Legislação Informatizada - ATO DA MESA Nº 231, DE 22/12/2025 - Publicação Original
Veja também:
ATO DA MESA Nº 231, DE 22/12/2025
Atualiza a Política de Segurança da Informação e Cibernética da Câmara dos Deputados e dá outras providéncias.
Art. 1º Este Ato atualiza a Política de Segurança da Informação e Cibernética da Câmara dos Deputados - POSIC - para assegurar a confidencialidade, a integridade, a disponibilidade e a autenticidade das informações tratadas no âmbito da Câmara dos Deputados.
Parágrafo único. Todos aqueles que tenham acesso ou sejam provedores de informações da Câmara dos Deputados são responsáveis por garantir a sua segurança e por cumprir as disposições deste Ato.
Art. 2º Para os fins deste Ato, aplicam-se os conceitos constantes do Anexo.
Art. 3º São princípios da Política de Segurança da Informação e Cibernética:
I - garantia da integridade e da autenticidade das informações produzidas e recebidas;
II - observância da transparência como preceito geral e do sigilo como exceção;
III - proteção adequada e controle de acesso às informações com necessidade de restrição de acesso;
IV - garantia da disponibilidade das informações;
V - respeito à privacidade.
Art. 4º São diretrizes gerais da Política de Segurança da Informação e Cibernética:
I - alinhamento das ações de segurança da informação e cibernética às atividades institucionais e ao planejamento estratégico da Câmara dos Deputados;
II - conscientização, formação e treinamento adequado dos usuários na temática de segurança da informação e cibernética;
III - amplo envolvimento de usuários e provedores de informação nas medidas de detecção, prevenção e tratamento de incidentes de segurança da informação e cibernética;
IV - contínua análise de riscos de segurança aos quais a informação e os recursos computacionais estão sujeitos;
V - incorporação da segurança como requisito essencial dos sistemas de informação, informatizados ou não;
VI - gestão sistêmica da segurança da informação e cibernética.
Art. 5º São objetivos da Política de Segurança da Informação e Cibernética:
I - instituir estratégias e competências visando garantir a segurança da informação e cibernética nos projetos, processos e atividades da Câmara dos Deputados;
II - instituir uma cultura organizacional aderente à segurança da informação e cibernética, compreendendo ações destinadas a fomentar entre os usuários a constante observância das melhores práticas de segurança;
III - implantar a contínua avaliação dos riscos a que a informação e os recursos computacionais estão sujeitos;
IV - estabelecer mecanismos para auxiliar a gestão da continuidade de negócios e a gestão de riscos da informação e cibernéticos na Câmara dos Deputados;
V - estabelecer as bases da gestão de áreas restritas e de instalações críticas da Câmara dos Deputados;
VI - aprimorar a governança da segurança da informação e cibernética;
VII - participar da atuação coordenada e do intercâmbio de informações de segurança cibernética previstos na Política Nacional de Segurança da Informação, instituída pelo Decreto n. 12.572, de 4 de agosto de 2025.
Art. 6º O Diretor-Geral estabelecerá, por ato próprio, diretrizes específicas da Política de Segurança da Informação e Cibernética, atualizadas periodicamente, nas seguintes temáticas:
I - classificação e tratamento da informação;
II - gestão de incidentes de segurança da informação e cibernética;
III - gestão de riscos de segurança da informação e cibernética;
IV - auditoria e conformidade;
V - acesso e uso dos recursos computacionais;
VI - gestão de vulnerabilidades técnicas;
VII - gestão de ativos de informação;
VIII - segurança física e do ambiente;
IX - criptografia e certificado digital;
X - desenvolvimento e uso seguro de software;
XI - obrigações contratuais de terceiros na área de segurança da informação e cibernética.
Parágrafo único. Poderão ser estabelecidas diretrizes de outras temáticas sempre que a realidade o exigir.
Art. 7º O Comitê Gestor de Segurança da Informação passa a ser denominado Comitê Gestor de Segurança da Informação e Cibernética (CGSIC) e será composto pelo Encarregado de Dados Pessoais e pelos titulares das seguintes unidades administrativas:
I - Diretoria-Geral;
II - Secretaria Geral da Mesa;
III - Diretoria Executiva de Comunicação e Mídias Digitais;
IV - Consultoria-Geral;
V - Diretoria Administrativa;
VI - Diretoria de Recursos Humanos;
VII - Diretoria de Inovação e Tecnologia da Informação;
VIII - Centro de Documentação e Informação;
IX - Advocacia da Câmara dos Deputados.
