra e suas entidades vinculadas integrantes do SISP;

IX - emitir orientações e formular propostas para assegurar a sustentação econômico-financeira do compartilhamento de dados entre unidades que compõem o MInfra e entre estes e os demais órgãos e entidades da Administração Pública dos três Poderes da União, Estados, Distrito Federal e Municípios;

X - apoiar na elaboração, validar e encaminhar o plano de dados abertos ao Comitê de Governança Digital;

XI - representar o MInfra e suas entidades vinculadas integrantes do SISP em órgãos, colegiados ou eventos afetos à governança de dados e informação;

XII - garantir o alinhamento entre a Lei Geral de Proteção de Dados Pessoais - LGPD e os dados sob responsabilidade do MInfra e de suas entidades vinculadas integrantes do SISP;

XIII - propor soluções técnicas padronizadas que garantam a gestão, análise, integração, qualidade e compartilhamento dos dados da Infraestrutura para suporte e aprimoramento da gestão e dos serviços públicos prestados pelo Ministério e suas entidades vinculadas integrantes do SISP, e;

XIV - avaliar e aprovar a utilização de soluções em nuvem nos casos em que houver justificativa técnica, detalhando os riscos, a segurança, a governança, os requisitos dos sistemas, a infraestrutura e os dados;

XV - Incentivar a formação, o desenvolvimento e a capacitação técnica de recursos humanos em gestão de dados e informações.

Parágrafo único. As deliberações do comitê poderão ser submetidas ao CGD, em casos de conflitos não resolvidos no âmbito do CGDI ou em casos considerados estratégicos.

Art. 27. À presidência do comitê caberá:

I - organizar as reuniões do comitê e sua respectiva pauta; e

II - monitorar e reportar ao comitê a implementação de suas políticas, orientações e diretrizes.

Subseção III

Da Composição do CGDI

Art. 28. O Comitê de Governança de Dados e Informação - CGDI será presidido pelo representante da Subsecretaria de Gestão Estratégica, Tecnologia e Inovação (SGETI) e contará com a participação de membros titulares ou suplentes, representantes das unidades internas do MInfra referidas nos itens I a XI deste artigo, bem como com a participação facultativa de membros titulares ou suplentes, representantes das entidades vinculadas referidas nos inciso XII a XXVII desde artigo, a seguir especificados:

I - Gabinete do Ministro;

II - Corregedoria - CORREG;

III - Consultoria Jurídica - CONJUR;

IV - Assessoria Especial de Comunicação - AESCOM;

V - Assessoria Especial de Controle Interno - AECI;

VI - Ouvidoria - OUV;

VII - Secretaria Executiva - SE;

VIII - Subsecretaria de Planejamento, Orçamento e Administração - SPOA;

IX - Subsecretaria de Conformidade e Integridade - SCI;

X - Subsecretaria de Gestão Estratégica, Tecnologia e Inovação - SGETI;

XI - Subsecretaria de Sustentabilidade - SUST;

XII - Departamento Nacional de Infraestrutura de Transportes - DNIT;

XIII - VALEC Engenharia, Construções e Ferrovias S/A - VALEC;

XIV - Agência Nacional de Transportes Terrestres - ANTT;

XV - Agência Nacional de Transportes Aquaviários - ANTAQ;

XVI - Agência Nacional de Aviação Civil - ANAC;

XVII - Empresa de Planejamento e Logística - EPL;

XVIII - Companhia Docas do Ceará - CDC;

XIX - Companhia Docas do Rio de Janeiro - CDRJ;

XX - Companhia Docas da Bahia - CODEBA;

XXI - Companhia Docas do Pará - CDP;

XXII - Companhia Docas do Rio Grande do Norte - CODERN;

XXIII - Autoridade Portuária de Santos (Santos Port Authority-SPA);

XXIV - Secretaria de Fomento, Planejamento e Parcerias - SFPP;

XXV - Secretaria Nacional de Transportes Terrestres - SNTT;

XXVI - Secretaria Nacional de Aviação Civil - SAC; e

XXVII - Secretaria Nacional de Portos e Transportes Aquaviários - SNPTA.

§ 1º Os representantes titular e suplente serão indicados pelos dirigentes das respectivas unidades do Ministério da Infraestrutura.

§ 2º Os membros do CGDI, titulares e suplentes, devem ser ocupantes de cargo DAS ou FCPE igual ou superior ao nível 4 ou equivalente, com conhecimento:

I - sobre os dados e as informações que são produzidos na unidade;

II - sobre os sistemas informacionais das unidades;

III - em Transformação Digital; e

IV - em integrações de dados.

§ 3º Os membros do CGDI indicados, titulares e suplentes, deverão possuir capacidade decisória para representar a unidade.

§ 4º O comitê contará com o apoio técnico e administrativo da Coordenação de Governança de Dados e Informação (CODIN/CGIT/SGETI).

Subseção IV

Do Funcionamento do Comitê

Art. 29. O CGDI poderá instituir grupos de trabalho para o desenvolvimento de estudos temáticos ou para execução de atividades decorrentes de suas deliberações.

Parágrafo único. Os grupos de trabalho:

I - serão instituídos e compostos por ato do comitê;

II - não poderão ter mais de sete membros;

III - terão duração de no máximo 12 meses; e

IV - estão limitados a quatro operando simultaneamente.

Parágrafo único. O CGDI poderá convidar especialistas para participar dos grupos de trabalho e de suas reuniões, sem direito a voto.

Art. 30. Caberá ao CGDI constituir grupo de trabalho para elaboração do plano de dados abertos (PDA) e designar o responsável por sua coordenação dentre os integrantes do grupo.

Art. 31. O CGDI reunir-se-á:

I - anualmente, para elaborar o plano de ação da governança de dados;

II - extraordinariamente, convocado pelo presidente.

§ 1º As decisões do CGDI serão tomadas por maioria simples dos votos de seus membros, presente a maioria absoluta.

§ 2º As reuniões do CGDI devem ser realizadas, preferencialmente, por videoconferência, quando houver participação de servidores lotados em localidade diversa da sede do MInfra.

Art. 32. A participação no comitê e nos grupos de trabalho será considerada prestação de serviço público relevante, não remunerada.

CAPÍTULO III

INSTÂNCIAS DE GOVERNANÇA DA SEGURANÇA DA INFORMAÇÃO (GSI)

Seção I

COMITÊ DE SEGURANÇA DA INFORMAÇÃO - CSI

Subseção I

Disposições Gerais

Art. 33. O Comitê de Segurança da Informação - CSI dispõe sobre as medidas para assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação nos ambientes convencionais e de tecnologia da informação do Ministério.

Parágrafo único. O gestor de segurança da informação e comunicações, indicado pela Secretaria Executiva do Ministério da Infraestrutura, deverá observar as diretrizes estabelecidas pelo Gabinete de Segurança Institucional da Presidência da República.

Art. 34. O Comitê de Segurança da Informação tem as seguintes atribuições:

I - assessorar na implementação das ações de segurança da informação;

II - propor à autoridade competente a formação de grupo de trabalho para tratar de temas e propor soluções específicas sobre segurança da informação, observados os seguintes aspectos:

a) limitado ao número máximo de seus membros;

b) caráter temporário e duração não superior a um ano; e

c) fixação de número máximo de até 4 (quatro) subcolegiados que poderão operar simultaneamente.

III - propor alterações na política de segurança da informação interna;

IV - propor normas internas relativas à segurança da informação;

V - instituir a equipe de tratamento e resposta a incidentes de segurança.

