Aguarde por favor...
D.O. nº29076 de 17/09/2025
Minuta de Portaria 923-2025 - Comissão Tecnica de Avaliacao da Prova Conceito (1) (1) (1)
D.O. nº29077 de 18/09/2025

Portaria nº 934-2025 - Nova Política de Segurança da Informação do MTPrev-atualizado

D.O. nº29078 de 19/09/2025
PORTARIA N.919/2025

PORTARIA Nº 934/2025/MTPREV

Institui a Política de Segurança da Informação do Mato Grosso Previdência.

CONSIDERANDO a Lei Federal nº 12.527, de 18 de novembro de 2011, que estabelece a Lei de Acesso à Informação (LAI);

CONSIDERANDO a Lei Federal nº 13.709, de 14 de agosto de 2018, que estabelece a Lei Geral de Proteção de Dados Pessoais (LGPD);

CONSIDERANDO o Decreto nº 1.428, de 30 de abril de 2025, que institui a Política de Segurança da Informação do Poder Executivo do Estado de Mato Grosso, e dá outras providências;

CONSIDERANDO a Lei Complementar 560/2014 que confere a Diretoria Executiva, no uso de suas atribuições;

CONSIDERANDO o disposto nas normas ABNT NBR/ISO/IEC 27001:2022, 27002:2022, 27701:2022, 27005:2023, que estabelecem requisitos, diretrizes e controles de segurança da informação, cibersegurança e proteção da privacidade.

TÍTULO I

DISPOSIÇÕES PRELIMINARES

CAPÍTULO I

Do Âmbito de Aplicação desta Portaria

Art. 1º Fica instituída, no âmbito do MTPrev, a Política de Segurança da Informação (PSI), com a finalidade de assegurar a disponibilidade, integridade, confidencialidade e autenticidade dos dados, por meio do estabelecimento de diretrizes, critérios e suporte administrativo para seu adequado tratamento em meios físicos e tecnológicos.

Parágrafo único - A PSI será complementada por normas, procedimentos, processos e controles específicos para a gestão da segurança da informação, em conformidade com os planos institucionais e estruturas organizacionais do Mato Grosso Previdência.

CAPÍTULO II

Do Escopo

Art. 2º O escopo da PSI abrange os servidores, colaboradores, atores externos e demais agentes públicos ou particulares que, por força de convênios, protocolos, acordos de cooperação e instrumentos congêneres são vinculados ao MTPrev.

CAPÍTULO III

Dos Conceitos e Definições

Art. 3º Para fins desta Portaria, consideram-se os conceitos e definições constantes no art. 2º do Decreto nº 1.428, de 30 de abril de 2025, bem como:

I - PSI: sigla utilizada para o documento aprovado pela autoridade responsável do MTPrev, com o objetivo de assegurar diretrizes, critérios, suporte administrativo, normas, procedimentos, processos e controles específicos suficientes à implementação da segurança da informação e comunicações na Mato Grosso Previdência;

II - Segurança da informação: proteção dos sistemas de informação em relação aos usuários autorizados, mitigação de riscos contra a intrusão, modificação ou divulgação desautorizada de dados ou informações, armazenados, em processamento ou em trânsito, abrangendo, inclusive, a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e do ambiente computacional, assim como ações destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu desenvolvimento, em observância aos princípios constantes no art. 3º do Decreto nº 1.428, de 30 de abril de 2025;

III - Comunicação: conjunto de recursos tecnológicos ou humanos destinados a transmitir ou replicar informações;

IV - Tratamento da informação: recepção, produção, reprodução, utilização, acesso, transporte, transmissão, distribuição, armazenamento, eliminação e controle da informação, inclusive das classificadas quanto ao grau de sigilo;

V - Quebra de segurança: ação ou omissão, intencional ou acidental, que resulta no comprometimento da segurança da informação e das comunicações;

VI - Ativos de informação: compreende os meios de armazenamento, transmissão e processamento da informação, os equipamentos necessários a isso, os sistemas utilizados para tal, os locais onde se encontram esses meios e os recursos humanos que a eles têm acesso.

VII - Proprietário de ativos de informação: unidade administrativa responsável por gerenciar determinado segmento de informação e todos os ativos em meio físico ou digital relacionados;

VIII - Custodiante de ativos de informação: qualquer indivíduo ou estrutura de órgão ou entidade da Administração Pública Estadual, direta e indireta, que tenha responsabilidade formal ou decorrente de suas atividades profissionais de proteger a informação que não lhe pertence e aplicar os níveis de controles de segurança em conformidade com as exigências de Segurança da Informação comunicadas pelo proprietário da informação.