Art. 8º Nos impedimentos e ausências dos membros titulares, caberá ao respectivo substituto a participação no CGSIC.
Art. 9º Outros servidores poderão participar das reuniões do CGSIC, sem direito de voto, sempre que se mostrar necessária a apresentação de elementos imprescindíveis à tomada de decisão.
Art. 10. A presidência do Comitê Gestor de Segurança da Informação e Cibernética será exercida pelo Diretor-Geral e, na sua ausência, por Diretor-Geral Adjunto.
Parágrafo único. O presidente do CGSIC poderá decidir ad referendum em questões urgentes.
Art. 11. Cabe ao Comitê Gestor de Segurança da Informação e Cibernética:
I - deliberar sobre matérias relativas à segurança da informação e cibernética no âmbito administrativo e de suporte técnico à atuação da Câmara dos Deputados no processo legislativo e de fiscalização;
II - supervisionar a implantação da sistemática de segurança da informação e cibernética da Câmara dos Deputados;
III - avaliar periodicamente e propor a atualização da política de segurança da informação e cibernética e das normas dela decorrentes;
IV - demandar as unidades administrativas e acompanhar a elaboração de normas específicas relacionadas à segurança da informação em suas áreas de competência;
V - deliberar sobre a divulgação da política de segurança da informação e cibernética, bem como das normas dela derivadas;
VI - propor ações que visem o aprimoramento da segurança da informação nos processos de trabalho da Câmara dos Deputados;
VII - propor a inclusão das iniciativas relacionadas à segurança da informação no Plano Plurianual de Gestão de Conteúdos Informacionais e em suas atualizações.
Art. 12. O presidente do CGSIC convocará reuniões ordinárias semestrais e, sempre que se mostrar necessário, reuniões extraordinárias para deliberar sobre temas urgentes.
Art. 13. As pautas das reuniões do CGSIC serão definidas pelo seu presidente a partir de propostas apresentadas pelo titular da Diretoria de Inovação e Tecnologia da Informação ou por qualquer dos seus membros.
Art. 14. As deliberações do CGSIC terão caráter vinculante e serão tomadas por maioria absoluta de seus membros.
Art. 15. A Diretoria de Inovação e Tecnologia da Informação exercerá o papel de secretaria do CGSIC.
Art. 16. O Comitê Gestor poderá criar grupos de trabalho temporários ou permanentes para tratar de temas específicos a serem submetidos à deliberação do colegiado.
Art. 17. Compete à Diretoria de Inovação e Tecnologia da Informação:
I - propor, validar e assessorar as unidades administrativas na implementação dos controles de segurança cibernética dos processos de trabalho;
II - apoiar o Centro de Formação, Treinamento e Aperfeiçoamento no planejamento das atividades educacionais do Programa de Educação em Segurança da Informação e Cibernética (PESIC), instituído na forma do art. 27, propondo a inclusão, exclusão, alteração ou manutenção das ações que o compõem.
Parágrafo único. O titular da Diretoria de Inovação e Tecnologia da Informação editará um plano de gestão de incidentes de segurança cibernética a partir de proposta do Grupo de Resposta a Incidentes de Segurança da Informação da Câmara dos Deputados (GRIS-CD), instituído na forma do art. 21.
Art. 18. Compete ao Centro de Documentação e Informação:
I - assessorar as unidades administrativas da Câmara dos Deputados quanto à implementação da segurança da informação dos conteúdos informacionais em seus processos de trabalho;
II - propor e validar as diretrizes de segurança da informação no contexto de coleta, restrição de acesso à informação, classificação, preservação e eliminação segura da informação e para os sistemas informatizados, bem como assessorar nos demais temas relativos aos conteúdos informacionais;
III - assessorar a Casa sobre os prazos de retenção de dados e, em especial, na descontinuidade ou extinção de sistemas, observando, quando for o caso, a Tabela de Temporalidade de Documentos da Câmara dos Deputados;
IV - garantir a preservação dos conteúdos informacionais como conjunto de ações complementares à segurança da informação;
V - apoiar o Centro de Formação, Treinamento e Aperfeiçoamento no planejamento das atividades educacionais do Programa de Educação em Segurança da Informação e Cibernética (PESIC), propondo a inclusão, exclusão, alteração ou manutenção das ações que o compõem.