Subseção II

Composição do Comitê

Art. 35. O Comitê de Segurança da Informação terá a seguinte composição:

I - um gestor de segurança da informação e comunicações, indicado pela Secretaria Executiva, que o coordenará;

II - um representante indicado pela Secretaria Executiva;

III - um representante indicado pela Secretaria Nacional de Portos e Transportes Aquaviários;

IV - um representante indicado pela Secretaria Nacional de Aviação Civil;

V - um representante indicado pela Secretaria Nacional de Transportes Terrestres;

VI - um representante indicado pela Secretaria de Fomento, Planejamento e Parcerias; e

VII - o titular da Subsecretaria de Gestão Estratégica, Tecnologia e Inovação, que atuará como substituto nas faltas e impedimentos do gestor.

§ 1º Os membros do Comitê de Segurança da Informação deverão ocupar cargo em comissão ou função de confiança de nível 5 ou superior do Grupo-Direção e Assessoramento Superiores ou equivalente.

§ 2º Os membros titulares do comitê serão substituídos pelos respectivos substitutos legais, em suas ausências ou impedimentos.

§ 3º A participação no comitê será considerada prestação de serviço público relevante, não remunerada.

§ 4º O Comitê de Segurança da Informação se reunirá sempre que houver a necessidade de definição e/ou revisão de procedimentos e normas, bem como a critério do Subsecretario de Gestão Estratégica, Tecnologia e Inovação.

§ 5º As deliberações do comitê serão aprovadas pela maioria simples dos membros presentes e o gestor do comitê, além do voto regular, terá o voto de desempate.

Art. 36. O comitê contará com o auxílio de um (a) secretário (a) para apoiar os trabalhos administrativos, indicado (a) pelo gestor.

Parágrafo único. As matérias somente serão apreciadas com quórum da maioria simples dos presentes, sendo que, em casos de empate, o voto de qualidade caberá ao gestor de segurança da informação e comunicações ou, na sua falta, ao seu substituto.

Subseção III

Reuniões do Comitê

Art. 37. O CSI reunir-se-á, em caráter ordinário, semestralmente, e, em caráter extraordinário, por convocação do seu presidente ou por solicitação de no mínimo 2 (dois) de seus membros, sendo necessário quórum da maioria absoluta de seus membros para a realização da reunião.

Parágrafo único. Nos casos de membros que estiverem em entes federativos diversos, os mesmos deverão participar das reuniões do comitê através de videoconferência, exceto na hipótese de ser demonstrada, de modo fundamentado, a inviabilidade ou a inconveniência de se realizar a reunião por videoconferência e desde que comprovada a disponibilidade orçamentária e financeira para gastos com diárias e passagens.

Subseção IV

Gestor de Segurança da Informação e Comunicações

Art. 38. O gestor de segurança da informação e comunicações tem as seguintes atribuições:

I - assessorar na implementação das ações de segurança da informação;

II - promover a cultura de segurança da informação;

III - coordenar e executar as ações de segurança da informação e a correspondente gestão de riscos;

IV - conduzir a elaboração, atualização e implementação da Política de Segurança da Informação - POSIN;

V - propor normas relativas à POSIN;

VI - assegurar que sejam observadas e aplicadas, integralmente, as políticas e normas da POSIN vigentes;

VII - coordenar o Comitê de Segurança da Informação - CSI e a Equipe de Tratamento e Resposta a Incidentes de Segurança - ETIR;

VIII - propor à autoridade competente que sejam providos os meios necessários para a capacitação e o aperfeiçoamento técnico dos membros da ETIR;

IX - acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança;

X - realizar e acompanhar estudos de novas tecnologias, quanto a possíveis impactos na POSIN;

XI - manter contato direto com o Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República para o trato de assuntos relativos à segurança da informação;

XII - coordenar as ações relacionadas com a gestão de continuidade de negócios; e

XIII - aplicar as ações corretivas e encaminhar à corregedoria comunicação para adoção das medidas disciplinares cabíveis nos casos de violação da segurança da informação.

Subseção V

Equipe de Tratamento e Resposta a Incidentes de Segurança

Art. 39. A Equipe de Tratamento e Resposta a Incidente de Segurança da Informação - ETIR será composta preferencialmente por servidores públicos ocupantes de cargo público efetivo e deverá contar com pessoal com capacitação técnica compatível e capaz de apoiar as atividades de prevenção, de tratamento e de resposta a incidentes cibernéticos.

Art. 40. É obrigatória a publicação de documento de criação da ETIR, alinhado à presente POSIN e aos normativos, padrões e procedimentos técnicos exarados pelo CTIR Gov, e que deverá prever, entre outras, as seguintes atribuições:

I - monitorar o ambiente e recursos de TIC do Ministério, a fim de identificar possíveis incidentes de segurança da informação;

II - realizar a investigação do incidente de segurança da informação, propondo medidas de contenção;

III - assessorar o Comitê de Segurança da Informação - CSI na análise e tomada de decisões a respeito de situações resultantes de incidentes de segurança da informação;

IV - realizar a análise do incidente de segurança da informação, de forma a propor medidas para eliminar ou solucionar problemas que causaram o incidente;

V - recolher e preservar as evidências para subsidiar a forense digital;

VI - compor a rede de equipes formada pelos órgãos e entidades da administração pública federal, coordenada pelo Centro de Tratamento de Incidentes de Redes do Governo do Gabinete de Segurança Institucional da Presidência da República.

ANEXO IV

IMPLEMENTAÇÃO E GESTÃO DA GOVERNANÇA DA TECNOLOGIA DE INFORMAÇÃO E COMUNICAÇÃO (GTIC), DE DADOS E INFORMAÇÃO (GDI) E DE SEGURANÇA DA INFORMAÇÃO (GSI).

CAPÍTULO I

GOVERNANÇA DA GESTÃO DA TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO (GTIC)

Seção I

Disposições Gerais

Art. 1º A governança da gestão de tecnologia da informação e comunicação do Ministério da Infraestrutura tem como finalidade definir os objetivos, os princípios e as diretrizes a serem observadas por todos os órgãos e unidades internas que o compõem, bem como por suas entidades vinculadas, no que couber, conforme o previsto no § 1º do art. 2º do Anexo II desta Portaria.

Art. 2º São objetivos da governança da gestão de tecnologia da informação e comunicação do MInfra, em consonância com a Estratégia de Governo Digital (EGD) e com o plano estratégico vigentes:

I - proporcionar maior eficiência e competitividade do setor por meio da utilização de tecnologia para eliminação de entraves e simplificação às empresas do setor nos processos de outorga, autorizações, anuências, licenças e certificações;

II - reduzir os custos de transação dos cidadãos e das entidades que utilizam os serviços públicos do setor de transporte e trânsito;

III - reduzir custos e aumentar a eficiência do setor público por meio da adoção de tecnologias para automatizar e simplificar processos;

IV - facilitar ao cidadão o acesso aos serviços públicos do setor, disponibilizando canais e serviços digitais integrados, simples e intuitivos;

V - promover a transparência, o compartilhamento e o acesso seguros a dados e informações, com garantia de privacidade, com vistas a potencializar o controle e a participação social, a pesquisa científica e a geração de novos negócios;

VI - conferir ao Ministério da Infraestrutura e às suas entidades vinculadas, quando for o caso, maior capacidade para transformar os serviços e processos analógicos em digitais;

VII - promover a melhoria contínua da qualidade dos serviços;

VIII - potencializar o uso de tecnologias emergentes;

IX - promover a prestação de serviços inteligentes e personalizados aos cidadãos; e

X - estabelecer o modelo de governança dos serviços digitais prestados pelo MInfra.

Art. 3º A governança de gestão da tecnologia da informação e comunicação do MINFRA será regida pelos seguintes princípios e diretrizes:

I - visão centrada na perspectiva do cidadão e das empresas usuárias dos serviços de transportes e trânsito;

II - portal de serviços do governo federal como catálogo central de todos os serviços do setor;

III - monitoramento e a avaliação contínua dos serviços do setor;

IV - simplificação dos serviços prestados e eliminação, quando possível, de formalidades e exigências desnecessárias ou superpostas;

V - ação integrada dos órgãos envolvidos na cadeia de serviços do setor;

VI - desenvolvimento dos serviços com foco na melhoria da experiência do cidadão;

VII - melhoria da qualidade e disponibilidade de dados e informações para apoiar a formulação e avaliação das políticas públicas;

VIII - racionalização dos gastos públicos;

IX - interoperabilidade para eficiência;

X - garantia da proteção de dados pessoais; e

XI - redução e mitigação de riscos da gestão das informações.