CAPÍTULO IV

Dos Princípios da Política de Segurança da Informação

Art. 4º As ações relacionadas à segurança da informação no âmbito do MTPrev aplicam-se aos agentes envolvidos nos termos do art. 2º desta Política e serão norteadas pelos seguintes princípios constantes no art. 3º do Decreto nº 1.428, de 30 de abril de 2025, bem como:

I - Conhecimento: garantia de que os agentes alcançados têm ciência de todas as normas de segurança da informação para o pleno desempenho de suas atribuições;

II - Legalidade: as ações de segurança da informação e comunicações levarão em consideração as leis, as políticas e as normas organizacionais, administrativas, técnicas e operacionais do MTPrev, formalmente estabelecidas;

III - Proatividade: todas as unidades organizacionais do MTPrev devem manter processo de gestão de continuidade das suas atividades e serviços, evitando a interrupção em caso de incidente de segurança, ou devido a caso fortuito ou de força maior, e assegurar a sua retomada em tempo hábil, quando for o caso.

IV - Proporcionalidade: o nível, a complexidade e os custos das ações de segurança da informação e comunicações no MTPrev serão adequados ao entendimento administrativo e ao valor do ativo a proteger; e

V - Responsabilidade: garantia de responsabilização pelo tratamento da informação e pelo cumprimento das normas de segurança da informação;

CAPÍTULO V

Das Diretrizes Gerais

Art. 5º A Diretoria Executiva do MTPrev deve manter postura exemplar em relação à segurança da informação e comunicação, bem como propiciar os recursos necessários para divulgação, capacitação e cumprimento das normas e procedimentos.

Art. 6º O agente público vinculado ao MTPrev deverá manter os processos sob sua responsabilidade aderentes às políticas, normas e procedimentos específicos de Segurança da Informação e Comunicações do MTPrev, tomando as ações necessárias para cumprir tal responsabilidade.

Art. 7º Para uma efetiva implementação da PSI deverão ser previstas ações de divulgação, conscientização e capacitação quanto ao conteúdo do normativo, entre todos os colaboradores e servidores do MTPrev.

CAPÍTULO VI

Dos Valores e Diretrizes

Art. 8º São valores e diretrizes gerais da PSI:

I - Segurança focada na instituição: garantir segurança tanto aos sistemas no ambiente tecnológico quanto aos meios convencionais de processamento, comunicação e armazenamento em papel;

II - Informação é patrimônio: considerar que toda e qualquer informação gerada, adquirida, utilizada ou armazenada pelo MTPrev é patrimônio da instituição e deve ser protegida quanto aos aspectos de confidencialidade, autenticidade, integridade e disponibilidade;

III - Proteção compatível com riscos: dimensionar e aplicar os investimentos necessários em medidas de segurança, segundo o valor do ativo que está sendo protegido e de acordo com a identificação de risco de potenciais prejuízos e de impacto na reputação para o negócio, a atividade fim e os objetivos institucionais;

IV - Tratamento conforme classificação: tratar todas as informações a partir da classificação de segurança e de privacidade de dados, aplicada de maneira a serem adequadamente protegidas quanto ao seu acesso e uso;

V - Responsabilização baseada na credencial: responsabilizar, com base no uso da credencial, que se caracteriza por ser pessoal e intransferível, qualificando aquele que se encontra formalmente associado a ela como responsável por todas as atividades desenvolvidas em seu uso, sendo pré-requisito para a liberação da credencial o preenchimento de um termo de responsabilidade;

VI - Utilização restrita às atividades: administrar o acesso e o uso da informação e dos ativos de informação de acordo com as atribuições necessárias para o cumprimento das atividades institucionais. Qualquer outra forma de uso necessitará de prévia autorização;

VII - Utilização orientada à segurança: permitir somente o uso de ativos de informação homologados e autorizados pelo MTPrev, desde que sejam identificados de forma individual, protegidos, inventariados, com documentação atualizada e estando de acordo com a legislação em vigor;

VIII - Autorização definida pelos gestores das áreas de negócio: definir acessos e cancelar acessos aos recursos e aos locais restritos com base na solicitação do gestor de cada unidade do MTPrev, que também é responsável pelos ativos disponibilizados para uso;

IX - Segregação de funções: segregar a administração e execução de funções ou áreas de responsabilidade críticas para o negócio, evitando o controle de um processo na sua totalidade, visando à redução do risco de mau uso acidental ou deliberado;

X - Educação: promover continuamente ações educativas sobre segurança da informação e comunicações aos servidores e colaboradores para que realizem suas atividades na instituição de forma segura, utilizando procedimentos que minimizem os riscos e que possibilitem o uso correto dos ativos e ferramentas de informação;