Parágrafo único. A preservação dos conteúdos informacionais compreende o conjunto de estratégias, políticas e práticas destinadas a garantir a permanência, o valor probatório, histórico e cognitivo dos conteúdos informacionais - físicos ou digitais - utilizados ou gerados no exercício das atividades legislativas e administrativas da Câmara dos Deputados.
Art. 19. Compete às unidades administrativas:
I - zelar pela segurança da informação no âmbito dos processos de trabalho e atividades sob sua responsabilidade, em cumprimento às diretrizes gerais presentes neste Ato e às diretrizes específicas constantes de norma regulamentadora;
II - participar da definição e validar os requisitos e funcionalidades de segurança da informação dos aplicativos e sistemas de informação vinculados aos seus processos de trabalho.
Art. 20. Compete ao usuário:
I - observar o disposto nesta Política de Segurança da Informação e Cibernética e demais normas internas relativas ao assunto;
II - zelar pela confidencialidade, integridade, disponibilidade e autenticidade, no tocante aos conteúdos informacionais e aos recursos computacionais da Câmara dos Deputados;
III - participar das campanhas de conscientização e dos treinamentos pertinentes aos temas de proteção de dados pessoais, tratamento de informações com restrição de acesso e de segurança da informação e cibernética;
IV - zelar pelo correto uso dos mecanismos de autenticação e autorização fornecidos pela Câmara dos Deputados, bem como utilizar mecanismos de múltiplo fator de autenticação disponibilizados nos sistemas digitais providos pela Ditec;
V - proteger os dados pessoais e as informações com restrição de acesso tratadas em decorrência do exercício de suas atividades, observadas as normas específicas;
VI - utilizar os recursos computacionais sob sua responsabilidade de acordo com as normas estabelecidas;
VII - reportar ao GRIS-CD os incidentes de segurança da informação e cibernética que tenha conhecimento, bem como as violações identificadas em relação a esta Política e às normas dela decorrentes;
VIII - reportar ao Encarregado de Dados da Câmara dos Deputados as ocorrências que tomar conhecimento sobre incidentes de segurança envolvendo dados pessoais.
Art. 21. Fica instituído o Grupo de Resposta a Incidentes de Segurança da Informação da Câmara dos Deputados (GRIS-CD), a ser composto, por ato do Diretor-Geral, por profissionais que possuam as competências técnicas compatíveis com a missão e as atividades a serem desempenhadas pelo Grupo.
Art. 22. O GRIS-CD tem como missão gerenciar e executar o processo de gestão de incidentes de segurança cibernética, de forma a assegurar que haja medidas de prevenção, de identificação e de tratamento em tempo hábil, visando evitar ou reduzir possíveis danos ao ambiente de tecnologia da informação e comunicação da Câmara dos Deputados.
Art. 23. O GRIS-CD desenvolverá as atividades típicas da Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos - ETIR - e terá entre os seus integrantes um agente responsável por representar a Câmara dos Deputados junto ao Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo, órgão competente pela coordenação da Rede Federal de Gestão de Incidentes Cibernéticos, nos termos do art. 5º, §1º, do Decreto n. 10.748, de 16 de julho de 2021.
Art. 24. O modelo de implementação do GRIS-CD será o modelo combinado ou misto, para o qual será utilizada uma equipe central de tratamento e respostas a incidentes e equipes de apoio técnico distribuídas pelas unidades administrativas da Casa.
Art. 25. As unidades administrativas da Câmara dos Deputados devem atender às solicitações do GRIS-CD com a urgência que a situação merecer para tratar incidente de segurança da informação e cibernética, inclusive com a disponibilização do pessoal necessário.
Art. 26. O GRIS-CD poderá solicitar a instauração de uma sala de crise cibernética, mediante um incidente de alto impacto para a Câmara dos Deputados.
SEÇÃO V
Art. 27. Fica instituído o Programa de Educação em Segurança da Informação e Cibernética (PESIC), a ser executado pelo Centro de Formação, Treinamento e Aperfeiçoamento.