Seção II

Definições

Art. 4º Para fins do disposto nesta Portaria, no âmbito da Governança de Gestão da Tecnologia da Informação e Comunicação do MINFRA, considera-se:

I - PLANO DIRETOR DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - PDTIC: instrumento gestão da tecnologia de informação envolvendo diagnóstico, planejamento, abrangendo habilidades, competências, hardware, software, redes, sistemas de informações, infraestrutura e pessoal para atender às necessidades de informação com ações estratégicas, táticas e operacionais necessárias à Instituição;

II - PLANO ANUAL DE CONTRATAÇÕES DE TECNOLOGIA DA INFORMAÇÃO - PAC-TIC: instrumento que consolida todas as contratações de tecnologia da informação que o órgão ou entidade pretende realizar ou prorrogar, no exercício subsequente, independentemente do objeto a ser contratado;

III - ESTRATÉGIA DE GOVERNO DIGITAL: conjunto de princípios, objetivos e iniciativas que nortearão a transformação do governo por meio do uso de tecnologias digitais, com a promoção da efetividade das políticas e da qualidade dos serviços públicos;

IV - TRANSFORMAÇÃO DIGITAL: processo de aprimoramento do desempenho da administração pública, por meio do uso da tecnologia, trazendo serviços mais acessíveis, modernos e menos onerosos ao cidadão, bem como promovendo maior transparência aos dados públicos;

V - PLANO DE TRANSFORMAÇÃO DIGITAL - PTD: instrumento de planejamento que dispõe sobre ações de transformação digital de serviços, unificação de canais digitais e interoperabilidade de sistemas;

VI - INTEROPERABILIDADE: capacidade de diversos sistemas e organizações trabalharem em conjunto (interoperar), de modo a garantir que pessoas, organizações e sistemas computacionais interajam para trocar informações de maneira eficaz e eficiente. É o processo de comunicação de dois ou mais sistemas sem a geração de uma dependência tecnológica entre os mesmos;

VII - SERVIÇOS PÚBLICOS: são aqueles que precisam que o usuário realize ações específicas e interaja com o órgão para que seja prestado. O serviço deve seguir um processo padrão, atender a cada usuário de forma individualizada, começar com um objetivo do usuário e terminar quando este ou atinge este objetivo ou é informado, de forma final, de que ele não pode obter aquele serviço;

VIII - SERVIÇO PÚBLICO DIGITAL: serviço público cuja prestação ocorra por meio eletrônico, sem a necessidade de atendimento presencial;

IX - ESTEIRA DE DESENVOLVIMENTO - processo estabelecido pela unidade de TICs capaz de produzir soluções para determinados tipos de demandas de tecnologia; e

X - USUÁRIO: todo aquele membro da sociedade que possa ser individualizado e tratado como uma entidade única, como uma pessoa, uma empresa, uma organização pública ou privada, uma comunidade ou até mesmo um ente da federação.

Art. 5º São estruturas de governança da gestão de tecnologia da informação e comunicação do Ministério da Infraestrutura:

I - comitê de governança digital ou estrutura equivalente, devendo ser instituído no âmbito do MInfra e em cada entidade vinculada integrante do SISP, conforme previsto no art. 2° do Decreto nº 10.332, de 28 de abril de 2020;

II - comitê setorial de infraestrutura do SISP, coordenado pelo MInfra, com participação dos responsáveis pelo SISP das entidades vinculadas integrantes do SISP.

Parágrafo único. O respectivo funcionamento das estruturas de que trata o caput estão definidos no Anexo III desta Portaria.

Seção III

Atores envolvidos na governança de TIC

Art. 6º São atores envolvidos na governança de gestão da tecnologia da informação e comunicação do MInfra:

I - titular do órgão setorial do SISP do Ministério, conforme decreto que aprova estrutura regimental do Ministério;

II - titulares dos órgãos seccionais do SISP no âmbito do Ministério, representados pelos chefes das unidades de administração dos recursos de Tecnologia da Informação das autarquias e das fundações públicas, vinculadas ao Ministério;

III - titulares dos órgãos correlatos do SISP no âmbito do Ministério, representado pelos chefes das unidades desconcentradas e formalmente constituídas de administração dos recursos de tecnologia da informação nos órgãos setoriais e seccionais;

IV - representantes das unidades do Comitê de Governança Digital, conforme descrito no Anexo III, Capítulo I, desta Portaria;

V - gestores demandantes das áreas de negócio que são titulares das unidades aprovadores da execução de soluções de TIC, necessárias ao desenvolvimento de suas atribuições. No âmbito da administração central do Ministério, devem ser ocupantes de cargo em comissão de, no mínimo, DAS 4 ou equivalente;

VI - ponto focal para atividades de relacionamento, designado pela unidade de negócio da Administração Central do Ministério para tratar das demandas da área;

VII - unidade de relacionamento de TIC, representante da estrutura do órgão Setorial do SISP para recepção e tratamento de demandas;

VIII - unidades técnicas de TIC, áreas especializadas nos diversos temas técnicos de TIC, subordinadas ao órgão Setorial do SISP;

IX - responsável da área de negócio pelo produto, representante indicado pela área de negócio para compor a equipe de desenvolvimento ágil das soluções de TICs;

X - gestor do plano de transformação digital, designado pelo MInfra e por cada unidade vinculada para coordenar a elaboração e o monitoramento do Plano no seu âmbito. No MInfra, será exercido pelo titular da Subsecretaria de Gestão Estratégica, Tecnologia e Inovação - SGETI, vinculada à Secretaria Executiva/MINFRA, ou substituto por ele designado;

XI - representante da Secretaria Especial de Modernização do Estado da Presidência da República - SEME/PR, para fins de monitoramento da execução do plano;

XII - representante da Secretaria de Governo Digital do Ministério da Economia - SGD/ME, para fins de monitoramento da execução do plano;

XIII - gestor do portfólio de serviços digitais do MInfra, exercido pelo titular do cargo de coordenador-geral, ou substituto por ele designado, da Coordenação-Geral de Inovação e Transformação de Serviços;

XIV - gestor do portfólio de serviços da vinculada, designado por autoridade competente da unidade para essa função;

XV - gestor do serviço, exercido pelo titular da unidade organizacional, responsável pela coordenação do processo executado para a prestação do serviço;

XVI - patrocinador de projetos de transformação digital, exercido por autoridade de nível mínimo de DAS 5 ou equivalente; e

XVII - gerente de projeto, exercido por servidor que gerencia projeto finalístico ou estruturante do portfólio de projetos dos programas de transformação digital.

Seção IV

Papéis e Responsabilidades na Governança de TIC

Art. 7º Os papéis e responsabilidades dos titulares do órgão setorial, seccional e correlato do SISP do Ministério estão definidos no Decreto nº 7.579, de 11 de outubro de 2011.

Art. 8º Os representantes das unidades do Comitê de Governança Digital, terão seus papéis e responsabilidades descritos no Anexo III, Capítulo I, desta Portaria;

Art. 9º Aos gestores demandantes das áreas de negócio incumbem:

I - indicar ponto focal para atividades de relacionamento de TICs;

II - definir as demandas da área de negócio;

III - aprovar demandas no âmbito do CGD;

IV - atuar para resolver problemas e mitigar riscos associados ao processamento das demandas, associados à sua esfera de decisão;

Art. 10. Ao ponto focal para atividades de relacionamento de TIC incumbe:

I - concentrar o levantamento e registro das demandas das unidades de negócio para fins de elaboração do PDTIC e PAC-TIC.