XI - Auditoria: monitorar e auditar, pela área competente do MTPrev, a implementação e o cumprimento da Política de Segurança da Informação e Comunicações. Consultorias externas especializadas poderão ser utilizadas para avaliação da PSI e de seu cumprimento;

XII - Continuidade aplicada aos serviços: planejar e definir estratégias para reduzir a um nível aceitável a possibilidade de interrupção causada por desastres ou falhas nos recursos que suportam os processos de trabalho. O resultado desse planejamento deve ser documentado, testado e revisado conforme a necessidade, assegurados os recursos necessários à sua implementação;

XIII - Notificação imediata de incidentes: notificar o incidente imediatamente ao superior hierárquico que, sem prejuízo dos encaminhamentos necessários à apuração de responsabilidades, dará ciência do fato ao Comitê Setorial de Segurança da Informação;

XIV - Monitoramento contínuo de segurança: os processos serão monitorados continuamente quanto às atividades suspeitas e possíveis violações de segurança pelo proprietário de ativos de informação, assim como no uso dos recursos computacionais pelos usuários do MTPrev, em conformidade com as normas e procedimentos específicos aprovados;

XV - Uso apropriado: todos os usuários do MTPrev estarão sujeitos às políticas e normas específicas de uso apropriados da informação e seus ativos;

XVI - Interoperabilidade e intercâmbio de informações: assegurar a interoperabilidade e o intercâmbio de informações no âmbito do MTPrev com outras entidades da Administração Pública;

XVII - Padronização de atividades: padronizar as atividades de gestão de segurança da informação no âmbito do MTPrev.

CAPÍTULO VII

Das Normas e Procedimentos Específicos

Art. 9º As normas e procedimentos específicos, necessários à implementação da PSI, serão sugeridas pelo Comitê Setorial de Segurança da Informação - CSSI do MTPrev, e posteriormente aprovadas pela Diretoria Executiva da MTPrev, abrangendo, mas não se limitando aos seguintes temas:

I - controle de acesso;

II - proteção, backup e recuperação de dados e informações;

III - gestão de ativos físicos e lógicos;

IV - treinamento e conscientização;

V - configuração e manuseio seguros de dispositivos do usuário;

VI - segurança de redes;

VII - gestão de incidentes;

VIII - gestão da continuidade de negócio;

IX - ambiente em nuvem;

X - uso da Inteligência Artificial (IA).

Parágrafo único. Para cada um dos princípios e diretrizes relacionadas nesta política devem ser observadas a pertinência na elaboração de procedimentos, orientações e/ou manuais que disciplinem ou facilitem o entendimento da PSI

CAPÍTULO VIII

Das Competências e Responsabilidades

Seção I

Do Gestor Setorial de Segurança da Informação

Art. 10 Compete ao Gestor de Segurança da Informação e Comunicações do MTPrev:

I - promover cultura de segurança da informação e comunicações;

II - acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança;

III - realizar e acompanhar estudos de novas tecnologias quanto a possíveis impactos na segurança da informação e comunicação da organização;

IV - manter contato direto com o Comitê Central de Governança da Política de Segurança da Informação para o trato de assuntos relativos à segurança da informação e comunicações do MTPrev;

V - coordenar o Comitê Setorial de Segurança da Informação (CSSI/MTPrev);

VI - planejar, implementar e gerenciar as ações da Política de Segurança da Informação (PSI);

VII - consolidar e analisar os resultados das auditorias relacionadas à gestão de segurança da informação;

VIII - propor, atualizar e gerenciar normas internas relativas à segurança da informação;

IX - monitorar o desempenho e avaliar a implementação e os resultados da Política de Segurança da Informação e Comunicações e das normas internas relacionadas ao tema;

X - apoiar a alta administração na tomada de decisão referente à Política de Segurança da Informação;

XI - exigir a execução e o cumprimento dos procedimentos relativos aos temas previstos nos arts. 5º ao 7º desta Política, observando as diretrizes da Secretaria de Estado de Planejamento e Gestão (SEPLAG);

XII - cooperar e subsidiar o Comitê Central de Governança da Política de Segurança da Informação com informações técnicas, gerenciais e indicadores de conformidade.

§ 1º O Gestor Setorial de Segurança da Informação deverá observar as normativas que instruem procedimentos buscando resguardar a continuidade de processos organizacionais em casos de incidentes de segurança da informação, decorrentes de desastres ou falhas em recursos de tecnologia da informação e comunicação.

§ 2º O Gestor Setorial de Segurança da Informação, a critério da Diretoria Executiva, poderá acumular a atribuição de Encarregado de Proteção de Dados, previsto no inciso VIII do art. 5º da Lei Federal nº 13.709 de 14 de agosto de 2018.