Art. 28. O PESIC fomentará ações voltadas à sensibilização, conscientização, orientação, formação, treinamento, pesquisa, educação e inovação em segurança da informação e cibernética na Câmara dos Deputados, além de parcerias com instituições públicas e privadas de excelência, nacionais e internacionais, a fim de promover uma cultura institucional em segurança da informação e cibernética.
Art. 29. Os titulares das unidades e subunidades administrativas devem organizar suas equipes para a participação nas atividades do PESIC.
Art. 30. Os contratos, convênios, acordos de cooperação e outros instrumentos congêneres celebrados pela Câmara dos Deputados deverão observar, no que couber, as disposições desta Política.
Art. 31. Integram esta Política todos os atos normativos complementares de segurança da informação e cibernética da Câmara dos Deputados vigentes e que vierem a ser publicados.
Art. 32. As unidades administrativas promoverão a adequação de seus planos, programas, projetos e processos de trabalho às disposições deste Ato e das normas que o regulamentam.
Art. 33. O Diretor-Geral regulamentará o disposto neste Ato e disporá sobre casos omissos.
Art. 34. Revogam-se o Ato da Mesa n. 47, de 16 de julho de 2012, a Portaria-DG n. 407, de 30 de setembro de 2013 e o Ato do Presidente n. 5, de 29 de setembro de 2021.
Art. 35. Este Ato entra em vigor na data de sua publicação.
JUSTIFICAÇÃO
A Política de Segurança da Informação e Cibernética (POSIC) estabelece os requisitos para a gestão integrada e coerente dos processos relacionados à segurança da informação e cibernética, abrangendo sua implementação, manutenção e melhoria contínua.
Nesse sentido, é essencial realizar revisões periódicas da política, garantindo que seus dispositivos estejam atualizados em relação às tecnologias, à postura dos usuários e aos riscos envolvidos na condução das atividades legislativas e administrativas da Câmara dos Deputados. Esta nova versão da Política de Segurança da Informação e Cibernética propõe atualizar a política em vigor, estabelecida pelo Ato da Mesa n. 47, de 16 de julho de 2012.
Nesta norma, define-se uma nova formação do Comitê Gestor de Segurança da Informação e Cibernética, colegiado voltado à governança e apreciação dos assuntos estratégicos relacionados à segurança da informação e cibernética para a Câmara dos Deputados. Nesta nova formação, a representação passa a ser dos titulares de unidades administrativas da Câmara dos Deputados, sendo presidida pelo Diretor-Geral. Assim, as deliberações e ações decorrentes, afetas à segurança da informação, passam a ser equiparadas às ações estratégicas e prioritárias para todas as áreas da Câmara dos Deputados.
O Tribunal de Contas da União, com o objetivo de avaliar o nível de maturidade na implementação de controles críticos de segurança cibernética, realizou uma análise sobre o assunto. Por meio do Acórdão n. 1768/2022-TCU-Plenário, foram apresentadas recomendações à Câmara dos Deputados, assim como a outros órgãos da Administração Pública, relativas à urgência na adoção de medidas para minimizar os riscos de ataques cibernéticos.
Nesse contexto, esta POSIC formalmente estabelece o Grupo de Resposta a Incidentes de Segurança da Informação da Câmara dos Deputados, atribuindo-lhe as responsabilidades necessárias para atender aos requisitos do Decreto nº 10.748/2021, visando à adesão à Rede Federal de Gestão de Incidentes Cibernéticos.
Por fim, a Política de Segurança da Informação e Cibernética estabelece o Programa de Educação em Segurança da Informação e Cibernética - PESIC, o qual fomentará ações voltadas à sensibilização, conscientização, orientação, treinamento, capacitação dos usuários e profissionais de TIC no tocante à segurança da informação e cibernética.
Sala de Reuniões, 22 de dezembro de 2025.
|
Hugo Motta | |
|
Altineu Côrtes |
Elmar Nascimento |
|
|
|
|
Delegada Katarina |
Sergio Souza |
- Diário da Câmara dos Deputados - Edição Extra A - 22/12/2025, Página 3 (Publicação Original)
- Boletim Administrativo da Câmara dos Deputados - 23/12/2025, Página 7 (Publicação Original)