Art. 11. Ao Responsável da área de negócio pelo Produto cabe acompanhar as diversas etapas do desenvolvimento ágil das soluções demandadas, tomando decisões de negócio necessárias.

Art. 12. À unidade de relacionamento de TIC incumbe:

I - receber e dar primeiro tratamento as demandas de TIC;

II - propor as áreas de negócio soluções acerca das demandas;

III - convocar as unidades técnicas de TIC necessárias para definição das esteiras de desenvolvimento das demandas;

IV - aplicar metodologia de priorização das demandas e alinhar expectativas com a área demandante;

V - acompanhar o status das demandas mantendo as áreas demandantes informadas

VI - atuar para resolver ou escalar problemas e/ou ações para mitigação de riscos que impactem a qualidade ou o cumprimento dos prazos acordados das demandas em tratamento.

Art. 13. Às unidades técnicas de TIC, incumbem:

I - prestar consultoria técnica às áreas de negócio no contexto do tratamento de demandas recebidas pela unidade de relacionamento de TICs, visando à definição da esteira de desenvolvimento;

II - planejamento, desenvolvimento, execução e monitoramento das demandas aprovadas e priorizadas;

III - a especificação de recursos, a implementação, a disseminação e o incentivo ao uso de soluções de tecnologia;

IV - a orientação e o suporte aos usuários na instalação, na configuração e no uso de equipamentos e na utilização de sistemas, aplicativos e serviços na área de tecnologia;

V - o desenvolvimento, a contratação e a manutenção de soluções de tecnologia;

VI - a operação e a manutenção ininterrupta das centrais de comunicações, de atendimento e de informações no âmbito do Ministério da Infraestrutura; e

VII - atuar para resolver ou escalar problemas e/ou ações para mitigação de riscos que impactem a qualidade ou o cumprimento dos prazos acordados das demandas em tratamento, informando à unidade de relacionamento de TIC a respeito de questões que fujam da sua alçada de atuação.

Art. 14. Ao gestor do plano de transformação digital incumbe:

I - conduzir o processo de elaboração do Plano de Transformação Digital no respectivo órgão de atuação;

II - coordenar a implementação do Plano;

III - monitorar e avaliar continuamente a execução do Plano, bem como propor ao Comitê de Governança Digital, as respectivas ações de melhoria e repactuações de metas e ações; e

IV - realizar a interlocução em nível estratégico, com a Secretaria de Governo Digital do Ministério da Economia (SGD/ME) e a Secretaria Especial de Modernização do Estado da Presidência da República (SEME/PR).

Art. 15. Ao gestor do portfólio de serviços digitais incumbe:

I - promover a atualização contínua do catálogo de serviços do MInfra e entidades vinculadas integrantes do SISP no portal de serviços do Governo Federal;

II - orientar os gestores de portfólio de serviços das entidades vinculadas integrantes do SISP quanto ao modelo de governança de serviços do MInfra;

III - monitorar e avaliar a qualidade dos serviços do MInfra e vinculadas;

IV - reportar ao gestor do plano de TD do MInfra, inconsistências nos serviços digitais prestados e atuar para que sejam saneadas;

V - definir e acompanhar as métricas de interesse estratégico referentes a serviços digitais;

VI - dar publicidade às métricas de desempenho dos serviços digitais prestados pelo MInfra;

VII - propor e apoiar tecnicamente as melhorias necessárias aos processos considerando a experiência do usuário na prestação de serviços do MInfra; e

VIII - realizar a interlocução, em nível tático e operacional, com os demais atores de que trata o art. 7º, para promover a melhoria contínua dos serviços.

Art. 16. Ao gestor do portfólio de serviços das entidades vinculadas integrantes do SISP cabe:

I - conduzir revisões periódicas do portfólio de serviços no seu âmbito de atuação;

II - prover acesso e treinamento aos gestores dos serviços quanto ao uso do portal de serviços do Governo Federal;

III - coordenar e definir o fluxo de informações sobre serviços, no que se refere à compatibilidade entre conteúdo do site da vinculada e o portal de serviços do Governo Federal;

IV - definir e acompanhar as métricas de interesse estratégico referentes a serviços;

V - coordenar a publicização das métricas de desempenho dos serviços prestados pela vinculada; e

VI - ser o ponto de contato com outras instâncias do Governo Federal no que se refere à integração de iniciativas com impacto na gestão de serviços.

Art. 17. Ao Gestor do Serviço incumbe:

I - atualizar a situação cadastral dos respectivos serviços no portal de serviços do Governo Federal;

II - implementar melhorias aos processos e serviços; e

III - comunicar os avanços das ações ao respectivo gestor do portfólio de serviços digitais.

Art. 18. Os papéis e as responsabilidades dos patrocinadores e gerentes de projeto de transformação digital será definido pelo escritório de projetos corporativo.

Seção V

Instrumentos de Planejamento em gestão de TIC

Art. 19. São instrumentos de planejamento da Governança de Gestão da Tecnologia da Informação e Comunicação:

I - plano de transformação digital (PTD);

II - plano diretor de tecnologia da informação e comunicação (PDTIC);

III - plano anual de contratações de tecnologia da informação (PAC-TIC);

§ 1º O PTD será:

I - elaborado pelo MInfra e, opcionalmente, por cada entidade vinculada integrante do SISP, sendo que destas entidades, as que não elaborarem o próprio PTD, poderão contribuir com ações para o PTD do Ministério;

II - aprovado pelo respectivo Comitê de Governança Digital - CGD e pela Secretaria de Governo Digital (SGD) do Ministério da Economia (ME).

§ 2º O PDTIC será elaborado pelo MInfra e por cada entidade vinculada integrante do SISP e aprovado pelo respectivo CGD.

Seção VI

Monitoramento e da Avaliação dos Planos

Art. 20. A estratégia de monitoramento e avaliação dos planos de transformação digital será setorial e integrada entre o MInfra e suas entidades vinculadas integrantes do SISP, compreendendo, no mínimo:

I - definição de indicadores, metas e projetos nos respectivos Planos;

II - prestação de informações sobre a execução dos respectivos planos de forma sistemática e regular;

III - reuniões periódicas de acompanhamento.

§ 1º O gestor do PTD do MInfra ficará responsável por consolidar as informações dos planos das entidades vinculadas integrantes do SISP em nível setorial.

§ 2º Os gestores dos PTDs das entidades vinculadas integrantes do SISP enviarão as informações sobre execução dos respectivos planos conforme periodicidade e modelo definido pela SEME/PR e pelo gestor do PTD do MInfra.

§ 3º Reuniões de acompanhamento dos PTDs setoriais poderão ser convocadas pela SEME/PR ou pelo Gestor do PTD do MInfra, devendo ser atendidas pelo Gestor do PTD das entidades vinculadas integrantes do SISP, com participação opcional dos gerentes de projetos ou outros indicados pela unidade.

Art. 21. Os planos de transformação digital (PTD) deverão conter metas, ações e iniciativas alinhados aos objetivos dispostos no art. 2º desta política e que contribuam para o cumprimento dos prazos previstos nas iniciativas da EGD e do Decreto nº 8.936, de 19 de dezembro de 2016, que dependam de ação do MInfra e de suas entidades vinculadas integrantes do SISP.

Art.22. O monitoramento, avaliação e alinhamento de iniciativas, ações e projetos estratégicos aos objetivos constantes do PTD, são organizados em quatro eixos temáticos e um estruturante - são eles:

I - trânsito: refere-se aos serviços relacionados a veículos, habilitações, infrações e educação no trânsito;

II - operações de transporte: refere-se aos serviços relacionados a cada operação de transporte de cargas e passageiros em seus diversos modais ou na modalidade multimodal;

III - outorgas e certificações: refere-se aos serviços de solicitação, alteração de outorgas, autorizações, licenças e certificações necessários para operar ou prestar serviços de trânsito ou infraestrutura de transportes;

IV - fomento: refere-se à solicitação de aprovação de fomento a projetos de infraestrutura e pleito de financiamento com recursos dos fundos administrados pelo Ministério da Infraestrutura.