§ 3º O Gestor Setorial de Segurança da Informação deve possuir formação ou experiência mínima comprovada nas áreas de tecnologia da informação, segurança da informação, gestão de riscos ou outra área correlata.

Seção II

Do Comitê Setorial de Segurança da Informação - CSSI

Art. 11 O Comitê Setorial de Segurança da Informação - CSSI, é o órgão de caráter consultivo e deliberativo vinculado à Diretoria Executiva, de atuação permanente, conforme competências previstas no Decreto nº 1.428, de 30 de abril de 2025.

Art. 12 São competências do Comitê Setorial de Segurança da Informação no âmbito do MTPrev, além daquelas constantes no art. 9º do Decreto nº 1.428, de 30 de abril de 2025:

I - aprovar, monitorar e manter a Política de Segurança da Informação (PSI) da MTPrev e as normas internas de segurança da informação;

II - assessorar na implementação das ações de segurança da informação;

III - propor alterações na política de segurança da informação interna;

IV - sugerir medidas e procedimentos para assegurar a disponibilidade, integridade, confidencialidade e autenticidade das informações;

V - propor práticas de gestão de ativos de tecnologia da informação a partir do inventário das áreas de ambiente tecnológico, equipamentos de tecnologia, softwares, banco de dados e dados pessoais.

Seção III

Dos usuários

Art. 13 Compete aos usuários internos e externos do MTPrev:

I - conhecer e cumprir fielmente as políticas, normas, os procedimentos e as orientações de segurança da informação e comunicações do MTPrev;

II - buscar orientação do superior hierárquico imediato em caso de dúvidas relacionadas à segurança da informação;

III - assinar os Termos de Responsabilidade, bem como Termo de Sigilo de Dados, no que couber, assumindo a responsabilidade por seu cumprimento;

IV - proteger as informações contra acesso, modificação, destruição ou divulgação não autorizadas pela MTPrev;

V - evitar o acesso de pessoas não autorizadas a documentos físicos ou digitais, sob sua responsabilidade;

VI - obedecer aos requisitos de controle especificados pelos gestores e custodiantes da informação;

VII - utilizar, sempre que possível, ferramentas de comunicação institucionais, conforme normas internas específicas;

VIII - comunicar os incidentes que afetam a segurança dos ativos de informação ao Comitê Setorial de Segurança da Informação;

IX - propor melhorias à segurança da informação e comunicação;

X - garantir o sigilo e evitar o vazamento de dados e informações, não classificados como públicos, que estejam sob sua responsabilidade e/ ou acesso;

XI - assegurar o uso racional dos recursos de tecnologia da informação e comunicação colocados à sua disposição, priorizando o interesse público e institucional.

Parágrafo único. Os usuários da informação que propuserem melhorias ou identificarem vulnerabilidades relevantes na segurança da informação poderão receber reconhecimento formal, nos termos de instrução normativa a ser publicada pelo MTPrev, em consonância com as diretrizes da Secretaria de Estado de Planejamento e Gestão.

Seção IV

Dos Terceiros e Fornecedores

Art. 14 Para os fins de aplicação desta Política, compete aos terceiros e fornecedores:

I - assinar os Termos de Responsabilidade, formalizando a ciência e o aceite da PSI, bem como Termo de Sigilo de Dados, no que couber, assumindo a responsabilidade por seu cumprimento;

II. fornecer listas atualizadas de documentação dos ativos de informação, licenças, acordos ou direitos relacionados aos ativos de informação objetos do contrato;

III. fornecer toda a documentação dos sistemas, produtos e serviços relacionados às suas atividades;

IV. Apoiar na identificação, tratamento e medidas de mitigação de riscos para o MTPrev.

CAPÍTULO IX

Das Penalidades

Art. 15 A não observância desta política e/ou de seus documentos complementares, bem como a quebra de controles de segurança da informação e comunicações, poderá acarretar, isolada ou cumulativamente, nos termos da legislação aplicável, sanções administrativas, civis e penais, assegurados aos envolvidos o contraditório e a ampla defesa.

CAPÍTULO X

Da Revisão e Atualização

Art. 16 Esta política, bem como o conjunto de instrumentos normativos gerados a partir dela, serão revisados de forma periódica, ao menos a cada 2 (dois) anos, ou sempre que se fizer necessário, como em caso de mudanças legislativas ou incidentes significativos que demandem sua revisão.

Art. 17 Esta política entra em vigor na data de sua publicação.

Cuiabá-MT, 17 de setembro de 2025.

ELLITON OLIVEIRA DE SOUZA

(Original assinado)

Diretor-Presidente do MTPREV

Baixar diário completo Baixar publicação com Assinatura Digital