V - estruturante refere-se às ações estruturais que deverão suportar e impulsionar o processo de transformação no Ministério da Infraestrutura e suas entidades vinculadas integrantes do SISP.

Parágrafo único. As iniciativas, as ações e os projetos de que tratam os incisos II e III poderão ser agrupadas por modo de transportes (aeroviário, aquaviário, rodoviário e ferroviário) para efeito de monitoramento e avaliação.

Art. 23. O monitoramento e avaliação dos planos diretores de tecnologia da informação e comunicação (PDTIC) do Ministério e das entidades vinculadas integrantes do SISP deve ser feito no mínimo anualmente e apresentado nas reuniões do respectivo Comitê de Governança Digital - CGD.

Seção VII

Disposições Transitórias

Art. 24. Os planos de transformação digital do MInfra e das entidades vinculadas integrantes do SISP deverão ser editados ou revisados, caso existam, no prazo de noventa dias a partir da publicação desta Portaria, em conformidade com o disposto nesta política.

CAPÍTULO II

GOVERNANÇA DE DADOS E INFORMAÇÃO - GDI

Seção I

Disposições Gerais

Art. 25. A governança de dados e informação do Ministério da Infraestrutura tem como finalidade definir os objetivos, os princípios e as diretrizes a serem observados por todas as Secretarias que o compõem, assim como, por suas entidades vinculadas integrantes do SISP da administração pública federal, direta, autárquica e fundacional.

Art. 26. São objetivos da governança de dados e informação:

I - assegurar a preservação da intimidade e privacidade das pessoas naturais, nos termos da lei;

II - assegurar a proteção dos dados pessoais e a preservação do sigilo das pessoas jurídicas, nos termos da lei;

III - assegurar a manutenção e constante aprimoramento dos requisitos de dados e informação sob responsabilidade ou coordenação do MInfra e suas entidades vinculadas integrantes do SISP;

IV - garantir, em quantidade, qualidade e tempestividade os insumos de dados e informações necessários ao cumprimento da missão institucional do MInfra;

V - promover a integração e a articulação entre as unidades que compõem o MInfra e entre estas e os demais Poderes da União, Estados, Distrito Federal e Municípios, para:

a) execução de políticas públicas orientadas por dados e informações;

b) racionalização do tratamento da informação, desde a geração primária até sua disseminação e uso;

VI - aprimorar a transparência pública do MInfra e assegurar o acesso aos dados e às informações públicas existentes, em formato aberto, permitida sua livre utilização, consumo e cruzamento;

VII - disponibilizar e compartilhar dados e informações que garantam a execução das políticas públicas no âmbito do MInfra;

VIII - promover a melhoria na execução dos serviços públicos digitais; e

IX - garantir a preservação e retenção da base de dados e informações do MInfra.

Parágrafo único. Esta política pode ser revista a qualquer tempo para atualizar seus termos em relação às constantes mudanças tecnológicas que afetam os dados e informações objeto de sua regulamentação.

Art. 27. A governança de dados e informação do MINFRA será regida pelos seguintes princípios e diretrizes:

I - fomento ao desenvolvimento da cultura de transparência e da participação social;

II - alinhamento com as diretrizes de gestão e preservação de documentos e informações, visando a integridade, a confiabilidade, a auditabilidade, a interoperabilidade, a tempestividade, a disponibilidade, a qualidade, a acurácia, a validade, a completude, a consistência dos dados e, quando for o caso, a sua confidencialidade;

III - amplo compartilhamento de dados e demais ativos de informação, respeitadas as restrições legais;

IV - racionalização e sustentabilidade econômico-financeira das soluções de tecnologia da informação e comunicações de dados e informação;

V - utilização de soluções em nuvem nos casos em que houver justificativa técnica detalhando os riscos, a segurança, a governança, os requisitos dos sistemas, a infraestrutura e os dados;

VI - respeito à privacidade, à inviolabilidade da intimidade, da honra e da imagem das pessoas e instituições, nos termos da lei;

VII - adoção e aprimoramento dos requisitos de segurança da informação, comunicações, dados e informação em consonância com as diretrizes do Comitê de Segurança da Informação.

Art. 28. A estrutura de governança de dados e informação consistirá no comitê de governança de dados e informação (CGDI), que contará com a participação de representantes das entidades vinculadas integrantes do SISP, podendo estas instituírem estrutura equivalente no seu âmbito de atuação.

Parágrafo único. O respectivo funcionamento do CGDI está definido no Anexo III deste regulamento.

Seção II

Definições

Art. 29. Para fins do disposto nesta Portaria, no âmbito da governança de dados e informação, considera-se:

I - DADO: sequência de símbolos ou valores, representados em algum meio, produzidos como resultado de um processo natural ou artificial;

II - INFORMAÇÃO: conjunto de dados organizados de tal forma que tenham valor ou significado em algum contexto;

III - DADOS ABERTOS: dados públicos representados em meio digital ou físico, estruturados em formato aberto, processáveis por máquina, referenciados na rede mundial de computadores e disponibilizados sob licença aberta que permita sua livre utilização, consumo ou cruzamento;

IV - METADADO: informação que descreve características de determinado dado, explicando-o em certo contexto de uso;

V - PLANO DE DADOS ABERTOS - PDA: documento orientador para as ações de implementação e promoção de abertura de dados de cada órgão ou entidade da administração pública federal, obedecidos os padrões mínimos de qualidade, de forma a facilitar o entendimento e a reutilização das informações;

VI - BASE DE DADOS: repositório de dados e informações relacionados a determinado tema ou finalidade e estruturados de maneira a permitir a sua consulta, atualização e outros tipos de operação processados por meios informáticos;

VII - DICIONÁRIO DE DADOS: compilação completa ou parcial dos metadados que contém categorização em ordem convencionada;

VIII - CATÁLOGO DE BASES DE DADOS: lista descritiva de todas as bases de dados do MInfra, com suas respectivas unidades gestoras e agentes de curadoria, bem como descrição da atividade, processo de trabalho, serviço público ou política pública a que a base de dados está associada;

IX - GESTOR DO DADO: unidade organizacional do Ministério ou unidade vinculada que responde pela gestão de uma base de dados, em decorrência de:

a) possuir interesse direto na utilização dos dados que compõem a base, para a execução de processos ou atividades da sua cadeia de valor;

b) possuir, preferencialmente, competência legal, normativa ou regimental pelo principal processo de trabalho relacionado à base de dados, cujo resultado está diretamente vinculado ao propósito do uso dessas informações na instituição;

X - PRECISÃO DOS DADOS: indicação se os dados estão com a granularidade suficiente;

XI - CUSTODIANTE DO DADOS: organização ou unidade responsável pela hospedagem física dos dados.

XII - GESTOR DA INFORMAÇÃO: unidade organizacional do Ministério ou unidade vinculada que responde pela gestão das informações.

Seção III

Atores em governança de dados e informação

Art. 30. São atores envolvidos na governança de dados e informação, do Ministério da Infraestrutura:

I - gestores de dados, exercido por unidade organizacional do Ministério ou entidades vinculadas integrantes do SISP responsável pela gestão da base de dados.

II - custodiantes de dados, exercido por unidade organizacional ou órgão que detém fisicamente a guarda da base de dados.

III - autoridade do plano de dados abertos, exercido pela autoridade designada nos termos do Art. 40 da Lei nº 12.527, de 2011;

IV - gestores técnicos do plano de dados abertos da unidade de negócio do MInfra, exercido por servidores indicados por cada unidade de negócio do Ministério;

V - gestor da rede de analytics, exercido pelo coordenador de governança de dados e informação ou substituto por ele designado;

VI - gestores de informação, exercido por unidade organizacional do Ministério ou entidades vinculadas integrantes do SISP responsável pela gestão de informações.

Parágrafo único. O gestor do dado e gestor da informação poderá ser exercido pelo mesmo membro representante da unidade organizacional.

Seção IV

Papéis e Responsabilidades

Art. 31. Ao gestor do dado cabe:

I - autorizar o acesso e compartilhamento dos dados e metadados sob sua responsabilidade;

II - tomar decisão em relação à correção das inconsistências dos dados sob sua responsabilidade;

III - certificar que os recursos de dados estão de acordo com as necessidades do negócio garantindo a qualidade dos dados e os seus metadados.

IV - propor modelos conceituais de dados respeitando as regras e padrões da arquitetura corporativa de dados do MInfra.

V - garantir a validade e relevância dos modelos conceituais de dados sob sua responsabilidade.

VI - manter valores e significados dos dados de referência.

VII - identificar e atuar na resolução de problemas com os dados.

VIII - assegurar o cumprimento de regulamentos, políticas e padrões definidos pelo Comitê de Governança de Dados e Informação do MInfra.

IX - implementar e controlar ações para gerenciar riscos, proteger e garantir a qualidade dos dados.

X - supervisionar a administração de dados sob sua responsabilidade.

XI - controlar o acesso aos dados, e seus ativos como o processo de aprovações e revisão para solicitações de cópia de um banco de dados.

XII - conferir valor do negócio: assegura que seus dados atendam ao objetivo comercial pretendido.

Art. 32. Ao Gestor da Informação cabe:

I - mapear os fluxos formais de informação da área;

II - integrar as informações da sua unidade do Ministério e entidades vinculadas integrantes do SISP, no sentido de racionalizar o tratamento da informação, desde a geração primária até sua disseminação e uso;

III - prevenir o conflito e a redundância de informações geradas, tratadas e divulgadas pela Instituição;

IV - uniformizar os termos e conceitos de uso corrente no setor, visando a padronização da terminologia;

V - primar pela transparência, integridade, autenticidade, padronização, disponibilidade e conformidade das informações;

VI - assegurar o cumprimento de regulamentos, políticas e padrões definidos pelo Comitê de Governança de Dados e Informação do MInfra;

VII - implementar e controlar ações para gerenciar riscos, proteger e garantir a qualidade das informações; e

VIII - identificar e atuar na resolução de problemas com as informações.

Art.33. Ao Custodiante do Dado cabe o controle técnico dos dados, incluindo segurança, escalabilidade, gerenciamento de configuração, disponibilidade, precisão, consistência, trilha de auditoria, backup e restauração, padrões técnicos, políticas e implementação de regras de negócios.

Art.34. À Autoridade de Monitoramento da Lei de Acesso à Informação (LAI) do MInfra, designada conforme previsto no art. 40 da Lei nº 12.527/2011, cabe:

I - assegurar a publicação e a atualização do plano de dados abertos;

II - orientar as unidades sobre o cumprimento das normas referentes a dados abertos;

III - assegurar o cumprimento das normas relativas à publicação de dados abertos, de forma eficiente e adequada;

IV - monitorar a implementação dos planos de dados abertos; e

V - apresentar relatórios periódicos sobre o cumprimento dos planos de dados abertos, com recomendações sobre as medidas indispensáveis à implementação e ao aperfeiçoamento da política de dados abertos.

Art. 35. Ao gestor técnico do plano de dados abertos da unidade de negócio do MInfra cabe:

I - atuar junto à Autoridade de Monitoramento da LAI no MInfra, como ponto focal na prestação de informações periódicas da respectiva área de negócio sobre a implementação do PDA.

II - propor à Autoridade de Monitoramento da LAI no MInfra medidas para assegurar a implementação e o aperfeiçoamento dos Planos de Dados Abertos.

Art. 36. Ao Gestor da Rede de Analytics cabe:

I - identificar e alinhar as necessidades de informações locais e corporativas representando os interesses dos produtores e consumidores de dados das áreas de negócio;

II - apoiar tecnicamente as unidades e áreas do MInfra que atuam na geração e consolidação de informação estratégica;

III - desenvolver ações colaborativas na construção de soluções em análise de dados;

IV - promover a gestão do conhecimento em análise de dados.

Seção V

Instrumentos de Planejamento

Art. 37. São instrumentos de planejamento da governança de dados e informações no âmbito do MInfra:

I - plano de dados abertos (PDA); e

II - plano de ação de governança de dados do MInfra;

§ 1º O PDA será elaborado pelo MInfra e por cada entidade vinculada integrante do SISP e aprovado pelo respectivo comitê de governança digital.

§ 2º O plano de ação de governança de dados do MInfra será aprovado pelo CGDI.

§ 3º O MInfra, como órgão setorial do SISP, irá supervisionar a elaboração e a execução dos instrumentos de planejamento das entidades vinculadas integrantes do SISP.

§ 4º São documentos decorrentes dos incisos I e II:

I - catálogo de bases de dados;

II - catálogo de necessidade de dados e informações;

III - os dicionários das bases de dados.

Seção VI

Monitoramento e Avaliação dos Planos

Art. 38. A estratégia de monitoramento e avaliação dos planos de dados abertos e do plano de ação de governança de dados e informação será definida pelo Comitê de Governança de Dados e Informações do MInfra, em ato específico do CGDI.

CAPÍTULO III

GOVERNANÇA DA SEGURANÇA DA INFORMAÇÃO - GSI

Seção I

Disposições Gerais

Art. 39. Constituem objetivos da Governança de Segurança da Informação:

I - estabelecer critérios, competências e responsabilidades para o manuseio, tratamento, controle e proteção de dados, informações e conhecimentos de forma a viabilizar sua disponibilidade, integridade, confidencialidade e autenticidade, bem como a conformidade, padronização e normatização das atividades de gestão de segurança da informação e comunicações;

II - prover no MInfra um conjunto de instrumentos normativos e organizacionais que assegurem a disponibilidade, integridade, confidencialidade e autenticidade dos dados, informações e comunicações no âmbito da pasta;

III - orientar e subsidiar a tomada de decisões institucionais que visem à efetividade das ações de segurança da informação e comunicações.

Art. 40. As diretrizes, normas e demais disposições da presente Governança de Segurança da Informação aplicam-se aos recursos de Tecnologia da Informação e Comunicações - TIC, ambientes e processos de trabalho, estabelecendo responsabilidades e obrigações a todos os agentes públicos e privados que atuam perante ao MInfra, incluindo servidores, empregados públicos, prestadores de serviço, colaboradores, estagiários, consultores, usuários externos e a outros que, de alguma forma, executem atividades vinculadas a este Ministério.

§ 1º Os contratos, convênios, acordos, termos e outros instrumentos congêneres celebrados pelo Ministério devem atender a esta Governança de Segurança da Informação.

§ 2º Para os fins do disposto nesta Portaria, a segurança da informação, informática e comunicações abrange:

I - segurança cibernética;

II - defesa cibernética;

III - segurança física e a proteção de dados organizacionais; e

IV - ações destinadas a assegurar a disponibilidade, integridade, confidencialidade e autenticidade da informação.

§ 3º Esta política também se aplica, no que couber, ao relacionamento do MInfra com outros órgãos e entidades públicos e privados.

Seção II

Princípios e Critérios

Art. 41. A Governança de Segurança da Informação deverá orientar a promoção de uma cultura organizacional de uso dos recursos de TIC, norteada pelos princípios da legalidade, publicidade, disponibilidade, integridade, autenticidade, segurança, privacidade, confidencialidade e ética.

Art. 42. As ações e iniciativas relacionadas com a Governança de Segurança da Informação deverão também observar os seguintes critérios:

I - prevalência da soberania nacional;

II - submissão às regras de conformidade legal e normativa dos procedimentos relacionados à segurança da informação e das comunicações;

III - utilização dos recursos de tecnologia da informação e comunicações estritamente para seu propósito institucional;

IV - integração aos objetivos estratégicos, processos de gestão, de planejamento e de execução do Ministério;

V - proteção de dados pessoais, a proteção da privacidade e acesso à informação sigilosa limitado a situações de necessidade do usuário, nos termos da legislação;

VI - intercâmbio científico e tecnológico relacionado à segurança da informação, entre os órgãos e as entidades da administração pública federal;

VII - articulação entre as ações de segurança cibernética, de defesa cibernética e de proteção de dados e ativos da informação;

VIII - cooperação entre os órgãos de investigação e os órgãos e as entidades públicas no processo de credenciamento de pessoas para acesso às informações sigilosas;

IX - integração e cooperação entre o poder público, o setor empresarial, a sociedade e as instituições acadêmicas;

X - cooperação internacional, no campo da segurança da informação;

XI - responsabilidade de todos do MInfra no tratamento da informação e no cumprimento das normas de segurança da informação;

XII - ciência por todos agentes públicos e colaboradores do MInfra das normas de segurança da informação, para o pleno desempenho de suas atribuições;

XIII - proporcionalidade do custo das ações de segurança da informação não devendo ser maior do que o valor do ativo da informação a ser protegido, salvo os casos formalmente analisados e justificados durante o processo de gestão de riscos de segurança da informação;

XIV - publicidade e transparência no trato das informações, observados os critérios legais e normativos vigentes aplicáveis ao MInfra;

XV - celeridade das ações de segurança da informação devendo oferecer respostas rápidas a incidentes e falhas; e

XVI - clareza das regras de segurança da informação que devem ser precisas, concisas e de fácil entendimento.

Seção III

Definições sobre Segurança da Informação

Art. 43. Para fins desta Portaria, considera-se:

I - ATIVO: qualquer coisa que tenha valor para a organização;

II - ATIVOS DE INFORMAÇÃO: meios de armazenamento, transmissão e processamento da informação, os equipamentos necessários a isso, os sistemas utilizados para tal, os locais onde se encontram esses meios e também os recursos humanos que a eles têm acesso;

III - AUTENTICIDADE: propriedade pela qual se assegura que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, equipamento, sistema, órgão ou entidade;

IV - COMITÊ DE SEGURANÇA DA INFORMAÇÃO: grupo de pessoas com a responsabilidade de assessorar a implementação das ações de segurança da informação no âmbito do órgão ou entidade da Administração Pública Federal - APF;

V - CONFIDENCIALIDADE: propriedade pela qual se assegura que a informação não esteja disponível ou não seja revelada a pessoa, a sistema, a órgão ou a entidade não autorizados nem credenciados;

VI - CLASSIFICAÇÃO DA INFORMAÇÃO: Identificação de quais são os níveis de proteção que as informações demandam com estabelecimento de classes e formas de identificá-las, além de determinar os controles de proteção necessários a cada uma delas;

VII - DEFESA CIBERNÉTICA: ações realizadas no espaço cibernético, no contexto de um planejamento nacional de nível estratégico, coordenado e integrado pelo Ministério da Defesa, com as finalidades de proteger os ativos de informação de interesse da defesa nacional, obter dados para a produção de conhecimento de inteligência e buscar superioridade sobre os sistemas de informação do oponente;

VIII - DISPONIBILIDADE: propriedade pela qual se assegura que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade devidamente autorizados;

IX - DESASTRE: evento, ação ou omissão, repentino e não planejado, que tenha permitido acesso não autorizado, interrupção ou mudança nas operações (inclusive pela tomada de controle), destruição, dano, deleção ou mudança da informação protegida, remoção ou limitação de uso da informação protegida ou ainda a apropriação, disseminação e publicação indevida de informação protegida de algum ativo de informação crítico ou de alguma atividade crítica, causando perda para toda ou parte da organização e gerando sérios impactos em sua capacidade de entre

X - EQUIPE DE TRATAMENTO E RESPOSTA A INCIDENTES DE SEGURANÇA EM REDES COMPUTACIONAIS (ETIR): grupo de pessoas com a responsabilidade de receber, analisar e responder às notificações e atividades relacionadas a incidentes de segurança em redes de computadores;

XI- FORENSE DIGITAL: aplicação da ciência da computação e procedimentos investigativos para a identificação, exame e análise de dados com a devida preservação da integridade da informação e mantendo uma estrita cadeia de custódia para os dados.

XII - GESTOR DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES: servidor responsável pelas ações de segurança da informação, no âmbito do Ministério;

XIII - INCIDENTE DE SEGURANÇA: qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores;

XIV - INFORMAÇÃO: dados, processados ou não, que podem ser utilizados para produção e para transmissão de conhecimento, contidos em qualquer meio, suporte ou formato;

XV - INFORMAÇÃO CLASSIFICADA: informação sigilosa em poder dos órgãos e entidades públicas, observado o seu teor e em razão de sua imprescindibilidade à segurança da sociedade ou do Estado, classificada como ultrassecreta, secreta ou reservada conforme procedimentos específicos de classificação estabelecidos na legislação vigente;

XVI - INFORMAÇÃO PESSOAL: informação relacionada à pessoa natural identificada ou identificável, relativa à intimidade, vida privada, honra e imagem;

XVII - INFORMAÇÃO SIGILOSA: informação submetida temporariamente à restrição de acesso público em razão de sua imprescindibilidade para a segurança da sociedade e do Estado, e aquela abrangida pelas demais hipóteses legais de sigilo;

XVIII - INTEGRIDADE: propriedade pela qual se assegura que a informação não foi modificada ou destruída de maneira não autorizada ou acidental;

XIX - QUEBRA DE SEGURANÇA: ação ou omissão, intencional ou acidental, que resulta no comprometimento da segurança da informação;

XX - SEGURANÇA CIBERNÉTICA: ações voltadas para a segurança de operações, de forma a garantir que os sistemas de informação sejam capazes de resistir a eventos no espaço cibernético capazes de comprometer a disponibilidade, a integridade, a confidencialidade e a autenticidade dos dados armazenados, processados ou transmitidos e dos serviços que esses sistemas ofereçam ou tornem acessíveis;

XXI - SEGURANÇA DA INFORMAÇÃO: ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações;

XXII - TRATAMENTO DA INFORMAÇÃO CLASSIFICADA: conjunto de ações referentes à produção, recepção, classificação, utilização; acesso, reprodução, transporte, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação ou controle de informação classificada em qualquer grau de sigilo.

XXIII - CTIR GOV: centro de tratamento de resposta a incidentes Cibernéticos do Governo.

Seção IV

Estrutura de Gestão da Segurança e da Informação

Art. 44. A estrutura de gestão de segurança da informação do MInfra está descrita no Anexo III desta Portaria e compreende:

I - comitê de segurança da informação - CSI;

II - gestor de segurança da informação e comunicações; e

III - equipe de tratamento e resposta a incidentes de segurança - ETIR.

Seção V

Diretrizes da política de segurança da Informação

Subseção I

Tratamento da Informação

Art. 45. O Ministério deve estabelecer, gerir e avaliar critérios de classificação e tratamento da informação de acordo com o sigilo requerido, sensibilidade, relevância e criticidade, observando a legislação vigente.

Subseção II

Tratamento de Incidentes

Art. 46. Os incidentes de segurança da informação devem ser, em conformidade com a política de respostas a incidentes de segurança da informação, identificados, analisados, comunicados e tratados, em tempo hábil, de forma a impedir que evento adverso possa interferir na perfeita execução das atividades desenvolvidas pelo Ministério.

Subseção III

Gestão de Riscos em Segurança da Informação

Art. 47. gestão de riscos de segurança da informação deve identificar os riscos que possam comprometer a disponibilidade, a integridade, a confidencialidade ou a autenticidade da informação, priorizando seu tratamento com base em critérios de aceitação de riscos compatíveis com os objetivos institucionais.

Subseção IV

Gestão de Continuidade

Art. 48. Ministério estabelecerá a gestão de continuidade do negócio a fim de minimizar os impactos decorrentes de eventos que causem a indisponibilidade sobre seus serviços, além de recuperar perdas de ativos de informação a um nível aceitável, por intermédio de ações de prevenção, resposta e recuperação.

Subseção V

Auditoria e Conformidade

Art. 49. O cumprimento desta Política e de suas normas e procedimentos agregados devem ser auditados, periodicamente, como forma de identificar, corrigir e/ou prevenir situações inseguras para o Ministério.

Parágrafo único. A auditoria a que se refere o caput deverá ser procedida por meio de ação própria de unidade de TIC da estrutura organizacional do MInfra ou mediante contratação de prestação de serviço técnico especializado.

Art. 50. As atividades, produtos e serviços desenvolvidos no Ministério devem estar em conformidade com leis, regulamentos, resoluções, normas, estatutos e contratos jurídicos vigentes, zelando pela proteção da privacidade das informações pessoais, profissionais e de terceiros.

Subseção VI

Preservação de Evidências

Art. 51. Todo e qualquer ativo de informação que assim o permita deve ser configurado para armazenar registros históricos de eventos (Logs) em formato que permita a completa identificação dos fluxos de dados e das operações de seus utilizadores ou administradores.

§ 1º Os registros devem ser armazenados, sempre que possível, pelo período mínimo de 6 (seis) meses, sem prejuízo de outros prazos previstos em normativos específicos.

§ 2º Os ativos de informação devem ser configurados de forma a armazenar seus registros de auditoria não apenas localmente, como também remotamente, por meio de tecnologia aplicável.

Subseção VII

Controle de Acesso

Art. 52. O controle de acesso à informação tem por objetivo garantir que o acesso físico e lógico à informação seja franqueado exclusivamente a pessoas autorizadas, com base nos requisitos de negócio e de segurança da informação.

§ 1º A informação é um patrimônio do órgão responsável pela sua produção e o seu acesso não garante direito sobre as mesmas, assim como não confere autoridade para liberar o acesso a outros;

§ 2º O acesso à informação é regulamentado por normas específicas e a confidencialidade dessa informação deve ser mantida durante todo o processo de uso, podendo ter níveis diferentes ao longo da sua vida útil;

§ 3º As credenciais de acesso (login e senha) são pessoais e intransferíveis e os recursos computacionais deverão ser utilizados em conformidade com regulamento específico.

§ 4º Todos os controles de acesso deverão estar de acordo com a Lei Geral de Proteção de Dados Pessoais - LPGD, Lei nº 13.709, de 14 de agosto de 2018.

§ 5º Esta política deve estar alinhada com a Programa de Governança em Privacidade a ser instituída no âmbito do Ministério, de acordo com o art. 50, Lei nº 13.709, de 14 de agosto de 2018, que será definido pelo Ministério.

Subseção VIII

Gestão de Ativos

Art. 53. Os ativos de informação devem ter controles de segurança implementados independentemente do meio em que se encontram e deverão ser protegidos contra divulgação não autorizada, modificações, remoção ou destruição, de forma a evitar incidentes de segurança que possam danificar a imagem da instituição e interromper suas operações. Em relação aos ativos tecnológicos deve-se observar que:

I - o recebimento e a instalação de recursos computacionais, especialmente os softwares homologados, somente podem ser realizados por pessoal credenciado pela área de tecnologia da informação, sendo vedada a utilização de softwares não homologados por essa unidade;

II - a aquisição ou contratação de serviços relativos a recursos computacionais deve ser precedida de estudo e análise prévios, por parte da área de TI, bem como a inclusão de cláusulas contratuais de segurança e de trilhas de auditoria;

III - os recursos computacionais do Ministério não podem ser utilizados para:

a) constranger, assediar ou ameaçar qualquer pessoa;

b) tentar, permitir ou causar alteração ou destruição de ambientes operacionais, dados ou equipamentos de processamento ou comunicação;

c) proporcionar benefícios financeiros próprios ou de terceiros;

d) introduzir códigos maliciosos nos sistemas de informática;

e) divulgar ou comercializar produtos, itens ou serviços;

f) tentar ou interferir, sem autorização, em um sistema, programa ou serviço, sobrecarregá-lo ou, ainda, desativá-lo, inclusive aderindo ou cooperando com ataques, internos ou externos, de negação de serviços;

g) acessar indevidamente dados, sistemas ou redes, incluindo qualquer tentativa de investigar, examinar ou testar vulnerabilidades nos sistemas de informática, exceto quando autorizado pelo Gestor de Segurança da Informação e Comunicações, com o objetivo de realizar a gestão dos recursos de tratamento de incidentes;

h) monitorar ou interceptar o tráfego de informações nos sistemas de tecnologia da informação;

i) violar medidas de segurança ou de autenticação;

j) fornecer informações a terceiros, sobre usuários ou serviços disponibilizados nos sistemas, exceto mediante autorização de autoridade competente;

k) o armazenamento ou o uso de jogos em computador; e

l) o entretenimento e acesso a sítios eletrônicos que não guardem relação com as necessidades do serviço ou com o exercício das atribuições dos cargos de agentes públicos e colaboradores, durante o período de expediente.

IV - as estações de trabalho que os servidores, colaboradores, consultores externos, estagiários e prestadores de serviços no Ministério utilizam são patrimônios do órgão, podendo ser acessadas por técnicos autorizados pela área de TIC para fins de manutenção e verificação de conformidades com a norma especifica para esse fim, sendo vedada sua utilização e armazenamento de arquivos para fins pessoais.

Subseção IX

Uso de E-mail

Art. 54. O usuário receberá um endereço de e-mail conforme preconiza a regra de formação de nomes para composição de endereços eletrônicos, de acordo com norma específica e os Padrões de Interoperabilidade de Governo Eletrônico - e-PING.

Parágrafo único. O uso do e-mail é único e exclusivo para fins de trabalho, vedado o uso para fins pessoais.

Subseção X

Acesso à Internet

Art. 55. O acesso à rede mundial de computadores, internet, deve ser monitorado e controlado por filtros de controle de acesso, visando evitar seu uso de forma abusiva e descontrolada.

Subseção XI

Penalidades

Art. 56. O descumprimento ou violação de itens desta Portaria acarretará a aplicação de sanções administrativas, civis e penais, de acordo com a legislação vigente, na forma do art. 116, inciso III, combinado com art. 129, ambos da Lei nº 8.112, de 11 de dezembro de 1990.

Subseção XII

Competências e Responsabilidades

Art. 57. A alta administração deste Ministério é responsável por prover a orientação e o apoio necessários às ações de segurança da informação, de acordo com os objetivos estratégicos e com as leis e regulamentos pertinentes.

Art. 58. Compete à alta administração do MInfra exercer a governança da segurança da informação, especialmente na forma prevista pelo art. 17, do Decreto nº 9.637, de 26 de dezembro de 2018.

Art. 59. É de responsabilidade dos demais gestores zelar pelo cumprimento das diretrizes desta Política no âmbito de suas áreas de atuação.

Art. 60. Os servidores, os colaboradores, os consultores externos, os estagiários e os prestadores de serviço são responsáveis por observar o disposto nesta Política e comunicar os incidentes que afetam a segurança dos ativos de informação à Equipe de Tratamento e Resposta à Incidentes de Segurança.

Seção VI

Disposições finais sobre Segurança da Informação

Art. 61. As unidades do Ministério poderão propor normas complementares à presente política e submetê-las ao Comitê de Segurança da Informação - CSI.

Parágrafo único. Serão analisadas, ad referendum, do Comitê de Segurança da Informação - CSI, as normas estabelecidas em caráter extraordinário pelas unidades, dando celeridade ao processo até que ocorra a deliberação em definitivo deste comitê.

Este conteúdo não substitui o publicado na versão certificada.

Borda do rodapé
Logo da Imprensa